LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

04/12/2024. 14:14:56
04/12/2024. 14:14:56

LegalToday

Por y para profesionales del Derecho

Blog ECIJA 2.0

El valor de las Evaluaciones de Impacto en materia de protección de datos

María González Moreno

socia de IT & Privacy de ECIJA

El pasado 18 de marzo celebramos en la sede de ECIJA en la Torre de Cristal de Madrid, un desayuno de trabajo que bajo el título “Evaluaciones de Impacto en Protección de Datos Personales”, donde se analizaron y se debatieron, junto a los asistentes, la naturaleza y origen de las evaluaciones de impacto, y las ventajas y valor añadido que su ejecución aporta a las empresas, a pesar de no tratarse, hasta el momento, de una obligación exigible legalmente.

Concepto de seguridad

Pese a que actualmente no existe una obligación legal expresa de llevar a cabo Evaluaciones de Impacto en materia de Protección de Datos Personales, sí se trata de una buena práctica integrada en la denominada privacidad por o desde el diseño (privacy by design), y que como tal, ya se encuentra recogido su carácter obligatorio en la Propuesta de Reglamento Europeo de Protección de Datos.

En este sentido, ya han sido publicadas diversas Guías por diversos organismos de control, como:

Asimismo, se trataron los aspectos a tener en cuenta para llevar a cabo la implantación de procedimientos de análisis de impacto en materia de privacidad sobre un determinado sistema de información, producto o servicio que vaya a desarrollarse, y que puede entrañar riesgo para la protección de datos y la privacidad de los afectados, así como los relativos a las acciones para llevar a cabo la gestión y minoración de dichos riesgos mediante la adopción de las medidas pertinentes en todas las fases del tratamiento, tanto desde el punto de vista jurídico, como técnico, como meramente organizativo.

Pese a que a que la información contenida en las diferentes guías puede parecer dirigida únicamente a proyectos de grandes compañías transnacionales, no cabe duda de que llevar a cabo este tipo de ejercicios analíticos (muy habituales en países anglosajones) permite a las compañías (de cualquier sector, actividad y dimensión) reducir sustancialmente el riesgo de sanción así como los posibles daños reputacionales asociados),evitando así mismo los costes y esfuerzos asociados a la adecuación de un sistema, servicio o producto que  ya se encuentra desarrollado.

La ejecución de este tipo de análisis y evaluaciones de impacto en la fase de diseño de nuevos productos, servicios y sistemas de información, supone a las compañías importantes beneficios y ventajas:

  • Implantación e interiorización de la cultura de la privacidad desde el diseño ("Privacy by Desing") y la seguridad por defecto ("Security by Default") en las compañías.
  • Transparencia y Trazabilidad de los tratamientos de datos personales efectuados, tanto internamente en las compañías (mejorando la eficacia de los procesos de cumplimiento normativo), como con respecto a los usuarios finales y consumidores.
  • Supone un evidente aumento nivel cumplimiento normativa protección datos personales, y en consecuencia
  • Una reducción / minoración riesgos (legales, seguridad, económicos, reputacionales…)
  • Todo ello supondrá un aumento confianza de los consumidores, y en consecuencia un aumento de las ventas.

Para llevar a cabo evaluaciones de impacto deben analizarse y documentarse, al menos, los siguientes aspectos:

  1. Resumen del proyecto / tratamiento, y sus características.
  1. Descripción detallada de los aspectos que tengan que ver con; generación de perfiles, tratamiento de datos especialmente protegidos, toma de decisiones o acciones, etc… Es decir, de las acciones que puedan suponer un impacto en la privacidad de los afectados por suponer tratamientos especialmente intrusivos.
  1. Descripción detallada de las categorías de datos personales incluidos en los tratamientos evaluados.
  1. Descripción detallada de quién accederá a cada categoría de datos personales y los motivos y justificaciones para ello.
  1. Diagramas que incluyan los flujos de datos personales.
  1. Información y diagramas adicionales para ilustrar aspectos como el control de acceso o la conservación o destrucción de datos personales objeto de tratamiento.

El evento concluyó con un productivo "networking" en el que ponentes y asistentes debatieron, no tanto acerca de la necesidad de realizar este tipo de análisis (cuyo valor añadido quedó acreditado durante la jornada y en las experiencias de los asistentes), sino sobre acciones concretas a llevar a cabo en las distintas fases del  ciclo de vida de sistemas, productos y servicios con implicaciones en materia de protección de datos, como; medidas técnicas y jurídicas a tener en cuenta en las distintas fases de los proyectos y que han de ser implantadas, los posibles medios para la comunicación interna y externa (usuarios finales, consumidores…) tanto de las evaluaciones de impacto como de las posibles incidencias relacionadas con el tratamiento de datos (data breach), etc.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.