¿Cómo realizar una evaluación de impacto en la protección de datos personales?

¿Cómo realizar una evaluación de impacto en la protección de datos personales?

La Evaluación del Impacto relativa a la Protección de Datos (EIPD) evalúa cómo los riesgos relacionados al tratamiento de datos personales podrían afectar a las organizaciones y a sus clientes. ¿Cómo llevarla a cabo?

Por: Gianncarlo Gustavo Gómez Morales el 22 Febrero 2022

Compartir en: FACEBOOK LINKEDIN TWITTER WHATSAPP

El Reglamento General de Protección de Datos de la Unión Europea (RGPD) introduce el concepto de Evaluación de Impacto relativa a la Protección de Datos (EIPD). Es así que, una evaluación de impacto en la protección de datos es el proceso que ayuda a identificar, analizar y minimizar los riesgos que se pueden presentar durante el tratamiento de datos personales en una organización. Permite implementar soluciones innovadoras y evaluar la viabilidad del plan a una edad temprana.

Para llevar a cabo una evaluación de impacto en la protección de datos de manera eficaz, se deben seguir los siguientes pasos:

Determinas la necesidad de una evaluación de impacto en la protección de datos

No siempre es necesaria la realización de una evaluación de impacto, aunque es recomendable que a la hora de realizar un nuevo tratamiento siempre se analicen los posibles riesgos que puede entrañar el mismo.

El primer paso es identificar cualquier señal de alerta, o cambio significativo, que indique la necesidad de llevar a cabo una evaluación de impacto en la protección de datos. Para ello, se deben analizar cuatro aspectos esenciales:

  • Naturaleza: qué se planea hacer con los datos.
  • Ámbito: qué datos serán procesados.
  • Contexto: qué factores internos o externos podrían generar riesgos.
  • Propósito: por qué es necesario procesar los datos.

Definir el ciclo de vida de los datos personales

Se debe definir e inventariar el ciclo de vida de los datos personales y también, el flujo de datos en el proceso de tratamiento. En este punto se realiza una Identificación de los datos personales involucrados en el tratamiento.

Identificar los participantes en la DPIA

El siguiente paso es definir a los participantes en la evaluación de impacto en la protección de datos. Los dos más importantes son el responsable del proyecto y/o proceso y el delegado de protección de datos (DPO). En algunos casos, se puede necesitar la asesoría de expertos externos, como profesionales de seguridad de la información, abogados, analistas de seguridad, entre otros.

Identificar y evaluar los riesgos de protección de datos

Este apartado es considerado el más importante del proceso. Aquí, se enumeran todos los posibles riesgos que podrían afectar la privacidad y la seguridad de los datos. Estos pueden ser clasificados en tres tipos:

  1. Riesgo de confidencialidad: Cuando una persona tiene acceso a los datos de manera ilegítima.
  2. Riesgo para la integridad: Cuando una persona no autorizada modifica los datos.
  3. Riesgo para la disponibilidad: Cuando una persona elimina datos sin autorización.

Identificar medidas para mitigar los riesgos

Luego de identificar los riesgos del procesamiento de datos, se lleva a cabo la implementación de las medidas para mitigarlos o eliminarlos. Es importante considerar que cada riesgo documentado deberá tener una solución específica y explicada.

Entre las medidas que se pueden poner en práctica, se encuentran:

  • Implementar controles de privacidad
  • Capacitar al personal para garantizar que los riesgos se prevean y gestionen adecuadamente.
  • No recabar determinados tipos de datos.
  • Anonimizar datos. Entre otros.

Otros aspectos que deben considerar las organizaciones están los costes y los beneficios de cada tipo de medida.

Plan de acción y conclusiones

En este punto se debe elaborar el informe de conclusiones de la EIPD donde se documente el resultado obtenido junto con el plan de acción que incluya las medidas de control que se deben implementar para mitigar los riesgos detectados.

El informe final de EIPD debe incluir la siguiente información:

  • Descripción del proyecto y su propósito.
  • Evaluación de las necesidades y el alcance del procesamiento de datos.
  • Evaluación de los riesgos de protección de datos y privacidad del consumidor.
  • Explicación de las medidas que pondrá en práctica la organización para mitigar los riesgos.

Cabe destacar que no es necesario eliminar todos los riesgos alrededor del procesamiento de datos. Algunos pueden ser definidos como aceptables, teniendo en cuenta los beneficios del proceso y las dificultades de mitigación.

Todos estos pasos evitan algún tratamiento inadecuado de datos personales o una brecha de datos, como el sucedido en abril de 2021, que tuvo como víctima a Facebook. El ataque provocó que los datos de 533 millones de usuarios de la red social fueran robados y filtrados de forma gratuita en Internet, según datos de Statista.

*Gianncarlo Gómez es profesor del curso en Gestión de la privacidad y protección de datos personales del PEE de ESAN.

Si quieres aprender más sobre este tema, participa en el Certificado de Especialización en Tecnología de la Información del PEE de ESAN.

 

Fuentes:

Realización de evaluaciones de impacto de protección de datos 

How to Perform a Data Protection Impact Assessment (DPIA) 

7 key stages of the data protection impact assessment 

How to Conduct a Data Protection Impact Assessment 

How do we do a DPIA? 

Casos más importantes de filtraciones de datos online a nivel mundial a abril de 2021

 

Gianncarlo Gustavo Gómez Morales

Head Of Cybersecurity Audit en el Banco Interamericano de Finanzas y Docente Adjunto del curso Cyber Policy Development en la National Defense University en Washington D.C. Se desempeñó como Oficial de Seguridad de la Información y Protección de Datos Personales en el OSIPTEL y Gerente Adjunto de Arquitectura de Seguridad en el Banco de Crédito del Perú. Además, es auditor y entrenador de norma ISO/IEC 27001. Magister en Administración y Dirección de TI por la Universidad Nacional de Trujillo. Posgrado en Seguridad de la Información por ESAN. Cuenta con especialización en la UNE ISO/IEC 27001 por el INTECO-CERT de España, Lead Auditor en ISO/IEC 27001, Protección de Datos Personales por la Agencia Española de Protección de Datos, Ciberseguridad por la Universidad Rey Juan Carlos y en Desarrollo de Políticas de Ciberseguridad por la Universidad Nacional de Defensa de EE. UU. - Washington D.C.

Otros artículos del autor

Acciones clave para la protección de datos personales en las organizaciones

26 Febrero 2024
Las empresas deben contar con un área especializada en protección de datos y trabajar de la mano con expertos en derecho corporativo para asegurarse de cumplir las normativas nacionales e internacionales.
  • Actualidad
  • Tecnología

Técnicas criptográficas para proteger la información de las empresas

29 Enero 2024
La criptografía, pese a ser utilizada desde hace miles de años, sigue siendo clave para proteger la información privada de las empresas y sus clientes. Por ello, es importante conocer las principales herramientas y aplicaciones de esta tecnología.
  • Actualidad
  • Tecnología

¿Cómo avanza la lucha de las empresas contra el ransomware?

11 Abril 2023

El ransomware es la modalidad de ciberdelito más frecuente en la actualidad, además se ejecuta con mayor rapidez que antes. ¿Qué medidas pueden tomar las empresas para disminuir las posibilidades de sufrir este tipo de ataques?

  • Actualidad
  • Tecnologías de Información