EIPD: cómo automatizar la evaluación de impacto RGPD

La EIPD o evaluación de impacto es una de las novedades del RGPD. ¿Has identificado un riesgo en la protección de datos de tu empresa? Descubre lo que tienes qué hacer para cada uno de los tratamientos afectados.

La evaluación de impacto, también conocida como PIA - Privacy Impact Assessment - en inglés, consiste en realizar un estudio completo con el objetivo de evaluar el impacto de uno o varios tratamientos de datos en la vida privada.

Conoce los conceptos claves para la conformidad RGPD y descubre las mejores soluciones para estar en regla.

La EIPD o evaluación de impacto sobre la protección de datos es una de las disposiciones del nuevo marco de referencia para la protección de datos en Europa o RGPD (Reglamento Europeo de Protección de Datos). 

La EIPD debe describir el tratamiento y su finalidad, estimar la validez del tratamiento según la finalidad, identificar los riesgos y detallar las acciones para la gestión de los mismos. 

No obstante, la evaluación de impacto RGPD debe ser mantenida y actualizada durante todo el ciclo de vida del tratamiento. 

Un análisis de impacto es la mejor manera de verificar y comprobar la conformidad de un tratamiento y de prevenir un riesgo relacionado con la pérdida o exposición de los datos tratados.

La realización de una evaluación de riesgos permite a los responsables del tratamiento de los datos:

• Determinar la causa de un riesgo y estimar las posibilidades de que se concretice;

• Mejorar el tratamiento de datos para que se respeten los derechos de las personas;

• Reunir las condiciones técnicas y organizacionales necesarias para el respeto del reglamento;

• Probar la gestión de riesgos ante las autoridades.

Si bien la evaluación de impacto RGPD es recomendada para todas las empresas que colecten y gestionen datos, en muchos casos la EIPD es obligatoria y el incumplimiento de dicha disposición supone una infracción de carácter grave. 

apartado 3º del artículo 35: tratamientos susceptibles de entrañar un alto riesgo

Se refiere al tratamiento de datos sensibles (datos genéticos, datos relativos a la salud, datos de origen étnico y racial, datos personales relativos a condenas e infracciones penales, etc.).

Videovigilancia, drones, datos biométricos.

Otros tratamientos que requieren una EIPD

• Datos de menores de catorce años;

• Transferencias de datos, sobre todo si se trata de una transferencia internacional a un país que no forme parte del Espacio Económico Europeo;

• Datos personales no disociados o no anonimizados;

• Cualquier tratamiento que incluya la colecta de datos altamente sensibles;

• Cualquier tratamiento que incluya una colecta significativa de datos;

• Cruce de datos, modificación de la información tratada o de la finalidad del tratamiento;

• Tratamiento de personas vulnerables (pacientes, ancianos, niños, etc.).

Una empresa pone en marcha un tratamiento publicitario con el objetivo de recolectar los datos de geolocalización de millones de individuos para crear perfiles publicitarios y mostrarles publicidad personalizada en función de su posición geográfica. Este tratamiento entra en la categoría de tratamientos a gran escala y de datos sensibles (geolocalización). La realización de una evaluación de impacto sobre la protección de datos es necesaria.

El asesoramiento del DPO en la realización de la EIPD será fundamental para evitar los riesgos.

El responsable del tratamiento es quien tiene la obligación de asegurar el cumplimiento del RGPD.

Si un DPO (Delegado de Protección de Datos) ha sido designado, este debe aconsejar al responsable del tratamiento y verificar la ejecución de la evaluación de impacto.

Si una subcontratista interviene en el tratamiento, debe proporcionar su ayuda así como las informaciones necesarias para la realización de la EIPD. 

¿Aún no te quedado claro si alguna de las operaciones de tu empresa requiere de una evaluación de impacto? ¡No hay problema! Una vez que hayas realizado el análisis de riesgos RGPD no te quedará ninguna duda. 

Si no sabes qué es un análisis de riesgos o como ejecutarlo, puedes echar un vistazo a nuestro artículo análisis de riesgos RGPD.

El objetivo de este ejercicio, de carácter obligatorio, es determinar la existencia de circunstancias que requieran posteriormente de una EIPD. 

La guía EIPD de la Agencia Española para Protección de Datos nos muestra con detalles la metodología a seguir para elaborar una EIPD conforme a los requerimientos del RGPD. 

• Descripción (desde la captura hasta la destrucción de los datos) y contexto del tratamiento (licitud, necesidad y proporcionalidad);

• Identificación, valoración y gestión de riesgos; 

• Conclusión (plan de acción) y validación (conclusión favorable o no favorable).

Asimismo, la AEPD recomienda que el plan de acción incluya: 

• descripción de las medidas de control,

• responsable de implantación,

• plazo de implantación.

También se debe señalar si la EIPD se ha realizado sobre un nuevo tratamiento o sobre un tratamiento ya existente. 

1. En el 1.º caso, el plan de acción se aplicará antes de iniciar el tratamiento, este principio se conoce como protección de datos desde el diseño.

2. En el 2.º caso, el responsable del tratamiento debe establecer un un plazo para ejecutar el plan de acción sobre el tratamiento en curso. Si este tiempo no es respetado y el riesgo no es aceptable, el responsable puede, y debe, solicitar que el tratamiento sea interrumpido. 

Si la conclusión de la EIPD incluye un alto riesgo, el encargado de tratamiento puede recurrir a medidas de control adicionales para disminuir el riesgo hasta un nivel aceptable. Sin embargo, si no fuese posible disminuir el riesgo, el tratamiento no podría ser efectuado y el responsable del tratamiento estará en la obligación de consultar a la Autoridad de Control.

En el mejor de los casos, la Autoridad de Control definirá las condiciones y medidas de control para que se pueda realizar el tratamiento. No obstante, si fuese el caso, la Autoridad de Control también puede indicar que en ningún caso se podrá llevar a cabo el tratamiento.

La evaluación del impacto en la protección de datos es un proceso minucioso, completo y exhaustivo en el cual se evalúan todos los aspectos del tratamiento: de principio a fin tomando en cuenta todas las variables. Afortunadamente, hoy en día existen herramientas de alto rendimiento para automatizar y optimizar procesos empresariales y obligaciones legales. 

Data Privacy Solution es una solución 100% española para la protección de datos según el marco del RGPD y la LOPDGDD. La herramienta ha sido pensada para todo tipo de empresas y consultores.

¿Cómo ayuda Data Privacy Solution con la EIPD?

Data Privacy Solution permite generar y gestionar las EIPD por múltiples usuarios, incluyendo el DPO para su revisión. Gracias al modelo SaaS, el DPO y todos los usuarios tienen acceso desde cualquier lugar y en cualquier momento.

Este software RGPD indica si para un tratamiento de datos, es suficiente con el análisis de riesgos, o requiere que se realice la EIPD. Además, aunque solo se necesite el análisis de riesgos, el usuario puede elegir hacer también el tratamiento de riesgos o incluso toda la EIPD.

Tanto el análisis de riesgos como el EIPD están basados en las guías y buenas prácticas de la AEPD (Agencia española de protección de datos).

Abogados especializados en privacidad e ingenieros expertos en seguridad de la información son los responsables de la creación de la completa herramienta. 

La solución en línea (SaaS) Smart GDPR responde a todas las exigencias del reglamento europeo. 

30 años de experiencia en materia de protección de datos, de seguridad de la información y de respeto de la vida privada respaldan la legitimidad de Smart GDPR como una de las mejores soluciones RGPD.

Hasta la fecha, Smart GDPR reúne todos los recursos necesarios para el cumplimiento del RGPD ¡en una sola plataforma!

¿Cómo hacer una evaluación de impacto con Smart GDPR?

Smart GDPR ofrece un módulo que facilita la evaluación de riesgos RGPD El módulo uno está completamente dedicado a:

• Auditorías. 

• Análisis de riesgos.

• Evaluación de impactos (PIA).

• Planes de acción semiautomatizados.

• Gestión de proyectos. 

El módulo cuenta con 1460 puntos de control de tratamientos ejecutados por un algoritmo. Por consiguiente, el ahorro de tiempo es considerable y los resultados son precisos. Smart GDPR realiza en una hora lo que normalmente tomaría unas cinco. 

El plan de acción es generado automáticamente (en función de las respuestas) acompañado de una lista detallada con las medidas de control a instaurar. 

A cada respuesta se le asigna una puntuación automática. En caso de una puntuación inferior a la media, la respuesta debe ser sistemáticamente examinada por el responsable del tratamiento o el por DPO. También puedes señalar si deseas examinar todas las respuestas.

El + de Smart GDPR: cubre un riesgo financiero de hasta 90 millones de euros en caso de algún fallo de su parte. 

Las herramientas digitales, las legislaciones para la protección de datos y los procesos de negocios evolucionan constantemente, implementar una solución SaaS te permitirá estar al día con tus obligaciones.