Guia Evaluacion Impacto

Guía Evaluación Impacto Protección de Datos

Como os adelanté en mi entrada de fecha 30 de marzo, la Agencia Española de Protección de Datos, ya ha publicado de forma definitiva su GUÍA PARA UNA EVALUACIÓN DE IMPACTO EN LA  PROTECCIÓN DE DATOS PERSONALES, cuyo texto íntegro podréis descargaros en este enlace de la web de la referida Agencia:

http://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2014/notas_prensa/news/2014_10_29-ides-idphp.php

Ante todo, que no cunda el pánico.

Recordemos que la Evaluación de Impacto no es obligatoria por ahora según la normativa española. Aunque también es cierto que es muy probable que lo sea en el futuro, pues la propuesta de Reglamento Europeo de Protección de Datos así lo recoge.

La Guía, de 71 páginas, incluye modelos para llevar a cabo la evaluación y el detalle del procedimiento a seguir.

El Anexo I de la Guía recoge un cuestionario muy completo dirigido a determinar si en un determinado producto o servicio, se han tenido en cuenta todos los aspectos de la normativa de protección de datos de carácter personal.

Una vez realizada la Evaluación, se emitirá un informe escrito que al menos deberá incluir:

––Identificación del proyecto, persona o personas responsables de la EIPD y sus datos de contacto, la fecha de realización del informe y su número de versión.

––Resumen del informe con indicación de los resultados.

––Introducción y descripción general del proceso de evaluación.

––Resultado del análisis de necesidad de la evaluación y su justificación.

––Descripción general del proyecto.

––Descripción detallada de los flujos de datos personales.

––Riesgos identificados.

––Identificación de partes interesadas o a las que afecta el proyecto, tanto internas como externas a la organización, y resultados de las consultas llevadas a cabo con éstas.

––Análisis de cumplimiento normativo y detalle de posibles deficiencias detectadas y propuestas para su solución.

––Recomendaciones del equipo de la EIPD y medidas adoptadas o que deben adoptarse para eliminar o evitar, mitigar, transferir o aceptar los riesgos para la privacidad.

En el capítulo 6 de la Guía, se incluye un “catálogo de riesgos” cuya existencia deberá ser comprobada en relación con el producto o servicio que se quiera poner en marcha.