Evaluación de impacto de la protección de datos según el RGPD

Con la entrada en vigor del RGPD, se han producido muchos cambios importantes con respecto a la protección de datos para las empresas. Esto también incluye el instrumento de la evaluación de impacto de la protección de datos (EIPD).

Las evaluaciones de impacto sobre la protección de datos tienen por objeto, en particular, identificar y evaluar los riesgos en operaciones de tratamiento de datos especialmente críticas, con el fin de adoptar medidas eficaces para minimizar los riesgos. Para los responsables del tratamiento de datos, existe por tanto la obligación de realizar una evaluación del impacto antes de iniciar nuevos procesos de tratamiento de datos en la empresa y de documentarla.

Una buena estrategia de evaluación de impacto de la protección de datos es rentable en varios aspectos. Pero, ¿a qué deben prestar atención las empresas? ¿Y cuál es la mejor manera de proceder si se quiere establecer una EIPD de este tipo e integrarla de forma sostenible en los procesos de la empresa? Encontrará más información en este artículo.

Los hechos más importantes en resumen
  • Desde mayo de 2018, la evaluación de impacto de la protección de datos es obligatoria para la mayoría de las autoridades públicas y empresas privadas que recopilan, procesan y utilizan categorías especiales de datos personales.
  • Debe realizarse una evaluación de impacto relativa a la protección de datos siempre que las operaciones de tratamiento planteen riesgos elevados para los derechos y libertades de los afectados.
  • La evaluación de impacto proporciona una valoración previa sistemática de los riesgos y fuentes de error de las operaciones de tratamiento de datos.
  • Además, las evaluaciones de impacto sobre la protección de datos también tienen como objetivo desarrollar e integrar estrategias que prevengan los riesgos en la operación de tratamiento específica.
¿En qué consiste la evaluación de impacto de la protección de datos del RGPD?

Los requisitos legales obligan a las empresas a llevar a cabo una descripción detallada y una evaluación exhaustiva de los riesgos existentes en materia de protección de datos para determinadas operaciones de tratamiento de datos (la denominada evaluación de impacto relativa a la protección de datos). Esta evaluación de impacto no es nueva, sino que sustituye a la auditoría previa que -dependiendo del país- debía realizarse antes de la introducción del RGPD para prevenir los riesgos para la protección de datos.

Durante la evaluación de impacto, los delegados de la protección de datos y los propietarios de los procesos examinan los riesgos particulares asociados a la aplicación de determinadas operaciones de tratamiento de datos. Debe prestarse especial atención a los riesgos para los derechos y libertades de los afectados. El objetivo es analizar y evaluar los riesgos detectados. En un siguiente paso, se pueden eliminar los riesgos elevados y optimizar los procesos.

Si la eliminación no es posible, al menos deben minimizarse y controlarse todos los riesgos. Por ello, las empresas deben tomar medidas adecuadas (MTO) en una fase temprana para contener los riesgos detectados y adaptar los procesos en consecuencia. 

Este análisis de riesgos optimizado y estructurado debe tener como mínimo los siguientes contenidos

  1. la descripción precisa de las operaciones de tratamiento previstas y los respectivos fines del tratamiento, así como los intereses legítimos de la empresa en los procesos,
  2. evaluación de la necesidad y exigencia del tratamiento de datos en relación con la finalidad,
  3. evaluación de los riesgos para las libertades y derechos de los afectados,
  4. establecimiento de medidas adecuadas de mitigación de riesgos, de protección y procedimientos de emergencia.

Este procedimiento se lleva a cabo en un proceso de consulta en el que se consulta a los afectados en el contexto del tratamiento. Este es el procedimiento que debe seguirse en toda evaluación de impacto sobre la protección de datos. Al hacerlo, las empresas deben prestar atención a una documentación limpia, porque en caso de duda, esto no sólo sirve a su propia accountability o a la instrucción de los empleados, sino que también funciona como prueba de la evaluación de impacto correctamente realizada para las autoridades de control competentes.

Conviene saberlo: Si no se puede presentar una evaluación de impacto conforme a la ley, existe la amenaza de multas severas. Por lo tanto, sea concienzudo a la hora de documentar la evaluación de impacto para evitar sanciones.

En la plataforma Priverion, puede realizar fácilmente evaluaciones de impacto utilizando plantillas y documentarlas con claridad. De este modo, podrá determinar con facilidad qué procesos corren mayor riesgo e iniciar las medidas adecuadas.

¿Por qué es necesaria una evaluación de impacto de la protección de datos?

El Reglamento General de Protección de Datos (RGPD) sigue un enfoque basado en el riesgo. Esto significa que cada proceso que implique datos personales se evalúa en función de su riesgo. En este contexto, sólo los procedimientos de riesgo están sujetos a regulación. La evaluación de impacto de la protección de datos es también un análisis de riesgos.

La finalidad de una evaluación de impacto se explica en el RGPD (considerando 84) de la siguiente manera:

"Para cumplir mejor con el presente Reglamento en los casos en que las operaciones de tratamiento puedan dar lugar a un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento debe ser responsable de llevar a cabo una EIPA que evalúe en particular la causa, la naturaleza, la especificidad y la gravedad de dicho riesgo."

Así pues, como ocurre con todos los instrumentos del RGPD, el objetivo de la evaluación de impacto es proteger los datos personales de las personas físicas y, en particular, sus derechos y libertades. Al tratar categorías especiales de datos personales, todos los Estados miembros de la UE deben cumplir los requisitos legales europeos.

Al punto: como análisis de riesgos interno de la empresa, una evaluación de impacto debe garantizar que las operaciones de tratamiento con un alto riesgo para los afectados se identifiquen, supervisen, mejoren y minimicen los riesgos.

¿Qué ocurre si no se realiza una evaluación de impacto o se realiza incorrectamente?

No realizar o tratar incorrectamente la evaluación de impacto constituye una infracción de la ley y puede acarrear fuertes multas. Por eso es especialmente importante que las empresas integren en sus procesos una buena evaluación de impacto. 

En primer lugar, debe comprobarse si existe la obligación de realizar una evaluación de impacto. A este respecto, el RGPD enumera un gran número de casos de ejemplo, pero la lista legal no es exhaustiva. Usted está obligado a utilizar sus propias normas a la hora de evaluar situaciones individuales. A continuación encontrará más información al respecto.

En caso de duda, una autoridad de control competente puede imponer multas si, a pesar de la obligación, no se han realizado evaluaciones de impacto o se han realizado de forma inadecuada. Las evaluaciones de impacto inexistentes o insuficientes pueden castigarse con una multa de hasta 10 millones de euros o el 2% del volumen de negocios anual realizado en todo el mundo en el ejercicio económico anterior.

Además, pueden surgir obligaciones de pagar daños y perjuicios a los afectados si sus datos no se han protegido adecuadamente. A este respecto, las empresas pueden beneficiarse de una sólida evaluación del impacto de la protección de datos, porque además de los riesgos para los afectados, un análisis de riesgos también puede revelar otros errores, fallos e ineficiencias en procesos individuales.

Al punto: No sólo para evitar multas debe tomarse en serio el tema de la evaluación del impacto en la protección de datos como empresa. Este tipo de prevención también ayuda a revisar y mejorar los propios procesos y medidas de cumplimiento.

¿Quién debe realizar una evaluación de impacto de la protección de datos?

No todas las empresas tienen que llevar a cabo evaluaciones de impacto sobre la protección de datos. El RGPD menciona ejemplos concretos de casos en los que deben realizarse controles previos. Las principales entidades públicas y no públicas que tienen que llevar a cabo evaluaciones de impacto sobre la protección de datos son las siguientes:

  • Las empresas y autoridades públicas que utilicen procedimientos de scoring o lleven a cabo procedimientos similares con fines de elaboración de perfiles,
  • Las que tratan y almacenan datos personales de categorías especiales a escala significativa (como datos sanitarios o datos relacionados con delitos o condenas penales),
  • Las empresas y autoridades públicas que vigilan de forma sistemática y extensiva espacios de acceso público (especialmente en el caso de la videovigilancia).

Las empresas mencionadas deben evaluar si es necesario o no realizar una evaluación de impacto de la protección de datos antes de introducir cualquier cambio en un proceso. Idealmente, esto no deberían hacerlo los delegados de la protección de datos, sino empleados especialmente formados. En un segundo paso, los delegados internos o externos de protección de datos pueden comprobar además las evaluaciones de impacto realizadas.

¿Cuándo es necesario realizar una evaluación de impacto?

Existe la obligación de realizar una evaluación de impacto siempre que exista un riesgo elevado para los afectados (artículo 35 del RGPD). En este contexto, por riesgo se entiende cualquier riesgo de naturaleza económica o social. Se trata, por tanto, de que los datos de los afectados estén en peligro.

Cuándo existe un riesgo tan elevado es, en muchos casos, una cuestión de interpretación. Aunque el RGPD da ejemplos de cuándo se puede suponer que existe un riesgo elevado, esto no cubre todos los procedimientos y procesos. Por lo tanto, corresponde a las empresas evaluar primero de forma independiente si existe un riesgo y, por lo tanto, si la obligación de realizar una evaluación de impacto es pertinente.

Atención: La evaluación independiente es plenamente revisable por los tribunales y las autoridades de supervisión competentes también tienen acceso a estas evaluaciones. Por tanto, las empresas deben proceder a conciencia con sus pronósticos de riesgo o consultar a un experto jurídico en protección de datos. Estaremos encantados de ayudarle.

Protección de datos: ¿Cuándo existe un riesgo elevado?

Los procesos de alto riesgo incluyen, entre otros, la evaluación de aspectos personales de personas físicas, como la elaboración de perfiles, especialmente cuando se procesan por medios automatizados. El tratamiento extensivo de datos personales sensibles de determinadas categorías (por ejemplo, datos de salud) también están sujetos a alto riesgo. También se incluye la vigilancia sistemática y extensiva de zonas de acceso público.

Además de estos ejemplos del RGPD, existen otras opciones de orientación para las empresas sobre qué operaciones requieren una evaluación de impacto. Para ello, las autoridades de control competentes elaboran periódicamente una lista de actividades de tratamiento que requieren una evaluación de impacto sobre la protección de datos. En ella pueden encontrarse, por ejemplo

  • Tratamiento de datos sujetos a secreto social, profesional u oficial ,
  • Tratamiento de datos biométricos o genéticos,
  • Tratamiento automatizado de datos mediante inteligencia artificial o algoritmos,
  • Tratamiento de datos que implique la elaboración de perfiles, la puntuación, la evaluación de la personalidad o el análisis del comportamiento de los empleados,
  • En la agregación de grandes cantidades de datos

Conviene saberlo: Algunas autoridades de control alemanas también publican listas que incluyen operaciones de tratamiento que explícitamente no requieren una evaluación de impacto. Si necesita más información, póngase en contacto con la autoridad de control que le corresponda.

Si tiene dudas sobre la necesidad de una evaluación de impacto, consulte a un delegado de protección de datos. Gracias a su amplia experiencia, el delegado de protección de datos podrá valorar hasta qué punto es necesaria una evaluación de impacto en su caso.

Atención: La información facilitada por un delegado de protección de datos no exime a las empresas de responsabilidad por errores en la protección de datos.

Una evaluación de impacto no significa automáticamente que el tratamiento esté justificado. Dependiendo del tratamiento y del tipo de datos, puede ser necesario adoptar otras medidas u obtener el consentimiento del afectado. Al hacerlo, las empresas deben documentar los riesgos y mantenerlos lo más bajos posible. Los riesgos evitables, como los identificados por la evaluación de impacto, también deben eliminarse en este caso y los procesos internos de la empresa deben optimizarse de conformidad con el RGPD.

¿Qué debe tenerse en cuenta al realizar una evaluación de impacto?

Una evaluación de impacto da la protección de datos consta de cuatro partes. Si tiene alguna pregunta sin respuesta o necesita asistencia jurídica o técnica, póngase en contacto con nosotros directamente.

Su evaluación de impacto debe incluir los siguientes pasos

1. Descripción de los procesos y fines del tratamiento

Describa el proceso de tratamiento de la forma más exhaustiva posible, detallando cómo funciona y opera el proceso, qué datos se tratan y qué personas físicas o categorías de personas están implicadas. También es importante indicar la base jurídica sobre la que es probable o puede tener lugar el tratamiento.

Además, hay que informar sobre la finalidad del tratamiento: ¿qué se pretende conseguir exactamente con el tratamiento de datos? También deben indicarse aquí las fuentes y los destinatarios de los datos, así como otras empresas implicadas o la cooperación con proveedores de servicios u otros responsables del tratamiento.

2. Necesidad y proporcionalidad

Pregúntese si el tratamiento de datos es necesario en absoluto para cumplir la finalidad perseguida: ¿Es realmente necesario el tratamiento? ¿O el tratamiento es más bien superfluo para sus fines? Siempre debe evitarse el tratamiento superfluo de datos para mantener los riesgos lo más bajos posible.

En un paso posterior, la proporcionalidad debe explicarse por separado y jurídicamente. Esto se hace en varias etapas:

  1.  Idoneidad: En primer lugar, se examina si el procedimiento, en su forma prevista, es adecuado en absoluto para lograr el fin perseguido. Los procedimientos que no son adecuados en su forma no están justificados y pueden tener que ser revisados.
  2.  Necesidad: Aquí se plantea la cuestión de si existen medios más suaves e igualmente adecuados para lograr el objetivo que sean menos gravosos para las personas afectadas, menos intrusivos o menos arriesgados. También pueden mencionarse aquí medidas organizativas como los conceptos de borrado o los plazos, que atenúan la intensidad de la intervención. También en este caso hay que preguntarse si la intervención es necesaria para alcanzar el objetivo.
  3. Adecuación: Si no se dispone de un medio más suave e igualmente adecuado, debe evaluarse la adecuación. En este caso, debe sopesarse si el tratamiento es proporcional a los derechos y libertades de los afectados y si los derechos de los afectados no son tan graves en su conjunto como para que deba abstenerse del tratamiento.
3. El análisis de riesgos

El análisis de riesgos es el núcleo de la evaluación de impacto. En él se presentan e identifican los riesgos reales del tratamiento específico para los afectados. Por lo tanto, tiene sentido trabajar a través de objetivos de garantía definidos para que las operaciones de tratamiento puedan controlarse y analizarse en función de su riesgo:

  • Confidencialidad de los datos: ¿Quién tiene acceso a los datos?
  • Integridad: El contenido de los datos no debe modificarse.
  • Disponibilidad de los datos.
  • Resistencia: ¿son los sistemas técnicos resistentes y seguros?
  • Transparencia: ¿son trazables las operaciones de tratamiento de datos? ¿Quién procesa qué datos y con qué fin? ¿Se ha informado suficientemente a los afectados?
  • Minimización de los datos: ¿es necesario el alcance del tratamiento de datos para alcanzar el fin perseguido?
  • Derechos de los afectados: ¿Están suficientemente garantizados los derechos de los afectados?
  • No vinculación: Los datos no deben vincularse a otros datos ni utilizarse para otros fines.
4. Lista de medidas correctoras

Por último, describa cómo logrará (o le gustaría lograr) los objetivos de garantía. Determine también la probabilidad de que se produzca el daño y su cuantía. Es importante evaluar primero el riesgo para el propio tratamiento de datos, antes de incluir en la evaluación las medidas correctoras adoptadas o previstas para proteger los datos.

Una vez integradas y aplicadas las medidas, se vuelve a evaluar el riesgo restante. A lo largo del proceso deben realizarse evaluaciones periódicas de seguimiento y análisis de riesgos. En consecuencia, revise y mejore los procesos existentes y nuevos de forma permanente y periódica.

También debe planificar de antemano medidas adecuadas para casos de emergencia, es decir, si se producen daños. Forme a sus empleados sobre cómo comportarse en caso de duda para reaccionar rápida y adecuadamente en caso de violación de la protección de datos y para que el daño sea el menor posible.

Conclusión

Lo que a priori parece sencillo puede suponer mucho trabajo en casos concretos. Las evaluaciones de impacto de la protección de datos requieren cierto tiempo, esfuerzo y recursos suficientes para su aplicación conforme a la ley. Tampoco hay que subestimar su aplicación y repetición constantes. Con la plataforma Priverion, tiene a mano una herramienta útil que simplifica estos procesos.

Precisamente porque las evaluaciones de seguimiento son costosas en caso de duda, las empresas deberían abordarlas en una fase temprana. El RGPD obliga a las empresas a aplicar diversas medidas para garantizar la protección de los datos personales y evitar su tratamiento innecesario. 

Click to access the login or register cheese Click to access the login or register cheese Click to access the login or register cheese