Guía para realizar un análisis de riesgos
o impactos en la protección de datos EIPD

Cumpla con la ley y evite graves sanciones dando una garantía para sus clientes

Introducción

En este artículo nos proponemos dar unas directrices para realizar el análisis de riesgos de la protección de datos como requisito obligatorio en el nuevo RGPD Reglamento General de protección de Datos que entra en vigor el próximo mes de mayo de 2018.

¿Qué es una Evaluación de Impacto
en la Protección de los Datos Personales?

Evaluación de Impacto en la Protección de los Datos Personales denominado (EIPD) o en inglés Privacy Impact Assessment (PIA) es un análisis de los riesgos que un sistema de Información, producto o servicio puede implicar para el derecho fundamental a la protección de datos personales de las personas y como consecuencia de este análisis determinar las medidas necesarias para mitigar o eliminar el riesgo.

LAS NECESIDADES
DE CADA ORGANIZACIÓN

Las guías para realizar un análisis de riesgos establecidos por la legislación contienen unos requisitos para estructurar correctamente este análisis sirviendo de modelo para ser utilizado por las organizaciones. Sin embargo, no son requisitos invariables sino un modelo de principios fundamentales por lo que admiten ser adaptados a las necesidades de cada organización siempre que se cumplan los principios fundamentales.

INTEGRAR Y APROVECHAR
LOS RECURSOS

Si en una organización ya existe un análisis de riesgos integrado en un sistema de gestión bien sea de Calidad según la norma ISO 9001 2015 u otros sistemas de gestión como ISO 27001 pueden aprovecharlos para realizar el EIPD sumando los puntos esenciales que toda Evaluación de Impacto en la Protección de Datos.

CONDICIONES MINIMAS
PARA REALIZAR UN EIPD

Las claves para realzar cualquier procedimiento que se pueda considerar como una evaluación de impacto en el derecho fundamental a la protección de datos personales son:

No se trata de revisar el cumplimiento de las normas en protección de datos sino en establecer un proceso normalizado que tenga en cuenta los riesgos para la protección de datos personales en todo el ciclo de vida de producto o servicio. Especialmente en el desarrollo de nuevos productos o servicios y ante los cambios en los ya existentes que puedan afectar a los riesgos en la protección de datos personales.
El análisis de riesgos debe seguir una metodología establecida y debe estar enfocado al análisis de los procesos de la organización identificando siempre las responsabilidades.
La primera fase siempre es la identificación de la información para poder determinar las características y el tratamiento aplicado a los datos personales.
Se deberá identificar los accesos a los datos personales y los tratamientos que se darán a dichos datos.
El proceso de análisis de riesgos debe tener en cuenta y hacer participar a las partes interesadas para recoger aportaciones tanto de los afectados, organización interna, socios, partes externas como agentes sociales etc.
Debe considerar controles para garantizar el tratamiento de los dados personales de acuerdo a su estricta necesidad y finalidad prevista de acuerdo con su legítimo uso.
Los resultados o informe final debe tener una estructura predefinida.
Debe establecerse un documento de difusión de los resultados del análisis de riesgo que contenga la información adecuada para la difusión de los debidos controles y requisitos a la hora del tratamiento de datos personales.
REVISION
Como último punto deberemos tener en cuenta la realización de revisiones periódicas que nos indiquen o verificar si los riesgos previstos han desaparecido o se han mitigado de la forma esperada o comprobar si han aparecido otros nuevos que requieran una actuación complementaria.

BENEFICIOS DE
REALIZAR UN EIPD

Evita los importantes inconvenientes que puede suponer la no realización de una evaluación de riesgos desde la fase de diseño de productos y servicios.
Costes de rediseño.
Costes de mitigación de impactos.
Costes de pérdida de imagen o reputación.