La Agencia Española de Protección de Datos (AEPD) ha publicado un documento en el que se explica cómo realizar las Evaluaciones de Impacto en materia de Protección de Datos (EIPD) en las Administraciones Públicas. El objetivo es facilitar el cumplimiento de esta obligación del Reglamento Europeo RGPD.
En el informe, accesible en este enlace, se resumen todos los factores que deben tratarse en las Administraciones Públicas para que la Evaluación sea correcta. Este informe se complementa con la Guía que ya publicó la Agencia anteriormente.
El documento es fruto de la colaboración entre el Ministerio de Trabajo, Migraciones y Seguridad Social y el Centro de Seguridad de la Información de la Gerencia de Informática de la Seguridad Social, y la propia Agencia.
El Reglamento Europeo General de Protección de Datos (RGPD) establece entre las obligaciones de las Administraciones Públicas y de los responsables del tratamiento de los datos, “la necesidad de evaluar el impacto de las actividades de tratamiento en la protección de datos cuando resulte probable que dicho tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas”, recuerda la Agencia.
En caso de que el riesgo sea bajo, no existe obligación de realizar esta evaluación, pero puede llevarse a cabo con el fin de estudiar en profundidad un tratamiento; mejorar la gestión global de los procesos de una organización; generar conocimiento y cultura de protección de datos, o hacer un ejercicio de responsabilidad proactiva.
Evaluaciones de Impacto, factores a tener en cuenta
La evaluación debe tener en cuenta determinados aspectos como: un resumen ejecutivo, un índice, una descripción del tratamiento, la base jurídica que lo justifica, metodología de la EIPD, análisis del tratamiento, análisis de la obligación de realizar una EIPD (evaluación del riesgo), análisis de la necesidad del tratamiento, medidas para la reducción del riesgo, análisis del balance entre riesgo y beneficio, un plan de acción.
Finalmente la evaluación debe contener un apartado de conclusiones y recomendaciones. En él se explicará el resultado final del análisis de riesgos, las directrices generales para la implementación del tratamiento y se determinará si el riesgo es lo suficientemente bajo y si procede la Consulta Previa a la AEPD de acuerdo con el artículo 36 del RGPD.
También se podrá incluir un Anexo con los contratos, declaraciones, descripciones, informes, referencias normativas, estándares, guías o documentos que en general sean relevantes para la elaboración de los resultados de este informe. Al igual que los documentos que se citen en el texto.
En Legitec podemos ayudaros y asesoraros en todo lo necesario para cumplir con el RGPD. Y realizar las evaluaciones de impacto cuando sea necesario o se quieran hacer para mejorar la protección de datos de vuestro negocio o administración. Contamos con personal experto y profesional, con amplios conocimientos.
Ver la Guía práctica para las Evaluaciones de Impacto en la Protección de los Datos sujetas al RGPD.