Evaluación de Impacto en la Privacidad

evaluacion impacto privacidad

Según las recientes Guías publicadas por la Agencia Española de Protección de Datos (AEPD), La Evaluación de Impacto en la Privacidad (“Privacy Impact Assessment”) es una herramienta  que debe realizar el responsable del tratamiento, de forma previa a dicho tratamiento, para poder identificar, evaluar y gestionar los riesgos a los que están sometidos sus actividades de tratamiento con la finalidad de garantizar los derechos y libertades de las personas físicas. Esta evaluación previa, permite establecer las medidas de control adecuadas.

¿Qué elementos debe incluir una Evaluación de impacto en la privacidad?

La evaluación de impacto en la privacidad debe incluir:

  • La descripción de la actividad de tratamiento prevista
  • La evaluación de la necesidad y proporcionalidad del tratamiento respecto a su finalidad.
  • Una correcta evaluación de los riesgos.
  • Las medidas de seguridad para afrontar los riesgos y mecanismos que garanticen la protección de datos personales.

 

Etapas o fases de una Evaluación de Impacto en la privacidad

 

  • Descripción del ciclo de vida de los datos: identificación de los datos tratados, intervinientes, terceros, sistemas implicados y elementos relevantes.
  • Análisis de la necesidad y proporcionalidad del tratamiento que se pretende llevar a cabo.
  • Identificación de amenazas y riesgos en los tratamientos de datos.
  • Evaluación y tratamiento de los riesgos y su probabilidad de que aparezcan.
  • Plan de acción y conclusiones, incluyendo donde se documente el resultado obtenido junto con las medidas de control a implantar para gestionar los riesgos identificados y poder garantizar los derechos y libertades de las personas físicas.

 

¿Quién debe realizarla?

Corresponde al responsable del tratamiento realizar una Evaluación de Impacto en la Privacidad cuando corresponda, ello no obsta a que sea el Delegado de Protección de Datos (DPO), quien le asesore en esta materia, lo que, en palabras de la propia Agencia Española de Protección de Datos (AEPD), supone “un valor añadido en el desarrollo de una Evaluación de Impacto en la Privacidad aportando garantías para los derechos y libertades de los interesados”.

 

Ejemplos de amenazas por la no realización de una adecuada evaluación de impacto en la privacidad:
    • Pérdidas económicas y daños reputacionales derivados del incumplimiento de la legislación sobre protección de datos personales.
    • Pérdida de competitividad del producto o servicio derivada de los daños reputacionales causados por una deficiente gestión de la privacidad.
    • Incorporación tardía de del Delegado de protección de datos (DPO) al proyecto o definición deficiente de sus funciones y competencias.

 

 

José Nogueira

Abogado

Sistemius

Dejar un comentario