LA EVALUACIÓN DEL IMPACTO SOBRE LA SEGURIDAD DE LA INFORMACIÓN.

Principios de responsabilidad proactiva (ACCOUNTABILITY)

Necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme al reglamento.

Actitud consciente, diligente y proactiva

 ¿Qué es una Evaluación de Impacto de Protección de Datos?

Una Evaluación de Impacto en la Protección de Datos Personales (EIPD) es un análisis del riesgo del tratamiento de los datos. El resultado de esta evaluación del impacto determinará cuales son las acciones que se deben corregir o implementar para asegurar una correcta gestión de los datos personales.

Protección de datos desde el diseño y por defecto (PxD y PdD) 

El responsable del tratamiento aplicara tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas, apropiadas a fin de cumplir los requisitos del Reglamento y proteger los derechos de los interesados.

  • ¿Qué?:
    • Cuando el tratamiento de los datos entrañe un ALTO riesgo para los derechos y las libertades de los interesados.
  • ¿Cuándo?:
    • Con carácter previo al inicio del tratamiento.
  • ¿Para Qué?:
    • Para determinar las medidas técnicas y organizativas necesarias y adecuadas para velar por la seguridad de la información.

Seguridad de los datos personales

El responsable y el encargado del tratamiento aplicaran medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo que, en su caso, incluya, entre otros:

  1. La seudonimización y el cifrado de datos personales
  2. La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanente de los sistemas y servicios de tratamiento

Consecuencias de no realizar la Evaluación del impacto correctamente

Si la AIPD es obligatoria y no se realiza, o se realiza de forma inadecuada o insuficiente los tratamientos de datos quedan expuestos a riesgos no detectados y en consecuencia no se hablan adoptado las medidas que se deberían utilizar para mitigar los efectos negativos que las operaciones del tratamiento pueden tener para los derechos y las libertades de las personas.

Si se producen impactos negativos puede suponer que el responsable o el encargado del tratamiento cometan infracciones como por ejemplo el incumplimiento de obligaciones o vulneración de principios, o no atender adecuadamente los derechos de las personas afectadas. Esto puede conllevar que se produzcan daños y perjuicios materiales o morales para las personas afectadas que conllevarían sanciones importantes a determinar según el tipo de infracción cometida y el perjuicio ocasionado.

¿Qué hay que hacer si una vez realizada la evaluación del impacto se llega a la conclusión que las operaciones de tratamiento previstos continúan suponiendo un gran riesgo?

Si la evaluación de riesgos relativa a la protección de los datos llega a la conclusión de que el tratamiento comportaría un alto riesgo por el hecho que el responsable del tratamiento no ha sido capaz de encontrar o incorporar medidas lo suficientemente efectivas para mantener controlados los riesgo es en un nivel aceptable, estaremos en la situación de que riesgo residual, el que queda después de haber previsto aplicar medidas para mitigar el riesgo inicial, continua suponiendo un riesgo inaceptable para los derechos y las libertades de las personas i los datos de las cuales se ha previsto tratar, se deberá realizar una consulta previa a la autoridad de control.

La consulta se deberá realizar por escrito i la autoridad de control la deberá contestar por escrito en las 8 semanas siguientes a la fecha de la consulta, pudiéndose ampliar el plazo de respuesta a 6 semanas más en función de la complejidad del tratamiento de los datos.

Revisión de la evaluación del impacto

El tratamiento de datos personales en su conjunto, o bien cada una de las operaciones de procesamiento de la información que conforman un tratamiento, pueden variar a lo largo del tiempo. Estos cambios en relación con la situación inicial de tratamientos pueden afectar a los riesgos o a las medidas previstas para mitigar los riesgos i por eso hay que establecer mecanismos de revisión de las evaluaciones.

El responsable del tratamiento debe revisar la vigencia de la evaluación inicial cuando se produzcan cambios relevantes en el tratamiento, especialmente si estos cambios pueden implicar una variación de riesgos detectados o de las medidas adoptadas, como, por ejemplo, cambios en las medidas de seguridad, un tiempo superior de retención de los datos, cambios normativos, etc.

La documentación relacionada con las Evaluaciones del Impacto ha de estar a disposición de las autoridades de supervisión, es decir, no solo el informe final, sino también el conjunto de documentos de trabajo que se tienen que utilizar para realizar la evaluación y que sustentan las decisiones tomadas.

Contacte con nosotros para ampliar información o solicítenos un presupuesto sin compromiso y nos pondremos en contacto con su empresa.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies ACEPTAR

Aviso de cookies