Coincidiendo con el día de la Protección de Datos, que se celebra desde 2006 en conmemoración del aniversario de la firma del Convenio 108, resulta relevante estudiar la importancia de los Privacy Impact Assessment (PIAs, por sus siglas en inglés), establecidos en el artículo 35 del Reglamento General de Protección de Datos (RGPD).
Según la guía para la evaluación de impacto en la protección de los datos personales de la Agencia Española de Protección de Datos, los PIA, en esencia son el “ejercicio de análisis de los riesgos que un determinado sistema de información, producto o servicio puede entrañar para el derecho fundamental a la protección de datos de los afectados, con el fin de afrontar la gestión eficaz de medidas necesarias para eliminarlos o mitigarlos”.
Dada la aplicación el próximo mes de mayo del RGPD, en los últimos meses ha aumentado la preocupación de las compañías y su deseo por conocer cuáles son las medidas de seguridad y posibles desarrollos tecnológicos que deberían ir implementándose. No existe una respuesta concreta a estas preocupaciones. No obstante, las recomendaciones a tener en cuenta serían las siguientes:
– Haber realizado el registro de actividades de tratamiento (Artículo 30 RGPD) para tener documentadas todas las actividades efectuadas bajo la responsabilidad de cada empresa.
– Realizar el análisis de riesgos para el interesado de cada una de las actividades de tratamiento contempladas en el registro de actividades, con el objetivo de identificar qué operaciones podrían conllevar la ejecución de un PIA. Además de la guía de protección de datos de la AGPD mencionada anteriormente, existen otros documentos que podrían ser de ayuda para el análisis de estos riesgos, como por ejemplo: la ISO/IEC – FDIS 29134 – Information technology — Security techniques — Guidelines for privacy impact assessment, la Guía sobre la Avaluació d’impacte relativa a la protecció de dades” Autoritat Catalana de Protecció de Dades de la Autoridad Catalana de Protección de Datos y el WP148 sobre las Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento “entraña probablemente un alto riesgo” atendiendo al Reglamento (UE) 2016/679 del Grupo de Trabajo del Artículo 29.
Basándonos en esta última guía, un responsable del tratamiento podría considerar que un tratamiento que cumpla dos de los siguientes nueve criterios requeriría la realización de un PIA:
– Evaluación o puntuación, incluida la elaboración de perfiles y la predicción;
– Toma de decisiones automatizada con efecto jurídico significativo o similar;
– Observación sistemática;
– Datos sensibles o datos muy personales;
– Tratamiento de datos a gran escala;
– Asociación o combinación de conjuntos de datos;
– Datos relativos a interesados vulnerables;
– Uso innovador o aplicación de nuevas soluciones tecnológicas u organizativas;
– Cuando el propio tratamiento «impida a los interesados ejercer un derecho o utilizar un servicio o ejecutar un contrato»).
En concreto, cuantos más supuestos cumpla el tratamiento, más probable será que represente un alto riesgo para los derechos y libertades de los interesados y, por tanto, requiera un PIA independientemente de las medidas que el responsable contemple adoptar.
– Identificadas todas las actividades que entrañan un alto riesgo para el interesado, sería hora de realizar el PIA para cada una de ellas. Es importante destacar que el RGPD no especifica qué proceso debe seguirse para ejecutar esta evalución. No obstante, sí deben tenerse en cuenta ciertos criterios para que éste sea aceptable. Entre los que destacan:
– Cumplimentación de la Información General del Tratamiento a estudiar y su descripción general.
– Recogida de la información sobre los interesados, los datos obtenidos y el periodo de retención.
– Información sobre las características técnicas: sistemas o aplicaciones que estén involucrados en la actividad de tratamiento.
– Personal con acceso a los datos y destinatarios de transferencias de datos personales.
– Evaluación de amenazas y definición de medidas identificadas de modo que se considere:
Respeto de los principios fundamentales relativos al tratamiento.
Riesgos de los documentos en papel.
Riesgos en los sistemas, diferenciando por ejemplo 6 tipos: HW/Equipamientos TI; Instalaciones; Proveedores; Comunicaciones; Operación.
Para cada uno de los tres puntos anteriores (principios fundamentales, papel y sistemas) se debería hacer también una valoración del impacto de las amenazas en función de la privacidad.
-Valorar el estado de madurez de los controles implementados para mitigar los riesgos.
– Establecer un umbral de riesgo por parte de la Compañía.
-Proponer medidas mitigantes sobre los riesgos identificados.
– Proposición y documentación de posibles planes de acción para establecer posibles nuevas medidas que mitiguen los riesgos residuales detectados conforme al umbral aceptable por la compañía.
– Evaluación del PIA y resultados.
Hasta que no se lleven a cabo estas actividades, no se debería poder determinar qué medidas adicionales se deben implementar o en qué desarrollos tecnológicos se debe invertir. Es decir, para poder llegar a mayo con los deberes hechos, es recomendable tener en cuenta lo más pronto posible los pasos analizados anteriormente. La documentación es clave para garantizar que se están dando los pasos necesarios hacia la adecuación al RGPD.
Buen artículo, recoge los puntos principales para confeccionar un PIA.
Gracias¡¡¡