Contents
- 1 L’AVALUACIÓ DE L’IMPACTE SOBRE LA SEGURETAT DE LA INFORMACIÓ.
- 1.1 Principis de responsabilitat proactiva (ACCOUNTABILITY)
- 1.2 Què és una Avaluació d’Impacte de Protecció de Dades?
- 1.3 Protecció de dades des del disseny i per defecte (PxD i PdD)
- 1.4 Seguretat de les dades personals
- 1.5 Conseqüències de no realitzar l’Avaluació de l’impacte correctament
- 1.6 Revisió de l’avaluació de l’impacte
L’AVALUACIÓ DE L’IMPACTE SOBRE LA SEGURETAT DE LA INFORMACIÓ.
Principis de responsabilitat proactiva (ACCOUNTABILITY)
Necessitat que el responsable del tractament apliqui mesures tècniques i organitzatives apropiades a fi de garantir i poder demostrar que el tractament és conforme al reglament.
Actitud conscient, diligent i proactiva
Què és una Avaluació d’Impacte de Protecció de Dades?
Una Avaluació d’Impacte en la Protecció de Dades Personals (AIPD) és una anàlisi del risc del tractament de les dades. El resultat d’aquesta avaluació de l’impacte determinarà quines són les accions que s’han de corregir o implementar per assegurar una correcta gestió de les dades personals.
Protecció de dades des del disseny i per defecte (PxD i PdD)
El responsable del tractament apliqués tant al moment de determinar els mitjans de tractament com al moment del propi tractament, mesures tècniques i organitzatives, apropiades a fi de complir els requisits del Reglament i protegir els drets dels interessats.
Què?:
Quan el tractament de les dades comporti un ALT risc per als drets i les llibertats dels interessats.
Quan?:
Amb caràcter previ a l’inici del tractament.
Perquè?:
Per determinar les mesures tècniques i organitzatives necessàries i adequades per vetllar per la seguretat de la informació.
Seguretat de les dades personals
El responsable i l’encarregat del tractament han d’aplicar mesures tècniques i organitzatives apropiades per garantir un nivell de seguretat adequat al risc que, si escau, inclogui, entre uns altres:
- La seudonimizació i el xifrat de dades personals
- La capacitat de garantir la confidencialitat, integritat, disponibilitat i resiliència permanent dels sistemes i serveis de tractament
Conseqüències de no realitzar l’Avaluació de l’impacte correctament
Si l’AIPD és obligatòria i no es realitza, o es realitza de forma inadequada o insuficient, els tractaments de dades queden exposats a riscos no detectats i en conseqüència no es poden adoptar les mesures que s’haurien d’utilitzar per mitigar els efectes negatius que les operacions del tractament poden tenir per als drets i les llibertats de les persones.
Si es produeixen impactes negatius pot suposar que el responsable o l’encarregat del tractament cometin infraccions com per exemple l’incompliment d’obligacions o vulneració de principis, o no atendre adequadament els drets de les persones afectades. Això pot comportar que es produeixin danys i perjudicis materials o morals per a les persones afectades que comportarien sancions importants a determinar segons el tipus d’infracció comesa i el perjudici ocasionat.
Què cal fer si una vegada realitzada l’avaluació de l’impacte s’arriba a la conclusió que les operacions de tractament previstos continuen suposant un gran risc?
Si l’avaluació de riscos relativa a la protecció de les dades arriba a la conclusió que el tractament comportaria un alt risc pel fet que el responsable del tractament no ha estat capaç de trobar o incorporar mesures prou efectives per mantenir controlats els risc és en un nivell acceptable, estarem en la situació que risc residual, el que queda després d’haver previst aplicar mesures per mitigar el risc inicial, contínua suposant un risc inacceptable per als drets i les llibertats de les persones i les dades de les quals s’ha previst tractar, s’haurà de realitzar una consulta prèvia a l’autoritat de control.
La consulta s’haurà de realitzar per escrit i l’autoritat de control l’haurà de contestar per escrit en les 8 setmanes següents a la data de la consulta, podent-se ampliar el termini de resposta a 6 setmanes més en funció de la complexitat del tractament de les dades.
Revisió de l’avaluació de l’impacte
El tractament de dades personals en el seu conjunt, o ben cadascuna de les operacions de processament de la informació que conformen un tractament, poden variar al llarg del temps. Aquests canvis en relació amb la situació inicial de tractaments poden afectar als riscos o a les mesures previstes per mitigar els riscos i per això cal establir mecanismes de revisió de les avaluacions.
El responsable del tractament ha de revisar la vigència de l’avaluació inicial quan es produeixin canvis rellevants en el tractament, especialment si aquests canvis poden implicar una variació de riscos detectats o de les mesures adoptades, com, per exemple, canvis en les mesures de seguretat, un temps superior de retenció de les dades, canvis normatius, etc.
La documentació relacionada amb les Avaluacions de l’Impacte ha d’estar a la disposició de les autoritats de supervisió, és a dir, no unicament l’informe final, sinó també el conjunt de documents de treball que s’han d’utilitzar per realitzar l’avaluació i que sustenten les decisions preses.
Contacti amb nosaltres per ampliar informació o sol·liciti’ns un pressupost sense compromís i ens posarem en contacte amb la seva empresa.
Deixa un comentari