Evaluaciones de Impacto en la Protección de Datos Personales (EIPD o PIA)

Ya vimos en la anterior entrada los retos y oportunidades que plantea el nuevo reglamento europeo de protección de datos, y el enfoque preventivo que adopta. Es precisamente dentro de este enfoque preventivo donde encontramos uno de los elementos más importantes a mi juicio: la evaluación de impacto sobre la protección de datos, EIPD o PIA (por sus siglas en inglés, Privacy Impact Assessment).

Estos informes son muy comunes en otros países europeos y tienen como finalidad evaluar los riesgos y amenazas a los que se enfrenta un nuevo producto, servicio o sistema de información desde sus inicios. La ventaja es evidente: esto permite eliminar o mitigar dichos riesgos antes de que el sistema se desarrolle, evitando los costes económicos y reputacionales que puede conllevar su descubrimiento a posteriori (o incluso su materialización).

¿Qué es un PIA?
Básicamente, se trata de una herramienta esencial que permite a las organizaciones evaluar de forma anticipada las vicisitudes a las que se verán sometidos los datos personales en función de los tratamientos previstos.

El nuevo reglamento europeo exige la elaboración de informes PIA cuando las operaciones de tratamiento entrañen riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o fines. Entre otros, el procesamiento de datos personales de más de 5.000 personas en un plazo de 12 meses, la ocurrencia de un incidente de seguridad que afecte potencialmente a la protección de los datos personales o cuando las actividades centrales de una entidad impliquen la monitorización sistemática de datos personales.

El PIA debe ser una herramienta dinámica que permita automatizar el proceso de evaluación continua de las implicaciones de privacidad que tienen los tratamientos de una organización sobre los datos personales.

Estos informes deberán desarrollarse en la fase embrionaria del proyecto, es decir, antes de que se ponga en marcha el servicio o producto, y ser actualizados en función de la evolución del proyecto.

Objetivos básicos que debe perseguir un PIA

  • Asegurar que el proyecto cumple con las exigencias normativas durante todo el ciclo del tratamiento.
  • Identificar los riesgos y amenazas a los que pueden estar expuestos los tratamientos, para eliminarlos o mitigarlos.
  • Prevenir problemas futuros que puedan originar sanciones económicas, pérdidas y daños a la reputación de la organización.

¿Qué debe incluir un informe PIA?
Los puntos esenciales que debe contener el informe son:

  • Una descripción general de las operaciones de tratamiento previstas.
  • Una evaluación de los riesgos para los derechos y libertades de los interesados.
  • Las medidas contempladas para hacer frente a los riesgos y amenazas.
  • Garantías, medidas de seguridad y mecanismos destinados a garantizar la protección de datos personales y a demostrar la conformidad con el reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

El PIA debe ser sistemático y reproducible, estar orientado a la revisión continua de procesos más que a producir un resultado o informe final, y deberá permitir una identificación clara de los responsables de las distintas tareas.

En el desarrollo de un PIA intervienen diferentes fases:

  • ¿Por qué es necesario un PIA? En esta fase se realiza una valoración de la conveniencia de llevar a cabo o no una Evaluación de Impacto.
  • Descripción del proyecto y los flujos de información. En esta fase se realiza un análisis en profundidad del proyecto, obteniendo el detalle de las categorías de datos que se tratan, los usuarios de los mismos, los flujos de información y las tecnologías utilizadas.
  • Identificación de los riesgos que afecten a la privacidad. Análisis de los posibles riesgos para la protección de datos de los afectados y valoración de la probabilidad y el impacto de su materialización.
  • Gestión de los riesgos y Establecimiento de soluciones para garantizar la privacidad. Identificación de los controles y las medidas necesarias para eliminar, mitigar, transferir o aceptar los riesgos detectados.
  • Análisis de cumplimiento normativo e implementación de las soluciones para garantizar la privacidad (controles periódicos).
  • Informe final. Relación detallada de los riesgos identificados y de las recomendaciones y propuestas para eliminarlos o mitigarlos.
  • Implantación de las recomendaciones. Decisión sobre las recomendaciones del informe final y las acciones que deben llevarse a cabo. Asignación de los recursos necesarios para su ejecución y del responsable de implantarlas.
  • Revisión y retroalimentación. Análisis del resultado final para comprobar la efectividad de la EIPD y verificar si se han creado nuevos riesgos o se han detectado otros que habían pasado desapercibidos. Estos resultados se utilizan para realimentar la evaluación de impacto y actualizarla cuando sea necesario.

La Agencia Española de Protección de datos ha elaborado esta Guía para la Evaluación de Impacto en la Protección de los Datos Personales para facilitar esta labor, y ayudar a todas las organizaciones a promover una cultura proactiva de la privacidad y fortalecer la protección eficaz de los derechos de las personas.

Por último, reseñar que la IAPP (International Association of Privacy Professionals) acaba de lanzar una herramienta informática para realizar los PIA.

 Conclusión: una reforma en forma de oportunidad

Independientemente de su obligatoriedad, un informe de impacto siempre será un activo para cualquier organización si consideramos que los nuevos entornos generan constantes y renovadas amenazas para todas las organizaciones.

Tanto si los vemos como un reto o como una oportunidad, las empresas deberán evaluar sus riesgos de manera proactiva y sistemática, y acometer cambios estructurales para evitarlos o mitigarlos y contar con un plan de contingencias adecuado. En última instancia, estos informes evitarán pérdidas para las organizaciones, y mejorarán la protección del negocio a través de la detección temprana de amenazas y vulnerabilidades.

Comments

  1. Gracias como siempre, Marina por tu claridad y por tus grandes consejos. Quedan menos de 500 días para la obligatoriedad del nuevo RGPD, así que ya podemos ponernos al día. Con tus consejos y tus guías siempre nos haces el camino más fácil ;-)

  2. Marina Brocca says:

    Gracias a ti Rosa por acercarte a comentar y ayudar a difundir estos contenidos, es un lujo tenerte por aquí. Un fuerte abrazo