Contenido del Informe de Evaluación de impacto en Protección de Datos.

Delegado de protección de datos > El Blog del DPD/DPO > GDPR Legal > Contenido del Informe de Evaluación de impacto en Protección de Datos.

Evaluación de impacto

Contenido del Informe de Evaluación de impacto en Protección de Datos.

8 marzo, 2019 | GDPR Legal

Con la entrada en vigor del RGPD empezamos a familiarizarnos con las evaluaciones de impacto en protección de datos ¿pero conocemos realmente cuál debe ser su contenido?

De acuerdo con lo indicado en el artículo 35.7 RGPD:

7. La evaluación deberá incluir como mínimo:

  1. Una descripción sistemática de las operaciones del tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento.
  2. Una evaluación de la necesidad y la proporcionalidad de las operaciones del tratamiento con respecto a su finalidad.
  3. Una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1 y,
  4. Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

En base a lo anterior, la guía de evaluaciones de impacto de la AEPD propone que el informe contenga al menos:

  • Contexto:
    • Describir el ciclo de vida de los datos: descripción detallada del ciclo de vida y del flujo de datos en el tratamiento. Identificación de los datos tratados, intervinientes, terceros, sistemas implicados y cualquier elemento relevante que participe en la actividad del tratamiento.
    • Analizar la necesidad y proporcionalidad del tratamiento: análisis de la base de legitimación, la finalidad y la necesidad y proporcionalidad del tratamiento que se pretenden llevar a cabo.
  • Gestión de riesgos:
    • Identificar amenazas y riesgos: Identificación de las amenazas y riesgos potenciales a los que están expuestos las actividades del tratamiento.
    • Evaluar los riesgos: evaluación de la probabilidad y el impacto de que se materialicen los riesgos a los que está expuesta la organización.
    • Tratar los riesgos: respuesta ante los riesgos identificados con el objetivo de minimizar la probabilidad y el impacto de que estos se materialicen hasta un nivel de riesgo aceptable que permita garantizar los derechos y libertades de las personas físicas.
  • Conclusión y validación:
    • Plan de acción y conclusiones: Informe de conclusiones de la EIPD donde se documente el resultado obtenido junto con el plan de acción que incluya las medidas de control a implantar para gestionar los riesgos identificados y poder garantizar los derechos y libertades de las personas físicas y, si procede, el resultado de la consulta previa a la autoridad de control a la que se refiere el artículo 36 del RGPD.

Además de estos puntos, cada organización podrá incluir otros apartados que considere necesarios o convenientes para una mejor información a la alta dirección y el resto de destinatarios del informe como, por ejemplo, un análisis costes-beneficios de las distintas medidas de seguridad recomendadas en el informe o cualesquiera otros que se juzguen adecuados.

Finalmente, el lenguaje del informe debe ser lo más claro y transparente posible, huyendo de tecnicismos tanto legales como tecnológicos, permitiendo su comprensión a todos los destinatarios del mismo, o al menos, si no es posible evitar ciertos términos jurídicos o tecnológicos, es conveniente incluir un glosario de términos.

 

Equipo de Govertis 

Logotipo de Govertis