|
Tras
la
consulta
pública
que
la
Agencia
Española
de
Protección
de
Datos
(AEPD)
llevó
a
cabo
entre
marzo
y
abril
de
2014,
ahora
ha
publicado,
con
fecha
29
de
octubre
de
2014,
su
Guía
para
una
Evaluación
del
Impacto
en
la
Protección
de
Datos
(disponible
AQUI:
).
Con
esta
medida,
la
AEPD
ayuda
a
quienes
tratan
datos
personales,
ya
sean
responsables
o
encargados
del
tratamiento,
a
cumplir
con
la
normativa
al
mismo
tiempo
que
promueve
la
adopción
de
medidas
proactivas.
Son
beneficiarios
también
los
titulares
de
los
datos
personales,
ya
que
se
trata
de
un
instrumento
que
en
última
instancia
busca
alcanzar
y
garantizar
un
alto
nivel
de
protección
de
datos
personales.
La
evaluación
de
impacto
en
la
protección
de
datos
(EIPD)
es
un
concepto
nuevo
para
muchas
organizaciones
que
tratan
datos
personales
en
España,
pero
se
trata
de
una
medida
con
amplia
tradición
y
recorrido
en
países,
principalmente,
anglosajones.
Además,
es
necesario
recordar
que
dicha
medida
está
prevista,
por
ejemplo,
en
los
Estándares
Internacionales
sobre
Protección
de
Datos
Personales
y
Privacidad
(Resolución
de
Madrid),
adoptados
durante
la
31ª
Conferencia
Internacional
de
Autoridades
de
Protección
de
Datos
y
Privacidad
que
se
celebró
en
Madrid
el 5
de
noviembre
de
2009
y
que,
en
su
apartado
22,
relativo
a
medidas
proactivas,
hace
referencia
a
“la
puesta
en
práctica
de
estudios
de
impacto
sobre
la
privacidad
previos
a la
implementación
de
nuevos
sistemas
y/o
tecnologías
información
destinados
al
tratamiento
de
datos
de
carácter
personal”.
También
la
versión
original
del,
todavía
futuro,
Reglamento
general
de
protección
de
datos
de
la
Unión
Europea,
prevé,
en
su
artículo
33,
la
obligación
de
que
tanto
los
responsables
como
los
encargados
del
tratamiento,
evalúen
el
impacto
de
la
protección
de
datos
en
el
caso
de
tratamientos
de
datos
“arriesgados”.
Por
citar
otro
ejemplo
a
nivel
internacional,
y no
anglosajón,
en
México,
el
Reglamento
de
la
Ley
Federal
de
Protección
de
Datos
Personales
en
Posesión
de
los
Particulares,
publicado
en
el
Diario
Oficial
de
la
Federación
de
21
de
diciembre
de
2011,
prevé
en
su
artículo
48,
sobre
las
medidas
para
el
principio
de
responsabilidad,
la
relativa
a “[i]nstrumentar
un
procedimiento
para
que
se
atienda
el
riesgo
para
la
protección
de
datos
personales
por
la
implementación
de
nuevos
productos,
servicios,
tecnologías
y
modelos
de
negocios,
así
como
para
mitigarlos.”
La
guía
de
la
AEPD
define
la
evaluación
de
impacto
de
privacidad
(en
inglés,
Privacy
Impact
Assessment,
PIA)
como
la
“revisión
sistemática
de
un
producto,
servicio
o
sistema
de
información
para
identificar
los
riesgos
que
puede
suponer
para
la
privacidad
e
implantar
las
medidas
necesarias
para
eliminarlos
o
mitigarlos
hasta
niveles
aceptables”.
Con
independencia
de
los
pasos
a
seguir
para
la
elaboración
de
una
evaluación
del
impacto
de
protección
de
datos,
detallados
en
la
guía
y
complementados
con
varios
anexos,
es
necesario
tener
en
consideración
que
dicha
evaluación
es
una
medida
proactiva,
interrelacionada
con
la
privacidad
por
y/o
desde
el
diseño
(en
inglés,
privacy
by
design,
PbD)
y la
responsabilidad
(en
inglés,
accountability).
Y
resulta
claro
que
se
trata
de
un
ejercicio
fundamental
para
identificar
riesgos
en
materia
de
protección
de
datos
personales,
para
de
esta
manera
poder
gestionar
dicho
riesgo,
mitigándolo.
Es
decir,
se
trata
de
gestionar
el
riesgo
que
implica
todo
tratamiento
de
datos
personales
que
se
concreta
en
la
necesidad
de
garantizar
el
derecho
fundamental
a la
protección
de
datos
personales.
Evitar
riesgos,
tanto
para
el
derecho
fundamental
a la
protección
de
datos
personales
como
sanciones
económicas
o de
otra
naturaleza,
pasa
por
adoptar
medidas,
preferiblemente
proactivas,
desde
el
principio
y
mantenerlas
a lo
largo
de
todas
las
fases
del
tratamiento
de
los
datos.
En
definitiva,
una
medida
proactiva
y
positiva
que,
gracias
a la
guía
de
la
AEPD
ahora
será
mucho
más
fácil
de
implementar
por
quienes
tratan
datos
personales
y
para
quienes,
día
a
día,
tienen
que
asesorar
a
quienes
los
tratan. |
