Una breve descripción de la metodología DPIA
Este artículo se enfoca en un nuevo instrumento que puede definirse como mitad auditoría y mitad gestión de proyecto. En su artículo 35, el Reglamento General de Protección de Datos ofrece una herramienta analítica específica, similar a un instrumento previamente establecido. Para los evaluadores, es conocido como gestión de información y de riesgos de seguridad. Tenga en cuenta que este artículo no revisará la metodología de evaluación del impacto del RGPD en profundidad, fase por fase. En vez de ello, hará más bien un resumen de todas las fases de dicha evaluación. Otros artículos de esta serie explicarán los detalles de cada fase.
La naturaleza de una EIPD
Si usted ha leído el artículo sobre El rol del DPD, podrá haberse dado cuenta que el rol del DPD es algo horizontal, mezclado con habilidades legales, evaluativas, técnicas y comunicacionales. La EIPD es actualmente la materialización de esa mezcla. Adicionalmente, al incluir en la EIPD tanto a responsables como encargados del tratamiento en su procedimiento, se podría presumir que es la herramienta perfecta para asegurar la responsabilidad de una empresa.
Existe una obligación legal para llevar a cabo una evaluación si el tratamiento tiene altas probabilidades de ser un alto riesgo para el interesado (art. 35 RGPD). Dado lo que está en juego en un negocio y a la evolución de los sistemas TI, un enfoque de gestión de riesgos le permite a una organización determinar sus controles requeridos. Lo hace posible al estudiar el tratamiento, priorizar los riesgos y tratarlos en una manera proporcional para optimizar costes y tomar decisiones. Finalmente, una EIPD ayuda al negocio a demostrar la implementación de los principios de privacidad. Por lo tanto, podemos decir que la EIPD es una herramienta de cumplimiento; y debe ser usada antes de la implementación del tratamiento (análisis ex ante).
Un breve resumen de la metodología
Una EIPD consiste generalmente de varias fases. Cada una de esas fases analiza un aspecto específico de su tratamiento de datos contra una serie de controles y evaluaciones. Si usted se ha preguntado acerca de lo que hacen el piloto y el copiloto antes de despegar, realmente emplean una lista de verificación aplicada a sus instrumentos de acuerdo a una serie de controles regulados y revisados. Una EIPD es similar, pero con más flexibilidad, al contrario de la lista de verificación de un avión.
Una EIPD se adapta de acuerdo a la profundidad de la evaluación que desee llevar a cabo, lo cual significa que no hay límite de tiempo indicado para cada elemento de la evaluación. En otras palabras, si su equipo de evaluación desea pasar más tiempo elaborando controles o buscando y estudiando amenazas al tratamiento, usted debería dejarlos que lo hagan, ya que las salidas esperadas del análisis son los correctivos. En términos de la metodología, el artículo 35.7 del Reglamento señala los mínimos elementos que deben ser evaluados, los cuales se describen a continuación en 5 fases:
- Fase 1 es básicamente una lista detallada del tratamiento de datos, incluyendo: los datos que usa, los detalles de sus responsables y encargados, la base legal o los períodos de retención aplicados a los datos. Guarda cierta semejanza con el antiguo formato de notificación, un requerimiento de la Directiva 95/46 EC, el cual desaparecerá luego del 25 de mayo del 2018.
- Fase 2 identifica los controles legales y de tratamiento de riesgos que están implementados actualmente. Esta fase involucra el conjunto de medidas actuales y existentes desde un punto de vista legal, técnico, físico y organizacional. El objetivo es controlar cualquier riesgo que pueda ser identificado antes de la implementación del tratamiento de los datos. Si, por ejemplo, su negocio no ha revisado su política relacionada con el acceso a las instalaciones (por ejemplo: emisión de carné, bitácoras de acceso, etc.), usted probablemente debiera hacer eso primero antes de ampliar la política hacia un área recientemente construida o adquirida en sus instalaciones o hacia un sistema nuevo.
- Fase 3 señala las fuentes de riesgos para el tratamiento de datos. Hace la siguiente pregunta: “¿mi negocio será impactado por este nuevo tratamiento de datos, y de ser así dónde y cuándo será el impacto?” Esta fase se enfoca en posibles intrusiones de privacidad (por ejemplo, daños causados por datos imprecisos o una violación de seguridad), y una evaluación de los riesgos corporativos, daño a la reputación o costos financieros. Requiere imaginación, especialmente para revisar una buena cantidad de fuentes de riesgo contra su negocio. Si usted gerencia una firma bancaria, una de las fuentes de riesgo es que su base de datos puede ser pirateada y revisada de manera fraudulenta. Es un riesgo de seguridad en sí, pero también conlleva un riesgo financiero para sus acciones mientras que representa un riesgo a su reputación ante los ojos de sus clientes.
- Fase 4 es acerca de analizar e identificar eventos negativos potenciales y amenazas al tratamiento de datos. La diferencia con la Fase 3 es que se enfoca en los datos personales de los interesados, y en impactos potenciales del nuevo tratamiento de dichos datos. Ya sean los eventos internos o externos, humanos o no humanos (técnicos), esta fase es relevante con respecto a los desarrollos tecnológicos. Las nuevas tecnología pueden carecer de una clara introducción a medidas amigables de seguridad de la privacidad y por lo tanto pueden exponer los interesados a amenazas tales como pirateo, suplantación de identidad y recibir correo no deseado. Su propósito es determinar a cuáles tipos de amenaza puede estar expuesto su tratamiento. Supongamos que usted es el director de un hospital grande. Los registros médicos de sus pacientes son muy sensibles. Una amenaza humana puede ser que dichos registros sean revisados por los miembros equivocados del personal por las razones equivocadas, y una amenaza no humana pudiera ser que el sistema operativo usado por su hospital ha estado funcionando por 10 años sin haber sido actualizado. En el primer caso, usted podría temer que los registros pudiesen ser revisados de manera fraudulenta y no autorizada, mientras que en el segundo caso, usted podría temer ser objeto de un ciber-ataque a su sistema operativo. Al final, la confidencialidad médica de sus pacientes estará en riesgo si no se corrige la amenaza.
- Finalmente, Fase 5 se hace en formato de reporte y resumen el análisis, los controles actuales, los riesgos al negocio y las amenazas a los datos personales. El reporte establece las opciones de la organización para abordar cada riesgo, amenaza y vulnerabilidad detectados. Señala si cada opción resultará en una eliminación, reducción o aceptación del riesgo. El reporte será registrado, almacenado y presentado a la alta dirección de su organización. Los gerentes pueden decidir cuáles acciones deben ser tomadas, y hacer el seguimiento de dichas acciones. Es de hacer notar que dichos reportes contribuyen a demostrar el cumplimiento del principio de responsabilidad señalado en el RGPD.
Valor agregado de la EIPD
La EIPD representa un valor agregado para su negocio. Podría parecer que es un ejercicio muy tedioso y largo. Sin embargo, además de darle “luz verde” a su cumplimiento con respecto a tratamiento específico de datos, también le dará un pre-análisis del tratamiento conducido por el personal involucrado con la EIPD mientras muestra la buena fe a las autoridades nacionales y clientes.
Tal evaluación ofrece una poderosa oportunidad para revisar documentos, preparar la implementación de su proyecto, desarrollar o adaptar sus políticas, actualizar aspectos técnicos, y reforzar sus controles. En pocas palabras, la EIPD invita a su personal a intercambiar impresiones y aumentar la concienciación acerca de la protección de datos personales en su compañía.
Demostrar el cumplimiento a las autoridades de protección de datos es lo que debe mantener en la mente. Esta autoridad conocerá acerca de sus evaluaciones, ya que usted debe llevar un registro de ellas. En caso de presentarse una auditoría en sus instalaciones, usted será capaz de demostrar su buena fe al mostrar esos registros. Adicionalmente, en lo que respecta a sus clientes, usted le podrá asegurar a sus interesados que cuidará sus datos y su reputación.
Haga click acá para descargar su Diagrama de Implementación RGPD UE gratuito para aprender dónde encaja la EIPD en todo el proceso.