RGDP EU - Realización de una evaluación de impacto de protección de datos (DPIA)

¿Quién es responsable de la DPIA?

Puede decidir quién tiene la responsabilidad de llevar a cabo las DPIA en su organización y quiénes las aprueban. Puede externalizar su DPIA, pero sigue siendo responsable de ello. Si tiene un Oficial de Protección de Datos (DPO), debe solicitar su consejo sobre su DPIA y documentarlo como parte del proceso.

Es posible que desee pedirle a un procesador que realice una DPIA en su nombre si realizan la operación de procesamiento correspondiente, pero nuevamente es responsable de ello.

¿Quién debería estar involucrado en la DPIA?

Además del área de negocios o la persona que lidera el proyecto o proceso que requiere el DPIA, también debe incluir:

* un DPO, si tiene uno;
* personal de seguridad de la información;
* cualquier procesador; y
* asesores legales u otros expertos, cuando corresponda.

¿Cuál es el papel del DPO?

Si tienes un DPO, debes buscar su consejo. El DPO debe proporcionar consejos sobre:

* si necesita hacer un DPIA;
* cómo debes hacer una DPIA;
* Ya sea para subcontratar el DPIA o hacerlo en casa;
* qué medidas y garantías puede tomar para mitigar los riesgos;
* si has hecho el DPIA correctamente; y
* el resultado de la DPIA y si el procesamiento puede seguir adelante.

Debes grabar el consejo de tu DPO en el DPIA. Si no sigue sus consejos, debe registrar sus razones y asegurarse de que puede justificar su decisión.

Las DPO también deben monitorear el desempeño continuo de la DPIA, incluyendo qué tan bien ha implementado sus acciones planificadas para abordar los riesgos.

Según el artículo 39 de RGDP EU, las OPD tienen tareas específicas con respecto a las ADAD. Por esta razón, debe asegurarse de que las responsabilidades que asigne a una DPO para su DPIA no entren en conflicto con su capacidad para completar estas tareas de manera independiente, como lo exige el Recital 97.

Paso 1: ¿Cómo decidimos hacer una DPIA?

Pida consejo a su DPO. Si tiene algún proyecto importante que implique el uso de datos personales, es una buena práctica realizar una DPIA. Si ya tiene la intención de realizar una DPIA, vaya directamente al paso 2.

De lo contrario, debe verificar si su procesamiento está en la lista de tipos de procesamiento que requieren automáticamente una DPIA. Si no es así, debe buscar otros factores que puedan indicar que es un tipo de procesamiento que probablemente genere un alto riesgo, como el procesamiento de datos de personas vulnerables.

Puede usar o adaptar las listas de verificación al final de esta guía para ayudarlo a realizar esta evaluación. También puede leer '¿Cuándo necesitamos hacer una DPIA?' para más orientación.

Si realiza esta evaluación y decide que no es necesario un DPIA, debe documentar su decisión y los motivos, incluida la recomendación de su DPO. Esto no tiene por qué ser un ejercicio de papeleo engorroso. Solo necesita ayudarlo a demostrar que ha considerado adecuadamente y cumplido con sus obligaciones de la DPIA. Por ejemplo, simplemente podría mantener una copia anotada de la lista de verificación.

Si tiene alguna duda, le recomendamos encarecidamente que realice una DPIA.

Paso 2: ¿Cómo describimos el procesamiento?

Describa cómo y por qué planea utilizar los datos personales. Su descripción debe incluir "la naturaleza, el alcance, el contexto y los propósitos del procesamiento".

La naturaleza del procesamiento es lo que planea hacer con los datos personales. Esto debe incluir, por ejemplo:

* cómo recopila los datos;
* cómo almacenar los datos;
* Como usas los datos;
* Quién tiene acceso a los datos;
* Con quién compartes los datos;
* Si usas algún procesador;
* períodos de retención;
* medidas de seguridad;
* si está utilizando alguna nueva tecnología;
* si está utilizando algún tipo de procesamiento novedoso; y
* qué criterios de selección marcó como probable alto riesgo.

El alcance del procesamiento es lo que cubre el procesamiento. Esto debe incluir, por ejemplo:

* la naturaleza de los datos personales;
* El volumen y variedad de los datos personales;
* La sensibilidad de los datos personales;
* La extensión y frecuencia del procesamiento;
* la duración del tratamiento;
* el número de sujetos de datos involucrados; y
* la zona geográfica cubierta.

El contexto del procesamiento es el panorama más amplio, incluidos los factores internos y externos que pueden afectar las expectativas o el impacto. Esto podría incluir, por ejemplo:

* la fuente de los datos;
* la naturaleza de su relación con los individuos;
* hasta qué punto las personas tienen control sobre sus datos;
* Hasta qué punto es probable que los individuos esperen el procesamiento;
* si estas personas incluyen niños u otras personas vulnerables;
* Cualquier experiencia previa de este tipo de procesamiento.
* cualquier avance relevante en tecnología o seguridad;
* cualquier problema actual de interés público;
* a su debido tiempo, si cumple con los códigos de conducta de RGDP EU (una vez que haya sido aprobado de conformidad con el Artículo 40) o los esquemas de certificación de RGDP EU, y
* si ha considerado y cumplido con los códigos de práctica pertinentes..

El propósito del procesamiento es la razón por la que desea procesar los datos personales. Esto debe incluir:

* sus intereses legítimos, cuando sea relevante;
* el resultado previsto para los individuos; y
* los beneficios esperados para usted o para la sociedad en general.

Paso 3a: ¿Necesitamos consultar a las personas?

Debe buscar y documentar los puntos de vista de las personas (o sus representantes) a menos que haya una buena razón para no hacerlo.

En la mayoría de los casos, debería ser posible consultar a los individuos de alguna forma. Sin embargo, si decide que esto no es apropiado, debe registrar esta decisión como parte de su DPIA, con una explicación clara. Por ejemplo, puede demostrar que la consulta podría comprometer la confidencialidad comercial, socavar la seguridad o ser desproporcionada o impracticable.

Si la DPIA cubre el procesamiento de datos personales de contactos existentes (por ejemplo, clientes o empleados existentes), debe diseñar un proceso de consulta para buscar las opiniones de esas personas en particular o sus representantes.

Si la DPIA cubre un plan para recopilar datos personales de personas que aún no ha identificado, es posible que deba llevar a cabo un proceso de consulta pública más general o una investigación específica. Esto podría tomar la forma de una investigación de mercado con un determinado grupo demográfico o ponerse en contacto con la campaña o los grupos de consumidores relevantes para conocer sus opiniones.

Si su decisión de la DPIA difiere de las opiniones de las personas, debe documentar sus razones para ignorar sus opiniones.

Paso 3b: ¿Necesitamos consultar a alguien más?

Si utiliza un procesador de datos, es posible que deba solicitarles información y asistencia. Sus contratos con los procesadores deben exigirles asistenci

Debe consultar a todas las partes interesadas internas relevantes, en particular a cualquier persona responsable de la seguridad de la información.

También le recomendamos que considere buscar asesoramiento legal o asesoramiento de otros expertos independientes, como expertos en TI, sociólogos o especialistas en ética, según corresponda. Sin embargo, no hay requisitos específicos para hacerlo.

Paso 4: ¿Cómo valoramos la necesidad y la proporcionalidad?

Debe considerar:
¿Sus planes ayudan a lograr su propósito?

¿Hay alguna otra forma razonable de lograr el mismo resultado?

Las directrices del Artículo 29 también dicen que debe incluir cómo garantizar el cumplimiento de la protección de datos, que son una buena medida de la necesidad y la proporcionalidad. En particular, debe incluir detalles relevantes de:

* su base legal para el procesamiento;
* Como evitarás que la función se arrastre;
* cómo pretende garantizar la calidad de los datos;;
* cómo pretende garantizar la minimización de datos;
* cómo pretende proporcionar información de privacidad a individuos;
* cómo implementas y apoyas los derechos de los individuos;
* medidas para asegurar que sus procesadores cumplan; y
* salvaguardias para transferencias internacionales.

Paso 5: ¿Cómo identificamos y evaluamos los riesgos?

Considere el impacto potencial en las personas y cualquier daño o daño que su procesamiento pueda causar, ya sea físico, emocional o material. En particular, observe si el procesamiento podría contribuir a:

* la incapacidad de ejercer los derechos (incluidos, entre otros, los derechos de privacidad);
* incapacidad para acceder a servicios u oportunidades;
* Pérdida de control sobre el uso de datos personales;
* discriminación;
* Robo de identidad o fraude;
* perdidas financieras;
* daño a la reputación;
* daño físico;
* pérdida de confidencialidad;
* Re-identificación de datos seudonimizados; o
* cualquier otra desventaja económica o social importante

Debe incluir una evaluación de los riesgos de seguridad, incluidas las fuentes de riesgo y el impacto potencial de cada tipo de infracción (incluido el acceso ilegítimo, la modificación o la pérdida de datos personales).

Para evaluar si el riesgo es alto, debe considerar tanto la probabilidad como la gravedad del posible daño. El daño no tiene que ser inevitable para calificar como un riesgo o un alto riesgo. Debe ser más que remoto, pero cualquier posibilidad importante de daño muy grave puede ser suficiente para calificar como un alto riesgo. Del mismo modo, una alta probabilidad de daño generalizado pero más pequeño aún puede contar como alto riesgo.

Debe realizar una valoración objetiva de los riesgos. Es útil usar una matriz estructurada para pensar en la probabilidad y la gravedad de los riesgos:



La matriz anterior muestra una forma estructurada de evaluar el riesgo. Su organización puede usar un método diferente que puede adaptar para el mismo propósito.

También es posible que desee considerar sus propios riesgos corporativos, como el impacto de la acción reguladora, el daño a la reputación o la pérdida de la confianza pública.

Paso 6: ¿Cómo identificamos las medidas de mitigación?

Contra cada riesgo identificado, registre su fuente. Entonces debes considerar opciones para reducir ese riesgo. Por ejemplo:

* decidir no recopilar ciertos tipos de datos;
* Reducir el alcance del procesamiento;
* reduciendo los periodos de retención;
* tomando medidas tecnológicas de seguridad adicionales;
* capacitar al personal para asegurar que se anticipen y gestionen los riesgos;
* anonimizar o pseudonimizar datos cuando sea posible;
* Redacción de guías o procesos internos para evitar riesgos.
* utilizando una tecnología diferente;
* poner en claro acuerdos de intercambio de datos;
* hacer cambios a los avisos de privacidad;
* Ofrecer a los individuos la oportunidad de optar por no participar cuando sea apropiado; o
* implementar nuevos sistemas para ayudar a las personas a ejercer sus derechos.

Esta no es una lista exhaustiva y puede idear otras formas de ayudar a reducir o evitar los riesgos. Debe pedir consejo a su DPO.

Registrar si la medida reduciría o eliminaría el riesgo. Puede tomar en cuenta los costos y beneficios de cada medida al decidir si son apropiados o no.

Paso 7: ¿Cómo podemos concluir nuestra DPIA?

Luego debe registrar:

* qué medidas adicionales planea tomar;
* si cada riesgo ha sido eliminado, reducido o aceptado;
* el nivel general de 'riesgo residual' después de tomar medidas adicionales; y
* si necesita consultar al "Supervisory Authority".

No siempre tienes que eliminar todos los riesgos. Puede decidir que algunos riesgos, e incluso un alto riesgo, son aceptables, dados los beneficios del procesamiento y las dificultades de mitigación. Sin embargo, si aún existe un alto riesgo, debe consultar al "Supervisory Authority" antes de continuar con el procesamiento.

Como parte del proceso de aprobación, debe buscar y documentar los consejos de la DPO sobre si el procesamiento cumple con los requisitos y puede continuar. Si decide no seguir sus consejos, debe registrar sus razones.

También debe registrar cualquier razón para ir en contra de las opiniones de individuos u otros asesores.

¿Qué pasa después?

Debe integrar los resultados de su DPIA en los planes de su proyecto. Debe identificar los puntos de acción y quién es responsable de implementarlos. Puede utilizar el proceso habitual de gestión de proyectos para asegurarse de que se cumplan.

Debe controlar el rendimiento continuo de la DPIA. Es posible que deba pasar por el proceso nuevamente antes de finalizar sus planes.

Si ha decidido aceptar un alto riesgo, ya sea porque no es posible mitigar o porque los costos de la mitigación son demasiado altos, debe consultar al ICO antes de continuar con el procesamiento. Consulte la siguiente sección para obtener más información sobre este proceso de consulta.

Para ayudar a la transparencia y la responsabilidad, es una buena práctica publicar su DPIA. Esto podría ayudar a fomentar la confianza en sus actividades de procesamiento y mejorar la capacidad de los individuos para ejercer sus derechos. Si le preocupa que la publicación pueda revelar información comercial confidencial, socavar la seguridad o causar otros riesgos, debe considerar si puede redactar (borrar) o eliminar detalles confidenciales, o publicar un resumen.

Al considerar la publicación de DPIA, las autoridades públicas deben pensar en sus obligaciones de transparencia más amplias, como el cumplimiento de la Ley de Libertad de Información. Antes de RGDP EU, muchas autoridades públicas incluían evaluaciones de impacto en la privacidad en sus documentos de definición para esquemas de publicación.

Necesita mantener su DPIA bajo revisión. Es posible que deba repetirlo si hay un cambio sustancial en la naturaleza, el alcance, el contexto o los propósitos de su procesamiento.

Llámenos al +34 645159106 para más información.