Con la entrada en vigor del RGPD empezamos a familiarizarnos con las evaluaciones de impacto en protección de datos ¿pero conocemos realmente cuál debe ser su contenido?
De acuerdo con lo indicado en el artículo 35.7 RGPD:
“7. La evaluación deberá incluir como mínimo:
- Una descripción sistemática de las operaciones del tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento.
- Una evaluación de la necesidad y la proporcionalidad de las operaciones del tratamiento con respecto a su finalidad.
- Una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1 y,
- Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.”
En base a lo anterior, la guía de evaluaciones de impacto de la AEPD propone que el informe contenga al menos:
- Contexto:
- Describir el ciclo de vida de los datos: descripción detallada del ciclo de vida y del flujo de datos en el tratamiento. Identificación de los datos tratados, intervinientes, terceros, sistemas implicados y cualquier elemento relevante que participe en la actividad del tratamiento.
- Analizar la necesidad y proporcionalidad del tratamiento: análisis de la base de legitimación, la finalidad y la necesidad y proporcionalidad del tratamiento que se pretenden llevar a cabo.
- Gestión de riesgos:
- Identificar amenazas y riesgos: Identificación de las amenazas y riesgos potenciales a los que están expuestos las actividades del tratamiento.
- Evaluar los riesgos: evaluación de la probabilidad y el impacto de que se materialicen los riesgos a los que está expuesta la organización.
- Tratar los riesgos: respuesta ante los riesgos identificados con el objetivo de minimizar la probabilidad y el impacto de que estos se materialicen hasta un nivel de riesgo aceptable que permita garantizar los derechos y libertades de las personas físicas.
- Conclusión y validación:
- Plan de acción y conclusiones: Informe de conclusiones de la EIPD donde se documente el resultado obtenido junto con el plan de acción que incluya las medidas de control a implantar para gestionar los riesgos identificados y poder garantizar los derechos y libertades de las personas físicas y, si procede, el resultado de la consulta previa a la autoridad de control a la que se refiere el artículo 36 del RGPD.
Además de estos puntos, cada organización podrá incluir otros apartados que considere necesarios o convenientes para una mejor información a la alta dirección y el resto de destinatarios del informe como, por ejemplo, un análisis costes-beneficios de las distintas medidas de seguridad recomendadas en el informe o cualesquiera otros que se juzguen adecuados.
Finalmente, el lenguaje del informe debe ser lo más claro y transparente posible, huyendo de tecnicismos tanto legales como tecnológicos, permitiendo su comprensión a todos los destinatarios del mismo, o al menos, si no es posible evitar ciertos términos jurídicos o tecnológicos, es conveniente incluir un glosario de términos.
Equipo de Govertis