La perspectiva de Cyber Academy
Una DPIA es el análisis estructurado que el GDPR exige antes de un tratamiento de alto riesgo. Documenta la naturaleza, el alcance, el contexto y las finalidades; evalúa la necesidad y la proporcionalidad; identifica las medidas de mitigación. La CNIL ofrece una herramienta PIA gratuita: úsela. Omitir una DPIA cuando era obligatoria es una de las formas más directas de atraer una visita del regulador.
Cuándo se requiere una EIPD, y cuándo no
Una Evaluación de Impacto relativa a la Protección de Datos no es un trámite que se produce para cada proyecto. El RGPD la vincula a un único desencadenante: un tratamiento que probablemente entrañe un alto riesgo para los derechos y libertades de las personas. El texto menciona algunas situaciones en las que la evaluación es obligatoria, como la elaboración sistemática y exhaustiva de perfiles que produzca efectos jurídicos o efectos significativos similares, el tratamiento a gran escala de datos de categorías especiales y la observación sistemática a gran escala de una zona de acceso público. Las autoridades de control nacionales publican después sus propias listas de las operaciones que siempre requieren una EIPD, y listas de operaciones que no la requieren.
En la práctica se comienza con un cribado. Contraste con el tratamiento una breve lista de criterios de riesgo, del tipo publicado por el Comité Europeo de Protección de Datos, y cuente cuántos se aplican. Combinaciones como la evaluación o puntuación junto con la toma de decisiones automatizada, o los datos sensibles junto con el tratamiento de datos a gran escala, le hacen superar el umbral. Cuando la respuesta es incierta, la postura defendible consiste en documentar por qué concluyó que no era necesaria una EIPD completa, y no en eludir la cuestión en silencio.
Qué contiene la evaluación
El RGPD fija un contenido mínimo. Una EIPD debe contener una descripción sistemática de las operaciones de tratamiento y de los fines, una evaluación de la necesidad y la proporcionalidad del tratamiento en relación con esos fines, una evaluación de los riesgos para los derechos y libertades de los interesados, y las medidas previstas para afrontar esos riesgos, incluidas las garantías y las medidas de seguridad. La CNIL ofrece de forma gratuita una herramienta de software PIA que le guía exactamente a través de esta estructura, y no hay razón para reconstruirla desde cero.
La necesidad y la proporcionalidad son donde la mayoría de las evaluaciones flaquean. Se trata de una prueba jurídica, no de seguridad: ¿es cada campo de datos realmente necesario para el fin declarado, está justificado el plazo de conservación, existe una base jurídica, se garantizan los derechos de los interesados? El análisis de riesgos es la parte de carácter más cercano a la seguridad, y toma prestado directamente de la práctica de gestión de riesgos. Aquí es donde ISO 27005 y EBIOS Risk Manager le proporcionan el vocabulario de las amenazas, los eventos temidos, la probabilidad y la gravedad. Una EIPD evalúa el riesgo para las personas cuyos datos se tratan, no el riesgo para la organización, que es la distinción que hace tropezar a la gente.
Quién la realiza, y cómo se mantiene viva
El responsable del tratamiento es el encargado de llevar a cabo la EIPD. Cuando se designa un Delegado de Protección de Datos, el responsable del tratamiento debe recabar su asesoramiento, y el DPO normalmente revisa la evaluación y supervisa su ejecución. También debe recabar la opinión de los interesados o de sus representantes cuando proceda. Los encargados del tratamiento tienen el deber de asistir. Si, tras la mitigación, el riesgo residual sigue siendo alto y no puede reducirlo, el RGPD exige la consulta previa a la autoridad de control antes de que comience el tratamiento.
Una EIPD es un documento vivo. El responsable del tratamiento debe revisarla cuando se produzca un cambio en el riesgo que representa el tratamiento, por ejemplo un nuevo flujo de datos, una nueva tecnología, un nuevo fin o un nuevo subencargado. Trátela como algo continuo: un ritmo útil consiste en reexaminar las evaluaciones según un ciclo definido y siempre que el diseño cambie, en lugar de archivarlas una vez y olvidarse de ellas.
| Dimensión | EIPD | Evaluación de riesgos de seguridad general |
|---|---|---|
| Desencadenante | Tratamiento de datos personales de alto riesgo | Cualquier activo, sistema o proceso dentro del alcance |
| Objeto del riesgo | Derechos y libertades de las personas | La organización y sus activos |
| Estatuto jurídico | Obligatoria conforme al RGPD cuando se desencadena | Impulsada por una política o normas como ISO 27001 |
| Método típico | Herramienta PIA de la CNIL, criterios del EDPB, prueba de necesidad | ISO 27005, EBIOS Risk Manager |
| Resultado | Medidas de mitigación más una posible consulta previa | Plan de tratamiento y aceptación del riesgo residual |
Frequently asked questions
01¿Es obligatoria una EIPD para toda actividad de tratamiento?
No. Solo se requiere cuando el tratamiento probablemente entrañe un alto riesgo para las personas. Primero se realiza un cribado frente a los criterios publicados por su autoridad de control y el EDPB, y se documenta la conclusión del cribado en cualquiera de los dos sentidos.
02¿Cuál es la diferencia entre una EIPD y una PIA?
Describen el mismo ejercicio. EIPD es el término empleado en el RGPD. PIA, Privacy Impact Assessment, es la denominación más amplia y antigua, y es el nombre que la CNIL da a su herramienta de software gratuita.
03¿Qué ocurre si el riesgo residual sigue siendo alto tras la mitigación?
El RGPD exige la consulta previa a la autoridad de control antes de que comience el tratamiento. La autoridad puede asesorar y, cuando el tratamiento infringiría el reglamento, ejercer sus poderes correctivos.
04¿Quién es responsable de llevar a cabo la EIPD?
El responsable del tratamiento. Cuando se designa un DPO, el responsable del tratamiento debe recabar su asesoramiento y el DPO supervisa la ejecución. Los encargados del tratamiento deben asistir, y usted debe recabar la opinión de los interesados cuando proceda.
05¿Cuándo debe revisarse una EIPD?
Siempre que cambie el riesgo que representa el tratamiento: un nuevo fin, un nuevo flujo de datos, una nueva tecnología o un nuevo subencargado. Trátela como un documento vivo sujeto a un ciclo de revisión periódico, no como un ejercicio puntual.