Evaluación del impacto de la protección de datos según el RGPD

Con la entrada en vigor del RGPD, se han producido muchos cambios significativos en la protección de datos para las empresas. Entre ellos se encuentra también el instrumento de la evaluación de impacto de la protección de datos (EIPD).

Las evaluaciones de impacto de la protección de datos tienen por objeto identificar y evaluar los riesgos de las operaciones de tratamiento de datos críticas para adoptar las medidas adecuadas para minimizarlos. Para los responsables del tratamiento, existe la obligación de realizar y documentar una evaluación de impacto antes de iniciar nuevos procesos de tratamiento de datos en la empresa.

Una buena estrategia de evaluación del impacto de la protección de datos es rentable en varios aspectos. Pero, ¿qué deben tener en cuenta las empresas? ¿Y cuál es la mejor manera de establecer dicha EIPD e integrarla de forma sostenible en los procesos de la empresa? Descubra más en este artículo.

Resumen de los hechos más importantes

• Desde mayo de 2018, la evaluación de impacto de la protección de datos ha sido obligatoria para la mayoría de las autoridades públicas y empresas privadas que recogen, tratan y utilizan categorías especiales de datos personales.
• Se debe realizar una evaluación de impacto de la protección de datos siempre que las operaciones de tratamiento supongan un alto riesgo para los derechos y libertades de los afectados.
• La evaluación de impacto proporciona una valoración previa sistemática de los riesgos y fuentes de error de las operaciones de tratamiento de datos.
• Además, las evaluaciones de impacto de la protección de datos también pretenden desarrollar e integrar estrategias que previenen los riesgos en la operación específica de procesamiento.

¿En qué consiste la evaluación de impacto de la protección de datos del RGPD?

Los requisitos legales obligan a las empresas a realizar una descripción detallada y evaluación exhaustiva de los riesgos existentes para la protección de datos en operaciones específicas de tratamiento de datos (la llamada evaluación de impacto de la protección de datos). Esta evaluación de impacto no es nueva, sino que sustituye a la auditoría previa que -según el país- debía realizarse antes de introducir el RGPD para prevenir los riesgos de protección de datos.

En la evaluación de impacto, los delegados de la protección de datos y los responsables de los procesos examinan los riesgos asociados a la realización de determinadas actividades de tratamiento de datos. Hay que prestar especial atención a los riesgos para los derechos y libertades de los afectados. El objetivo es analizar y evaluar los riesgos encontrados. En el siguiente paso, se pueden eliminar los riesgos elevados y optimizar los procesos.

Si la eliminación no es posible, todos los riesgos deben ser al menos minimizados y controlados. Por lo tanto, las empresas deben tomar las medidas adecuadas (TOM) en una fase temprana para contener los riesgos identificados y adaptar los procesos en consecuencia. 

Este análisis de riesgo optimizado y estructurado debe tener como mínimo los siguientes contenidos:

1. la precisa descripción de las operaciones de tratamiento previstas y de las respectivas finalidades del tratamiento, así como de los intereses legítimos de la empresa en los procesos,
2. evaluar la necesidad sino también daños para su relación con la finalidad,
3. evaluación de los riesgos para las libertades y derechos de los afectados,
4. Establecer medidas adecuadas de mitigación de riesgos, salvaguardias y procedimientos de emergencia.

Este procedimiento tiene lugar en un proceso de consulta en el que se escucha a los stakeholder en el contexto de la tramitación. Este procedimiento debe seguirse para cada evaluación de impacto de la protección de datos. Al hacerlo, las empresas deben garantizar una documentación adecuada, ya que ésta no sólo sirve para sus propias obligaciones de rendición de cuentas o para instruir a los empleados, sino que también funciona como prueba de la evaluación de impacto correctamente realizada para las autoridades de supervisión competentes.

Es bueno saberlo: Si no se puede presentar una evaluación de impacto que se ajuste a la ley, se corre el riesgo de imponer graves multas. Por lo tanto, sea concienzudo a la hora de documentar la evaluación de impacto para evitar sanciones.

En la Plataforma Priverion, puede realizar fácilmente evaluaciones de impacto utilizando plantillas y documentarlas claramente. De este modo, podrá determinar rápidamente qué procesos presentan un mayor riesgo y poner en marcha las medidas adecuadas.

¿Por qué es necesaria una evaluación de impacto de la protección de datos?

El Reglamento General de Protección de Datos (RGPD) toma un enfoque basado en el riesgo. Esto significa que toda operación que implique datos personales se revisan por su riesgo. En este contexto, sólo los procesos que suponen un riesgo son objeto de regulación. La evaluación del impacto de la protección de datos es también un análisis de riesgos.

La finalidad de una evaluación de impacto se explica en el RGPD (Considerando 84) de la siguiente manera:

Como todas las herramientas del RGPD, el objetivo de la evaluación de impacto es proteger los datos personales de las personas y, en particular, de sus derechos y libertades. Al tratar categorías especiales de datos personales, todos los Estados miembros de la UE deben cumplir la legislación europea.

Al punto: como un análisis de riesgo interno de la empresa, una evaluación de impacto pretende garantizar que las operaciones de tratamiento con un alto riesgo para los afectados se identifiquen, se controlen, se mejoren y se minimicen los riesgos.

¿Qué ocurre si falta una evaluación de impacto o se realiza incorrectamente?

La no realización o la incorrecta tramitación de la evaluación de impacto constituye una violación de la ley y puede llevar a fuertes multas. Por ello, las empresas deben integrar en sus procesos una buena evaluación de impacto. 

En primer lugar, hay que comprobar si existe una obligación de llevar a cabo una evaluación de impacto. En este caso, el RGPD enumera muchos casos de ejemplo, pero la enumeración legal no es exhaustiva. Usted está obligado a utilizar sus propias normas al evaluar las situaciones individuales. Puede leer más sobre esto a continuación.

En caso de duda, una autoridad de control competente puede imponer multas si, a pesar de la obligación, no se han realizado evaluaciones de impacto o éstas son inadecuadas. Las evaluaciones de impacto inexistentes o insuficientes pueden ser sancionadas con una multa de hasta 10 millones de euros o 2% de los ingresos globales anuales generados en el ejercicio anterior.

Además, puede surgir la obligación de pagar daños y perjuicios a los afectados si sus datos no se han protegido adecuadamente. En este sentido, las empresas pueden aprovechar las ventajas de una sólida evaluación de impacto de la protección de datos, ya que, además de los riesgos para los afectados, un análisis de riesgos también puede revelar otros errores, fallos e ineficiencias en los procesos individuales.

Al punto: El tema de la evaluación de impacto de la protección de datos debe tomarse en serio, no sólo para evitar multas. Este tipo de prevención también ayuda a revisar y mejorar sus procesos y medidas de cumplimiento.

¿Quién debe realizar una evaluación de impacto de la protección de datos?

No todas las empresas tienen que realizar evaluaciones de impacto de la protección de datos. El RGPD enumera ejemplos específicos de casos en los que deben realizarse controles previos. Las principales entidades públicas y no públicas que deben trabajar en las evaluaciones de impacto de la protección de datos son las siguientes:

• Empresas y autoridades que trabajan con procedimientos de puntuación o llevan a cabo procedimientos similares a efectos de elaboración de perfiles,
• Aquellos que tratan y almacenan datos personales de categorías especiales a una escala significativa (como datos de salud o datos relacionados con delitos o condenas),
• Empresas y autoridades que vigilan sistemática y extensamente los espacios de acceso público (especialmente en el caso de la videovigilancia).

Las empresas mencionadas anteriormente están obligadas a evaluar si es necesario realizar una evaluación de impacto de la protección de datos antes de realizar cualquier cambio en un proceso. Lo ideal es que no sean los delegados de protección de datos que lo hacen, sino empleados especialmente formados para ello. En un segundo paso, los delegados internos o externos de la protección de datos pueden comprobar además las evaluaciones de impacto realizadas.

¿Cuándo hay que realizar una evaluación de impacto?

Existe la obligación de realizar una evaluación de impacto siempre que exista un riesgo elevado para los afectados (art. 35 del RGPD). En este contexto, riesgo significa cualquier riesgo de carácter económico o social. La cuestión es que los datos de los afectados están en peligro.

La existencia de este riesgo elevado es, en muchos casos, una cuestión de interpretación. Aunque el RGPD da ejemplos de cuándo debe asumirse un alto riesgo, esto no cubre todos los procesos y operaciones. Por tanto, corresponde a las empresas evaluar primero de forma independiente si existe un riesgo y, por lo tanto, si la obligación de realizar una evaluación de impacto es pertinente.

Atención: La evaluación independiente es plenamente revisable por los tribunales, y las responsables autoridades de supervisión también tienen acceso a estas evaluaciones. Por lo tanto, las empresas deben proceder a conciencia con las previsiones de riesgo o consultar a un experto legal en protección de datos. Estaremos encantados de apoyarle en este proceso.

Protección de datos: ¿Cuándo hay un alto riesgo?

Los procesos de alto riesgo incluyen, entre otros, la evaluación de aspectos personales de las personas físicas, como la elaboración de perfiles, especialmente cuando se procesan por medios automatizados. El tratamiento extensivo de datos personales sensibles de determinadas categorías (por ejemplo, datos sanitarios) también está sujeto a un alto riesgo. También se incluye un control sistemático y exhaustivo de las zonas de acceso público.

Además de estos ejemplos del RGPD, existen otras opciones de orientación para las empresas sobre qué operaciones requieren una evaluación de consecuencias. Para ello, las autoridades de control competentes elaboran periódicamente una lista de actividades de tratamiento que requieren una evaluación de impacto sobre la protección de datos. En ella se puede encontrar, por ejemplo:

• Tratamiento de datos sujetos a secreto social, profesional u oficial .
• Procesamiento de datos biométricos o genéticos.
• Tratamiento automatizado de datos mediante inteligencia artificial o algoritmos.
• Tratamiento de datos que implican perfil, puntuación, evaluación de la personalidad o análisis del comportamiento de los empleados.
• En la agregación de grandes cantidades de datos.

Es bueno saberlo: Algunas autoridades de supervisión alemanas también publican listas que incluyen operaciones de tratamiento que explícitamente no requiere una evaluación de impacto. No dude en ponerse en contacto con la autoridad supervisora responsable de usted para obtener más información si es necesario.

Si no está seguro de la necesidad de una evaluación de impacto, debe consultar con un delegado de la protección de datos. Basándose en su profunda experiencia, podrán valorar hasta qué punto es necesaria una evaluación de impacto en su caso.

Atención: La información proporcionada por un delegado de la protección de datos no exime a las empresas de la responsabilidad por errores en la protección de datos.

Una evaluación de impacto no significa automáticamente que el tratamiento sea justificado. Dependiendo del tratamiento y del tipo de datos, puede ser necesario adoptar otras medidas o obtener el consentimiento del afectado. No obstante, las empresas deben documentar los riesgos y mantenerlos lo más bajos posible. Los riesgos evitables identificados por la evaluación de impacto también deben ser eliminados en este caso y los procesos internos de la empresa optimizados en línea con el RGPD.

¿Qué hay que tener en cuenta al realizar una evaluación de impacto?

Una evaluación de impacto de la protección de datos se compone de cuatro partes. Si tiene alguna pregunta sin respuesta al realizarla o necesita apoyo jurídico o técnico, no dude en ponerse en contacto con nosotros directamente.

Su evaluación de impacto debe incluir los siguientes pasos:

1. Describir los procesos de tratamiento y los fines

Describa el proceso de tratamiento de la forma más exhaustiva posible y que describa con precisión cómo funciona y se desarrolla el proceso, qué datos se tratan y a qué personas físicas o grupos de personas afecta. También es importante señalar la base jurídica sobre la que es probable o puede tener lugar este tratamiento.

Además, hay información sobre la finalidad del tratamiento: ¿Qué se pretende exactamente con el tratamiento de datos? Las fuentes de datos, los destinatarios de los datos y otras empresas implicadas o la cooperación con proveedores de servicios u otros controladores de datos también deben figurar aquí.

2. Necesidad y proporcionalidad

Pregúntese si el procesamiento de datos es de necesario para cumplir el objetivo: ¿El procedimiento lo necesita realmente? ¿O el tratamiento no es adecuado para sus objetivos? Hay que evitar siempre el tratamiento superfluo de datos para mantener los riesgos lo más bajos posible.

En un paso más, la proporcionalidad debe presentarse por separado y de forma jurídicamente sólida. Esto se hace en varias etapas:

1.  idoneidad: primero hay que estudiar si el procedimiento en su forma es adecuado para lograr el objetivo previsto. Los procesos que no son adecuados en su forma no están justificados y pueden tener que ser revisados.
2.  necesidad: La cuestión aquí es si existen opciones más suaves, igualmente adecuadas para lograr el propósito, que sean menos gravosas para las personas afectadas, menos intrusivas o menos arriesgadas. También se pueden mencionar aquí medidas organizativas como los conceptos de borrado o los límites de tiempo, que mitigan la intensidad de la intervención. También en este caso hay que preguntarse si la intervención es necesaria para lograr el objetivo.
3. adecuación: Si no se dispone de opciones más suaves e igualmente adecuadas, debe evaluarse la conveniencia. Aquí hay que sopesar si el tratamiento es proporcional a los derechos y libertades de los afectados y si los derechos de los afectados no son tan graves en su conjunto como para abstenerse del tratamiento.

3. El análisis de riesgos

El análisis de riesgos es el núcleo de la evaluación de impacto. Se ilustran e identifican los riesgos reales del tratamiento específico para los afectados. Por lo tanto, tiene sentido trabajar a través de una definición de objetivos de garantía para poder controlar y analizar el riesgo de las operaciones de tratamiento:

• La confidencialidad de los datos: ¿Quién tiene acceso a los datos?
• Integridad: El contenido de los datos no debe modificarse.
• Disponibilidad de datos
• Resiliencia: ¿son los sistemas técnicos resistentes y seguros?
• Transparencia: ¿son rastreables las operaciones de tratamiento de datos? ¿Quién trata qué datos y con qué finalidad? ¿Se ha informado suficientemente a los afectados?
• Minimización de datos: ¿Es necesario el alcance del tratamiento de datos para lograr la finalidad?
• Derechos del afectado: ¿Están suficientemente garantizados los derechos de los afectados?
• No hay enlace: los datos no deben estar vinculados a otros datos y no deben utilizarse para otros fines

4. Establecimiento de medidas correctoras

Por último, describa cómo (le gustaría) lograr los objetivos de garantía. Además, determine la probabilidad de ocurrencia del daño y su cantidad. El riesgo para el propio tratamiento de los datos debe evaluarse primero antes de incluir en la evaluación las medidas correctoras adoptadas o previstas para proteger los datos.

Una vez integradas y aplicadas las medidas, se realiza una nueva evaluación del riesgo restante. A lo largo del proceso deben realizarse evaluaciones periódicas de seguimiento y análisis de riesgos. En consecuencia, revise y mejore los procesos existentes y nuevos de forma permanente y periódica.

También hay que planificar de antemano las medidas adecuadas para las emergencias, es decir, si se producen daños. Forme a sus empleados sobre cómo actuar en caso de duda para reaccionar rápida y adecuadamente en caso de violación de la protección de datos y para que el daño sea el menor posible.

Conclusión

Lo que a priori parece sencillo puede suponer mucho trabajo en casos concretos. Las evaluaciones de impacto de la protección de datos exigen una cierta cantidad de tiempo, esfuerzo y recursos suficientes para cumplir la ley. Además, no hay que subestimar su aplicación y repetición constantes. Con la plataforma Priverion, dispone de una herramienta útil que simplifica estos procesos.

Precisamente porque las evaluaciones de impacto llevan mucho tiempo, las empresas deben ocuparse de ellas en una fase temprana. El RGPD obliga a las empresas a aplicar diversas medidas para proteger los datos personales y evitar su tratamiento innecesario. 

¿Necesita apoyo o tiene preguntas sobre el tema? Nuestro equipo está formado por expertos en derecho de la protección de datos, informática y seguridad. Estaremos encantados de apoyarle en la aplicación de la normativa de protección de datos. Póngase en contacto con nosotros directamente para una consulta inicial consulta inicial