Borrador de la Guía de Evaluación del Impacto en la Protección de Datos
Ratio: 5 / 5
- Detalles
- Publicado: Miércoles, 30 Abril 2014 13:15
El pasado mes de marzo la Agencia Española de Protección de Datos publicaba un Borrador de la Guía de Evaluación del Impacto en la Protección de Datos Personales (EIPD). Se trata de un proceso que ayuda a las empresas a evaluar los riesgos existentes para la privacidad de las personas en la recogida, uso y comunicación de información, identificando los riesgos para la privacidad, previendo los problemas y proponiendo soluciones.
Los nuevos modelos de negocio, la evolución tecnológica, la globalización, la facilidad en el tratamiento masivo de información y, en definitiva, los avances técnicos, están haciendo que para garantizar la seguridad en el tratamiento de la información sea necesario incluir nuevos procesos a los tradicionalmente adoptados.
Si bien actualmente no existe una obligación legal de adoptar estas medidas de Evaluación del Impacto en la Protección de Datos, la Agencia Española se adelanta a lo que previsiblemente venga en el futuro. Si se termina por aprobar la propuesta de la Comisión Europea para el nuevo Reglamento General de Protección de Datos, que se prevé que llegue a buen puerto en un futuro próximo, se incluirá entre las obligaciones de gran parte del entramado empresarial europeo la elaboración de un Privacy Impact Assessments (PIA), que es en definitiva el concepto anglosajón de la EIPD.
El Documento que publica la Agencia Española de Protección de Datos pretende ir dando las pautas de cuándo va a ser necesaria la elaboración de esta Evaluación, a qué tipo de empresas, proyectos o procesos va a afectar y qué contenido mínimo ha de incorporarse a la EIPD. Incluso enumera las situaciones que darían lugar a la redacción de la Evaluación de Impacto de una forma bastante exhaustiva, detallando hasta 16 supuestos.
Una de las partes más importantes de la Evaluación es el análisis de los riesgos (para lo que esta Guía no ofrece unas directrices específicas) en el tratamiento de la información, pero quizá lo más relevante sea la gestión que de ellos ha de hacerse una vez identificados, y aquí sí la Agencia nos facilita una serie de ejemplos bastante detallados, que van desde la creación de la figura de Delegado de Protección de Datos (o DPO “Data Protection Officer” como lo define el borrador del Reglamento Europeo) en las empresas hasta la disociación de datos o la propuesta de eliminar o minimizar el uso de cookies.
Esta Guía no establece un formato específico ni obligatorio de documento, puesto que cada organización puede desarrollarlo de la forma que considere más conveniente, pero sí detalla determinados puntos que no deberían faltar, facilitando, incluso, un modelo de informe final con los puntos que, a criterio de la Agencia Española de Protección de Datos, han de incluirse. También facilita una tabla modelo para la descripción de los flujos de información y otra para la gestión de los riesgos.
Como se indicaba anteriormente, el documento que publica la AEPD es un borrador que pretende contar con la colaboración de todos los interesados para elaborar la Guía de EIPD definitiva. Para ello se abrió un periodo de consultas en el que quien quisiera podía participar enviando a la Agencia sus comentarios a través de las 14 cuestiones que abiertamente se planteaban. Una vez recibidas y analizadas estas aportaciones se pretende que se publique un documento final que recoja el sentir de los afectados.
El objetivo final, además de ayudar a las organizaciones que lo deseen a ir implementando procedimientos que garanticen una mejora en el tratamiento de la información, es facilitar un marco de referencia y establecer unas directrices sobre las que trabajar, fomentando así la concienciación de todas las entidades sobre el derecho fundamental a la protección de datos que poseen los ciudadanos y comprendiendo que la rápida evolución tecnológica que se viene sucediendo en los últimos tiempos hace que se vayan cambiando tanto los sistemas de tratamiento como las posibilidades de análisis, monitorización, almacenamiento y segmentación de los datos recabados.
Carlos Barbero
