¿Cómo realizar la evaluación de impacto? + 4 herramientas para automatizar la EIPD

EIPD-RGPD

La EIPD o evaluación de impacto es una de las novedades del RGPD. ¿Has identificado un riesgo en la protección de datos de tu empresa? Descubre lo que tienes qué hacer para cada uno de los tratamientos afectados.

La evaluación de impacto, también conocida como PIA - Privacy Impact Assessment - en inglés, consiste en realizar un estudio completo con el objetivo de evaluar el impacto de uno o varios tratamientos de datos en la vida privada.

Conoce los conceptos claves para la conformidad RGPD y descubre las mejores soluciones para estar en regla.

La mejor selección de software para tu negocio

Asana

Asana
Gestión del trabajo, proyectos y tareas
Ir a Asana
Ver este software

Expensya

Expensya
¡La gestión de gastos de empresa del mañana, desde hoy!
30 días de prueba gratuita
Ver este software

BIC Cloud

BIC Cloud
Software para la gestión de procesos de negocio (BPM) y GRC
Visita el sitio web
Ver este software

¿Qué es una EIPD?

La EIPD o evaluación de impacto sobre la protección de datos es una de las disposiciones del nuevo marco de referencia para la protección de datos en Europa o RGPD (Reglamento Europeo de Protección de Datos). 

La EIPD debe describir el tratamiento y su finalidad, estimar la validez del tratamiento según la finalidad, identificar los riesgos y detallar las acciones para la gestión de los mismos. 

"La realización de un análisis de impacto es altamente recomendada por las autoridades y debe iniciarse antes de poner en marcha el tratamiento de los datos". 

No obstante, la EIPD debe ser mantenida y actualizada durante todo el ciclo de vida del tratamiento. 

¿Por qué realizar una evaluación de impacto?

Un análisis de impacto es la mejor manera de verificar y comprobar la conformidad de un tratamiento y de prevenir un riesgo relacionado con la pérdida o exposición de los datos tratados. 

La realización de una EIPD permite a los responsables del tratamiento de los datos:

  • Determinar la causa de un riesgo y estimar las posibilidades de que se concretice;

  • Mejorar el tratamiento de datos para que se respeten los derechos de las personas;

  • Reunir las condiciones técnicas y organizacionales necesarias para el respeto del reglamento;

  • Probar la gestión de riesgos ante las autoridades.

Si bien la evaluación de impacto RGPD es recomendada para todas las empresas que colecten y gestionen datos, en muchos casos la EIPD es obligatoria y el incumplimiento de dicha disposición supone una infracción de carácter grave. 

Artículo 35 RGPD: ¿en qué caso es obligatoria la evaluación de impacto?

"Establece que ante la probabilidad de que un tratamiento “entrañe un alto riesgo para los derechos y libertades de las personas físicas” será necesario llevar a cabo una EIPD antes de la puesta en marcha del tratamiento. Esta obligación está alineada con el principio de privacidad que tiene como objetivo analizar un tratamiento desde su fase de diseño y garantizar una adecuada gestión de los riesgos, además de cumplir con los principios de necesidad y proporcionalidad". 

apartado 3º del artículo 35: tratamientos susceptibles de entrañar un alto riesgo

Elaboración automatizada de perfiles

a) "evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar";

Tratamiento a gran escala

b) "tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10",

Se refiere al tratamiento de datos sensibles (datos genéticos, datos relativos a la salud, datos de origen étnico y racial, datos personales relativos a condenas e infracciones penales, etc.).

Uso de tecnologías invasivas

c) "observación sistemática a gran escala de una zona de acceso público".

Videovigilancia, drones, datos biométricos.

Otros tratamientos que requieren una EIPD

  • Datos de menores de catorce años;

  • Transferencias de datos, sobre todo si se trata de una transferencia internacional a un país que no forme parte del Espacio Económico Europeo;

  • Datos personales no disociados o no anonimizados;

  • Cualquier tratamiento que incluya la colecta de datos altamente sensibles;

  • Cualquier tratamiento que incluya una colecta significativa de datos;

  • Cruce de datos, modificación de la información tratada o de la finalidad del tratamiento;

  • Tratamiento de personas vulnerables (pacientes, ancianos, niños, etc.).

Ejemplo de tratamiento que requiere una EIPD

Una empresa pone en marcha un tratamiento publicitario con el objetivo de recolectar los datos de geolocalización de millones de individuos para crear perfiles publicitarios y mostrarles publicidad personalizada en función de su posición geográfica. Este tratamiento entra en la categoría de tratamientos a gran escala y de datos sensibles (geolocalización). La realización de una evaluación de impacto sobre la protección de datos es necesaria. 

¿Quienes intervienen en la realización de la EIPD?

El responsable del tratamiento es quien tiene la obligación de asegurar el cumplimiento del RGPD.

Si un DPO (Delegado de Protección de Datos) ha sido designado, este debe aconsejar al responsable del tratamiento y verificar la ejecución de la evaluación de impacto.

Si una subcontratista interviene en el tratamiento, debe proporcionar su ayuda así como las informaciones necesarias para la realización de la EIPD. 

¿Hacer o no hacer la EIPD? →  La respuesta en el Análisis de Riesgos 

¿Aún no te quedado claro si alguna de las operaciones de tu empresa requiere de una evaluación de impacto? ¡No hay problema! Una vez que hayas realizado el análisis de riesgos RGPD no te quedará ninguna duda. 

Si no sabes qué es un análisis de riesgos o como ejecutarlo, puedes echar un vistazo a nuestro artículo análisis de riesgos RGPD.

El objetivo de este ejercicio, de carácter obligatorio, es determinar la existencia de circunstancias que requieran posteriormente de una EIPD. 

Contenido de la evaluación de impacto RGPD

La guía EIPD de la Agencia Española para Protección de Datos nos muestra con detalles la metodología a seguir para elaborar una EIPD conforme a los requerimientos del RGPD. 

Evaluación-de-impacto-RGPD
Media Folder: 

La evaluación se divide en 3 etapas principales: 

  • Descripción (desde la captura hasta la destrucción de los datos) y contexto del tratamiento (licitud, necesidad y proporcionalidad);

  • Identificación, valoración y gestión de riesgos; 

  • Conclusión (plan de acción) y validación (conclusión favorable o no favorable).

Asimismo, la AEPD recomienda que el plan de acción incluya: 

  • descripción de las medidas de control,

  • responsable de implantación,

  • plazo de implantación.

También se debe señalar si la EIPD se ha realizado sobre un nuevo tratamiento o sobre un tratamiento ya existente. 

  1. En el 1.º caso, el plan de acción se aplicará antes de iniciar el tratamiento, este principio se conoce como protección de datos desde el diseño.

  2. En el 2.º caso, el responsable del tratamiento debe establecer un un plazo para ejecutar el plan de acción sobre el tratamiento en curso. Si este tiempo no es respetado y el riesgo no es aceptable, el responsable puede, y debe, solicitar que el tratamiento sea interrumpido. 

Artículo 36 RGPD: ¿consulta a la AEPD? 

“El responsable consultará a la Autoridad de Control antes de proceder al tratamiento cuando una evaluación de impacto relativa a la protección de los datos en virtud del artículo 35 muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para para mitigarlo”

Si la conclusión de la EIPD incluye un alto riesgo, el encargado de tratamiento puede recurrir a medidas de control adicionales para disminuir el riesgo hasta un nivel aceptable. Sin embargo, si no fuese posible disminuir el riesgo, el tratamiento no podría ser efectuado y el responsable del tratamiento estará en la obligación de consultar a la Autoridad de Control. 

En el mejor de los casos, la Autoridad de Control definirá las condiciones y medidas de control para que se pueda realizar el tratamiento. No obstante, si fuese el caso, la Autoridad de Control también puede indicar que en ningún caso se podrá llevar a cabo el tratamiento.

La evaluación del impacto en la protección de datos es un proceso minucioso, completo y exhaustivo en el cual se evalúan todos los aspectos del tratamiento: de principio a fin tomando en cuenta todas las variables. Afortunadamente, hoy en día existen herramientas de alto rendimiento para automatizar y optimizar procesos empresariales y obligaciones legales. 

4 soluciones para optimizar y automatizar la EIPD

Smart GDPR

La solución en línea (SaaS) Smart GDPR responde a todas las exigencias del reglamento europeo. 

30 años de experiencia en materia de protección de datos, de seguridad de la información y de respeto de la vida privada respaldan la legitimidad de Smart GDPR como una de las mejores soluciones RGPD.

Smart GDPR reúne todos los recursos necesarios para el cumplimiento del RGPD ¡en una sola plataforma!

Evaluación-de-impacto-EIPD
Media Folder: 

¿Cómo hacer una evaluación de impacto con Smart GDPR?

Smart GDPR ofrece un módulo que facilita la EIPD. El módulo uno está completamente dedicado a:

  • auditorías, 

  • análisis de riesgos, 

  • evaluación de impactos (PIA), 

  • planes de acción semiautomatizados,

  • gestión de proyectos. 

El módulo cuenta con 1460 puntos de control de tratamientos ejecutados por un algoritmo. Por consiguiente, el ahorro de tiempo es considerable y los resultados son precisos. Smart GDPR realiza en una hora lo que normalmente tomaría unas cinco. 

El plan de acción es generado automáticamente (en función de las respuestas) acompañado de una lista detallada con las medidas de control a instaurar. 

A cada respuesta se le asigna una puntuación automática. En caso de una puntuación inferior a la media, la respuesta debe ser sistemáticamente examinada por el responsable del tratamiento o el por DPO. También puedes señalar si deseas examinar todas las respuestas.

El + de Smart GDPR: cubre un riesgo financiero de hasta 90 millones de euros en caso de algún fallo de su parte. 

NCS Datos

NCS Datos es un software RGPD online para asesorías. Esta herramienta facilita obligaciones del RGPD como el análisis de riesgos y la evaluación de impacto. Además, incluye una formación para la obtención del Certificado de competencias académicas sobre "El delegado de protección de datos en el RGPD" reconocida y acreditada por las referencias en educación (ENAC) y RGPD (AEPD) en España. 

NCS-software
Media Folder: 

NCS Datos tiene la opción de evaluación de impacto. Esta funcionalidad permite realizar la EIPD y llevar un seguimiento de las medidas de seguridad adoptadas para la prevención de riesgos. 
 
¿Cómo te ayuda NCS Datos con la evaluación de impacto?

  • Control de las valoraciones de manera automática y continua,

  • Seguimiento gráfico e intuitivo de los niveles de riesgo,

  • Informe detallados sobre evaluaciones de impacto y seguimientos de tratamientos,

  • Informe automático sobre consulta previa al órgano de control.

Onetrust

Se trata de una solución completa para la gestión de la privacidad empresarial. Esta plataforma en línea permite a las empresas cumplir con la normativa europea de una manera simple, eficaz y conforme a las necesidad de cada organización. 

Onetrust ofrece una cobertura amplia de la adaptación RGPD de las empresas desde la preparación de la empresa para el cumplimiento de la normativa hasta el análisis y la prevención de riesgos de los proveedores.

Onetrust es una herramienta flexible, intuitiva y escalable. Más de 1500 organizaciones en el mundo entero utilizan Onetrust para cumplir con las normas relativas a la privacidad. 


Onetrust
Media Folder: 

Onetrust y la DPIA - Data Protection Impact Assessments - 

Onetrust te ayuda con el cumplimiento de los artículos 35 y 36 del RGPD ¿Cómo?

  • Cuestionarios de impacto y de diagnóstico (posibilidad de importarlos y adaptarlos según los requerimientos de la organización);

  • Seguimientos detallado de riesgos;

  • Generación automática de los requisitos necesarios para mantener y actualizar los registros. 

GlobalSUITE - Data Protection RGPD

Es una de las herramientas de GlobalSUITE pensada para la gestión del RGPD en las empresas. La gestión de la herramienta de GlobalSUITE para la protección de datos es completa, flexible, sencilla y ágil. 

Ventajas de GlobalSUITE

  • Integración con otros sistemas de la organización;

  • Gestor documental completo e intuitivo;

  • Gestor RGPD de datos de empleados y proveedores;

  • Análisis visual a través de mapas de riesgos (o mapa de calor) y otras representaciones gráficas.

Los + de GlobalSUITE en relación a la EIPD

  • Gestión visual y simplificada de los riesgos;

  • Gestión de planes de acción a partir del análisis de riesgos;

  • Personalización y almacenamiento de plantillas para el cálculos de riesgos;

  • Catálogos de medidas de control predefinidas.

Automatización de la EIPD 

Las herramientas digitales, las legislaciones para la protección de datos y los procesos de negocios evolucionan constantemente, implementar una solución SaaS te permitirá estar al día con tus obligaciones.

La mejor selección de software para tu negocio

Wrike

Wrike
Gestión colaborativa de proyectos
Empieza gratis
Ver este software

Genesys PureCloud

Genesys PureCloud
Software de Telefonía
Visite el sitio web
Ver este software

Aircall

Aircall
Sistema Telefónico Integrado con sus Herramientas Favoritas
Pruebe gratis
Ver este software
Comentar este artículo

Añadir nuevo comentario