Líderes en
soluciones para el CUMPLIMIENTO

EVALUACIÓN DE IMPACTO DE DATOS PERSONALES

16 de Febrero

El RGPD establece que en aquellos casos en los que sea probable que las operaciones de tratamiento contengan un alto riesgo para los derechos y libertades de las personas físicas, corresponde al responsable del tratamiento hacer una EVALUACIÓN DE IMPACTO de las operaciones de tratamiento en la prote... >> Ver Más

 
Zona Clientes
 
User
 
Password
 
Campus e-Learning
 
 
User
 
Password
Noticias PrevenSystem

EVALUACIÓN DE IMPACTO DE DATOS PERSONALES

Como hemos visto en PREVENSYSTEM en anteriores POST, Cambios en la Normativa de Protección de Datos I y Cambios en la Normativa de Protección de Datos II, otro GRAN CAMBIO que nos trae el RGPD es el Análisis de Riesgo – Evaluación de Impacto de Protección de Datos.

 

¿Qué es una Evaluación de Impacto de Protección de Datos?

Una Evaluación de Impacto en la Protección de Datos Personales (EIPD) es un análisis de los riesgos que un producto o servicio puede entrañar para la protección de datos de los afectados y, como consecuencia de ese análisis, la gestión de dichos riesgos mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos.

También, podemos definir la EIPD como un proceso donde se lleva a cabo un esfuerzo consciente y sistemático para evaluar el impacto en la protección de datos personales de las opciones que pueden adoptarse en relación con una determinada propuesta o proyecto.

No todas las evaluaciones se harán con la misma intensidad ni con el mismo grado de profundidad. Habrá casos en los que será posible llevarlas a cabo de una manera menos exhaustiva y formalizada (porque los riesgos son escasos o fácilmente mitigables) mientras que en otras situaciones podrían incluso requerirse acciones adicionales (por la complejidad o la importancia de los riesgos existentes).

 

¿Mi empresa necesita una Evaluación de Impacto de Protección de Datos?

Según el Reglamento General de Protección de datos, el responsable del tratamiento debe hacer, antes del tratamiento, una evaluación de impacto relativa a la protección de datos para valorar la particular gravedad y probabilidad del alto riesgo, teniendo en cuenta la naturaleza, ámbito, contexto y fines del tratamiento y los orígenes del riesgo.

Las evaluaciones de impacto están en el ámbito de las medidas o acciones preventivas, puesto que se trata de un proceso de evaluación que se debe hacer antes de iniciar las operaciones de tratamiento de los datos personales; en este sentido, conecta con el concepto de privacidad en el diseño (privacy by design), que en el RGPD se identifica como "protección de datos desde el diseño".

En el artículo 35 del Reglamento Europeo de Protección de Datos se establece que, la evaluación de impacto relativa a la protección de datos, será necesaria en caso de:

  • Evaluación sistemática y exhaustiva de aspectos personales de personas físicas (elaboración de perfiles)
  • Tratamiento a gran escala de las categorías especiales de datos o de los datos personales relativos a condenas e infracciones penales;
  • Observación sistemática a gran escala de una zona de acceso público.

 

La AEPD recomienda hacer una EIPD, cuando:

Se modifique la información tratada sobre las personas mediante la recogida de nuevas categorías de datos o se usen con nuevas finalidades o en formas diferentes (sobre todo si son más intrusivos o inesperados para los afectados).

Se traten datos de menores, en particular si tienen menos de catorce años.

Se traten datos que evalúan o predicen aspectos personales de los afectados (elaboración de perfiles).

Se traten grandes volúmenes de datos personales a través de tecnologías como la de datos masivos (Big data), internet de las cosas (Internet of Things) o el desarrollo y la construcción de ciudades inteligentes (smart cities).

Se usan tecnologías que son invasivas con la privacidad como la videovigilancia a gran escala, la utilización de aeronaves no tripuladas (drones), la vigilancia electrónica, la minería de datos, la biometría, las técnicas genéticas, la geolocalización, o la utilización de etiquetas de radiofrecuencia, etc.

Se traten datos de un número elevado de personas o se acumulen gran cantidad de datos de los interesados.

Se cedan o comuniquen los datos personales a terceros y, si se pongan en marcha nuevas iniciativas que supongan compartir datos personales con terceros que antes no tenían acceso.

Se vayan a transferir los datos a países que no forman parte del Espacio Económico Europeo (EEE) y que no hayan sido objeto de una declaración de adecuación por parte de la Comisión Europea o de la AEPD.

Se vayan a utilizar formas de contactar con las personas afectadas consideradas intrusivas.

Se vayan a utilizar datos personales no disociados o no anonimizados de forma irreversible con fines estadísticos, históricos o de investigación científica.

La recogida tenga como finalidad el tratamiento sistemático y masivo de datos especialmente protegidos.

 

¿Qué contenido debe tener la Evaluación de Impacto de Protección de Datos?

OPERACIONES DE TRATAMIENTO PREVISTAS Y DE LOS FINES DE TRATAMIENTO

Se debe realizar una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento.

EVALUACIÓN DE LA NECESIDAD Y LA PROPORCIONALIDAD

Se debe incluir una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.

EVALUACIÓN DE LOS RIESGOS

Se realizará una evaluación de los riesgos para los derechos y libertades de los interesados. Fallos en el consentimiento expreso para datos especialmente protegidos,

  • Violaciones de confidencialidad,
  • Falta de diligencia por parte del encargado,
  • Dificultad o imposibilidad del ejercicio de los derechos ARCO, etc.

MEDIDAS PREVENTIVAS

Se establecerán las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

Desde PREVENSYSTEM, os animamos para que profundicéis en la materia de protección de datos y empecéis a gestionar los datos personales. En nuestra web encontraréis toda la información sobre los productos de formación de LOPD disponibles y también el área de consultoría LOPD.

 

Si crees que tu empresa puede NECESITAR la figura de un DELEGADO DE PROTECCIÓN DE DATOSConsúltanos !!!

Solicita más información

En cumplimiento de la normativa de protección de datos, en particular del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, le informamos que los datos personales que usted nos facilita a través del presente formulario, serán utilizados por PS Formación S.L (PREVENSYSTEM), para tramitar su solicitud de información respecto al asunto indicado.

Los datos personales marcados con (*) son imprescindibles para tramitar su solicitud, siendo el resto opcionales, y orientados a mejorar las vías de comunicación con los interesados. PREVENSYSTEM únicamente comunicará sus datos a las oficinas (pertenecientes a su red de oficinas) necesarias o relacionadas con el servicio solicitado, no realizando ninguna otra comunicación, más allá de las obligaciones legales que puedan derivarse del tratamiento. Asimismo, ni PREVENSYSTEM ni las oficinas de su red implicadas, utilizará sus datos con finalidades distintas a las indicadas, salvo autorización expresa y previa del titular de los mismos. Los datos personales serán tratados únicamente durante el tiempo necesario para tramitar su candidatura, tras lo cual se procederá a su supresión. Le informamos sobre la posibilidad de ejercer los derechos de acceso, rectificación, supresión, portabilidad y limitación del tratamiento, en los términos previstos en la ley, que podrá ejercitar dirigiéndose a PS Formación S.L (PREVENSYSTEM), en Calle Antonio Gaudí y Cornet, nº 113 Nave 1 (Esquina Benjamín Franklin) P.I. Roces C.P. 33211 Gijón (Asturias), o a través de la dirección de correo electrónico info@prevensystem.com. Además, en caso de que usted nos autorice expresamente, PREVENSYSTEM podrá utilizar sus datos de contacto para el envío de Newsletter, comunicaciones, notificaciones y, en general, información sobre nuestros productos y servicios que puedan resultar de su interés. Para obtener más información sobre el uso de los datos de carácter personal, así como sobre el cumplimiento de los principios, requisitos y derechos recogidos de la normativa de protección de datos, PREVENSYSTEM pone a disposición de los interesados, a través de su página web, su política de privacidad.

 


Empresa Responsable con el VIH  y el Sida en EspañaWorld Compliance AssociationSTAREGISTERMicrosoftHiscoxEmpresa colaboradora Un Reto Social EmpresarialRecomendados por AEPSALEstrategia de emprendimiento y empleo jovenMiembros firmantes del Pacto de LuxemburgoMiembros de AENOAUniversidad de San JorgeIntedya

Esta web utiliza cookies para obtener datos estadísticos de la navegación de sus usuarios.
Si continúas navegando consideramos que aceptas su uso. Más información X Cerrar