Conveniencia de la Evaluación de Impacto en la Protección de Datos Personales

La Evaluación de Impacto en la Protección de Datos Personales se establece como una herramienta útil y recomendable para analizar el tratamiento de datos personales desde la fase inicial del producto o servicio en cuestión.

Es indudable que la constante evolución de las tecnologías de la información, como el “Internet de las cosas” y el “Big data”, permite a las empresas tratar una mayor cantidad de información con las implicaciones que de ello se derivan para la privacidad y la protección de datos de los individuos. En este contexto e íntimamente ligado con el principio de privacidad desde el diseño, ha surgido el concepto de la evaluación de impacto en la protección de datos (EIPD) – una práctica novedosa en nuestro país que tiene ya una larga tradición en países anglosajones –.

La EIPD, también conocida por el término anglosajón Privacy Impact Assessment (PIA), es una medida proactiva dirigida a analizar los riesgos que un determinado sistema de información, producto o servicio representa en el tratamiento de datos personales y gestionar, como consecuencia de dicho análisis, las medidas correctoras para disipar los riesgos identificados. De este modo, la EIPD se concibe como un instrumento que proporciona seguridad y confianza a cualquier iniciativa que implique el tratamiento de datos personales, ya que debe llevarse a cabo con carácter previo a la implantación del producto o servicio en cuestión, lo que permite ofrecer una visión completa y exhaustiva de las consecuencias que se derivarían de un determinado tratamiento de datos.

A pesar de que la realización de la EIPD es una práctica voluntaria y recomendable en nuestro país para cualquier empresa involucrada en el tratamiento de datos personales – tal y como se constata en la guía publicada por la Agencia Española de Protección de Datos (AEPD) en esta materia –, su carácter voluntario podría convertirse en obligatorio con la entrada en vigor del futuro Reglamento Europeo de Protección de Datos.

Desde los considerandos del citado Reglamento Europeo de Protección de Datos Personales se refleja la importancia que el legislador europeo otorga a la EIPD, ya que la concibe como la piedra angular de cualquier entramado de protección de datos. En efecto, por primera vez se pretende regular una medida encaminada, no a resarcir un daño, sino a evitarlo o mitigarlo, ya que el principio básico de toda EIPD es que abarque la totalidad de la gestión de los riesgos durante todo el ciclo de vida de los datos, desde la recogida y tratamiento hasta su supresión.

Como medida destinada a establecer las bases del futuro Reglamento Europeo de Protección de Datos, la AEPD publicó el pasado mes de octubre ‘La Guía para una Evaluación de Impacto en la Protección de Datos Personales’. Desde un inicio se establece que el proceso de la EIPD va más allá del simple cumplimiento de la normativa de protección de datos, listando algunos ejemplos en los que es recomendable realizar dicho análisis y de qué manera pueden gestionarse los riesgos resultantes de la fase de análisis. Al margen de la estructura propuesta por la AEPD para la elaboración de la EIPD, toda empresa debe ser consciente que a la hora de realizar una EIPD debe identificarse qué datos personales son objeto de tratamiento, así como quién y cómo tendrá acceso y tratará los datos personales. Asimismo, la EIPD debe diseñarse de modo que pueda reproducirse de manera sistemática y debe hacer partícipe de la misma a todos los agentes implicados, sean estos internos o externos.

En definitiva, podemos concluir que la EIPD es una inversión de futuro para cualquier compañía, ya que además de permitir abaratar costes, pues no es lo mismo realizar modificaciones sobre un diseño que sobre un proyecto ya iniciado, proporciona unos valores añadidos al modelo de negocio, ofreciendo un reflejo de una compañía respetuosa con la normativa de protección de datos y con la privacidad de los individuos.