Guía de evaluación de impacto en la protección de datos personales
Tabla de contenidos
Después de la consulta pública que entre marzo y abril de este año hizo La Agencia Española de Protección de Datos, el pasado miércoles día 29 de octubre, se ha publicado la Guía para una Evaluación de Impacto en la Protección de Datos Personales, un documento que lo que pretende es que las empresas y las organizaciones, apliquen en sus políticas de privacidad, nuevos enfoques proactivos y preventivos cumpliendo con la ley.
Durante su presentación, el Director de la Agencia, José Luis Rodríguez Álvarez, señaló que “en el contexto de las sociedades actuales, altamente tecnologizadas, es necesario incorporar nuevos enfoques y herramientas para afrontar los desafíos que cada día se presentan en protección de datos con más eficacia”. “Con las nuevas tecnologías se multiplican las capacidades de utilización de los datos personales y su explotación comercial, creciendo su valor económico, lo que funciona como acicate para una mayor recopilación de datos”.
Pero, ¿Qué es la evaluación de impacto en la protección de datos?
Una PIA (Privacy Impact Assessments) o Evaluación de Impacto en la Protección de Datos Personales (EIPD) es un ejercicio de análisis de los riesgos que un determinado sistema de información, producto o servicio puede entrañar para el derecho fundamental a la protección de datos de los afectados y, tras ese análisis, afrontar la gestión de los riesgos identificados mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos.
Y, aunque en otros países, sobre todo en los anglosajones, esto es una práctica común, en España, por ahora, no existe la obligación legal de realizar este tipo de Evaluaciones en ningún sector o ámbito específico pero recordemos que en el borrador del Reglamento General de Protección de Datos de la Unión Europea, en su artículo 33, se contempla la obligación de que tanto los responsables como los Encargados del Tratamiento, evalúen el impacto de la protección de datos en el caso de tratamientos de datos “arriesgados”.
No obstante, la Agencia considera que la realización de una EIPD es un ejercicio de transparencia, ayudando a planificar las respuestas a posibles impactos en la protección de los afectados, a gestionar las relaciones con terceras partes implicadas en el proyecto y a educar y motivar a los empleados para estar alerta sobre posibles problemas o incidentes en relación con el tratamiento de datos personales.
¿Hay que ceñirse exclusivamente a esta Guía?
No. No lo pretende. La Guía se concibe en un marco flexible. Las organizaciones que tengan ya implantados procesos y herramientas de análisis de riesgos podrán utilizarlas para evaluar los relativos a la privacidad y la protección de datos siempre que cubran los aspectos esenciales que toda EIPD debe tener.
La aplicación de estas evaluaciones se recomiendan especialmente en compañías que lleven a cabo acciones relativas a la videovigilancia, la minería de datos, la biometría, las técnicas genéticas, la geolocalización, la internet de las cosas o el big data.