ARTÍCULO 35, APARTADO 3, DEL RGPD
Evaluación de impacto de la protección de datos (DPIA)
Las empresas llevarán a cabo una evaluación de impacto sobre la protección de datos cuando exista un alto riesgo para los derechos y libertades de los interesados al tratar sus datos personales.
La evaluación de impacto de la protección de datos es obligatoria en algunos casos
En algunos casos, es obligatorio que las empresas establezcan una Evaluación de Impacto de Protección de Datos (DPIA). Estos casos se establecen en el artículo 35, apartado 3, del RGPD.
Por ejemplo, cuando una empresa lleva a cabo un tratamiento a gran escala de datos personales sensibles. Lo mismo se aplica a los procesos automatizados de toma de decisiones que incluyen la elaboración de perfiles o el monitoreo sistemático de un espacio público a gran escala.
¿Qué contenido debe incluir una evaluación de impacto sobre la protección de datos?
Procesamiento
La evaluación de impacto describirá el tratamiento de los datos personales. Por ejemplo, las categorías de datos personales, como los datos personales sensibles u otros datos personales sensibles a la privacidad, el alcance del tratamiento, el ciclo de vida de los datos personales (desde la recogida hasta la supresión), etc.
Finalidad y fundamento jurídico
Las empresas siempre deben tener un propósito claro y específico para el procesamiento, así como una base legal aplicable. La evaluación de impacto debe incluir información sobre la finalidad y la base jurídica. Además, es útil analizar si la finalidad es proporcionada.
Análisis de riesgos
La evaluación de impacto incluirá un análisis de riesgos desde la perspectiva de los interesados. En otras palabras, qué consecuencias puede tener una posible violación de datos personales para los interesados. Tenga en cuenta que debe incluir tanto la probabilidad de que ocurran infracciones como la gravedad de las consecuencias.
Medidas de seguridad
Las empresas deben adoptar las medidas de seguridad adecuadas, tanto técnicas como organizativas. Por lo tanto, con el fin de minimizar los riesgos del tratamiento al que se refiere la evaluación de impacto, la empresa adoptará las medidas de seguridad adecuadas y estas deben incluirse en la evaluación de impacto.
Riesgo residual
La empresa analizará los riesgos residuales tras las medidas de seguridad adoptadas por la empresa.
Documentación
Asegúrese de llevar a cabo una evaluación de impacto por escrito, en lugar de mental u oral. El RGPD exige a las empresas que demuestren el cumplimiento del RGPD en la práctica, de conformidad con el principio de rendición de cuentas del artículo 5, apartado 2, del RGPD. Esto significa, entre otras cosas, que la empresa debe mantener documentación escrita de su trabajo RGPD.
Seguimiento
Dado que RGPD es un proceso vivo, no siempre es suficiente con solo redactar documentos, pero puede requerir actualización y seguimiento. Es útil analizar periódicamente el tratamiento al que se refiere la evaluación de impacto, por ejemplo una vez al año, para ver si los riesgos han cambiado.
Si el riesgo sigue siendo alto, la empresa solicitará una consulta previa
Si, tras llevar a cabo una evaluación de impacto, el riesgo para los derechos y libertades de los interesados sigue siendo elevado, la empresa solicitará una consulta previa a la autoridad nacional de protección de datos.
Papel de los empleados en la realización de una evaluación de impacto relativa a la protección de datos
No solo el abogado o el delegado de protección de datos llevarán a cabo la evaluación de impacto. Es bueno incluir también algunos otros empleados en la empresa. Por ejemplo, el personal del departamento de TI que puede describir y explicar los sistemas, y un gerente que describe los procesos de trabajo y el propósito. Al tener una clara división de funciones e información bien fundamentada de todos los empleados apropiados, es más probable que las medidas se basen en una buena base.
Volver a realizar o actualizar una evaluación de impacto relativa a la protección de datos
En algunos casos, la empresa debe volver a realizar o actualizar la evaluación de impacto. Las empresas deben analizar los riesgos del procesamiento de datos personales cuando se producen cambios. Por ejemplo, cuando la empresa comienza a utilizar nuevas soluciones técnicas, amplía el grupo objetivo, nuevas prácticas o legislación en el campo, etc.
No olvides consultar al Delegado de Protección de Datos
Si la empresa tiene un Delegado de Protección de Datos (DPO), que algunas empresas deben tener bajo el GDPR, se les debe consultar cuando la empresa realice una evaluación de impacto. Este requisito se establece en el artículo 35, apartado 2, del RGPD.
APRENDE MÁS
Evaluación de impacto de las transferencias de datos
Las empresas llevarán a cabo una evaluación de impacto sobre la transferencia de datos antes de la transferencia de datos personales a un tercer país que carezca de un nivel adecuado de protección. Un tercer país es un país fuera de la zona UE/EEE, y solo la Comisión Europea puede decidir que un tercer país tiene un nivel adecuado de protección. Además, las empresas deben llevar a cabo una evaluación de impacto de la transferencia de datos en caso de transferencia indirecta. Por ejemplo, si la empresa utiliza un servicio en la nube para procesar datos personales y, a su vez, opera fuera del área de la UE / EEE.