Con la entrada en vigor del RGPD, se han producido muchos cambios importantes con respecto a la protección de datos para las empresas. Esto también incluye el instrumento de la evaluación de impacto de la protección de datos (EIPD).
Las evaluaciones de impacto sobre la protección de datos tienen por objeto, en particular, identificar y evaluar los riesgos en operaciones de tratamiento de datos especialmente críticas, con el fin de adoptar medidas eficaces para minimizar los riesgos. Para los responsables del tratamiento de datos, existe por tanto la obligación de realizar una evaluación del impacto antes de iniciar nuevos procesos de tratamiento de datos en la empresa y de documentarla.
Una buena estrategia de evaluación de impacto de la protección de datos es rentable en varios aspectos. Pero, ¿a qué deben prestar atención las empresas? ¿Y cuál es la mejor manera de proceder si se quiere establecer una EIPD de este tipo e integrarla de forma sostenible en los procesos de la empresa? Encontrará más información en este artículo.
Los requisitos legales obligan a las empresas a llevar a cabo una descripción detallada y una evaluación exhaustiva de los riesgos existentes en materia de protección de datos para determinadas operaciones de tratamiento de datos (la denominada evaluación de impacto relativa a la protección de datos). Esta evaluación de impacto no es nueva, sino que sustituye a la auditoría previa que -dependiendo del país- debía realizarse antes de la introducción del RGPD para prevenir los riesgos para la protección de datos.
Durante la evaluación de impacto, los delegados de la protección de datos y los propietarios de los procesos examinan los riesgos particulares asociados a la aplicación de determinadas operaciones de tratamiento de datos. Debe prestarse especial atención a los riesgos para los derechos y libertades de los afectados. El objetivo es analizar y evaluar los riesgos detectados. En un siguiente paso, se pueden eliminar los riesgos elevados y optimizar los procesos.
Si la eliminación no es posible, al menos deben minimizarse y controlarse todos los riesgos. Por ello, las empresas deben tomar medidas adecuadas (MTO) en una fase temprana para contener los riesgos detectados y adaptar los procesos en consecuencia.
Este análisis de riesgos optimizado y estructurado debe tener como mínimo los siguientes contenidos
Este procedimiento se lleva a cabo en un proceso de consulta en el que se consulta a los afectados en el contexto del tratamiento. Este es el procedimiento que debe seguirse en toda evaluación de impacto sobre la protección de datos. Al hacerlo, las empresas deben prestar atención a una documentación limpia, porque en caso de duda, esto no sólo sirve a su propia accountability o a la instrucción de los empleados, sino que también funciona como prueba de la evaluación de impacto correctamente realizada para las autoridades de control competentes.
Conviene saberlo: Si no se puede presentar una evaluación de impacto conforme a la ley, existe la amenaza de multas severas. Por lo tanto, sea concienzudo a la hora de documentar la evaluación de impacto para evitar sanciones.
En la plataforma Priverion, puede realizar fácilmente evaluaciones de impacto utilizando plantillas y documentarlas con claridad. De este modo, podrá determinar con facilidad qué procesos corren mayor riesgo e iniciar las medidas adecuadas.
El Reglamento General de Protección de Datos (RGPD) sigue un enfoque basado en el riesgo. Esto significa que cada proceso que implique datos personales se evalúa en función de su riesgo. En este contexto, sólo los procedimientos de riesgo están sujetos a regulación. La evaluación de impacto de la protección de datos es también un análisis de riesgos.
La finalidad de una evaluación de impacto se explica en el RGPD (considerando 84) de la siguiente manera:
"Para cumplir mejor con el presente Reglamento en los casos en que las operaciones de tratamiento puedan dar lugar a un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento debe ser responsable de llevar a cabo una EIPA que evalúe en particular la causa, la naturaleza, la especificidad y la gravedad de dicho riesgo."
Así pues, como ocurre con todos los instrumentos del RGPD, el objetivo de la evaluación de impacto es proteger los datos personales de las personas físicas y, en particular, sus derechos y libertades. Al tratar categorías especiales de datos personales, todos los Estados miembros de la UE deben cumplir los requisitos legales europeos.
Al punto: como análisis de riesgos interno de la empresa, una evaluación de impacto debe garantizar que las operaciones de tratamiento con un alto riesgo para los afectados se identifiquen, supervisen, mejoren y minimicen los riesgos.
No realizar o tratar incorrectamente la evaluación de impacto constituye una infracción de la ley y puede acarrear fuertes multas. Por eso es especialmente importante que las empresas integren en sus procesos una buena evaluación de impacto.
En primer lugar, debe comprobarse si existe la obligación de realizar una evaluación de impacto. A este respecto, el RGPD enumera un gran número de casos de ejemplo, pero la lista legal no es exhaustiva. Usted está obligado a utilizar sus propias normas a la hora de evaluar situaciones individuales. A continuación encontrará más información al respecto.
En caso de duda, una autoridad de control competente puede imponer multas si, a pesar de la obligación, no se han realizado evaluaciones de impacto o se han realizado de forma inadecuada. Las evaluaciones de impacto inexistentes o insuficientes pueden castigarse con una multa de hasta 10 millones de euros o el 2% del volumen de negocios anual realizado en todo el mundo en el ejercicio económico anterior.
Además, pueden surgir obligaciones de pagar daños y perjuicios a los afectados si sus datos no se han protegido adecuadamente. A este respecto, las empresas pueden beneficiarse de una sólida evaluación del impacto de la protección de datos, porque además de los riesgos para los afectados, un análisis de riesgos también puede revelar otros errores, fallos e ineficiencias en procesos individuales.
Al punto: No sólo para evitar multas debe tomarse en serio el tema de la evaluación del impacto en la protección de datos como empresa. Este tipo de prevención también ayuda a revisar y mejorar los propios procesos y medidas de cumplimiento.
No todas las empresas tienen que llevar a cabo evaluaciones de impacto sobre la protección de datos. El RGPD menciona ejemplos concretos de casos en los que deben realizarse controles previos. Las principales entidades públicas y no públicas que tienen que llevar a cabo evaluaciones de impacto sobre la protección de datos son las siguientes:
Las empresas mencionadas deben evaluar si es necesario o no realizar una evaluación de impacto de la protección de datos antes de introducir cualquier cambio en un proceso. Idealmente, esto no deberían hacerlo los delegados de la protección de datos, sino empleados especialmente formados. En un segundo paso, los delegados internos o externos de protección de datos pueden comprobar además las evaluaciones de impacto realizadas.
Existe la obligación de realizar una evaluación de impacto siempre que exista un riesgo elevado para los afectados (artículo 35 del RGPD). En este contexto, por riesgo se entiende cualquier riesgo de naturaleza económica o social. Se trata, por tanto, de que los datos de los afectados estén en peligro.
Cuándo existe un riesgo tan elevado es, en muchos casos, una cuestión de interpretación. Aunque el RGPD da ejemplos de cuándo se puede suponer que existe un riesgo elevado, esto no cubre todos los procedimientos y procesos. Por lo tanto, corresponde a las empresas evaluar primero de forma independiente si existe un riesgo y, por lo tanto, si la obligación de realizar una evaluación de impacto es pertinente.
Atención: La evaluación independiente es plenamente revisable por los tribunales y las autoridades de supervisión competentes también tienen acceso a estas evaluaciones. Por tanto, las empresas deben proceder a conciencia con sus pronósticos de riesgo o consultar a un experto jurídico en protección de datos. Estaremos encantados de ayudarle.
Los procesos de alto riesgo incluyen, entre otros, la evaluación de aspectos personales de personas físicas, como la elaboración de perfiles, especialmente cuando se procesan por medios automatizados. El tratamiento extensivo de datos personales sensibles de determinadas categorías (por ejemplo, datos de salud) también están sujetos a alto riesgo. También se incluye la vigilancia sistemática y extensiva de zonas de acceso público.
Además de estos ejemplos del RGPD, existen otras opciones de orientación para las empresas sobre qué operaciones requieren una evaluación de impacto. Para ello, las autoridades de control competentes elaboran periódicamente una lista de actividades de tratamiento que requieren una evaluación de impacto sobre la protección de datos. En ella pueden encontrarse, por ejemplo
Conviene saberlo: Algunas autoridades de control alemanas también publican listas que incluyen operaciones de tratamiento que explícitamente no requieren una evaluación de impacto. Si necesita más información, póngase en contacto con la autoridad de control que le corresponda.
Si tiene dudas sobre la necesidad de una evaluación de impacto, consulte a un delegado de protección de datos. Gracias a su amplia experiencia, el delegado de protección de datos podrá valorar hasta qué punto es necesaria una evaluación de impacto en su caso.
Atención: La información facilitada por un delegado de protección de datos no exime a las empresas de responsabilidad por errores en la protección de datos.
Una evaluación de impacto no significa automáticamente que el tratamiento esté justificado. Dependiendo del tratamiento y del tipo de datos, puede ser necesario adoptar otras medidas u obtener el consentimiento del afectado. Al hacerlo, las empresas deben documentar los riesgos y mantenerlos lo más bajos posible. Los riesgos evitables, como los identificados por la evaluación de impacto, también deben eliminarse en este caso y los procesos internos de la empresa deben optimizarse de conformidad con el RGPD.
Una evaluación de impacto da la protección de datos consta de cuatro partes. Si tiene alguna pregunta sin respuesta o necesita asistencia jurídica o técnica, póngase en contacto con nosotros directamente.
Su evaluación de impacto debe incluir los siguientes pasos
Describa el proceso de tratamiento de la forma más exhaustiva posible, detallando cómo funciona y opera el proceso, qué datos se tratan y qué personas físicas o categorías de personas están implicadas. También es importante indicar la base jurídica sobre la que es probable o puede tener lugar el tratamiento.
Además, hay que informar sobre la finalidad del tratamiento: ¿qué se pretende conseguir exactamente con el tratamiento de datos? También deben indicarse aquí las fuentes y los destinatarios de los datos, así como otras empresas implicadas o la cooperación con proveedores de servicios u otros responsables del tratamiento.
Pregúntese si el tratamiento de datos es necesario en absoluto para cumplir la finalidad perseguida: ¿Es realmente necesario el tratamiento? ¿O el tratamiento es más bien superfluo para sus fines? Siempre debe evitarse el tratamiento superfluo de datos para mantener los riesgos lo más bajos posible.
En un paso posterior, la proporcionalidad debe explicarse por separado y jurídicamente. Esto se hace en varias etapas:
El análisis de riesgos es el núcleo de la evaluación de impacto. En él se presentan e identifican los riesgos reales del tratamiento específico para los afectados. Por lo tanto, tiene sentido trabajar a través de objetivos de garantía definidos para que las operaciones de tratamiento puedan controlarse y analizarse en función de su riesgo:
Por último, describa cómo logrará (o le gustaría lograr) los objetivos de garantía. Determine también la probabilidad de que se produzca el daño y su cuantía. Es importante evaluar primero el riesgo para el propio tratamiento de datos, antes de incluir en la evaluación las medidas correctoras adoptadas o previstas para proteger los datos.
Una vez integradas y aplicadas las medidas, se vuelve a evaluar el riesgo restante. A lo largo del proceso deben realizarse evaluaciones periódicas de seguimiento y análisis de riesgos. En consecuencia, revise y mejore los procesos existentes y nuevos de forma permanente y periódica.
También debe planificar de antemano medidas adecuadas para casos de emergencia, es decir, si se producen daños. Forme a sus empleados sobre cómo comportarse en caso de duda para reaccionar rápida y adecuadamente en caso de violación de la protección de datos y para que el daño sea el menor posible.
Lo que a priori parece sencillo puede suponer mucho trabajo en casos concretos. Las evaluaciones de impacto de la protección de datos requieren cierto tiempo, esfuerzo y recursos suficientes para su aplicación conforme a la ley. Tampoco hay que subestimar su aplicación y repetición constantes. Con la plataforma Priverion, tiene a mano una herramienta útil que simplifica estos procesos.
Precisamente porque las evaluaciones de seguimiento son costosas en caso de duda, las empresas deberían abordarlas en una fase temprana. El RGPD obliga a las empresas a aplicar diversas medidas para garantizar la protección de los datos personales y evitar su tratamiento innecesario.