La Evaluación de Impacto en materia de Protección de Datos

evaluacion_pd

Por María González Moreno

La evaluación o análisis de impacto en materia de protección de datos de carácter personal es una obligación que se incluirá en el Reglamento de Protección de Datos Comunitario, que se encuentra actualmente en fase de aprobación, si bien se trata de una práctica que cada día más es implantada en las organizaciones para gestionar la privacidad desde el diseño (Privacy by Design) y al suponer una herramienta más de valoración de los riesgos corporativos.

La evaluación de riesgos en materia de protección de datos o PIAC – Privacy Impact Analysis-  es una obligación que se prevé se incluya en el futuro Reglamento Comunitario de Protección de datos Personales que se encuentra actualmente en tramitación, y que refuerza el principio de Privacy by Design (o privacidad desde el diseño), cuya implantación actual en las entidades se ha convertido en una nueva herramienta para la valoración de los riesgos corporativos.

¿En qué consiste la Privacy Impact Analysis (PIAC) o Evaluación de Impacto en materia de Protección de Datos (EIPD)?

Realizar un Privacy Impact Analysis o Evaluación de Impacto en materia de Protección de Datos no es más que prever desde el diseño de un determinado producto, servicio o sistema de información, y los tratamientos de datos personales que vayan a efectuarse, los impactos y riesgos que los mismos pueden suponer en la privacidad de los interesados. Para ello se trata de realizar un análisis de los riesgos derivados de los citados sistemas de información, productos o servicios en relación con la privacidad de los interesados cuyos datos personales son tratados, y el impacto que dichos tratamientos tienen en relación con el cumplimiento de la normativa sobre protección de datos personales por parte de la entidad así como los riesgos que suponen para esta en términos económicos, reputacionales, etc.

Así entendemos por riesgo, la probabilidad de que ocurra un incidente que cause un impacto con un determinado daño en los sistemas, o dicho de otro modo, la probabilidad de que una amenaza se materialice aprovechando una vulnerabilidad de los sistemas.

La realización de una Evaluación de Impacto en materia de protección de datos cobra especial importancia en los casos en que se prevean la realización de tratamientos de datos personales como;

  • Enriquecimiento de Datos.
  • Tratamiento de datos de menores de edad, sobre todo si estos son menores de 14 años.
  • Tratamiento destinado a la evaluación o predicción de aspectos personales relevantes.
  • Monitorización del comportamiento de las personas, por ejemplo a través del análisis de la navegación por Internet.
  • Cuando se vayan a tomar decisiones que afecten a determinados colectivos y que puedan suponer algún tipo de discriminación.
  • Cuando se vayan a utilizar tecnologías especialmente invasivas con la privacidad; video-vigilancia a gran escala, biometría, técnicas genéticas, RFID …
  • Cuando el tratamiento afecte a un número elevado de personas y/o se produzca una acumulación de gran cantidad de datos.
  • Cuando existen riesgos específicos de seguridad que puedan comprometer la confidencialidad, integridad o disponibilidad.
  • Cuando se vayan a realizar tratamientos de datos personales en los que el responsable deje de tener control sobre ellos, como por ejemplo en la contratación de servicios Cloud.

Igualmente, en el caso de prever la realización de cesiones de datos, comunicaciones a terceros, transferencias internacionales de datos, tratamiento de datos especialmente sensibles, tratamientos con fines estadísticos, históricos o de investigación científica se hace recomendable la ejecución de un Análisis de Impacto.

El alcance y profundidad de las Evaluaciones o Análisis de Impacto realizados variarán en función de las características del proyecto así como del tipo y tamaño de la organización.

En la Evaluación de Impacto deberán abordarse y documentarse al menos los siguientes aspectos:

  1. Resumen del proyecto / tratamiento, y sus características.
  2. Descripción detallada de los aspectos que tengan que ver con; generación de perfiles, tratamiento de datos especialmente protegidos, toma de decisiones o acciones, etc… Es decir, de las acciones que puedan suponer un impacto en la privacidad de los afectados por suponer tratamientos especialmente intrusivos.
  3. Descripción detallada de las categorías de datos personales incluidos en los tratamientos evaluados.
  4. Descripción detallada de quien accederá a cada categoría de datos personales y los motivos y justificaciones para ello.
  5. Diagramas que incluyan los flujos de datos personales.
  6. Información y diagramas adicionales para ilustrar aspectos como el control de acceso o la conservación o destrucción de datos personales objeto de tratamiento.

En las Evaluaciones de Impacto también deberán incluirse consulta a las partes afectadas (personal interno, proveedores, afectados, etc…). Estas consultas pueden efectuarse de diversas formas; entrevistas /reuniones de trabajo, cuestionarios, encuestas, etc…

Como consecuencia de la realización de dicho análisis se ejecutará un plan de gestión de los riesgos identificados a través de la adopción e implantación de las medidas necesarias para mitigar o eliminar el riesgo.

Tanto la Evaluación de Impacto como el Plan de Gestión de riesgos derivado, deberá ser revisado y auditado periódicamente al objeto de analizar su eficacia, la disminución o eliminación del riesgo derivado de la implantación de medidas, así como en su caso, proceder a la reevaluación de impacto y del riesgo y la previsión de medidas adicionales.

La Evaluación de Impacto en la práctica. Fases

La ejecución de una Evaluación de Impacto se llevará a cabo a través de la ejecución de 3 fases: Preparación, Desarrollo y Documentación, a las que habrá que sumar una Revisión y Reevaluación periódica a lo largo de la vida del proyecto.

Durante la Fase de Preparación será evaluada la necesidad de realizar la evaluación de impacto, se recabará la información previa sobre el proyecto, se definirá un grupo de trabajo y la estrategia de ejecución.

En la Fase de Desarrollo, se llevarán a cabo, tras el análisis de información previa, las entrevistas y auditorias de los puntos de control que sean necesarios para llevar a cabo un análisis con la profundidad requerida (que dependerá de la sensibilidad que se haya determinado en el alcance), en la que se evaluarán aspectos claves como:

  1. Legitimación de los tratamientos y cesiones de datos personales. Se deberán analizar los aspectos relativos al consentimiento obtenido y requerido en función de las finalidades de tratamiento y la categoría de datos tratados.
  2. Transferencias Internacionales de Datos. Si en el proyecto se prevé la realización de este tipo de comunicaciones, deberán analizarse la legitimidad de las mismas, los requisitos para su legitimidad, etc.
  3. Transparencia de los tratamientos – Información a los afectados. Un aspecto clave en todo tratamiento de datos personales es la información clara y transparente al afectado acerca de los mismos, dando cumplimiento además a lo establecido en el art. 5 LOPD. En este punto deberá analizarse y evaluarse la información facilitada a los usuarios en la obtención de datos, o la información que habrá de facilitarse si estos datos aún no han sido obtenidos.
  4. Calidad de Datos. En relación con las categorías de datos tratados deberá evaluarse su adecuación al principio de calidad de datos; que los datos obtenidos y tratados no sean excesivos en relación con la finalidad de tratamiento; que los datos son actuales y puestos al día; que se hayan definido plazos de conservación, etc.
  5. Datos especialmente protegidos. Si para el proyecto se prevé la obtención y tratamiento de datos especialmente protegidos deberán evaluarse los requisitos que acrediten su legitimidad, así como las medidas de seguridad que serán requeridas para su protección.
  6. Encargados de tratamiento. Si en el proyecto se prevé la participación de terceras entidades en el tratamiento de los datos personales por cuenta del responsable del fichero deberán regularse convenientemente estas relaciones con los encargados de tratamiento, a través de los correspondientes contratos de prestación de servicios donde se establezcan de forma clara y concreta las instrucciones a seguir por el encargado en el tratamiento de datos personales, las medidas de seguridad a implantar, así como otras cautelas a tener en cuenta.
  7. En función de la tipología de datos tratados, la finalidad del tratamiento, y los sistemas de información, y la determinación del nivel de seguridad (básico, medio y alto) deberán implantarse y evaluarse las medidas de seguridad técnicas y organizativas necesarias para la protección de los datos personales tratados.
  8. Otros aspectos a tener en cuenta; el deber de secreto de todos los intervinientes en el proyecto, la correcta Inscripción de ficheros en la Agencia Española de Protección de Datos y la adopción de procedimientos específicos para la atención de los Derechos ARCO.

Dentro de la fase de desarrollo también, y en el caso de estimarse conveniente, se llevará a cabo la consulta a las partes afectados por el proyecto. Las consultas se extenderán tanto al personal de la organización implicado en el desarrollo del proyecto, como a los terceros afectados por el tratamiento y que puedan tener un impacto en su privacidad. La realización de estas consultas, sobre todo a los titulares de los datos, deberá ser realizada por la entidad llevando a cabo de forma previa una estrategia de comunicación que permita la obtención de los resultados obtenidos por la organización.

Evaluados los aspectos relativos al cumplimiento normativo, determinados y analizados los riesgos del proyecto, se desarrollará un Plan de Gestión de Riesgos Identificados donde se establecerán las acciones a ejecutar en función de si el riesgo quiere ser evitado, eliminado, mitigado (siempre en el caso de que el riesgo suponga un incumplimiento normativo), o cuando el mismo quiera ser transferido o aceptado.

Por último y durante la Fase de Documentación, se desarrollarán los documentos requeridos para garantizar que la evaluación de impacto ejecutada que no sólo permitirá su conocimiento en el momento determinado de su ejecución, sino que permitirá también su reevaluación periódica.

Como ya comentamos, en la Evaluación de Impacto deberán documentarse, por tanto, al menos los siguientes aspectos, en base a las informaciones, datos y riesgos analizados durante las fases precedentes:

  1. Descripción detallada de los aspectos que tengan que ver con; generación de perfiles, tratamiento de datos especialmente protegidos, toma de decisiones o acciones, etc… Es decir, de las acciones que puedan suponer un impacto en la privacidad de los afectados por suponer tratamientos especialmente intrusivos.
  2. Descripción detallada de las categorías de datos personales incluidos en los tratamientos evaluados.
  3. Descripción detallada de quien accederá a cada categoría de datos personales y los motivos y justificaciones para ello.
  4. Diagramas que incluyan los flujos de datos personales.
  5. Información y diagramas adicionales para ilustrar aspectos como el control de acceso o la conservación o destrucción de datos personales objeto de tratamiento.

Elaborado el Plan de Evaluación de Impacto, ¿qué debemos hacer?

Siguiendo lo establecido en la Evaluación de Impacto y el Plan de Gestión de Riesgos, la entidad deberá proceder a la Implantación de las Recomendaciones en función de la prioridad que se haya establecido que vendrá determinada por el riesgo identificado. Las recomendaciones podrán consistir en la ejecución de medidas o acciones y la implantación de sistemas, pudiendo ser éstas de carácter tecnológico, organizativas, contractuales, etc.

Por último, es de vital importancia, siguiendo el ciclo de mejora continua que se exige en el abordaje de sistemas gestión de seguridad y cumplimiento normativo, la Reevaluación y Revisión periódica tanto de la Evaluación de Impacto como del Plan de Gestión de Riesgos durante toda la vida del proyecto.

Recursos:

Guía para una Evaluación del Impacto en la Protección de Datos Personales, disponible a través del siguiente enlace

(http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Guia_EIPD.pdf .

Artículos originalmente publicados en Microsoft Pymes y Autónomos http://sppilotco1.microsoft.com/business/es-es/Content/Paginas/article.aspx?cbcid=650 y http://sppilotco1.microsoft.com/business/es-es/Content/Paginas/article.aspx?cbcid=653