Con la entrada en vigor del RGPD empezamos a familiarizarnos con las evaluaciones de impacto en protección de datos ¿pero conocemos realmente cuál debe ser su contenido?

De acuerdo con lo indicado en el artículo 35.7 RGPD:

“7. La evaluación deberá incluir como mínimo:

1. Una descripción sistemática de las operaciones del tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento.
2. Una evaluación de la necesidad y la proporcionalidad de las operaciones del tratamiento con respecto a su finalidad.
3. Una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1 y,
4. Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.”

En base a lo anterior, la guía de evaluaciones de impacto de la AEPD propone que el informe contenga al menos:

• Contexto:
  • Describir el ciclo de vida de los datos: descripción detallada del ciclo de vida y del flujo de datos en el tratamiento. Identificación de los datos tratados, intervinientes, terceros, sistemas implicados y cualquier elemento relevante que participe en la actividad del tratamiento.
  • Analizar la necesidad y proporcionalidad del tratamiento: análisis de la base de legitimación, la finalidad y la necesidad y proporcionalidad del tratamiento que se pretenden llevar a cabo.
• Gestión de riesgos:
  • Identificar amenazas y riesgos: Identificación de las amenazas y riesgos potenciales a los que están expuestos las actividades del tratamiento.
  • Evaluar los riesgos: evaluación de la probabilidad y el impacto de que se materialicen los riesgos a los que está expuesta la organización.
  • Tratar los riesgos: respuesta ante los riesgos identificados con el objetivo de minimizar la probabilidad y el impacto de que estos se materialicen hasta un nivel de riesgo aceptable que permita garantizar los derechos y libertades de las personas físicas.
• Conclusión y validación:
  • Plan de acción y conclusiones: Informe de conclusiones de la EIPD donde se documente el resultado obtenido junto con el plan de acción que incluya las medidas de control a implantar para gestionar los riesgos identificados y poder garantizar los derechos y libertades de las personas físicas y, si procede, el resultado de la consulta previa a la autoridad de control a la que se refiere el artículo 36 del RGPD.

Además de estos puntos, cada organización podrá incluir otros apartados que considere necesarios o convenientes para una mejor información a la alta dirección y el resto de destinatarios del informe como, por ejemplo, un análisis costes-beneficios de las distintas medidas de seguridad recomendadas en el informe o cualesquiera otros que se juzguen adecuados.

Finalmente, el lenguaje del informe debe ser lo más claro y transparente posible, huyendo de tecnicismos tanto legales como tecnológicos, permitiendo su comprensión a todos los destinatarios del mismo, o al menos, si no es posible evitar ciertos términos jurídicos o tecnológicos, es conveniente incluir un glosario de términos.

Equipo de Govertis