Evalúa Consultores, Protección de Datos en Granada

Mediante esta sección de noticias pretendemos hacerles partícipes de todas las novedades interesantes que acontezcan en relación a la normativa sobre protección de datos y de la actualidad de nuestra propia empresa. Hágalo interactivo, comente los post y compártalos en sus redes sociales

26
mar

Otra novedad en la nueva normativa sobre protección de datos (R.G.P.D).Newsletter marzo de 2018

El nuevo Reglamento General de protección de datos (RGPD) 2016/679 de 27 Abril de 2016, incorpora  una  novedad importante, recogida en su art. 35, se trata de la Evaluación de Impacto para la protección de datos personales, , que en adelante nombraremos por su acrónimo “EIPD.

En primer lugar, vamos a explicar qué es una EIPD.

Las EIPD es una proceso que permite evaluar de manera anticipada, cuáles son los POSIBLES RIESGOS a los que se exponen los datos personales por los tratamientos a los que se van a ver sometidos por un responsable del tratamiento (ya sea una empresa, profesional autónomo, administración pública…). En definitiva, identificar aquellos tratamientos de datos personales que  puedan suponer un elevado riesgo para los derechos y libertades de las personas afectadas por dicho tratamiento: datos de salud, menores, gran volumen de datos, etc. para evitar que dicho tratamiento vulnere derechos y libertades de los titulares.

La razón de ser de la EIPD, no es otra, que cumplir con la obligación que establece el RGPD de demostrar por el responsable del tratamiento de que ha implementado las medidas de seguridad correctas para salvaguardar los derechos y libertades de las personas cuyos datos van a ser objeto de tratamiento (principio de responsabilidad proactiva o accountability)

La siguiente cuestión que nos vendría a la mente, sería:

 ¿Quién tiene obligación de hacer la EIPD? La obligación de hacer la EIPD corresponderá en todo caso a los responsables del tratamiento, ahora bien, ¿qué responsables deben llevarla a cabo?  A priori, cualquier tratamiento de datos NO lleva aparejada la obligación de realizar la EIPD.

La EIPD se obligatoria en particular en caso de:

  • evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
  • tratamiento a gran escala de las categorías especiales de datos, tales como: datos genéticos, biométricos, relacionados con la salud …
  • observación sistemática a gran escala de una zona de acceso público.

No obstante, hay muchos más tratamientos que podrían suponer la necesidad de realizar la EIPD, por suponer un riesgo o potencial riesgo para los afectados por ese tratamiento. La Agencia Española de Protección de Datos publicará próximamente una lista con los tratamientos que NO van a requerir una EIPD y otra lista con aquellos, que por el contrario, SI será necesario.

La lista Robinson funciona · Evalúa Consultores

 

 

 

 

 

 

 

Otra cuestión, que nos suscita la EIPD en el supuesto de que pueda estar obligado, sería ¿cómo hago la EIPD?…. Lo primero que se ha de tener presente es que el RGPD determina que el responsable del tratamiento deberá buscar el asesoramiento del Delegado de Protección de datos, por tanto, no es una cuestión baladí, es necesario buscar el asesoramiento adecuado para la realización de la misma.

En esta noticia,  daremos un pequeño avance del contenido mínimo que deben de tener las EIPD en caso de que nos encontremos ante la obligación de llevarla a cabo:

  • En primer lugar, se realizará una descripción del proyecto que se quiere llevar a cabo: es decir, describir que uso o que quiero hacer con los datos.
  • Identificar y evaluar los riesgos: análisis de los posibles riesgos y valoración de la probabilidad de que sucedan y del daño que acusarían si se materializarán.
  • Gestión de los riesgos identificados: determinación de los controles y las medidas que han de adoptarse para eliminar, mitigar, transferir o aceptar los riesgos detectados.
  • Informe final: relación detallada de los riesgos identificados y de las recomendaciones y propuestas para eliminarlos o mitigarlos. Su destinatario principal es la dirección de la organización, es decir, el responsable del tratamiento.

Si desean ampliar esta información, nos tienen a su disposición.

 

 

Acerca de Evalua
Somos especialistas en la implantación de la normativa sobre protección de datos: Ley 15/99 de Protección de Datos de Carácter Personal (LOPD), R.D 1720/2007 y Ley de Servicios de la Sociedad de la información y comercio electrónico(LSSI). Nuestro trabajo es avalado por el gran número de clientes que contamos, así como por la resolución de diferentes procedimientos sancionadores ante la Agencia Española de Protección de datos.