Entrada 8 — Evaluaciones de impacto y gestión de riesgos (Protección de Datos de Carácter Personal en España)


 

Entrada 8 — Evaluaciones de impacto y gestión de riesgos

Protección de Datos de Carácter Personal en España

La protección de datos no se improvisa. Se planifica. Y para planificar bien, hay que anticipar los riesgos.

El RGPD exige realizar Evaluaciones de Impacto relativas a la Protección de Datos (EIPD) cuando un tratamiento pueda implicar un alto riesgo para los derechos y libertades de las personas.

Esta entrada explica cuándo hacer una EIPD, cómo estructurarla y cómo integrar la gestión de riesgos en la cultura organizativa.

 

1. ¿Qué es una EIPD y cuándo es obligatoria?

Una EIPD es un análisis sistemático que permite:

·       Identificar riesgos

·       Evaluar su probabilidad y gravedad

·       Proponer medidas para mitigarlos

·       Documentar decisiones

Es obligatoria cuando el tratamiento:

·       implica evaluación sistemática de aspectos personales

·       trata datos sensibles a gran escala

·       incluye vigilancia sistemática

·       afecta a colectivos vulnerables

·       implica uso de tecnologías emergentes

Ejemplo: una empresa que implanta reconocimiento facial en accesos laborales debe realizar una EIPD.

 

2. Estructura básica de una EIPD

Una EIPD debe incluir:

·       Descripción del tratamiento

·       Finalidades

·       Bases jurídicas

·       Evaluación de necesidad y proporcionalidad

·       Identificación de riesgos

·       Medidas previstas

·       Consulta al DPD

·       Conclusión sobre la viabilidad del tratamiento

No es un formulario. Es un ejercicio de reflexión y responsabilidad.

 

3. Tipos de riesgos a considerar

·       Acceso no autorizado

·       Pérdida o destrucción de datos

·       Tratamiento excesivo o injustificado

·       Falta de transparencia

·       Discriminación algorítmica

·       Imposibilidad de ejercer derechos

Cada riesgo debe analizarse en términos de probabilidad y gravedad.

 

4. Medidas para mitigar riesgos

·       Cifrado y seudonimización

·       Limitación de acceso

·       Revisión de cláusulas informativas

·       Configuraciones respetuosas

·       Evaluación humana en decisiones automatizadas

·       Auditorías internas

·       Formación continua

Ejemplo: si se detecta riesgo de discriminación en un sistema de selección automatizado, debe incluirse revisión humana obligatoria.

 

5. Guías y herramientas disponibles

·       Guía de la AEPD sobre EIPD

·       Norma ISO 29134

·       Listas de tratamientos que requieren EIPD (AEPD)

·       Metodologías sectoriales

·       Plantillas y software de apoyo

Estas herramientas ayudan a estructurar el análisis y a documentar decisiones con rigor.

 

6. Cierre: anticipar el riesgo es proteger la confianza

Una EIPD bien hecha no solo cumple la norma. Demuestra que la organización piensa antes de actuar, que respeta a las personas y que construye procesos seguros y sostenibles.

En la próxima entrada abordaremos la gestión de brechas de seguridad y notificaciones.

Comentarios

Publicar un comentario