Guía práctica para las Evaluaciones de Impacto en la protección de los datos sujetas al RGPD

Autor:Agencia Española de Protección de Datos
RESUMEN

En esta guía se explica cómo establecer una metodología para llevar a cabo una evaluación de impacto en la protección de datos personales, la cual permite evaluar anticipadamente, en función de las actividades de tratamiento que se realicen, cuáles son los potenciales riesgos que pueden afectar a los datos personales de los interesados.

 
EXTRACTO GRATUITO
66
Guía práctica para las Evaluaciones de Impacto en la Protección de los Datos sujetas al RGPD
IV Nombre del capítulo actual de la guia en curso
Guía práctica
para LAS
Evaluaciones de
Impacto en la
Protección de LOS
datos sujetas al
RGPD
1
Guía práctica para las Evaluaciones de Impacto en la Protección de los Datos sujetas al RGPD
Índice
1. Introducción ..................................................................................................2
2. Aspectos previos ..........................................................................................4
2.1 ¿Qué es una Evaluación de Impacto en Protección de Datos? .............4
2.2 ¿Qué debe incluir una EIPD? .....................................................................5
2.3 ¿Quién debe realizar una EIPD y a quién se debe involucrar? ...............7
3. Metodología para la realización de una EIPD .................................10
3.1 Ejemplo metodología ................................................................................11
3.2 Contexto del tratamiento ..........................................................................12
3.3 Gestión de riesgos: Identicar, evaluar y tratar ......................................21
3.4 Conclusión ..................................................................................................33
3.5 Comunicación y consulta a la autoridad de control ..............................35
3.6 Supervisión y revisión de la implantación ..............................................36
4. Cuestiones clave ..........................................................................................37
4.1 Si una operación de tratamiento presenta una EIPD
con un riesgo elevado, ¿puedo proceder a llevar a cabo la actividad
de tratamiento? ................................................................................................37
4.2 ¿Cómo realizar una EIPD cuando se presta un servicio
como encargado de tratamiento? ..................................................................37
4.3 ¿Cuándo se debe revisar una EIPD? .........................................................38
4.4 ¿Qué ocurre cuando se está adherido a un código de conducta? ........38
5. Anexos ..............................................................................................................39
5.1 Anexo I: Plantilla de análisis de documentación del ciclo
de vida de los datos asociados a las actividades de tratamiento ..............39
5.2 Anexo II: Plantilla de análisis de la necesidad y proporcionalidad
del tratamiento ................................................................................................40
5.3 Anexo III: Plantilla de gestión de riesgos .................................................41
5.4 Anexo IV: Plantilla de plan de acción y conclusión .................................43
5.5 Anexo V: Catálogo de amenazas ...............................................................44
5.6 Anexo VI: Catálogo de amenazas y posibles soluciones ........................49
6. Referencias .....................................................................................................64
2
Guía práctica para las Evaluaciones de Impacto en la Protección de los Datos sujetas al RGPD
I Introducción
1. Introducción
El próximo 25 de mayo de 2018 será directamente aplicable el Reglamento 2016/679 del
Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las
personas físicas en cuanto al tratamiento y la libre circulación de datos personales, en adelan-
te, RGPD. Por tanto, a partir del 25 de mayo de 2018 será obligatorio el cumplimiento de los
requerimientos y obligaciones para el responsable del tratamiento que este incluye, entre
las que destaca, la necesidad de evaluar el impacto de las actividades de tratamiento en la
protección de los datos personales siempre y cuando sea probable que el tratamiento suponga
un riesgo signicativo para los derechos y libertades de las personas.
La aplicación del RGPD no debe entenderse como la necesaria obligación de realizar la evalua-
ción de impacto de todos los tratamientos que hasta la fecha se vinieran realizando sino que
será necesario atender a las especicidades concretas de cada tratamiento.
La reforma de la regulación de protección de datos supone un cambio del modelo tradicio-
nal para afrontar las medidas que garantizan la protección de los datos hacia un modelo más
dinámico, adaptado a la profunda transformación tecnológica que se está produciendo en el
ámbito del tratamiento de la información personal y enfocado en la gestión continua de los
riesgos potenciales asociados al tratamiento. Adicionalmente, el RGPD refuerza el principio
de responsabilidad proactiva (“accountability”) de quienes tratan datos personales, lo que re-
quiere que estos analicen qué datos tratan, con qué nalidades lo hacen y qué tipo de trata-
mientos llevan a cabo con el objetivo de determinar qué medidas son adecuadas para cumplir
con lo dispuesto en el RGPD.
La Evaluación de Impacto en la Protección de Datos Personales (en adelante, la EIPD)
es una herramienta que permite evaluar de manera anticipada cuáles son los potenciales
riesgos a los que están expuestos los datos personales en función de las actividades de tra-
tamiento que se llevan a cabo con los mismos. El análisis de riesgos para un determinado
tratamiento permite identicar los riesgos que se ciernen sobre los datos de los interesados
y establecer una respuesta adoptando las salvaguardas necesarias para reducirlos hasta un
nivel de riesgo aceptable.
El RGPD prevé que las Evaluaciones de Impacto se lleven a cabo “antes del tratamiento” en
los casos en que sea probable que exista un alto riesgo para los derechos y libertades de los
afectados. Ello implica que el mandato del Reglamento no se extiende a las operaciones de
tratamiento que ya estén en curso en el momento en que comience a ser de aplicación.
Sin embargo, sí debiera realizarse una Evaluación cuando en una operación iniciada con an-
terioridad a la aplicación del Reglamento se hayan producido cambios en los riesgos que el
tratamiento implica en relación con el momento en que el tratamiento se puso en marcha.
Este cambio en los riesgos puede derivar, por ejemplo, del hecho de que se hayan empezado
a aplicar nuevas tecnologías a ese tratamiento, de que los datos se estén usando para nali-
dades distintas o adicionales a las que se decidieron en su momento, o de que se estén reco-
giendo más datos, o datos diferentes, de los que en principio se utilizaban para el tratamiento.

Para continuar leyendo

SOLICITA TU PRUEBA