Evaluación de Impacto de Protección de Datos (EIPD)
Metodología garantizada para realizar una Evaluación de Impacto de Protección de Datos (EIPD) para empresas en Valencia.
La metodología para la realización de Evaluaciones de Impacto de Protección de Datos en GESDATA CONSULTING se realiza con la presencia de nuestros consultores profesionales en las instalaciones de nuestros clientes para realizar la siguiente secuencia:
- Identificación y descripción del proyecto (Contexto)
- Descripción sistemática de las operaciones de tratamiento previstas.
- Evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento
- Contexto y alcance de la gestión de riesgos.
- Identificación de amenazas, análisis y valoración de los riesgos
- Plan de tratamiento de los riesgos.
Una Evaluación de Impacto de Protección de Datos (en adelante, la EIPD) es un proceso ligado a los principios de protección de datos desde el diseño y protección de datos por defecto concebido para describir, de manera anticipada y preventiva, un tratamiento de datos personales, evaluar su necesidad y proporcionalidad y gestionar los potenciales riesgos para los derechos y libertades a los que estarán expuestos los datos personales en función de las actividades de tratamiento que se lleven a cabo con los mismos, determinando las medidas necesarias para reducirlos hasta un nivel de riesgo aceptable. La Evaluación de Impacto de Protección de Datos queda definido en el articulo 35 del REGLAMENTO (UE) 2016/679
El carácter preventivo de la EIPD implica el deber de identificar, evaluar y gestionar los riesgos a los que se exponen las actividades del tratamiento; permitiendo identificar el nivel de riesgo que supone un tratamiento, con la finalidad de establecer las medidas de control adecuadas para reducirlo al mínimo.
Esta obligación debe entenderse en el contexto de la responsabilidad proactiva y la obligación general de gestionar adecuadamente los riesgos y demostrar que se han tomado las medidas adecuadas para garantizar el cumplimiento de los requisitos exigidos por el RGPD.
Los aspectos que debemos de tener en cuenta a la hora de realizar una EIPD que sea eficaz son:
Identificación y descripción del proyecto.
En este punto se expone una breve contextualización del tratamiento objeto de análisis de riesgos para los derechos y libertades de los interesados. En este sentido, es oportuno identificar:
– El área interna promotora del tratamiento
– Las tipologías de datos personales tratados
– Las operaciones de tratamiento
– Los medios de tratamiento / activos de soporte utilizados para llevar a cabo el tratamiento de datos personales
– La finalidad del tratamiento y la base de licitud
– La categoría de interesados afectados por el tratamiento, eventuales encargados o terceras partes
– El alcance territorial del tratamiento.
Una vez centrado el contexto del tratamiento, tendremos que detallar el contexto y el alcance de la gestión de riesgos.
Descripción sistemática de las operaciones de tratamiento.
Uno de los elementos esenciales en el proceso de una EIPD de cara a identificar y conocer los riesgos en relación a los datos personales y a la seguridad de estos es a través de la descripción y análisis detallado del ciclo de vida y el flujo de los datos personales, estableciendo las actividades o procesos, los datos personales, los intervinientes y las tecnologías empleados en cada fase del ciclo de vida. El ciclo de vida de los datos personales sigue las siguientes fases:
Evaluación de la necesidad y proporcionalidad de las operaciones de tratamiento.
Uno de los procesos clave de una evaluación de impacto de protección de datos es Evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento describe algunos aspectos esenciales para cualquier tratamiento de datos de carácter personal que debe incluir:
- la base de legitimación
- la finalidad
- la necesidad y proporcionalidad de las operaciones de tratamiento que se prevé llevar a cabo.
Contexto y alcance de la gestión de riesgos
En este punto se establece el contexto que consiste en definir los parámetros básicos para la gestión de los riesgos, así como el alcance y los otros criterios para el resto del proceso. Para ello, a la hora de establecer el contexto del proceso de gestión de riesgos, también debemos definir:
- El alcance de las operaciones de tratamientos sometidas a la gestión del riesgo
- Breve descripción de los catálogos de amenazas utilizados.
Identificación de amenazas, análisis y valoración de los riesgos.
La gestión de riesgos es el proceso de identificar, analizar y valorar la probabilidad e impacto derivados de la posibilidad de que se materialice un riesgo con el objetivo de establecer las acciones preventivas, correctivas y reductivas que permitan minimizar el nivel de exposición al riesgo. El método de análisis va a ser sistemático, por ello vamos a distinguir claramente 3 etapas:
- Identificación de riesgos: En primer lugar, vamos a identificar las amenazas para la seguridad de los datos personales derivados de los tratamientos realizados.
- Análisis del Riesgo: En esta fase, de describirán las medidas y controles de seguridad que tiene implantadas la Organización en la actualidad para reducir los riesgos.
- Valoración de riesgos: Una vez realizado la identificación de los riesgos que tenemos y las medidas implantas en cada tratamiento deberemos valorar el nivel de riesgo que tenemos en cada tratamiento. Para ello, se determinará la probabilidad de que se produzca la situación del riesgo y la gravedad de esta en caso de materializarse, teniendo, previamente, en cuenta las medidas que tiene aplicadas las Organización.
Tratamiento de los riesgos: Del resultado de la valoración de los riesgos implementaremos aquellas medidas y controles de seguridad que permita mitigar los riesgos a zona de riesgo aceptable.
Plan de tratamiento de Riesgos.
La última etapa del proceso de una evaluación de impacto de protección de datos de gestión de riesgos consiste en seleccionar controles o medidas necesarias para tratar el riesgo y reducir su nivel de exposición a niveles aceptables. Tratar un riesgo es el resultado de definir y establecer medidas de control para disminuir la probabilidad y/o el impacto asociados al riesgo inherente de una operación de tratamiento o bien tomando decisiones que, en base a modificar características de las operaciones de tratamiento también acaben reduciendo el riesgo.
En esencia, debemos preguntarnos ¿qué se puede hacer para tratar los riesgos?