Cómo efectuar evaluaciones de impacto sobre protección de datos [RGPD, medida 8]

El Reglamento General de Protección de Datos (RGPD), presentado por la Unión Europea, entró en vigor el 25 de mayo de 2018. Con la aprobación del RGPD, las organizaciones deben cambiar muchos de sus procesos existentes e introducir algunos nuevos para proteger los datos de carácter personal. Uno de estos nuevos procesos que será de cumplimiento obligatorio son las evaluaciones de impacto relativas a la protección de datos (EIPD).

Hace poco celebramos un webinar a petición, Medidas prácticas para cumplir el RGPD, centrado en un exhaustivo plan de 16 medidas para hacer efectivo un programa de gobernanza de datos compatible con la conformidad con el RGPD.

La medida 8 de dicho plan consiste en efectuar evaluaciones de impacto sobre protección de datos. Para consultar cuáles son las siete primeras medidas, eche un vistazo a los enlaces de la barra lateral.

Watch Practical Steps to GDPR Compliance now.
Watch Now

¿En qué situaciones es necesaria una evaluación de impacto sobre protección de datos?

El artículo 35 del RGPD prevé las evaluaciones de impacto sobre protección de datos (EIPD).

Una EIPD es una evaluación para determinar si un cambio en el sistema actual o la introducción de un nuevo sistema podría de alguna manera poner en peligro la confidencialidad de los datos de carácter personal de un interesado. El RGPD exige la realización de una EIPD cuando el tratamiento de esos datos podría entrañar un riesgo elevado para los derechos y las libertades de sus interesados.

En especial el RGPD obliga a realizarla en los tres casos siguientes:

  1. Cuando una organización realiza una evaluación sistemática y exhaustiva de datos de carácter personal mediante un tratamiento automatizado, como es la creación de perfiles, y las decisiones ulteriores causan efectos jurídicos en los interesados. Por ejemplo, puede suceder que una organización cree perfiles con los datos de redes sociales de sus clientes para entender sus preferencias de compra o inclinaciones políticas.
  2. Cuando una organización procesa categorías de datos especiales, como la raza o la procedencia étnica, o datos de carácter personal sobre condenas o delitos penales. Por ejemplo, si un banco de inversión pretende tratar datos de carácter personal por sus obligaciones de lucha contra el blanqueo de capitales o porque detecta operaciones fraudulentas, una EIPD contribuiría a identificar el riesgo para el interesado.
  3. Cuando una organización realiza un seguimiento sistemático a gran escala de un espacio público.

Por ejemplo, puede suceder que un comercio desee utilizar software de reconocimiento facial en puntos de venta de un centro comercial. Podría utilizarse ese software para personalizar anuncios según el género o la edad aproximada del visitante. Un EIPD podría exigir al comerciante que elimine la información al cabo de un cierto tiempo después de mostrar la publicidad y que se abstenga de combinar esos datos con perfiles de redes sociales.

Cuándo debe realizarse una evaluación de impacto sobre protección de datos

La gobernanza de datos debe fijar unos controles para efectuar las EIPD tal y como se recoge en el RGPD. El equipo de gobernanza, en colaboración con el personal de asesoramiento y cumplimiento jurídicos, deberá identificar y documentar posibles operaciones de tratamiento que pudieran suponer un riesgo para los datos.

Una vez identificadas esas operaciones que podrían afectar a la seguridad de los datos, deberá efectuarse una EIPD antes de procesarlos. El resultado de la evaluación determinaría la estrategia de tratamiento y los controles que deberían aplicarse para salvaguardar la confidencialidad de los interesados. Aquí también esta estrategia debe ser el fruto de distintos equipos, como informática, gobernanza, jurídico, cumplimiento, finanzas, etc.

Por último, las organizaciones deben garantizar que los resultados de una EIPD se integren como soluciones de protección de datos en los sistemas y los procesos.

Cómo usar Talend para realizar evaluaciones de impacto sobre protección de datos

Talend Data Quality y Talend Metadata Manager son capaces de captar, descubrir y crear perfiles de nuevos conjuntos de datos y la semántica relacionada de forma sumamente automatizada, para luego aplicar dichas reglas de control a la escala pertinente. Por ello estas herramientas pueden asumir una función activa en una EIPD en cualquier sistema de información.

Pongamos, por ejemplo, que una empresa desea realizar una EIPD sobre su data lake, que ingiere inmensas cantidades de datos procedentes de dispositivos conectados. Talend Data Quality es compatible con las EIPD porque descubre información personal dentro del conjunto de datos y luego la enmascara antes de ingerirla en el data lake.

Medidas posteriores a una evaluación de impacto

Una evaluación de impacto sobre protección de datos es un término que a lo mejor sonará a concepto jurídico enrevesado, cuando en realidad va más allá: se basa en los perfiles de datos para determinar si existe un riesgo y permite planificar soluciones paliativas. En caso de duda, las organizaciones pueden solicitar asesoramiento a sus delegados de protección de datos.

La próxima medida del exhaustivo plan de 16 medidas para asegurar el cumplimiento del RGPD de Talend consiste en realizar evaluaciones de riesgo de proveedor.

Para obtener más información y consultar las 16 medidas en su totalidad, no se pierda el webinar a petición: Medidas prácticas para cumplir el RGPD. El vídeo aporta información sobre la creación de normas y controles, la identificación de titulares de datos, de elementos de datos críticos, linaje de datos y mucho más.

| Last Updated: agosto 12th, 2019