LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

28/03/2024. 15:38:07

LegalToday

Por y para profesionales del Derecho

GDPR: Evaluando impactos

Protección datos

Desde Áudea Seguridad de la Información, apostamos por realizar un breve análisis de todas las Guías y/o directrices publicadas por la Agencia Española de Protección de Datos en relación con el nuevo Reglamento de Protección de Datos.

Recordemos que el Reglamento General de Protección de Datos (GDPR) entró en vigor el 25 de mayo de 2016, pero no será exigible hasta el 25 de mayo de 2018.

Entre sus muchos requisitos, hoy destacamos la realización de las Evaluaciones de Impacto en la Protección de Datos Personales (EIPD o PIA por sus siglas en inglés), obligación recogida en su artículo 35. Estas evaluaciones deben realizarse con anterioridad a la realización del tratamiento de los datos que tenga que ser objeto de esta evaluación.

Es importante comenzar este texto con una definición de lo que entendemos por Evaluación de Impacto. Se trata de una herramienta preventiva que permite determinar el nivel de riesgo que entraña un tratamiento, con el objetivo de establecer las medidas de control más adecuadas para reducir el riesgo hasta un nivel aceptable, de manera que perjudique en menor medida los derechos y libertades de las personas físicas, sean usuarios, clientes, pacientes, empleados, etc.

Hasta ahora, solo teníamos las nociones que se indicaban en el propio texto normativo, y lo que tímidamente se publicaba en algunos blog relacionados con la materia. Esto es lo que ha motivado que el pasado mes de marzo la AEPD, decidiese publicar dos guías relacionadas con la materia: Guía Práctica de Análisis de Riesgos en los tratamientos de datos personales sujetos al RGPD y Guía Práctica para las Evaluaciones de Impacto en la protección de los datos sujetos al RGPD. Estas guías vienen a aclarar cómo deben realizarse las Evaluaciones de Impacto, permitiendo determinar el nivel de riego que entraña un tratamiento, con el objetivo de establecer las medidas de control más adecuadas para reducir el mismo hasta un nivel aceptable.

En un primer lugar, se destaca la importancia de realizar esta evaluación por parte de la entidad responsable o encargada del tratamiento y no por parte del Delegado de Protección de Datos, nueva figura creada a raíz del RGPD, siendo este último quien podrá proporcionar asesoramiento durante su realización.

Hasta el momento, la herramienta más conocida para la gestión de riesgos en España, es PILAR, herramienta para la evaluación del riesgo de forma eficaz, proporcionada por el CCN-CERT, y gratuita para las Administraciones Públicas. Esta herramienta, hasta el momento, se venía empleando para medir los riesgos para la seguridad de los sistemas de información, considerando las dimensiones tradicionales de la seguridad: Confidencialidad, Integridad y Disponibilidad de la información.

Sin embargo, en la última versión de PILAR, se ha añadido la Protección de Datos como una dimensión más, de forma que se también se puedan evaluar los riesgos para la privacidad, tal y como se indica por parte de la Agencia Española de Protección de Datos.

En este sentido, cabe destacar que el uso de esta herramienta está pensado para aquellas organizaciones en las cuales el tratamiento de los datos implique un riesgo elevado. Para aquellas otras empresas que traten datos de escaso riesgo, no es necesario que realicen una Evaluación de Impacto. En estos casos, la Agencia Española de Protección de Datos ofrece la herramienta Facilita RGPD, para que las empresas puedan adaptarse a la nueva normativa y adoptar unas medidas de seguridad mínimas previstas para empresas con bajo riesgo.

Volviendo a las guías, éstas destacan la importancia de la monitorización continua de los riesgos y la efectividad de las medidas de control definidas para reducir el nivel de exposición al riesgo, recomendando revisar el análisis de riesgos ante cualquier cambio que pudiera derivar la aparición de nuevos riesgos, permitiendo a las empresas afrontar -con carácter previo- y gestionar esos peligros antes de que estos se materialicen.

Estas guías servirán para unificar lo dispuesto en las guías elaboradas por el Grupo de Trabajo del Artículo 29, en relación al análisis de impacto; no obstante, ante la complejidad de estas obligaciones, siempre será recomendable contar con el debido asesoramiento antes de realizar una evaluación de impacto.

 

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.