EIPD: Evaluación de impacto sobre datos personales

Publicado el 01 junio 2019 por Esparza @jamaesparza @innovatic2000
Con el objetivo de facilitar a los responsables y encargados de tratamientos la Evaluación de Impacto relativa a la protección de Datos Personales (EIPD), la Agencia Española de Protección de Datos ha publicado publicado el listado de tratamientos en los que es obligatorio realizar una evaluación de impacto conforme el artículo 35.1 del Reglamento Europeo de Protección de Datos (RGPD) y el artículo 28.1 de la Ley Orgánica de Protección de Datos Personales y Garantias de los Derechos Digitales (LOPDGdd).

Es importante resaltar que la LOPDGdd, es su artículo 73.t, considera una infracción grave:
"El tratamiento de datos personales sin haber llevado a cabo la evaluación del impacto de las operaciones de tratamiento en la protección de datos personales en los supuestos en que la misma sea exigible."
Dejo una imagen gráfica con un resumen de los tratamientos de datos personales que están obligados a tener una evaluación de impacto:

¿Qué debe de incluir la EIPD? 
Conformes la guía de la AEPD debe de tener al menos:
"1.- Una descripción sistemática de la actividad de tratamiento previstas
2.- Una evaluación de la necesidad y proporcionalidad del tratamiento respecto a su finalidad
3.- Una evaluación de los riesgos
4.- Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales"
Referente a los puntos 3 y 4, reseñar que un riesgo es una probabilidad de ocurrencia (no confundir con un hecho) y el efecto de la ocurrencia del riesgo es el impacto. Asimismo, se podrán implantar medidas para tratar el riesgo o el impacto, en este caso referidas a la protección de datos personales. Lo que se pretende es básicamente tener definida una respuesta ante los riesgos identificados con el objetivo de minimizar la probabilidad y el impacto de que estos se materialicen hasta un nivel de riesgo aceptable que permita garantizar los derechos y libertades de las personas físicas. El matiz "aceptable" es importante ya que es imposible en la mayoría de los casos mitigar un riesgo al 100% y quedará un riesgo residual a pesar de las medidas adoptadas. "La seguridad al 100% no existe".

Ejemplo de Matriz de Riesgos Cualitativa y Cuantitativa


Plantilla en la "Guía práctica para las evaluaciones de impacto en la protección de los datos sujetas al RGPD" - AEPD


La AEPD publica el listado de tratamientos en los que es obligatorio realizar una evaluación de impacto
https://www.aepd.es/media/criterios/listas-dpia-es-35-4.pdf
Evaluaciones de impacto de protección de datos - AEPD
https://www.aepd.es/reglamento/cumplimiento/evaluaciones-de-impacto.html
Guía práctica para las evaluaciones de impacto en la protección de los datos sujetas al RGPD - AEPD
https://www.aepd.es/media/guias/guia-evaluaciones-de-impacto-rgpd.pdf
Reglamento RGPD (Reglamento General de Protección de Datos)
https://www.boe.es/doue/2016/119/L00001-00088.pdf
Ley Orgánica de Protección de Datos personales y Garantía de los Derechos Digitales
https://www.boe.es/buscar/act.php?id=BOE-A-2018-16673
Gestionando los riesgos en un proyecto - Bloginnova
https://www.bloginnova.com/2016/07/gestionando-los-riesgos-de-un-proyecto.html https://www.bloginnova.com https://www.bloginnova.com/english