Las Evaluaciones de Impacto de Protección de Datos (EIPD) son una herramienta que permite analizar los riesgos que un producto o servicio puede entrañar para la protección de datos y, de haberlos, ayuda a tomar las medidas necesarias para eliminarlos o mitigarlos.
Por tanto, una EIPD tiene en cuenta:
- La finalidad de los datos utilizados
- El tipo de riesgos potenciales
- Elaboración de un plan de acción con medidas de control
Es decir, que cuando una empresa va a realizar por vez primera una nueva actividad que involucra el tratamiento de datos personales, deberá estudiar primero qué peligros entrañaría ese tratamiento no solo en lo referente a su empresa, sino hacia la seguridad de las personas cuyos datos personales son tratados.
Por tanto, se considera una medida preventiva dentro de las políticas de empresa, ya que consiste en un proceso de evaluación previo con el que se pretende identificar posibles peligros con la finalidad de elaborar planes en respuesta para no incumplir las leyes de Protección de Datos.
Entonces, tiene sentido que la ley exija que esta evaluación de impacto se lleve a cabo antes de iniciar el manejo de datos para garantizar así su garantía de protección a la hora de salir al mercado.
¿Cuándo se debe realizar una EIPD?
Deberá realizarse una EIPD, tal y como establece el RGPD, siempre que vaya a hacerse un uso de nuevas tecnologías y estas puedan implicar un alto riesgo para los derechos y libertades de las personas físicas.
En base a lo dispuesto por la Agencia Española de Protección de Datos, será obligatorio llevar a cabo una EIPD en los siguientes casos:
- Cuando el uso automatizado de datos implique la evaluación exhaustiva de aspectos personales (elaboración de perfiles)
- Operaciones en torno a datos especiales o penales sensibles a la opinión pública
- Observación a gran escala de zonas públicas
En definitiva, realizar una EIPD será obligatorio siempre y cuando el tratamiento de datos pueda entrañar un riesgo alto para los derechos y libertades de los usuarios. No obstante, también es posible realizar estas Evaluaciones de Impacto de Protección de Datos de forma voluntaria, ya sea como una medida de control dentro de la empresa o como una forma de analizar el mercado en el que se mueve esta, y será recomendable hacerlo siempre que la empresa realice tratamiento de datos de cualquier tipo.
Antes de llevar a cabo el tratamiento de datos personales, el responsable deberá hacer una EIPD para valorar la gravedad y probabilidad del riesgo, siempre teniendo en cuenta aspectos como la naturaleza, el ámbito, el contexto, los fines del tratamiento y los orígenes del riesgo.
¿Cuáles son las fases de una EIPD?
La Agencia Española de Protección de Datos establece que las fases de una EIPD son 8:
- Identificar la necesidad de una EIPD
- Analizar el proyecto y los flujos de información
- Identificar los riesgos
- Gestionar los riesgos
- Cerciorarse de que se cumple la normativa
- Informe final
- Implantación de las recomendaciones
- Revisión
Llevar a cabo una Evaluación de Impacto de Protección de Datos no solo nos ayudará a cumplir con la ley vigente y evitar posibles sanciones, sino que contribuirá a mejorar la reputación de nuestra empresa y a infundir seguridad en quienes confíen en ella gracias a la transparencia que eso refleja.
¿Necesitas más información sobre las Evaluaciones de Impacto o asesoramiento en lo referente a la Protección de Datos? No dudes en consultarnos.
