El próximo 25 de mayo se implantará el Reglamento General de Protección de Datos (RGPD), una normativa europea que entre otras novedades hace referencia a las evaluaciones de impacto en protección de datos o a las evaluaciones de impacto de privacidad.

Según la Agencia Española de Protección de Datos, una Evaluación de Impacto en la Protección de Datos Personales (EIPD) es un “análisis de los riesgos que un producto o servicio puede entrañar para la protección de datos de los afectados y, como consecuencia de ese análisis, la gestión de dichos riesgos mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos”.

El objetivo que persigue la EIPD es el de reducir los riesgos para la protección de los datos personales y para otros derechos que puedan verse afectados como consecuencia del tratamiento de los datos de carácter personal.

Las ventajas que proporciona la implementación de una EIPD son una mayor eficiencia en la gestión de los activos y procesos de la entidad, la ayuda a la continuidad del negocio y la facilidad al cumplimiento de otras obligaciones requeridas por el RGPD.

¿Cuándo debemos realizar una evaluación de impacto?

De acuerdo con lo establecido en el artículo 35 del RGPD, ante la probabilidad de que un tratamiento “entrañe un alto riesgo para los derechos y libertades de las personas físicas” será necesario llevar a cabo una EIPD antes de la puesta en marcha del tratamiento.

Se exige una EIPD por lo menos en los tres casos siguientes:

  • la evaluación sistemática y exhaustiva de aspectos personales de una persona, incluida la elaboración de perfiles,
  • el tratamiento a gran escala de datos sensibles,
  • la observación sistemática a gran escala de una zona pública.

La Agencia Española de Protección de Datos (AEPD), junto al Europeo de Protección de Datos, pueden proporcionar listas de casos en los que se exige una EIPD. Esto debe realizarse antes del tratamiento de los datos, considerándose como una herramienta viva, aunque el mero uso de este recurso no implica necesariamente el cumplimiento del RGPD.

Cuando existan riesgos residuales que no puedan mitigarse mediante las medidas aplicadas, deberá consultarse a la AEPD antes de iniciar el tratamiento.

A la hora de llevar a cabo una evaluación de impacto, es necesario disponer de una metodología adecuada que abarque las fases indicadas en el articulo 35 del RGPD, donde se establece que la EIPD deberá́ incluir como mínimo:

  • Una descripción sistemática de la actividad de tratamiento previstas.
  • Una evaluación de la necesidad y proporcionalidad del tratamiento respecto a su finalidad.
  • Una evaluación de los riesgos.
  • Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales.

Siempre que se produzca una variación relevante en el contexto de las actividades de tratamiento que pueda suponer un incremento del riesgo asociado al mismo, deberá́ llevarse a cabo una actualización de la EIPD.

Ejemplos: Inclusión de un nuevo canal en un tratamiento, su automatización o externalización.

¿Necesita ayuda para su adaptación al RGPD?

Como siempre estamos a su disposición para ampliar la información que precise y realizar los trámites preceptivos que solicite. En caso de querer solicitar un presupuesto no dude en ponerse en contacto con nuestros profesionales, para todo lo relacionado con RGDP les asistirá la letrada Estefanía Alarcón.

Si lo cree conveniente llame ahora al 973 279 700 o contáctenos a través de e-mail ealarcon@centregestor.es

Muy Atentamente,

Centre Gestor Lleida, S.A.