Actualizaciones de la sección GDPR: Evaluaciones de impacto de la protección de datos (DPIA)

Reserve una demostración

cerrar,arriba,imagen,de,mujer,manos,escribiendo,en,computadora portátil,computadora

La Oficina del Comisionado de Información ha actualizado la sección del RGPD sobre Evaluaciones de Impacto de Protección de Datos (DPIA), centrándose en el riesgo, la responsabilidad y la protección de datos desde el diseño. El artículo 35, apartado 4, también está abierto a consulta pública hasta el 13 de abril.

Echemos un vistazo rápido a las novedades.

Evaluaciones de impacto de la protección de datos y el RGPD

Las Evaluaciones de Impacto en Protección de Datos o EIPD, que serán obligatorias en algún caso, son una nueva obligación para los encargados del tratamiento según el Reglamento General de Protección de Datos.

Cuando se procesen datos que "probablemente generen un alto riesgo para los intereses de las personas", será necesario realizar una EIPD para determinar el nivel de riesgo. Si el nivel es alto, entonces la Oficina del Comisionado de Información solicita que los consulte directamente.

Si ya realiza evaluaciones de impacto en la privacidad (PIA), deberá revisar el proceso antes del 25 de mayo de 2018 para asegurarse de que cumple con las actualizaciones del RGPD. Cualquier organización que aún no haya realizado evaluaciones de impacto en la privacidad debería tomarse el tiempo para diseñar EIPD e incluirlas en sus procesos.

¿Qué es una evaluación de impacto de la protección de datos?

Esta evaluación, realizada por el RGPD, es un proceso que tiene como objetivo ayudarlo a identificar y minimizar (pero no necesariamente erradicar) cualquier riesgo para la protección de los datos que usted y su organización están procesando.

La ICO dice que su Evaluación de Impacto de la Protección de Datos debe:

  • Describa el procesamiento y sus propósitos
  • Evaluar la necesidad y la proporcionalidad
  • Identificar y evaluar los riesgos a individuos
  • Identificar cualquier medida para mitigar esos riesgos y proteger los datos

El objetivo principal de la evaluación es proteger los datos de alto riesgo, pero también le ayuda a demostrar su compromiso con la seguridad de la información y a generar confianza con las personas. El riesgo de cumplimiento es de gran importancia, pero en la Evaluación de Impacto de la Protección de Datos también se debe considerar un riesgo más amplio para los derechos y libertades (incluidas las desventajas sociales o económicas). Esto incluye el "potencial de daño –ya sea físico, material o no material- a los individuos o a la sociedad en general".

Mira lo sencillo que es con ISMS.online
Reserva tu demostración

¿Cuándo debo realizar una Evaluación de Impacto de la Protección de Datos?

Como mencionamos anteriormente, la EIPD debe realizarse antes de que usted procesar datos que podrían resultar en un alto riesgo. Es evaluar el nivel de riesgo y identificar factores que podrían afectar a las personas. El RGPD dice que debes realizar una EIPD si:

  • utilizar perfiles sistemáticos y extensos con efectos significativos;
  • procesar datos de categorías especiales o delitos penales a gran escala; o
  • monitorear sistemáticamente los lugares de acceso público a gran escala.
  • utilizar nuevas tecnologías;
  • utilizar datos de perfiles o categorías especiales para decidir sobre el acceso a los servicios;
  • perfilar individuos a gran escala;
  • procesar datos biométricos;
  • procesar datos genéticos;
  • comparar datos o combinar conjuntos de datos de diferentes fuentes;
  • recopilar datos personales de una fuente distinta del individuo sin proporcionarles un aviso de privacidad ("procesamiento invisible");
  • rastrear la ubicación o el comportamiento de las personas;
  • perfilar a los niños o dirigir servicios a ellos; o
  • procesar datos que puedan poner en peligro la salud física o la seguridad del individuo en caso de una violación de seguridad.

Cómo realizar una evaluación de impacto en la privacidad de los datos

La ICO ha publicado una guía de alto nivel sobre la planificación de su EIPD, que se muestra aquí en el gráfico, pero usted puede adaptar el proceso para que se ajuste a su organización. Recuerde, esto debería convertirse en uno de los procesos centrales de su organización, por lo que debe funcionar para usted. También existen directrices europeas para la planificación de EIPD que quizás desee seguir.

Consulta abierta sobre el artículo 35(4) del RGPD

La Oficina del Comisionado de Información ha abierto a consulta pública su borrador de guía para las Evaluaciones de Impacto de la Protección de Datos. Lea los detalles y dé su opinión sobre el sitio web de la OIC.

Mira lo sencillo que es con ISMS.online

Reserva tu demostración

imagen de cta

ISMS.online ahora es compatible con ISO 42001, el primer sistema de gestión de IA del mundo. Haga clic para saber más