La Oficina del Comisionado de Información ha actualizado la sección del RGPD sobre Evaluaciones de Impacto de Protección de Datos (DPIA), centrándose en el riesgo, la responsabilidad y la protección de datos desde el diseño. El artículo 35, apartado 4, también está abierto a consulta pública hasta el 13 de abril.
Las Evaluaciones de Impacto en Protección de Datos o EIPD, que serán obligatorias en algún caso, son una nueva obligación para los encargados del tratamiento según el Reglamento General de Protección de Datos.
Cuando se procesen datos que "probablemente generen un alto riesgo para los intereses de las personas", será necesario realizar una EIPD para determinar el nivel de riesgo. Si el nivel es alto, entonces la Oficina del Comisionado de Información solicita que los consulte directamente.
Si ya realiza evaluaciones de impacto en la privacidad (PIA), deberá revisar el proceso antes del 25 de mayo de 2018 para asegurarse de que cumple con las actualizaciones del RGPD. Cualquier organización que aún no haya realizado evaluaciones de impacto en la privacidad debería tomarse el tiempo para diseñar EIPD e incluirlas en sus procesos.
Esta evaluación, realizada por el GDPR, es un proceso que tiene como objetivo ayudarlo a identificar y minimizar (pero no necesariamente erradicar) cualquier riesgo para la protección de los datos que usted y su organización están procesando.
La ICO dice que su Evaluación de Impacto de la Protección de Datos debe:
El objetivo principal de la evaluación es proteger los datos de alto riesgo, pero también le ayuda a demostrar su compromiso con la seguridad de la información y a generar confianza con las personas. El riesgo de cumplimiento es de gran importancia, pero en la Evaluación de Impacto de la Protección de Datos también se debe considerar un riesgo más amplio para los derechos y libertades (incluidas las desventajas sociales o económicas). Esto incluye el "potencial de daño –ya sea físico, material o no material- a los individuos o a la sociedad en general".
Como mencionamos anteriormente, la EIPD debe realizarse antes de que usted procesar datos que podrían resultar en un alto riesgo. Es evaluar el nivel de riesgo y identificar factores que podrían afectar a las personas. El RGPD dice que debes realizar una EIPD si:
La ICO ha publicado una guía de alto nivel sobre la planificación de su EIPD, que se muestra aquí en el gráfico, pero usted puede adaptar el proceso para que se ajuste a su organización. Recuerde, esto debería convertirse en uno de los procesos centrales de su organización, por lo que debe funcionar para usted. También existen directrices europeas para la planificación de EIPD que quizás desee seguir.
La Oficina del Comisionado de Información ha abierto a consulta pública su borrador de guía para las Evaluaciones de Impacto de la Protección de Datos. Lea los detalles y dé su opinión sobre el sitio web de la OIC.
