Guia Evaluacion Impacto

Guía Evaluación Impacto Protección de Datos

Como os adelanté en mi entrada de fecha 30 de marzo, la Agencia Española de Protección de Datos, ya ha publicado de forma definitiva su GUÍA PARA UNA EVALUACIÓN DE IMPACTO EN LA  PROTECCIÓN DE DATOS PERSONALES, cuyo texto íntegro podréis descargaros en este enlace de la web de la referida Agencia:

http://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2014/notas_prensa/news/2014_10_29-ides-idphp.php

Ante todo, que no cunda el pánico.

Recordemos que la Evaluación de Impacto no es obligatoria por ahora según la normativa española. Aunque también es cierto que es muy probable que lo sea en el futuro, pues la propuesta de Reglamento Europeo de Protección de Datos así lo recoge.

La Guía, de 71 páginas, incluye modelos para llevar a cabo la evaluación y el detalle del procedimiento a seguir.

El Anexo I de la Guía recoge un cuestionario muy completo dirigido a determinar si en un determinado producto o servicio, se han tenido en cuenta todos los aspectos de la normativa de protección de datos de carácter personal.

Una vez realizada la Evaluación, se emitirá un informe escrito que al menos deberá incluir:

––Identificación del proyecto, persona o personas responsables de la EIPD y sus datos de contacto, la fecha de realización del informe y su número de versión.

––Resumen del informe con indicación de los resultados.

––Introducción y descripción general del proceso de evaluación.

––Resultado del análisis de necesidad de la evaluación y su justificación.

––Descripción general del proyecto.

––Descripción detallada de los flujos de datos personales.

––Riesgos identificados.

––Identificación de partes interesadas o a las que afecta el proyecto, tanto internas como externas a la organización, y resultados de las consultas llevadas a cabo con éstas.

––Análisis de cumplimiento normativo y detalle de posibles deficiencias detectadas y propuestas para su solución.

––Recomendaciones del equipo de la EIPD y medidas adoptadas o que deben adoptarse para eliminar o evitar, mitigar, transferir o aceptar los riesgos para la privacidad.

En el capítulo 6 de la Guía, se incluye un “catálogo de riesgos” cuya existencia deberá ser comprobada en relación con el producto o servicio que se quiera poner en marcha.

Evaluacion Impacto Proteccion Datos

La Agencia Española de Protección de Datos está elaborando una Guía de evaluación del impacto en la Protección de Datos (de forma abreviada: EIPD).

De hecho, incluso ha publicado hace poco un borrador de la Guía en su web, que puedes leer aquí:

http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/GuiaEIPDPBorrador.pdf

La Guía está en fase de consulta pública, a la que se puede acceder también desde la web de la Agencia.

La idea de la Evaluación de Impacto no es otra que llevar a cabo un análisis de los riesgos que los sistemas de información, productos o servicios de una empresa, entidad o profesional, puedan suponer para el derecho fundamental de protección de datos. Con esa evaluación se quiere lograr la gestión de los riesgos, adoptando medidas para eliminarlos o mitigarlos lo más posible.

Ante todo, debe quedar claro que la EIPD no es una obligación legal en este momento en España, aunque puede serlo en el futuro, si así se aprueba finalmente en el  Reglamento General de Protección de Datos europeo. La Agencia Española de Protección de Datos lo presenta como una herramienta que puede resultar muy útil para mejorar las políticas y prácticas de protección de datos en las organizaciones, si bien no es ni mucho menos la única herramienta que puede servir a ese fin.

La forma de desarrollar esta EIPD se describe ordenada y detalladamente en la Guía, fijándose incluso cómo debe ser la estructura del informe de Evaluación de Impacto.

En palabras de la AEPD:

“La Agencia Española de Protección de Datos confía en que esta Guía promueva la concienciación de las organizaciones y que impulse y promueva la utilización de esta herramienta para conseguir que la protección de datos personales sea, cada vez más, parte indisoluble de la cultura de entidades públicas y privadas y que, de esta manera, se contribuya a la creación de confianza entre los ciudadanos, confianza que tan necesaria resulta para el despegue y correcto funcionamiento de los servicios de la Sociedad de la Información.”

 

Y como ya habrás imaginado, la idea de la EIPD viene de la preocupación creciente por la pérdida de control sobre los datos personales que pueden producirse por el uso de internet, cloud computing, transferencias internacionales de datos y el desarrollo constante de las tecnologías de la información en general.

 

Incidencias de seguridad y LOPD


Veamos hoy otro de los cambios proyectados en la Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en los que respecta al tratamiento de datos personales y a la libre circulación estos datos (Reglamento general de protección de datos.
En España, actualmente, existe una regulación sobre las incidencias de seguridad que afectan a datos de carácter personal. Así, en el artículo 90 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos, se exige que exista un procedimiento de registro de notificación y gestión de las incidencias que afecten a datos de carácter personal. El Reglamento añade algunas exigencias más en el artículo 100 para los datos de nivel medio.
La cuestión es que se trata de un procedimiento básicamente de carácter interno, donde se realiza una comunicación interna de lo ocurrido.
La novedad del Reglamento Europeo de protección de datos es precisamente que la comunicación de la incidencia se dirigirá y hará llegar a una Autoridad de control (autoridad pública en materia de protección de datos: la AEPD, por ejemplo).
Esto es lo que plantea el artículo 31 de la propuesta de Reglamento:
Artículo 31

Notificación de una violación de datos personales a la autoridad de control.

1. En caso de violación de datos personales, el responsable del tratamiento la notificará a la autoridad de control sin demora injustificada y, de ser posible, a más tardar veinticuatro horas después de que haya tenido constancia de ella. Si no se hace en el plazo de veinticuatro horas, la notificación a la autoridad de control irá acompañada de una justificación motivada.

2. Con arreglo a lo dispuesto en el artículo 26, apartado 2, letra f), el encargado del tratamiento alertará e informará al responsable del tratamiento inmediatamente después de que haya constatado una violación de datos personales.

3. La notificación contemplada en el apartado 1 deberá, al menos:

a) describir la naturaleza de la violación de datos personales, en particular las categorías y el número de interesados afectados, y las categorías y el número de registros de datos de que se trate;

b) comunicar la identidad y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;

c) recomendar medidas tendentes a atenuar los posibles efectos negativos de la violación de datos personales;

d) describir las consecuencias de la violación de datos personales;

e) describir las medidas propuestas o adoptadas por el responsable del tratamiento para poner remedio a la violación de datos personales.

(…)
Y la incidencia de seguridad no sólo será notificada a esa Autoridad de control, sino que también se comunicará al interesado, a la persona afectada. Así lo propone el artículo 32 de la Propuesta de Reglamento:
Artículo 32

Comunicación de una violación de datos personales al interesado.

1. Cuando sea probable que la violación de datos personales afecte negativamente a la protección de los datos personales o a la privacidad del interesado, el responsable del tratamiento, después de haber procedido a la notificación contemplada en el artículo 31, comunicará al interesado, sin demora injustificada, la violación de datos personales.

2. La comunicación al interesado contemplada en el apartado 1 describirá la naturaleza de la violación de datos personales y contendrá, al menos, la información y las recomendaciones previstas el artículo 31, apartado 3, letras b) y c).

(…)

Llama la atención de entrada, la brevedad extrema del plazo que se concede para hacer la notificación a la Autoridad de Control. Habrá que estar al plazo que finalmente se apruebe, pero probablemente se mantenga ese mismo.
Todo esto implicará la necesidad de que las empresas cambien su planteamiento de la gestión de incidencias que afecten a datos personales, con objeto de adecuarla a las nuevas exigencias legales.