En 27 de abril de 2016 se ha publicado el Reglamento General de Protección de Datos de la Unión Europea 2016/679, (RGPDUE), que obliga a que las organizaciones establezcan una sistemática para llevar a cabo evaluaciones de impacto que puedan incidir sobre la protección de datos personales.
Reglamento General de Protección de Datos de la Unión Europea 2016/679, (RGPDUE)
Esta obligación tiene su aplicación para los casos en los que se pueda probar que un tipo de tratamiento, normalmente si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, origine un riesgo para los derechos y libertades de las personas físicas.
Este Reglamento será obligatorio a partir de mayo de 2018.Las organizaciones deberán realizar un análisis de sus tratamientos, por lo que es imprescindible iniciar cuanto antes una preidentificación del tipo de tratamientos que realizan o se prevean realizar, su nivel de afectación respecto a datos personales, etc.
En resumidas cuentas todo ello se puede traducir en una análisis de riesgos que podría realizarse paralelo a los análisis de riesgos y oportunidades que tiene las organizaciones con sistemas de gestión de calidad ISO 9001:2015.
Incluso esta previsto una futura norma ISO 29134 Evaluación de Impacto en la Privacidad de la cual hablaremos en posteriores artículos.
En España la Agencia Española de Protección de Datos indica que “ las empresas deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece.
Se adjunta una guía de Evaluación de Impacto en la Protección de Datos Personales confeccionada por la Agencia Española de Protección de Datos:
Guia Evaluación de Impacto en la Protección de Datos Personales
Las claves de una correcta implantación de las obligaciones introducidas en el Reglamento (UE) 2016/679, relativa a la protección de las personas físicas son:
- Diferenciar los supuestos en los que es obligatoriorealizar una evaluación de impacto con respecto a otros casos en los que es conveniente.
- Aprender a confeccionar un Informe de evaluación de impacto relativo a la protección de datos, conforme al artículo 35 RGPDUE.
- Conocer las acciones a realizar en protección de datos, con los riesgos inaceptables identificados, para tratarlos y cómo definir un catálogo de controles.
Prevemos un nuevo artículo en el que diferenciemos la fase de ejecución de identificación, análisis y evaluación de los riesgos teniendo en cuenta artículo 35 RGPDUE.
Acceso a más contenido en la sección de categorías y sus entradas Seguridad de la Información
Puntúe el artículo