jueves, 9 de enero de 2020

Ayudando a realizar una EIPD

Fuente de la imagen: geralt en pixabay
Hace unos días, la Agencia Española de Protección de Datos (AEPD) preguntaba en su sitio web si conocía la herramienta Gestiona[1], que ya difundí a mediados del verano pasado en el sitio Protección de datos, en el explícito “Gestiona_EIPD”. Por cuestiones profesionales, la tarde del miércoles la estuve “bicheando” nuevamente, redescubriendo sus posibilidades de ayuda. Como ya transcribí en el texto antes referenciado, el Reglamento General de Protección de Datos (RGPD) establece que las organizaciones que tratan datos personales deben realizar un análisis de riesgos para establecer las medidas que sean necesarias para garantizar los derechos y libertades de las personas. Además, cuando de ese análisis se desprenda que existe un riesgo alto para la protección de datos, el RGPD exige a esas organizaciones llevar a cabo una Evaluación de Impacto en la Protección de Datos Personales[2] (EIPD). La AEPD dispone de un listado de tratamientos de datos personales en los que es obligatorio hacer una EIPD, como establece el RGPD[3]

Precisamente, el aplicativo Gestiona_EIPD, intenta ayudar a realizar análisis de riesgos y evaluaciones de impacto a las empresas y administraciones que lleven a cabo tratamientos de datos de alto riesgo como, por ejemplo, aquéllos que impliquen datos de salud o tratamientos masivos, pudiendo resultar también útil para las pymes que necesitan iniciarse en la realización de EIPD. Igualmente, procura guiar a los responsables y encargados del tratamiento de datos en los aspectos que se deben tener en cuenta en los análisis de riesgos y las evaluaciones de impacto, proporcionando una base inicial para llevar a cabo una adecuada gestión de los mismos, incluyendo los requisitos de cumplimiento normativo aplicables y posibles medidas encaminadas a reducir o mitigar los riesgos. En ningún caso estos requisitos de cumplimiento pueden ser reemplazados por medidas alternativas técnicas u organizativas[4]. Los datos que los responsables y encargados aporten[5] les permitirán obtener la documentación básica, que deberá ser completada por el responsable de tratamiento y, en su caso, el encargado del análisis de riesgos[6]. Fuente de la información: AEPD. Fuente de la imagen: geralt en pixabay. 
____________________________________
[1] AEPD: ¿Conoces Gestiona? Página visitada por última vez el 09/01/2020.
[2] Referenciada en este sitio en textos como: "Datos sujetos a Evaluación de Impacto" o ¿Evaluación de Impacto Sí o No?

[3] Art. 35.4 RGPD: “La autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos de conformidad con el apartado 1. La autoridad de control comunicará esas listas al Comité a que se refiere el artículo 68”. 
[4] Para más información, en la página web de la Agencia puede consultarse el Listado de elementos para el cumplimiento normativo del RGPD. Está diseñada como un cuestionario online donde el responsable debe valorar si desea hacer un análisis de riesgos o una evaluación de impacto en la protección de datos. 
[5] Y que la AEPD no conserva ni monitoriza de forma alguna. 
[6] Siguiendo las indicaciones establecidas en la Guía práctica para las evaluaciones de impacto en la protección de datos personales, y analizada periódicamente de manera que en todo momento se pueda demostrar que los tratamientos se llevan a cabo de conformidad con los requisitos que establece la normativa de protección de datos.