¿Qué es la evaluación de impacto?

Entre otras cosas, en Natura Activa nos podemos ocupar de lo que se conoce como evaluación de impacto. Una tarea a la que obliga el nuevo Reglamento General de Protección de Datos (RGPD) y que atañe a las personas responsables de tratar datos personales. 

El objetivo principal de una evaluación de impacto de protección de datos (EIPD) es identificar y analizar de qué modo la privacidad de estos datos puede verse afectada por determinadas acciones o actividades. Es decir, se trata de analizar los potenciales riesgos que la prestación de un servicio puede entrañar para la protección de datos personales de los usuarios. Según sea el resultado, habrá que proceder de una u otra manera. Por ejemplo, poniendo solución a esos peligros que se hayan detectado. La meta no es otra que garantizar que los datos personales de los clientes estén debidamente protegidos. 

La evaluación de impacto dependerá, entre otras cosas, de la clase de datos que se estén tratando y del volumen de los mismos. En función de esto, la evaluación será más o menos profunda. Dependiendo del sector pueden existir además obligaciones adicionales. Hablamos por ejemplo de la legislación sanitaria, del campo de las telecomunicaciones o de los servicios de la sociedad de la información. Como no, también de los ficheros de las Fuerzas y Cuerpos de Seguridad del Estado.

La evaluación de impacto, en manos de profesionales

La meta de una EIPD es permitir a los responsables del tratamiento de datos adoptar medidas enfocadas a reducir esos riesgos diagnosticados. Antes de empezar con el tratamiento de esos datos personales hay que acometer un análisis previo de los riesgos que determine si la EIPD es o no necesaria. En todo caso, deberá acometerse cuando el tratamiento suponga un alto riesgo para los derechos y libertades de los usuarios.

En el artículo 35.3 del RGPD leemos que la evaluación de impacto será obligatoria cuando se dé alguno de los siguientes casos:

  • Evaluación sistemática y exhaustiva de datos personales de personas físicas basada en un tratamiento automatizado.
  • Tratamiento a gran escala de las categorías especiales de datos personales (origen étnico o racial, opiniones políticas, convicciones religiosas….).
  • Observación sistemática a gran escala de una zona de acceso pública. Por ejemplo, sistemas de videovigilancia.

Hay que tener en consideración las categorías de datos que se tratan,  quiénes son los usuarios, los flujos de información y las tecnologías utilizadas.

Los riesgos detectados en una EIPD pueden ser de dos tipos.

  1. Pueden afectar a las personas físicas cuyos datos se tratan. Por ejemplo, puede darse una violación de sus derechos o una pérdida de información por la utilización ilícita o fraudulenta de los datos.
  2. Pueden afectar a las organizaciones que no hayan implantado una correcta política de protección de datos. Por ejemplo, que no hayan implementado mecanismos de planificación, implantación, verificación y corrección eficaces.

En resumen, se exige una EIPD cuando el tratamiento de los datos pueda entrañar un alto riesgo para los derechos y libertades de las personas.

 

×