Las Evaluaciones de Impacto y sus implicaciones prácticas

Las Evaluaciones de Impacto y sus implicaciones prácticas

La Evaluación de Impacto o PIA (por sus siglas en inglés: Privacy Impact Assesment) surge, como concepto, con el RGPD y lo hace en base a la necesidad de gestionar la continua aparición de riesgos vinculados al continuo avance de la tecnología y la evolución de los tratamientos de datos personales.

El PIA es una herramienta cuyo objetivo principal es el de garantizar los derechos y libertades de las personas físicas cuyos datos van a ser tratados. Los Responsables de Tratamiento, deberán hacer uso de esta metodología de análisis para poder identificar, evaluar y gestionar los riesgos a los que están expuestas aquellas actividades de tratamiento que, por el uso de nuevas tecnologías, naturaleza, alcance, contexto o fines, entrañen un alto riesgo para los derechos y libertades de las personas físicas cuyos datos traten.

Con los PIA, los Responsables del Tratamiento podrán determinar el nivel de riesgo que entraña un tratamiento y establecer así las medidas de control más adecuadas para reducir el mismo hasta un nivel considerado aceptable.

¿Es obligatorio realizar un PIA?

Sí. Existen una serie de supuestos tasados tanto por la normativa actualmente vigente en materia de protección de datos (RGPD y LOPDGDD) como por nuestra autoridad de control, la AEPD. Entre estos se encuentran los tratamientos que:

  • Impliquen un alto riesgo para la privacidad de los interesados como consecuencia del uso de nuevas tecnologías.
  • Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física.
  • Conlleven la realización de perfilados automáticos, mediante análisis laboral, económico, preferencias…etc., que tengan efectos jurídicos o similares en el interesado.
  • Se realicen a gran escala e incluyan datos especialmente protegidos, datos de infracciones penales o administrativas o que conlleven observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluso online.
  • Impliquen la transferencia no puntual de datos a países que no cumplan con unas garantías mínimas de privacidad.
  • Provoquen situaciones de discriminación, usurpación de identidad, fraude, pérdidas financieras, daño reputacional, vulneración del secreto profesional, reversión de seudonimización.
  • Priven del control sobre los datos personales, que impidan el ejercicio de derecho, utilizar un servicio o ejercer un contrato.
  • Suponga la combinación de bases de datos con finalidades diferentes o por responsables distintos.

¿Qué debe contener un PIA como mínimo?

Tal y como establece el artículo 35.7 del RGPD, el PIA deberá incluir como mínimo:

  • Una descripción sistemática de la actividad de tratamiento prevista y del ciclo de vida de los datos tratados.
  • Una evaluación de la necesidad y proporcionalidad del tratamiento respecto a la finalidad perseguida.
  • Una identificación y evaluación de los riesgos para los derechos y libertades del interesado inherentes al tratamiento.
  • Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales y reduzcan el riesgo identificado.
  • En su caso, la necesidad de consultar a la AEPD para aquellos tratamientos que, aún tras aplicar las garantías y medidas de seguridad, siguen teniendo un alto riesgo para los derechos y libertades de los interesados.

¿Cómo medir el Riesgo para los derechos y las libertades de los interesados en el PIA?

La AEPD actualizó el proceso de Análisis de Riesgos en su guía de Gestión del Riesgo y evaluación de impacto en tratamientos de datos personales. A modo de resumen para poder gestionar adecuadamente el riesgo se distinguen varias fases:

  • Identificar Amenazas y riesgos
  • Evaluar los Riesgos
  • Tratar los Riesgos

Para poder medir adecuadamente el riesgo y las amenazas para los derechos y las libertades de los interesados debemos abordar el estudio bajo un enfoque multidisciplinar e integrador del conjunto de las actividades del tratamiento.

La normativa anterior al RGPD establecía una apreciación del riesgo basada en la seguridad tecnológica sobre los datos, quedando excluidos los derechos y libertades de las personas. Se aplicaban, mediante el uso de esa normativa, una serie de controles determinados únicamente por las categorías y tipologías de los datos utilizados. Esto suponía un marco de control rígido, que dejaba escapar aspectos globales del tratamiento y que no era adaptable a las múltiples realidades.

Con la normativa actual, debemos ser capaces de identificar los Factores de Riesgo, tales como:

  • Operaciones relacionadas con los fines del tratamiento
  • Tipos de Datos Utilizados
  • Extensión y Alcance del Tratamiento
  • Categorías de Interesados
  • Factores Técnicos del Tratamiento
  • Recogida y generación de dato
  • Efectos Colaterales del Tratamiento
  • Tipología del Responsable/Encargado
  • Comunicaciones de Datos
  • Brechas de Seguridad

El siguiente paso será evaluar, según las dimensiones de la seguridad, los fallos en las garantías de la privacidad y los errores en las operaciones del tratamiento, el nivel de riesgos asociado a cada tratamiento de datos personales. Es importante que sepamos identificar, de forma adicional, riesgos no explícitos en la normativa, como, por ejemplo:

  • Biometrías avanzadas
  • Inteligencia Artificial
  • Blockchain
  • Internet de los dispositivos (IoT)
  • Etc.

También se deben tener en cuenta riesgos relacionados con los fines del tratamiento y/o como consecuencia de posibles brechas de seguridad o mal uso de los datos, por citar algunos ejemplos.

Se recomienda pues, que el análisis de riesgos sobre los derechos y las libertades en el PIA esté integrado y siga las consideraciones del análisis de riesgos y la metodología que ya se siga en la organización, relativos a protección de datos. Si bien, cabe indicar, se deberá ampliar el método y el análisis con las consideraciones que hemos indicado anteriormente.

¿Cómo reducir los Riesgos detectados en el PIA?

El RGPD indica en su artículo 32 que, se deberán aplicar medidas técnicas y organizativas en función del estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas. Es decir, que no podemos aplicar medidas estáticas.

Podemos distribuir los riesgos detectados, y por lo tanto las medidas a aplicar en 3 grandes bloques:

  • Riesgos Legales
  • Riesgos Organizativos
  • Riesgos Tecnológicos

Los riesgos detectados de carácter Legal deberán ser solventados mediante, entre otras, a través de las correspondientes cláusulas o políticas de privacidad, contratos con terceros que intervengan en el tratamiento, procedimientos de atención de derechos, etc.

En lo que respecta a los aspectos técnicos y organizativos, se deberán cubrir mediante la aplicación de medidas por defecto y por diseño que van a tener que identificarse desde el ámbito legal y técnico de forma coordinada. Es en estas situaciones donde un equipo multidisciplinar altamente coordinado puede aportar su experiencia para la adopción de medidas e identificación de otros controles específicos que se desprendan del PIA.

Adicionalmente para cubrir las expectativas del PIA, debemos tener en cuenta también los requisitos del artículo 32 del RGPD que indica, entre otros, los aspectos mínimos a tener en cuenta para asegurar el derecho fundamental de la protección de datos mediante la protección de la confidencialidad, la integridad y la disponibilidad, con medidas tanto de índole técnicas como organizativas.

Entre la multitud de controles técnicos y organizativos existentes en el marco de la Seguridad de la Información y por consiguiente en el de Protección de los Datos Personales, destacamos los siguientes:

  • ISO 27001
  • ISO 27701
  • ISO 27018
  • Esquema Nacional de Seguridad
  • NIST
  • Etc.

Teniendo también en cuenta, que se deben seguir las recomendaciones de la AEPD relativas al PIA y conviene, asimismo, incorporar el último estado de la técnica en marcos de control relativos a protección de datos personales, para aplicar aspectos específicos como:

  • Control de archivos temporales,
  • Borrado de espacios comunes compartidos
  • Histórico del marco de controles
  • Gestión de logs para demostrar cumplimiento
  • Etc.

En base a todo lo indicado, respondiendo a la pregunta inicial sobre cómo reducir los riesgos detectados en el PIA para cada tratamiento, se deberá aplicar alguno de los marcos de controles comentados, ajustando las medidas que podrían y según el caso, deberían, incluir aspectos que no hayan sido previstos por los propios marcos de controles, ni los grupos de trabajo, pero, no obstante, que contribuyan a reducir el riesgo específico evaluado, según cada tratamiento.

Marta Castrillo – Departamento Legal

Vicent Signes – Departamento GRC