Guía Completa de Evaluación de Impacto en la Protección de Datos (EIPD) para PYMES en el Contexto del RGPD

El Reglamento General de Protección de Datos (RGPD), que comenzó a aplicarse el 25 de mayo, ha supuesto un cambio del modelo tradicional hacia uno más dinámico, adaptado a la transformación tecnológica en el ámbito del tratamiento de la información personal y enfocado en la gestión de los riesgos potenciales asociados al tratamiento. La privacidad de los datos y la seguridad de los tratamientos se han convertido en un requisito esencial en el entorno empresarial. Para las pymes, cumplir con el Reglamento General de Protección de Datos (RGPD) puede parecer un desafío, pero con las herramientas adecuadas, es totalmente manejable.

El RGPD establece que las organizaciones que tratan datos personales deben realizar un análisis de riesgos con el fin de establecer las medidas que sean necesarias para garantizar los derechos y libertades de las personas. Adicionalmente, el RGPD refuerza el principio de responsabilidad proactiva (“accountability”) de quienes tratan datos personales, lo que requiere que estos analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de tratamientos llevan a cabo con el objetivo de determinar qué medidas son adecuadas para cumplir con lo dispuesto en el RGPD.

¿Qué es la Evaluación de Impacto en la Protección de Datos (EIPD)?

Una Evaluación de Impacto en la Protección de Datos (EIPD) es un ejercicio de análisis de los riesgos que un sistema, producto o servicio puede implicar para la protección de datos y, tras haber realizado ese análisis, afrontar y gestionar esos peligros antes de que se produzcan. Es un proceso que permite a las organizaciones identificar los riesgos que un sistema, producto o servicio puede implicar para los derechos y libertades de las personas y, tras haber realizado ese análisis, afrontar y gestionar esos peligros antes de que se materialicen. Una de estas herramientas es la Evaluación de Impacto en la Protección de Datos (EIPD). Es especialmente importante para las actividades de procesamiento que podrían implicar un alto riesgo.

La profunda transformación que se está produciendo en el tratamiento de la información personal, que adquiere cada vez un mayor valor económico, sumada a la continua irrupción de nuevas tecnologías en un entorno marcado por la globalización, requiere complementar los planteamientos tradicionales en cuanto a protección de datos con nuevas herramientas. El análisis y la gestión de riesgos son procedimientos que permiten a las organizaciones identificar y poder anticiparse a los posibles efectos adversos o no previstos que el tratamiento pueda tener para los derechos y libertades de las personas interesadas.

Relación entre Análisis de Riesgos y EIPD

La gestión del riesgo y la EIPD son procesos que se encuentran estrechamente vinculados, ya que la segunda es una especificidad dentro de la primera. El análisis de riesgos para un determinado tratamiento permite identificar los riesgos que se ciernen sobre los datos de los interesados y establecer una respuesta adoptando las salvaguardas necesarias para reducirlos hasta un nivel de riesgo aceptable.

El RGPD introduce el concepto de Evaluación de Impacto relativa a la Protección de Datos (EIPD) y obliga a las Autoridades de Control a establecer listas orientativas de tratamientos que no requieren EIPD, así como de tratamientos que sí requieren su realización. Con carácter general, existe la obligación de llevar a cabo la realización de una EIPD siempre que el tratamiento implique un alto riesgo para los derechos y libertades de las personas físicas.

Guías y Herramientas de la AEPD para la EIPD

La Agencia Española de Protección de Datos (AEPD) complementa los materiales prácticos que las organizaciones tienen a su disposición para facilitar la adaptación al RGPD. La Guía de Evaluación de Impacto en la Protección de Datos ayudará a las organizaciones a identificar las actividades que conllevan un alto riesgo y a establecer las medidas de control más adecuadas para minimizar el mismo antes de iniciar el tratamiento. La Guía también señala cómo pueden gestionarse los riesgos, facilitando un listado de medidas que podrían ser tomadas por la organización para evitarlos o mitigarlos.

Un ejemplo de esos riesgos podría ser la utilización de los datos recogidos para finalidades no especificadas y que podrían permitir monitorizar el comportamiento, realizar perfiles o tomar decisiones económicas o sociales sobre las personas en función de la información recopilada. La publicación de la Guía puede utilizarse como marco de referencia flexible para un tratamiento responsable de los datos personales. Esta Guía ofrece directrices y orientaciones de cómo definir y establecer una metodología para la realización de una EIPD, sin embargo, no pretende ser la única manera en que puede llevarse a efecto una EIPD.

Recursos Adicionales de la AEPD

Para la adaptación y cumplimiento del RGPD, la AEPD dispone de materiales, recursos y herramientas en su página web que tienen por objetivo facilitar la adaptación y cumplimiento del RGPD. Entre estos materiales, destaca la denominada “Hoja de ruta” dirigida al sector privado, así como la publicación de diferentes guías sobre el RGPD. Para aquellas dudas y consultas sobre la aplicación del RGPD, la AEPD cuenta con el canal INFORMA_RGPD para resolverlas.

Herramientas específicas:

• Herramienta FACILITA_RGPD: Proporciona ayuda para la elaboración del registro de actividades de tratamiento, las cláusulas informativas, las cláusulas contractuales para encargados del tratamiento y las medidas de seguridad a adoptar.
• Guía de Análisis de Riesgos: Recoge una metodología adecuada para evaluar el nivel de riesgo en relación con los tratamientos de datos personales que realizan. Las organizaciones que no puedan utilizar Facilita_RGPD deben llevar a cabo un análisis de riesgos.

Puede consultar las listas orientativas de tratamientos que no requieren EIPD publicadas por la AEPD y aprobadas por el EDPB aquí: Lista orientativa de tipos de tratamientos de datos que no requieren una evaluación de impacto relativa a la protección de datos (art 35.5)

Puede consultar la lista orientativa de tratamientos que requieren EIPD publicada por la AEPD y aprobada por el EDPB aquí: Listas de tipos de tratamientos de datos que requieren Evaluación de impacto relativa a protección de datos (art 35.4)

Pasos clave para realizar una EIPD

Realizar una EIPD es una práctica esencial para gestionar los riesgos asociados con el procesamiento de datos personales y para cumplir con las normativas de protección de datos. Este proceso no solo protege los derechos y libertades de las personas, sino que también fortalece la confianza de tus clientes y mejora la reputación de tu empresa. La Evaluación de Impacto es un proceso que no se agota cuando se ha finalizado.

1. Identificar el tratamiento de datos: Define claramente el proyecto o actividad que implica el uso de datos personales.
2. Contexto y finalidad: Explica el propósito del procesamiento y el contexto en que se realiza.
3. Evaluar los riesgos: Decide si necesitas una DPIA. Los factores de riesgo desplegados en esta herramienta no tienen carácter exhaustivo, por lo que la persona responsable deberá identificar aquellos que sean específicos para el tratamiento e incluirlo en su evaluación.
4. Necesidad del tratamiento: Verifica que el procesamiento de datos es absolutamente necesario para tu negocio.
5. Medidas técnicas y organizativas: Implementa acciones concretas para reducir los riesgos.
6. Plan de acción: Desarrolla un plan con plazos y responsabilidades específicas para implementar estas medidas.
7. Documentación: Mantén un registro detallado de todo el proceso de EIPD.
8. Revisión continua: La EIPD no es un ejercicio de una sola vez.

El Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en cuanto al tratamiento y la libre circulación de datos personales, en adelante, RGPD, es directamente aplicable. Ello implica que el mandato del Reglamento no se extiende a las operaciones de tratamiento que ya estén en curso en el momento en que comience a ser de aplicación.