Guía práctica para las Evaluaciones de Impacto en la protección de los datos sujetas al RGPD

• Autor: Agencia Española de Protección de Datos

66

Guía práctica para las Evaluaciones de Impacto en la Protección de los Datos sujetas al RGPD

IV Nombre del capítulo actual de la guia en curso

Guía práctica

para LAS

Evaluaciones de

Impacto en la

Protección de LOS

datos sujetas al

RGPD

1

Guía práctica para las Evaluaciones de Impacto en la Protección de los Datos sujetas al RGPD

Índice

1. Introducción ..................................................................................................2

2. Aspectos previos ..........................................................................................4

2.1 ¿Qué es una Evaluación de Impacto en Protección de Datos? .............4

2.2 ¿Qué debe incluir una EIPD? .....................................................................5

2.3 ¿Quién debe realizar una EIPD y a quién se debe involucrar? ...............7

3. Metodología para la realización de una EIPD .................................10

3.1 Ejemplo metodología ................................................................................11

3.2 Contexto del tratamiento ..........................................................................12

3.3 Gestión de riesgos: Identicar, evaluar y tratar ......................................21

3.4 Conclusión ..................................................................................................33

3.5 Comunicación y consulta a la autoridad de control ..............................35

3.6 Supervisión y revisión de la implantación ..............................................36

4. Cuestiones clave ..........................................................................................37

4.1 Si una operación de tratamiento presenta una EIPD

con un riesgo elevado, ¿puedo proceder a llevar a cabo la actividad

de tratamiento? ................................................................................................37

4.2 ¿Cómo realizar una EIPD cuando se presta un servicio

como encargado de tratamiento? ..................................................................37

4.3 ¿Cuándo se debe revisar una EIPD? .........................................................38

4.4 ¿Qué ocurre cuando se está adherido a un código de conducta? ........38

5. Anexos ..............................................................................................................39

5.1 Anexo I: Plantilla de análisis de documentación del ciclo

de vida de los datos asociados a las actividades de tratamiento ..............39

5.2 Anexo II: Plantilla de análisis de la necesidad y proporcionalidad

del tratamiento ................................................................................................40

5.3 Anexo III: Plantilla de gestión de riesgos .................................................41

5.4 Anexo IV: Plantilla de plan de acción y conclusión .................................43

5.5 Anexo V: Catálogo de amenazas ...............................................................44

5.6 Anexo VI: Catálogo de amenazas y posibles soluciones ........................49

6. Referencias .....................................................................................................64

2

Guía práctica para las Evaluaciones de Impacto en la Protección de los Datos sujetas al RGPD

I Introducción

1. Introducción

El próximo 25 de mayo de 2018 será directamente aplicable el Reglamento 2016/679 del

Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las

personas físicas en cuanto al tratamiento y la libre circulación de datos personales, en adelan-

te, RGPD. Por tanto, a partir del 25 de mayo de 2018 será obligatorio el cumplimiento de los

requerimientos y obligaciones para el responsable del tratamiento que este incluye, entre

las que destaca, la necesidad de evaluar el impacto de las actividades de tratamiento en la

protección de los datos personales siempre y cuando sea probable que el tratamiento suponga

un riesgo signicativo para los derechos y libertades de las personas.

La aplicación del RGPD no debe entenderse como la necesaria obligación de realizar la evalua-

ción de impacto de todos los tratamientos que hasta la fecha se vinieran realizando sino que

será necesario atender a las especicidades concretas de cada tratamiento.

La reforma de la regulación de protección de datos supone un cambio del modelo tradicio-

nal para afrontar las medidas que garantizan la protección de los datos hacia un modelo más

dinámico, adaptado a la profunda transformación tecnológica que se está produciendo en el

ámbito del tratamiento de la información personal y enfocado en la gestión continua de los

riesgos potenciales asociados al tratamiento. Adicionalmente, el RGPD refuerza el principio

de responsabilidad proactiva (“accountability”) de quienes tratan datos personales, lo que re-

quiere que estos analicen qué datos tratan, con qué nalidades lo hacen y qué tipo de trata-

mientos llevan a cabo con el objetivo de determinar qué medidas son adecuadas para cumplir

con lo dispuesto en el RGPD.

La Evaluación de Impacto en la Protección de Datos Personales (en adelante, la EIPD)

es una herramienta que permite evaluar de manera anticipada cuáles son los potenciales

riesgos a los que están expuestos los datos personales en función de las actividades de tra-

tamiento que se llevan a cabo con los mismos. El análisis de riesgos para un determinado

tratamiento permite identicar los riesgos que se ciernen sobre los datos de los interesados

y establecer una respuesta adoptando las salvaguardas necesarias para reducirlos hasta un

nivel de riesgo aceptable.

El RGPD prevé que las Evaluaciones de Impacto se lleven a cabo “antes del tratamiento” en

los casos en que sea probable que exista un alto riesgo para los derechos y libertades de los

afectados. Ello implica que el mandato del Reglamento no se extiende a las operaciones de

tratamiento que ya estén en curso en el momento en que comience a ser de aplicación.

Sin embargo, sí debiera realizarse una Evaluación cuando en una operación iniciada con an-

terioridad a la aplicación del Reglamento se hayan producido cambios en los riesgos que el

tratamiento implica en relación con el momento en que el tratamiento se puso en marcha.

Este cambio en los riesgos puede derivar, por ejemplo, del hecho de que se hayan empezado

a aplicar nuevas tecnologías a ese tratamiento, de que los datos se estén usando para nali-

dades distintas o adicionales a las que se decidieron en su momento, o de que se estén reco-

giendo más datos, o datos diferentes, de los que en principio se utilizaban para el tratamiento.