Respondemos a todas las cuestiones que surjan acerca de las Evaluaciones de Impacto en la Protección de Datos ¿En qué consiste dicha evaluación? ¿Qué debe incluir? ¿Quién deberá realizarla?

Con la llegada del nuevo Reglamento General de Protección de Datos Personales se establece que ante la probabilidad de que un tratamiento “entrañe un alto riesgo para los derechos y libertades de las personas físicas” será necesario llevar a cabo la Evaluación de Impacto antes de la puesta en marcha del tratamiento de datos.

El próximo 25 de mayo de 2018 será directamente aplicable el Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en cuanto al tratamiento y la libre circulación de datos personales (en adelante, RGPD). Por tanto, a partir del 25 de mayo de 2018 será obligatorio el  cumplimiento de los requerimientos y obligaciones para el responsable del tratamiento que este incluye, entre las que destaca, la necesidad de evaluar el impacto de las actividades de tratamiento en la protección de los datos personales siempre y cuando sea probable que el tratamiento suponga un riesgo significativo para los derechos y libertades de las personas.

La Evaluación de Impacto de Protección de Datos es una herramienta con carácter preventivo que debe realizar el responsable del tratamiento para poder identificar, evaluar y gestionar los riesgos a los que están expuestas sus actividades de tratamiento con el objetivo de garantizar los derechos y libertades de las personas físicas. En la práctica, la evaluación permite determinar el nivel de riesgo que entraña un tratamiento, con el objetivo de establecer las medidas de control más adecuadas para reducir el mismo hasta un nivel considerado aceptable.

Las evaluaciones de impacto para cumplir el RGDP

El RGPD exige que los responsables del tratamiento implementen medidas de control adecuadas para demostrar que se garantizan los derechos y libertades de las personas y la seguridad de los datos, teniendo en cuenta entre otros, los riesgos de los derechos y libertades de las personas físicas y aplicando las medidas oportunas.

Para ello, el responsable del tratamiento debe considerar desde el inicio, en la fase de diseño, las acciones preventivas suficientes para poder identificar, evaluar y tratar los riesgos asociados al tratamiento de datos personales, y así, poder asegurar los principios de protección de los datos garantizando los derechos y libertades de los interesados.

Requisitos y obligaciones

Tal y como establece el RGPD, las Evaluaciones de Impacto deberán realizarse por el Responsable del tratamiento. Por tanto, el Delegado de Protección de Datos proporciona el asesoramiento necesario al responsable del tratamiento para el adecuado desarrollo de la ejecución de una Evaluación de Impacto.

Consejos legales

A la hora de realizar una Evaluación de Impacto, se debe disponer de una metodología que considere los requerimientos exigidos por el RGPD, donde se establece que la Evaluación de Impacto deberá incluir como mínimo:

  • Una descripción sistemática de la actividad de tratamiento previstas.
  • Una evaluación de la necesidad y proporcionalidad del tratamiento respecto a su finalidad.
  • Una evaluación de los riesgos. Consiste en una evaluación de la probabilidad y el impacto de que se materialicen los riesgos a los que está expuesta la organización.
  • Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales. Informe de conclusiones de la Evaluación de Impacto donde se documente el resultado obtenido junto con el plan de acción que incluya las medidas de control a implantar para gestionar los riesgos identificados y poder garantizar los derechos y libertades de las personas físicas y, si procede, el resultado de la consulta previa a la autoridad de control.

Para una correcta implementación del RGPD la Agencia Española de Protección de Datos ha elaborado unas Guías, que resultan de utilidad para aquellos que deban acatar el Reglamento.

Letslaw

En Letslaw te asesoramos en relación con la necesidad de que tu empresa, de acuerdo con el tratamiento de datos que realice, necesite una Evaluación de Impacto y de cómo llevarla a cabo. Somos especialistas en protección de datos y contamos con las competencias profesionales y experiencia exigibles por el nuevo Reglamento.

Si quieres saber más información o tienes cualquier duda puedes contactarnos a admin@letslaw.es o en el 914 323 772.