Nueva Guía para la evaluación del impacto en la Protección de Datos Personales

14/11/2014
 

Nueva Guía para la evaluación del impacto en la Protección de Datos Personales

 
Recientemente, la Agencia Española de Protección de Datos (conocida por sus siglas AEPD) ha publicado una Guía para evaluar el impacto que puede suponer para una organización (de cualquier tipología: ya sea empresarial, fundacional, institucional, etc., …) las contingencias derivadas por la falta de protección de datos personales.
En palabras de la Agencia, esta herramienta nace como un nuevo enfoque proactivo para hacer frente con mayor eficacia a la profunda transformación que está aconteciendo en el ámbito del tratamiento de la información personal como consecuencia de la continua irrupción de nuevas tecnologías.
 
En concreto la Evaluación de Impacto en la Protección de Datos Personales (EIPD) propuesta en la nueva Guía está basada en el modelo anglosajón, que desde un tiempo ya viene aplicándose en países como el Reino Unido, Australia, Canadá, EE.UU bajo un enfoque allí  denominado Privacy Impact Assessment (PIA).
 
Una PIA o una Evaluación de Impacto en la Protección de Datos Personales (EIPD) es más que una mera comprobación de cumplimiento normativo. Consiste en un ejercicio de transparencia vinculado a un análisis de riesgos para verificar si un determinado sistema de información, producto o servicio puede entrañar para la salvaguarda de los derechos vinculados con la privacidad de las personas.
 
La idea es poder identificar los posibles riesgos y corregirlos anticipadamente, evitando los costes derivados de que sean descubiertos o explicitados con posterioridad, cuando el nuevo producto/servicio ya está operativo; o incluso pero: cuando ya se ha producido la vulneración del bien jurídico protegido (el derecho a la privacidad personal).
 
La nueva Guía está concebida como un marco de referencia flexible en el que apoyarse para llevar a cabo la evaluación de impacto de los riesgos vinculados a la protección de datos personales. Las empresas, instituciones  y profesionales podrán adaptarla a su casuística particular y sectores específicos. No obstante, el enfoque apunta una serrie de fases principales que se concretan en:
  1. Análisis de necesidad
  2. Descripción del proyecto y de los flujos de información
  3. Identificación de los riesgos
  4. Gestión de los riesgos identificados
  5. Análisis de cumplimiento normativo
  6. Informe final
  7. Implantación de las recomendaciones
  8. Revisión y realimentación
Actualmente en España, la aplicación de esta nueva metodología proactiva denominada Evaluación de Impacto en la Protección de Datos Personales (EIPD) no es una obligación legal. Todo y que hay que tener presente la existencia de una propuesta avanzada de un nuevo Reglamento comunitario sobre Tratamiento General de Protección de Datos que se está discutiendo en el seno de la Unión Europea, y que incorpora la necesidad de llevar a cabo evaluaciones de esta naturaleza. Como sabemos, a diferencia de las Directivas comunitarias que requieren una trasposición, los Reglamentos de la UE se configuran como fuente de derecho directamente aplicable en nuestro ordenamiento interno a partir de la fecha de su entrada en vigor.
 
Adicionalmente, conviene tener presente, que tal como nos anuncia la Agencia Española de Protección de Datos, la realización de una Evaluación de Impacto en la Protección de Datos Personales (EIPD), siguiendo las directrices de la nueva Guía, no podrá ser considerada como un criterio de exención de responsabilidad en caso de vulneración de la normativa de protección de datos; pero si será tenida en cuenta por la Agencia como un elemento relevante a la hora de valorar si se ha adoptado la diligencia debida en la implantación de las medidas adecuadas para cumplir con las exigencias legales en materia de privacidad de las personas.