Zona Clientes
User
Password
Campus e-Learning
User
Password
  • Zona Clientes
  • Campus E-Learning
Noticias  /  EVALUACIÓN DE IMPACTO DE DATOS PERSONALES

EVALUACIÓN DE IMPACTO DE DATOS PERSONALES

El RGPD establece que en aquellos casos en los que sea probable que las operaciones de tratamiento contengan un alto riesgo para los derechos y libertades de las personas físicas, corresponde al responsable del tratamiento hacer una EVALUACIÓN DE IMPACTO de las operaciones de tratamiento en la protección de datos personales.

16/02/2018

Como hemos visto en PREVENSYSTEM en anteriores POST, Cambios en la Normativa de Protección de Datos I y Cambios en la Normativa de Protección de Datos II, otro GRAN CAMBIO que nos trae el RGPD es el Análisis de Riesgo – Evaluación de Impacto de Protección de Datos.

 

¿Qué es una Evaluación de Impacto de Protección de Datos?

Una Evaluación de Impacto en la Protección de Datos Personales (EIPD) es un análisis de los riesgos que un producto o servicio puede entrañar para la protección de datos de los afectados y, como consecuencia de ese análisis, la gestión de dichos riesgos mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos.

También, podemos definir la EIPD como un proceso donde se lleva a cabo un esfuerzo consciente y sistemático para evaluar el impacto en la protección de datos personales de las opciones que pueden adoptarse en relación con una determinada propuesta o proyecto.

No todas las evaluaciones se harán con la misma intensidad ni con el mismo grado de profundidad. Habrá casos en los que será posible llevarlas a cabo de una manera menos exhaustiva y formalizada (porque los riesgos son escasos o fácilmente mitigables) mientras que en otras situaciones podrían incluso requerirse acciones adicionales (por la complejidad o la importancia de los riesgos existentes).

 

¿Mi empresa necesita una Evaluación de Impacto de Protección de Datos?

Según el Reglamento General de Protección de datos, el responsable del tratamiento debe hacer, antes del tratamiento, una evaluación de impacto relativa a la protección de datos para valorar la particular gravedad y probabilidad del alto riesgo, teniendo en cuenta la naturaleza, ámbito, contexto y fines del tratamiento y los orígenes del riesgo.

Las evaluaciones de impacto están en el ámbito de las medidas o acciones preventivas, puesto que se trata de un proceso de evaluación que se debe hacer antes de iniciar las operaciones de tratamiento de los datos personales; en este sentido, conecta con el concepto de privacidad en el diseño (privacy by design), que en el RGPD se identifica como "protección de datos desde el diseño".

En el artículo 35 del Reglamento Europeo de Protección de Datos se establece que, la evaluación de impacto relativa a la protección de datos, será necesaria en caso de:

 

La AEPD recomienda hacer una EIPD, cuando:

Se modifique la información tratada sobre las personas mediante la recogida de nuevas categorías de datos o se usen con nuevas finalidades o en formas diferentes (sobre todo si son más intrusivos o inesperados para los afectados).

Se traten datos de menores, en particular si tienen menos de catorce años.

Se traten datos que evalúan o predicen aspectos personales de los afectados (elaboración de perfiles).

Se traten grandes volúmenes de datos personales a través de tecnologías como la de datos masivos (Big data), internet de las cosas (Internet of Things) o el desarrollo y la construcción de ciudades inteligentes (smart cities).

Se usan tecnologías que son invasivas con la privacidad como la videovigilancia a gran escala, la utilización de aeronaves no tripuladas (drones), la vigilancia electrónica, la minería de datos, la biometría, las técnicas genéticas, la geolocalización, o la utilización de etiquetas de radiofrecuencia, etc.

Se traten datos de un número elevado de personas o se acumulen gran cantidad de datos de los interesados.

Se cedan o comuniquen los datos personales a terceros y, si se pongan en marcha nuevas iniciativas que supongan compartir datos personales con terceros que antes no tenían acceso.

Se vayan a transferir los datos a países que no forman parte del Espacio Económico Europeo (EEE) y que no hayan sido objeto de una declaración de adecuación por parte de la Comisión Europea o de la AEPD.

Se vayan a utilizar formas de contactar con las personas afectadas consideradas intrusivas.

Se vayan a utilizar datos personales no disociados o no anonimizados de forma irreversible con fines estadísticos, históricos o de investigación científica.

La recogida tenga como finalidad el tratamiento sistemático y masivo de datos especialmente protegidos.

 

¿Qué contenido debe tener la Evaluación de Impacto de Protección de Datos?

OPERACIONES DE TRATAMIENTO PREVISTAS Y DE LOS FINES DE TRATAMIENTO

Se debe realizar una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento.

EVALUACIÓN DE LA NECESIDAD Y LA PROPORCIONALIDAD

Se debe incluir una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.

EVALUACIÓN DE LOS RIESGOS

Se realizará una evaluación de los riesgos para los derechos y libertades de los interesados. Fallos en el consentimiento expreso para datos especialmente protegidos,

MEDIDAS PREVENTIVAS

Se establecerán las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

Desde PREVENSYSTEM, os animamos para que profundicéis en la materia de protección de datos y empecéis a gestionar los datos personales. En nuestra web encontraréis toda la información sobre los productos de formación de LOPD disponibles y también el área de consultoría LOPD.

 

Si crees que tu empresa puede NECESITAR la figura de un DELEGADO DE PROTECCIÓN DE DATOSConsúltanos !!!

Reconocimientos y participación

Top 100.000 EmpresasEmpresa Responsable con el VIH  y el Sida en EspañaWorld Compliance AssociationSTAREGISTERMicrosoftHiscoxEmpresa colaboradora Un Reto Social EmpresarialRecomendados por AEPSALEstrategia de emprendimiento y empleo jovenMiembros firmantes del Pacto de LuxemburgoMiembros de AENOAIntedya
 

Esta web utiliza cookies para obtener datos estadísticos de la navegación de sus usuarios. Si continúas navegando consideramos que aceptas su uso. Más información Aceptar   Rechazar