Llegamos a ustedes gracias a:



Reportajes y análisis

Cuándo y cómo escribir DPIAs del GDPR

[14/11/2019] El Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) de la UE no pretende ser una mera lista de verificación de cumplimiento. A diferencia de otras regulaciones relacionadas con los datos, no existe una lista simple de procesos y tecnologías que pueda instalar para cumplir con las normas. Y solo porque cumplía con la norma el 25 de mayo del 2018, no significa que la sigue cumpliendo en la actualidad.

Una de las principales formas para mostrar y auditar sus propios esfuerzos de cumplimiento continuo son las evaluaciones de impacto de la protección de datos (DPIA), que le ayudan a evaluar los nuevos procesos que involucran datos personales, y mostrar que ha considerado y mitigado los riesgos potenciales que conducirían al incumplimiento del GDPR. Sin embargo, estas auditorías pueden llevar mucho tiempo. Las empresas deben saber cuándo deben realizar las DPIA y cuándo no, sin temor al incumplimiento y a la amenaza de las multas.

¿Qué son las evaluaciones de impacto de la protección de datos?

Las DPIA son un proceso para ayudar a las organizaciones a identificar y minimizar los riesgos relacionados con la protección de los datos de un proyecto. La idea es evitar posibles problemas de protección de datos antes de que surjan, y reducir el riesgo de cumplimiento. Las organizaciones identifican los riesgos potenciales en torno al procesamiento de los datos personales y luego describen cómo planean mitigar esos riesgos y reducir los posibles impactos negativos sobre los datos de los ciudadanos de la UE.

Según el GDPR, las DPIA son un requerimiento legal en ciertas situaciones de procesamiento de datos. Son importantes para la rendición de cuentas y proporcionan un registro que muestra que las organizaciones están considerando el GDPR y el impacto que el procesamiento de datos tendrá en los datos de los ciudadanos de la UE y, en teoría, ayudan a inculcar la mentalidad de la 'privacidad desde el diseño' entre las organizaciones.

Las empresas que están acostumbradas a realizar evaluaciones de impacto en la privacidad (PIAs, por sus siglas en inglés), que se han utilizado mucho antes del GDPR, probablemente se encontrarán en una buena posición para introducir los procesos de las DPIA. Puede que las organizaciones que no han tenido previamente procesos estándar para realizar tales evaluaciones, tengan dificultades para saber exactamente cuándo deben evaluar los riesgos de los datos.

¿Cuándo necesita hacer las DPIA?

Según el GDPR, las organizaciones deben completar las DPIA para cualquier procesamiento que pueda resultar en un "alto riesgo para los derechos y libertades de las personas. Al igual que con gran parte del GDPR, los detalles reales sobre lo que puede constituir un alto riesgo no se señalan. En términos generales, alto riesgo significa cualquier cosa que implique procesamiento a gran escala, categorías especiales de datos o perfiles que puedan afectar a la persona. Sin embargo, la Oficina del Comisionado de la Información (ICO) y otras autoridades de protección han enumerado ejemplos de tipos de datos y procesamientos que potencialmente pueden ser de alto riesgo y ejemplos que pueden constituir la necesidad de las DPIA.

Dichos ejemplos incluyen procesos que involucran "perfiles extensos con efectos significativos, categorías especiales o datos de delitos penales a gran escala; o el monitoreo de lugares de acceso público a gran escala. El ICO también requiere que se realicen las DPIA para los procesamientos que involucran datos biométricos, cualquier cosa que implique combinar conjuntos de datos de diferentes fuentes, procesamiento "invisible como el seguimiento en línea, el seguimiento de la ubicación o el comportamiento de las personas, el perfil o marketing dirigido a niños, y cualquier cosa que pueda provocar daños físicos si esos datos se filtraran. La autoridad francesa, CNIL, ha enumerado ejemplos similares donde afirma que se requeriría realizar una DPIA.

Los procesos que pueden implicar denegar el acceso a servicios, como verificaciones de crédito, solicitudes de hipotecas; o procesos que incluyen datos genéticos, como las pruebas de ADN, procedimientos de denuncia o denuncia de irregularidades; cualquier tipo de seguimiento (en términos generales, incluidos los esquemas de lealtad, perfiles de riqueza, o incluso aptitud física o rastreo ocular); el uso de datos biométricos para el control de acceso o la verificación de la identidad en dispositivos o servicios, se enumeran como ejemplos en los que las DPIA serían necesarias. Los procesamientos de datos personales que involucran 'tecnologías innovadoras', como la inteligencia artificial/aprendizaje automático/aprendizaje profundo, aplicaciones de Internet de las cosas, automóviles conectados o autónomos, o 'neuromedición' (es decir, tecnología cerebral) también requerirían de una DPIA.

Si no se llevan a cabo las DPIA cuando sean requeridas, puede quedar expuesto a acciones de enforcement, que incluyen una multa de hasta 10 millones de euros o por un monto equivalente al 2% de la facturación anual global, lo que sea mayor.

¿Cuándo no necesita hacer las DPIA?

El ICO ha dicho que no necesita hacer las DPIA si ya ha hecho unas DPIA sustancialmente similares, o si está realizando un proceso debido a una obligación legal o una tarea pública. También informa que no se espera que se realicen las DPIA para los procesos existentes que ya han sido examinados en procesos de evaluación de riesgo o impacto de la privacidad anteriores. Sin embargo, si ese proceso cambia, se deben realizar las DPIA. La ICO también recomienda, por si se cuestiona en el futuro, tener un registro para documentar el razonamiento de por qué las DPIA no se llevan a cabo.

Si bien la ICO no ha emitido dicha lista, la Agencia Española de Protección de Datos (AEPD), regulador español, lanzó recientemente una lista blanca de contextos de procesamiento de datos que no requieren las DPIA. Estos incluyen;

  • El procesamiento de datos para cumplir con los requisitos legales, o si el procesamiento es 'de interés público' o se lleva a cabo usando poderes otorgados a la empresa a través de funcionarios del gobierno.
  • El procesamiento llevado a cabo bajo pautas establecidas previamente, o autorización, a través de circulares o decisiones de organismos de supervisión (si el procesamiento no ha cambiado desde que fue autorizado).
  • El procesamiento se lleva a cabo bajo las directrices aprobadas por la Comisión de los códigos de los organismos de conducta (siempre que el procesamiento no haya cambiado desde que fue autorizado).
  • El procesamiento es realizado por personal autónomo que trabaja, de forma individual, en el ejercicio de sus funciones profesionales, incluyendo médicos, profesionales de la salud o abogados.
  • El procesamiento se realiza en relación con la administración interna (y no relacionada con el cliente) del personal que trabaja en pequeñas y medianas empresas para fines tales como la contabilidad, gestión de recursos humanos, gestión de nóminas, seguridad social y seguridad en el centro laboral.
  • El procesamiento es realizado por colegios profesionales y asociaciones sin fines de lucro en relación con los datos de sus miembros asociados y donantes en torno a la gestión de sus datos personales y en el desempeño de sus tareas.

Cómo escribir y procesar las DPIA

Si bien la forma en que se hacen las DPIA depende, en gran medida, de la organización, los formularios de plantilla DPIA también están disponibles en el sitio web de la ICO, así como en otras autoridades de protección de datos de la UE. Dentro de las DPIA, las organizaciones necesitan esbozar el proyecto, establecer sus objetivos y detallar los tipos de procesamiento que implicará. Esto incluye qué datos se están utilizando -y si pertenecen a categorías especiales enumeradas en el GDPR o en implementaciones locales como la Ley de Protección de Datos del Reino Unido-, dónde y cómo se recopilan, usan, almacenan y eliminan, el propósito del procesamiento y dónde se encuentran los riesgos dentro de esos procesos. Luego debe describir las medidas que tomará su empresa para mitigar esos riesgos.

Idealmente, las DPIA, al igual que con la evaluación de riesgos, deberían realizarse lo antes posible dentro del ciclo de vida del proyecto. Las DPIA deben realizarse en conjunto con el oficial de protección de datos, el CISO, los equipos que trabajan con los datos y el proceso, y los posibles expertos legales para ayudar a identificar y mitigar los riesgos de esos datos, de donde sea que provengan. La ICO sostiene que unas DPIA buenas son señal de que, al considerar sus obligaciones más amplias de protección de datos, usted ha considerado los riesgos relacionados con su procesamiento previsto.

Una vez que se han identificado los riesgos, las compañías tienen que detallar las formas en que serán mitigados. Dependiendo de los datos, el propósito y los riesgos involucrados, esto podría variar desde reducir los períodos de retención, volver anónimos los datos y actualizar las políticas de privacidad hasta implementar nuevas tecnologías de seguridad, introducir más capacitación del personal, o incluso no recopilar ciertos tipos de datos. Luego, la ICO sugiere integrar esas medidas dentro de los planes del proyecto, identificar los puntos de acción y los responsables de implementarlos, así como monitorear el desempeño continuo de las DPIA para garantizar que estas se adhieran.

La mayoría de las DPIA no tienen que ser enviadas a la ICO o a otra autoridad de protección de datos. Simplemente son un proceso para registrar que está realizando los esfuerzos necesarios para cumplir con el GDPR. Si bien no es un requisito, la ICO sugiere que las empresas deberían considerar la publicación de sus DPIA para mostrar su cumplimiento y obtener confianza entre los clientes y socios. (Las empresas deben tener en cuenta que las DPIA pueden hacerse públicas mediante solicitudes de la Ley de Libertad de Información [FOIA. Por sus siglas en inglés]).

Sin embargo, si una evaluación identifica un riesgo alto y la organización no puede tomar medidas para reducir ese riesgo, se debe enviar una copia de ese formulario de evaluación a la autoridad de protección de datos correspondiente. Luego, la autoridad evaluará e informará si los riesgos son aceptables, o la organización deberá tomar medidas adicionales para reducir aún más esos riesgos. La autoridad puede aconsejarle que no realice el procesamiento, ya que violaría el GDPR, emitiría una advertencia formal o prohibiría el procesamiento por completo.

Tenga en cuenta que una organización no puede comenzar ese procesamiento de alto riesgo hasta que la autoridad haya sido consultada. Las advertencias permanecen registradas y no existe un mecanismo para apelar una advertencia.

De acuerdo con las solicitudes de la FOIA, realizadas ante la ICO a principios de año, solo recibió 19 DPIA para consulta en los ocho primeros meses desde que el GDPR entrara en vigor, y solo dos realmente cumplieron con los criterios de la ICO para necesitar una consulta. De estos, la ICO emitió una advertencia de que el procesamiento sería una violación del GDPR, y la compañía en cuestión modificó el procesamiento para la satisfacción de la ICO.