Servicio para la Evaluación de Impacto
Evaluación de Impacto en la Protección de Datos Personales
Muchos de vosotros nos habréis oído a muchos profesionales de la privacidad, hablar del PIA o de la Evaluación de Impacto en la protección de datos, pero ¿qué es exactamente y qué finalidad tiene?
Pues bien, la finalidad de un PIA es establecer, con carácter previo a la realización de un tratamiento o proyecto de tratamiento, cuales son las líneas del mismo, cuáles son sus riesgos y cómo debe abordarse la seguridad de ese tratamiento en base a la normativa general y sectorial.
Se aplicará sobre aquellos tratamientos en que sea probable que exista un alto riesgo para los derechos y libertades de los afectados.
Tal y como expone la AEPD en su guía de evaluaciones de impacto ese carácter previo implicará que la obligación reglamentaria no se extiende a las operaciones de tratamiento que ya estén en curso en el momento en que el RGPD comience a ser de aplicación obligatoria.
Actualmente esta valoración se hace a través de la Auditoría; un proceso realizado a posteriori, es decir, cuando el tratamiento ya está diseñado. Lo que implica que, si se producen cambios en el diseño, éste no se ajuste a la normativa de privacidad, implicando costes de reorganización y diseño para las empresas.
Es por ello, que el RGPD, propone a los profesionales de la privacidad, la realización de un PIA. De manera que, si se realiza de manera correcta y se realimenta, se podrán mejorar significativamente los resultados de una auditoría.
Una cuestión importante y novedosa, será el establecimiento de relaciones con agentes externos a la organización. Se trata de dar al profesional de la privacidad la perspectiva de este agente externo, que le permita evaluar, cómo trabajan en sus organizaciones con la privacidad. En materia de responsabilidad social corporativa, esto se conoce como stakeholder o grupos de interés.
¿Por qué hacer un PIA?
Las organizaciones deben prevenir una gran variedad de riesgos que afectan o pueden afectar a la seguridad y la privacidad de los datos que manejan habitualmente, desde los desastres naturales, casi nunca contemplados, hasta los ciber-ataques, pasando por muchos otros.
“La gestión de problemas” se convierte así en una actividad común basada en la planificación de contingencias.
La reputación y el buen gobierno de las empresas es un activo fundamental que debe de acatarse con responsabilidad. En especial cuestiones tan fundamentales como la privacidad, ya que una vez producido el daño será muy difícil recuperar la confianza de los grupos de interés, pudiendo verse comprometida la viabilidad de la empresa.
Para muchas organizaciones, la privacidad plantea riesgos que deben ser gestionados profesionalmente de una manera similar a otras categorías de riesgo. Las organizaciones que manejan datos de carácter personal deben supervisar sus operaciones en curso, ya que están tratando con clientes, empleados o el público en general y esos tratamientos pueden afectar a derechos fundamentales.
En resumen, las razones por las que una organización debe lleva a cabo un PIA son los siguientes:
¿Cuáles son los resultados finales de un proceso de PIA eficaz?
Lo ideal sería que los resultados finales de un PIA efectivo fuesen:
El enfoque más beneficioso y rentable puede ser de concebir de la PIA como:
¿Quién debe llevar a cabo un PIA?
Las ventajas de emplear a un consultor externo, se basan fundamentalmente en los criterios de independencia, imparcialidad y objetividad pudiendo de esta manera el consultor, trabajar con total autonomía y libre de impedimentos y/o influencias externas.
Por su parte la dirección, el responsable de los ficheros, el responsable de seguridad, el responsable de los servicios de información y comunicación, los responsables de calidad, los usuarios con acceso a datos, los interesados y los encargados del tratamiento deberán participar activamente junto con el consultor externo para ofrecer la mayor información posible sobre los tratamientos en todas las fases del proyecto. Haciéndose absolutamente necesaria la colaboración entre todos los sujetos que intervienen en el tratamiento de la información.