23 May RGPD. Evaluación de impacto.
El próximo 25 de mayo de 2018 será directamente aplicable el Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en cuanto al tratamiento y la libre circulación de datos personales, en adelante, RGPD. Por tanto, a partir del 25 de mayo de 2018 será obligatorio el cumplimiento de los requerimientos y obligaciones para el responsable del tratamiento que este incluye, entre las que destaca, la necesidad de evaluar el impacto de las actividades de tratamiento en la protección de los datos personales siempre y cuando sea probable que el tratamiento suponga un riesgo significativo para los derechos y libertades de las personas. En este post hablaremos de RGPD. Evaluación de impacto. como elemento clave.
RGPD. Evaluación de impacto.
La Evaluación de Impacto en la Protección de Datos Personales es una herramienta que permite evaluar de manera anticipada cuáles son los potenciales riesgos a los que están expuestos los datos personales en función de las actividades de tratamiento que se llevan a cabo con los mismos. El análisis de riesgos para un determinado tratamiento permite identificar los riesgos que se ciernen sobre los datos de los interesados y establecer una respuesta adoptando las salvaguardas necesarias para reducirlos hasta un nivel de riesgo aceptable, teniendo en cuenta que un riesgo se define como “un escenario que describe un evento y sus consecuencias, estimado en términos de impacto y probabilidad”.
La obligación de hacer una EIPD corresponde al responsable del tratamiento, con el apoyo y la colaboración del encargado del tratamiento, si lo hubiese, y en su caso, con el Delegado de Protección de Datos o un auditor externo.
Áreas involucradas:
- Quiénes llevan a cabo los siguientes roles para cada paso del ciclo de vida de los datos y de las actividades de tratamiento: interesados, responsable del dato, encargado del tratamiento y terceras partes.
- Sistemas de información involucrados y sus sistemas de seguridad.
- Flujos de datos entre sistemas / roles.
- Quién tiene acceso a los datos durante todo el ciclo de vida de los datos y con qué finalidad.
- Cuál es la base legitimadora de las actividades de tratamiento (Consentimiento expreso, relación contractual, interés legítimo, etc.).
Conclusiones
A nivel práctico, es recomendable que una figura delegada supervise y garantice que las medidas de control definidas durante la EIPD se implantan adecuadamente antes de llevar a cabo las actividades de tratamiento de datos de carácter personal por parte del responsable del tratamiento. Como Auditor CISA recomiendo siempre contar con un experto auditor independiente que pueda aportar toda su experiencia en RGPD. Evaluación de impacto. De esta manera la empresa podrá realmente mejorar sus medidas de seguridad de forma transversal si esta evaluación se realiza adecuadamente.
Luis Vilanova Blanco. Auditor RGPD. Auditor CISA por ISACA.
606954593
rgpd@luisvilanova.es