Hace algún tiempo que la Agencia Española de Protección de Datos publicó la Guía para una Evaluación de Impacto en la protección de Datos Personales [PDF]. La verdad es que hasta ahora no me había parado a leerla y la verdad es que es bastante interesante.
En la guía se hace referencia a términos como PIA por sus siglas en inglés (Privacy Impact Assements) y EIPD (Evaluación de Impacto en la Protección de Datos personales). Un término más conocido bastante relacionado con este tema es el de Privacy by Design, del cual podemos encontrar bastante documentación al respecto, pero por no mezclar ideas en este post nos centraremos en el EIPD y más concretamente en lo que la guía de AEPD propone al respecto.
En síntesis se trata de hacer un proceso que permita a las organizaciones identificar los riesgos que un producto o servicio puede implicar para la protección de datos antes de que se materialicen. Tras ese análisis se deberá afrontar de manera eficaz la gestión de los riesgos mediante la toma de medidas necesarias para eliminarlos o mitigarlos. Esto se deberá realizar en las etapas iniciales del diseño para poder identificar los riesgos lo antes posibles y corregirlos evitando costes que se pueden producir porque sean descubiertos a posteriori.
La siguiente imagen muestra las fases que se deben ejecutar en una EPID:
La guía distingue dos grandes tipos de riesgos a los que nos podemos enfrentar cuando hagamos un EIPD. El primer tipo es el que afecta directamente a las personas, para los que una violación de dichos riesgos puede concretarse en una posible violación de los derechos de las personas. El segundo tipo es el que puede afectar a la imagen de la empresa que ha desarrollado el producto o servicio, y de la cual se pueda derivar la percepción de que no cuida la privacidad de los datos tratados. Una vez identificados los riesgos se deberá realizar una cuantificación de los mismos en base a la probabilidad de que sucedan y el impacto que tendría su materialización.
En la guía aparece un catálogo de riesgos que pueden servir con base para la identificación de los mismos en el producto o servicio cuando vayamos a realizar un EIPD. La guía sugiere consultar con las partes afectadas tanto internas como externas con esto se pretende que se conozcan las preocupaciones de los afectados, lo que permitirá identificar riesgos hasta ahora no detectados.
El siguiente punto que aparece en la guía es el de la gestión de los riesgos, proponiendo las opciones clásicas de evitar o eliminar el riesgo, mitigarlo, transferirlo o aceptarlo. A continuación la guía expone algunas medidas se pueden adoptar para la gestión de dichos riesgos. Además se hace hincapié en la importancia de la monitorización de las medidas implantadas, comprobar si son efectivas para la mitigación del riesgo y si cumplen el objetivo para el que fueron implantadas. En el caso de que estas medidas no sean efectivas se deberán proponer otras para cumplir con el objetivo perseguido.
Por último, la guía hace referencia al cumplimiento normativo, no sólo dentro del ámbito de protección de datos sino de cualquier otra normativa que le sea de aplicación y que tengan aspectos relacionados con la privacidad, como pudiera ser legislación sanitaria por poner un ejemplo. Aunque en España no es práctica habitual hacer un análisis de riesgos previo al diseño de un producto o servicio y mucho menos enfocado a los datos de carácter personal, según las diversas fuentes consultadas para la realización de esta entrada, en los países anglosajones esta es una práctica habitual (lo que tiene todo el sentido del mundo).
Por si fuera poco, si la necesidad de hacer un EIPD hasta ahora no tenía sustento legal y por tanto quedaba como una iniciativa de la AEPD para que las organizaciones fueran proactivas en temas relacionados con la privacidad, a partir de que se apruebe (que según las últimas noticias en breve será aprobado) el “REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos)” esto puede cambiar. Dicho reglamento dedica un artículo completo (el 33) a la Evaluación de impacto relativa a la protección de datos.
En otros países como Colombia existe la “Guía para la Implementación del Principio de responsabilidad demostrada (Accountability)”, en cuyo epígrafe 2.4 se hace referencia al Sistema de Administración de riesgos asociados al tratamiento de datos personales, que está formado por las siguientes etapas: identificación, medición, control y monitoreo.
A la vista de lo comentado, todo parece indicar que en breve deberemos incluir en la planificación de nuestros proyectos una fase de análisis de impacto en la protección de datos personales. No parece tan mala idea, ¿no?
Otros documentos de interés relacionados:
