Recientemente, la Agencia de Protección de Datos (AEPD) ha puesto a disposición de los autónomos una guía para elaborar y llevar a cabo una evaluación de riesgos relativos a la protección de los datos personales.
Pero ¿qué es una Evaluación de Impacto o EIPD?
Pues bien, se trata de un protocolo que busca analizar los posibles riesgos con respecto a los datos personales de los trabajadores y/o clientes del negocio.
Por tanto, y a través del conocimiento de los posibles riesgos, el protocolo permite tomar las medidas correspondientes con el fin de proteger estos datos y evitar cualquier tipo de filtración.
Ahora bien, ¿todos los autónomos deben hacer una EIPD?
La respuesta es que no.
El artículo 35 del Reglamento General de Protección de Datos establece que solo deberán hacerlo cuando se cumplan dos o más criterios de los siguientes:
- Que el tratamiento de los datos implique aspectos de la personalidad o sobre hábitos.
- Que el tratamiento implique cualquier decisión que pueda impedir el ejercicio de un derecho por parte del interesado.
- Que el tratamiento implique una recopilación y control de datos de forma sistemática y exhaustiva, incluyendo la recopilación a través de redes sociales.
- Que el tratamiento implique el uso de datos relativos a infracciones penales o que permitan conocer situaciones financieras y de solvencia.
- Que el tratamiento implique el uso y recopilación de datos biométricos.
- Que el tratamiento implique el uso y recopilación de datos genéticos.
- Que el tratamiento implique el uso y recopilación de datos a gran escala y de forma masiva.
- Que el tratamiento implique la combinación o enlace de registros de bases de datos.
- Que el tratamiento implique datos vulnerables o en riesgo de exclusión social.
- Que el tratamiento implique el uso de nuevas tecnologías.
- Que el tratamiento obstaculice el ejercicio de alguno de los derechos reconocidos por parte del interesado.
Por tanto, solo aquellos que cumplan con dos o más de estos criterios estarán obligados, según la normativa de protección de datos, a elaborar una EIPD.
¿Cómo se tiene que hacer?
El Reglamento General de Protección de Datos recoge la metodología, así como los aspectos que debe incluir nuestra EIPD.
Pero, en resumidas cuentas, los pasos son los siguientes:
- Valoración del contexto
En este apartado, y en primer lugar, debemos analizar el ciclo de vida de los datos, incluyendo el tipo de datos tratados, así como los intervinientes, sistemas utilizados y cualquier otro aspecto que sea relativo al tratamiento y a las fases del mismo. Todo ello con el fin de tener un control de todo el proceso.
Posteriormente, también debe llevarse a cabo un análisis del tratamiento en cuestión, con el objetivo de comprobar la necesidad y proporcionalidad del mismo, así como la adecuación a una finalidad. Ello ayudará a saber qué datos es necesario tratar y descartar aquellos que no, evitando usos de datos que no hacen falta.
- Análisis y gestión de riesgos
Este segundo apartado puede considerarse como el más importante de toda la EIPD, puesto que es donde vamos a analizar los riesgos que puedan existir.
Por tanto, un primer paso es identificarlos. Estos riesgos o amenazas deberán determinarse en base a las actividades que realicemos y al tratamiento que efectuemos.
Una vez identificados los riesgos, debe llevarse a cabo un análisis de los mismos, donde se determinará la probabilidad de que pasen, así como el impacto, perjuicio o daño que puedan ocasionar.
Por último, pero no menos importante, deberemos recoger una serie de medidas y/o acciones tanto para prevenir la aparición y materialización de dichos riesgos o, en su caso, evitar que el impacto sea tan grande, rebajándolo a un estándar aceptable y respetable con los derechos y libertades de los trabajadores y/o clientes.
- Conclusiones y validación
Finalmente, y en base a toda la información recopilada en los pasos anteriores, elaboraremos un informe final que contenga las conclusiones sobre los diferentes riesgos, así como un plan de acción para prevenir y afrontarlos, garantizando en todo momento los derechos y libertades de las personas.
