La Evaluación del Impacto relativa a la Protección de Datos (EIPD) evalúa cómo los riesgos relacionados al tratamiento de datos personales podrían afectar a las organizaciones y a sus clientes. ¿Cómo llevarla a cabo?
El Reglamento General de Protección de Datos de la Unión Europea (RGPD) introduce el concepto de Evaluación de Impacto relativa a la Protección de Datos (EIPD). Es así que, una evaluación de impacto en la protección de datos es el proceso que ayuda a identificar, analizar y minimizar los riesgos que se pueden presentar durante el tratamiento de datos personales en una organización. Permite implementar soluciones innovadoras y evaluar la viabilidad del plan a una edad temprana.
Para llevar a cabo una evaluación de impacto en la protección de datos de manera eficaz, se deben seguir los siguientes pasos:
No siempre es necesaria la realización de una evaluación de impacto, aunque es recomendable que a la hora de realizar un nuevo tratamiento siempre se analicen los posibles riesgos que puede entrañar el mismo.
El primer paso es identificar cualquier señal de alerta, o cambio significativo, que indique la necesidad de llevar a cabo una evaluación de impacto en la protección de datos. Para ello, se deben analizar cuatro aspectos esenciales:
Se debe definir e inventariar el ciclo de vida de los datos personales y también, el flujo de datos en el proceso de tratamiento. En este punto se realiza una Identificación de los datos personales involucrados en el tratamiento.
El siguiente paso es definir a los participantes en la evaluación de impacto en la protección de datos. Los dos más importantes son el responsable del proyecto y/o proceso y el delegado de protección de datos (DPO). En algunos casos, se puede necesitar la asesoría de expertos externos, como profesionales de seguridad de la información, abogados, analistas de seguridad, entre otros.
Este apartado es considerado el más importante del proceso. Aquí, se enumeran todos los posibles riesgos que podrían afectar la privacidad y la seguridad de los datos. Estos pueden ser clasificados en tres tipos:
Luego de identificar los riesgos del procesamiento de datos, se lleva a cabo la implementación de las medidas para mitigarlos o eliminarlos. Es importante considerar que cada riesgo documentado deberá tener una solución específica y explicada.
Entre las medidas que se pueden poner en práctica, se encuentran:
Otros aspectos que deben considerar las organizaciones están los costes y los beneficios de cada tipo de medida.
En este punto se debe elaborar el informe de conclusiones de la EIPD donde se documente el resultado obtenido junto con el plan de acción que incluya las medidas de control que se deben implementar para mitigar los riesgos detectados.
El informe final de EIPD debe incluir la siguiente información:
Cabe destacar que no es necesario eliminar todos los riesgos alrededor del procesamiento de datos. Algunos pueden ser definidos como aceptables, teniendo en cuenta los beneficios del proceso y las dificultades de mitigación.
Todos estos pasos evitan algún tratamiento inadecuado de datos personales o una brecha de datos, como el sucedido en abril de 2021, que tuvo como víctima a Facebook. El ataque provocó que los datos de 533 millones de usuarios de la red social fueran robados y filtrados de forma gratuita en Internet, según datos de Statista.
Fuentes:
Realización de evaluaciones de impacto de protección de datos
How to Perform a Data Protection Impact Assessment (DPIA)
7 key stages of the data protection impact assessment
How to Conduct a Data Protection Impact Assessment
Casos más importantes de filtraciones de datos online a nivel mundial a abril de 2021
Gianncarlo Gustavo Gómez Morales
Head Of Cybersecurity Audit en el Banco Interamericano de Finanzas y Docente Adjunto del curso Cyber Policy Development en la National Defense University en Washington D.C. Se desempeñó como Oficial de Seguridad de la Información y Protección de Datos Personales en el OSIPTEL y Gerente Adjunto de Arquitectura de Seguridad en el Banco de Crédito del Perú. Además, es auditor y entrenador de norma ISO/IEC 27001. Magister en Administración y Dirección de TI por la Universidad Nacional de Trujillo. Posgrado en Seguridad de la Información por ESAN. Cuenta con especialización en la UNE ISO/IEC 27001 por el INTECO-CERT de España, Lead Auditor en ISO/IEC 27001, Protección de Datos Personales por la Agencia Española de Protección de Datos, Ciberseguridad por la Universidad Rey Juan Carlos y en Desarrollo de Políticas de Ciberseguridad por la Universidad Nacional de Defensa de EE. UU. - Washington D.C.
El ransomware es la modalidad de ciberdelito más frecuente en la actualidad, además se ejecuta con mayor rapidez que antes. ¿Qué medidas pueden tomar las empresas para disminuir las posibilidades de sufrir este tipo de ataques?