Evaluación de Impacto de Protección de Datos (EIPD)

La metodología para la realización de Evaluaciones de Impacto de Protección de Datos por GESDATA CONSULTING se realiza con la presencia de nuestros consultores en las instalaciones de nuestros clientes para realizar la siguiente secuencia:

  • Identificación y descripción del proyecto (Contexto)
  • Descripción sistemática de las operaciones de tratamiento previstas.
  • Evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento
  • Contexto y alcance de la gestión de riesgos.
  • Identificación de amenazas, análisis y valoración de los riesgos
  • Plan de tratamiento de los riesgos.

Evaluación de Impacto de Protección de Datos (EIPD)

Una Evaluación de Impacto de Protección de Datos (en adelante, la EIPD) es un proceso ligado a los principios de protección de datos desde el diseño y protección de datos por defecto concebido para describir, de manera anticipada y preventiva, un tratamiento de datos personales, evaluar su necesidad y proporcionalidad y gestionar los potenciales riesgos para los derechos y libertades a los que estarán expuestos los datos personales en función de las actividades de tratamiento que se lleven a cabo con los mismos, determinando las medidas necesarias para reducirlos hasta un nivel de riesgo aceptable.

El carácter preventivo de la EIPD implica el deber de identificar, evaluar y gestionar los riesgos a los que se exponen las actividades del tratamiento; permitiendo identificar el nivel de riesgo que supone un tratamiento, con la finalidad de establecer las medidas de control adecuadas para reducirlo al mínimo.

Esta obligación debe entenderse en el contexto de la responsabilidad proactiva y la obligación general de gestionar adecuadamente los riesgos y demostrar que se han tomado las medidas adecuadas para garantizar el cumplimiento de los requisitos exigidos por el RGPD.

Los aspectos que debemos de tener en cuenta a la hora de realizar una EIPD que sea eficaz son:

  • Identificación y descripción del proyecto
    En este punto se expone una breve contextualización del tratamiento objeto de análisis de riesgos para los derechos y libertades de los interesados. En este sentido, es
    oportuno identificar:
    - El área interna promotora del tratamiento
    - Las tipologías de datos personales tratados
    - Las operaciones de tratamiento
    - Los medios de tratamiento / activos de soporte utilizados para llevar a cabo el tratamiento de datos personales
    - La finalidad del tratamiento y la base de licitud
    - La categoría de interesados afectados por el tratamiento, eventuales encargados o terceras partes
    - El alcance territorial del tratamiento.
    Una vez centrado el contexto del tratamiento, tendremos que detallar el contexto y el alcance de la gestión de riesgos.
  • Descripción sistemática de las operaciones de tratamiento
    Uno de los elementos esenciales en el proceso de una EIPD de cara a identificar y conocer los riesgos en relación a los datos personales y a la seguridad de estos es a través de la descripción y análisis detallado del ciclo de vida y el flujo de los datos personales, estableciendo las actividades o procesos, los datos personales, los intervinientes y las tecnologías empleados en cada fase del ciclo de vida. El ciclo de vida de los datos personales sigue las siguientes fases:
  • Evaluación de la necesidad y proporcionalidad de las operaciones de tratamiento.  
    La Evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento describe algunos aspectos esenciales para cualquier tratamiento de datos de carácter personal que debe incluir:

    - la base de legitimación,

    - la finalidad

    - la necesidad y proporcionalidad de las operaciones de tratamiento que se prevé llevar a cabo.

  • Contexto y alcance de la gestión de riesgos  

    En este punto se establece el contexto que consiste en definir los parámetros básicos para la gestión de los riesgos, así como el alcance y los otros criterios para el resto del proceso. Para ello, a la hora de establecer el contexto del proceso de gestión de riesgos, también debemos definir:

     

    -El alcance de las operaciones de tratamientos sometidas a la gestión del riesgo,

    -Breve descripción de los catálogos de amenazas utilizados.

  • Identificación de amenazas, análisis y valoración de los riesgos

    La gestión de riesgos es el proceso de identificar, analizar y valorar la probabilidad e impacto derivados de la posibilidad de que se materialice un riesgo con el objetivo de establecer las acciones preventivas, correctivas y reductivas que permitan minimizar el nivel de exposición al riesgo. El método de análisis va a ser sistemático, por ello vamos a distinguir claramente 3 etapas:

    Identificación de riesgos: En primer lugar, vamos a identificar las amenazas para la seguridad de los datos personales derivados de los tratamientos realizados.

    Análisis del Riesgo: En esta fase, de describirán las medidas y controles de seguridad que tiene implantadas la Organización en la actualidad para reducir los riesgos.

    Valoración de riesgos: Una vez realizado la identificación de los riesgos que tenemos y las medidas implantas en cada tratamiento deberemos valorar el nivel de riesgo que tenemos en cada tratamiento. Para ello, se determinará la probabilidad de que se produzca la situación del riesgo y la gravedad de esta en caso de materializarse, teniendo, previamente, en cuenta las medidas que tiene aplicadas las Organización.

    Tratamiento de los riesgos: Del resultado de la valoración de los riesgos implementaremos aquellas medidas y controles de seguridad que permita mitigar los riesgos a zona de riesgo aceptable.
  • Plan de tratamiento de Riesgos

    La última etapa del proceso de gestión de riesgos consiste en seleccionar controles o medidas necesarias para tratar el riesgo y reducir su nivel de exposición a niveles aceptables. Tratar un riesgo es el resultado de definir y establecer medidas de control para disminuir la probabilidad y/o el impacto asociados al riesgo inherente de una operación de tratamiento o bien tomando decisiones que, en base a modificar características de las operaciones de tratamiento también acaben reduciendo el riesgo.

    En esencia, debemos preguntarnos ¿qué se puede hacer para tratar los riesgos?

    Etiam magna arcu, ullamcorper ut pulvinar et, ornare sit amet ligula. Aliquam vitae bibendum lorem. Cras id dui lectus. Pellentesque nec felis tristique urna lacinia sollicitudin ac ac ex. Maecenas mattis faucibus condimentum. Curabitur imperdiet felis at est posuere bibendum. Sed quis nulla tellus.

    ADDRESS

    63739 street lorem ipsum City, Country

    PHONE

    +12 (0) 345 678 9

    EMAIL

    info@company.com