PARTE 2 … CONTINUACIÓN… CÓMO REALIZAR UNA EVALUACIÓN DE IMPACTO EN EL MARCO DEL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS DE LA UNIÓN EUROPEA
@eduardchaveli Socio General Manager de @govertis
- PREPARACIÓN Y PLANIFICACIÓN
En la parte primera de estos artículos, dedicados a explicar cómo realizar una Evaluación de Impacto en Protección de Datos (EIPD), ya centramos el objeto de la EIPD, e identificamos los concretos tratamientos sobre los que vamos a llevar a cabo la misma, por ser obligatorio o porque se desea voluntariamente, normalmente derivado de la existencia de motivos que lo hacen conveniente.
Ahora y antes de realizar la EIPD, o como parte de la misma, deberemos prepararla y planificarla. Al fin y al cabo se trata de un proyecto y esto es necesario.
4.1. DESIGNACIÓN DE RESPONSABLE O UN COMITÉ DE GESTIÓN DEL RIESGO
Uno de los primeros pasos para la preparación será tener claro quienes intervienen en la misma. Ello dependerá esencialmente de dos factores: Del tamaño y de la actividad de la organización.
Podrá designarse como responsable a una persona (por ejemplo el responsable de seguridad), incluso a un consultor o nombrarse un comité que esté representando por diferentes integrantes y en el que por ejemplo intervenga el Delegado de Protección de Datos ó Data Protection Officer (DPO). No obstante es importante dejar claro que, según el REGLAMENTO (UE) 2016/679
del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPDUE), en principio no es una tarea del DPO realizarla. Su función – al menos en teoría – es la de asesorar. En este sentido dice el artículo 35.2. del RGPDUE: “El responsable del tratamiento recabará el asesoramiento del DPO si ha sido nombrado…”
4.2. ¿DISPONEMOS DE LA INFORMACIÓN NECESARIA PARA EMPEZAR?
Para realizar la EIPD sobre un tratamiento deberemos de disponer de toda la información sobre el mismo. La AEPD en su guia habla (creo que de forma no del todo correcta) de “flujo de información”, que es otra cosa. De hecho, si vemos el contenido del ejemplo, que la propia guía recoge, lo que refleja en realidad en el ejemplo no es un flujo de información sino una descripción del tratamiento. Y, como parte de la descripción del tratamiento, obviamente el flujo de los datos (tanto interno como externo, lo que supone recoger las cesiones, encargados del tratamiento, transferencias internacionales etc…) deben de quedar reflejados.
https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Guia_EIPD.pdf
En todo caso, hay que tener claramente identificado el contexto como es lógico en cualquier proyecto de compliance. Véase por ejemplo la ISO/IEC 19600: 2014 Sistemas de gestión de compliance. Directrices, o la ISO/IEC 27001:2013, por citar dos ejemplos.
Me parece interesante este documento (que agradezco al compañero y amigo @JLColomPLanas que me lo hizo llegar) pues es de una autoridad de control (de la CNIL) y en el mismo se puede encontrar una forma detallada de acercar el contexto:
https://www.cnil.fr/sites/default/files/typo/document/CNIL-ManagingPrivacyRisks-Methodology.pdf
Fig. 1 The five iterative steps of the approach CNIL
En todo caso, y de forma más sencilla o práctica, indico a continuación la información mínima que necesitaremos sobre el tratamiento. Básicamente es la siguiente:
- Nombre del tratamiento/s
- Datos que se tratan y categoría
- Colectivos afectados
- Finalidades para las que se tratan
- Licitud (interés legítimo u otro)
- Origen
- Destinatarios:
7.1. Internos
7.2. Externos:
– Tratamientos por terceros
– Cesiones de datos efectuadas
- Movimientos y transferencias internacionales de datos
- Tecnologías utilizadas:
9.1. Equipo en el que se alojan
9.2. Equipo propio o de un tercero
Fig. 2 EIPD. Tratamiento SandaS GRC Privacidad versión RGPDUE @ElevenPaths
4.3. PLAN DE PROYECTO
Como hemos dicho la EIPD es un proyecto. Y, para ello: ¿necesito un plan de proyecto?. Que necesite o no un plan de proyecto formal dependerá de la envergadura del proyecto. Lo que está claro es que una mínima planificación se requiere.
- EVALUACIÓN DE LA NECESIDAD Y PROPORCIONALIDAD
Este es un aspecto interesante que introduce el RGPDUE. La necesidad y la proporcionalidad son principios que ya estaban en la Directiva 95/46 y en la LOPD (enmarcados en el principio de calidad de datos) y que el RGPDUE obviamente recoge.
En el marco de las EIPD dispone el artículo 35.7 RGPDUE que la EIPD deberá incluir también una “evaluación de la necesidad y proporcionalidad del tratamiento”.
En el documento anteriormente citado de la CNIL se realiza un análisis con más detalle de la necesidad.
En todo caso es importante tener en cuenta que se trata de un aspecto que requiere de un análisis EN TODO CASO. Es decir: Posteriormente analizaremos el cumplimiento de una serie de controles, que pueden ser diferentes en función del tratamiento, pero la necesidad y proporcionalidad han de analizarse SIEMPRE y de forma PREVIA. Si un tratamiento no cumple lo anterior no debería “pasar el filtro” y el análisis no debería continuar.
- GESTIÓN DE LOS RIESGOS
La gestión de riesgos supone “pasar” por una serie de fases, que van desde la Apreciación del riesgo (que incluye la identificación, análisis, evaluación del mismo) hasta llegar al Tratamiento de los riesgos.
En la siguiente tabla de la ISO 31000:2009 se puede ver gráficamente:
Fig. 3 UNE – ISO 31000:2010
6.1. IDENTIFICACIÓN: DEFINIMOS CATÁLOGO DE ESCENARIOS DE RIESGO ¿QUÉ FUENTE DE REQUISITOS TOMAMOS?
Para identificar el riesgo debemos definir un catálogo de escenarios de riesgo.
Aquí se plantea uno de los primeros problemas que veo cuando analizo ejemplos de evaluaciones de impacto que se están realizando. ¿Hablamos de protección de datos o de derechos del ámbito de la privacidad?
El RGPDUE habla de protección de datos y no de otros derechos del ámbito de la privacidad, que son de la “misma familia” pero no son lo mismo.
No es este el lugar para hacer una distinción de los mismos pero es importante conocer sus diferencias.
Dicho lo anterior, hemos de dejar sentado que aquí no realizamos un análisis de los otros derechos del ámbito de la privacidad que contempla el artículo 18 de la CE, como el derecho al honor, intimidad e imagen o el secreto de las comunicaciones. Ni su tutela civil y penal. Sino el cumplimento de los principios y garantías que para el concreto derecho a la protección de datos contempla el RGPDUE.
Una vez hemos identificado la fuente de requisitos (el RGPDUE) el siguiente paso será destilar de la misma los escenarios de riesgo. En su guía la AEPD identifica criterios de impacto (ej. Daño reputacional) como escenarios de riesgo (riesgos según ella).
Siendo la fuente de requisitos base el RGPDUE ello no impide que se alimenten con requisitos adicionales o sectoriales.
Disponer de una buena plataforma que permita, a su vez, disponer de diversos catálogos, pero que podamos modificarlos y añadir otros, es fundamental.
En nuestro caso utilizamos SandaS GRC PRIVACIDAD versión RGPDUE, que distribuye GOVERTIS.
Fig. 4 EIPD. Escenarios de Riesgos SandaS GRC Privacidad versión RGPDUE @ElevenPaths
Tampoco debemos olvidar que la evaluación de impacto vendrá determinada por unos motivos (por ejemplo la realización de una transferencia internacional de datos, el tratamiento de datos de menores, etc.) y por tanto habrá que poner el zoom en dichos aspectos. Podrán analizarse o no otros pero esos no pueden faltar.
6.2. ANÁLISIS
Una vez hemos identificado los escenarios de riesgos hemos de calcular el riesgo inicial. Dicho riesgo depende de dos factores: Probabilidad e impacto.
6.2.1. ¿CÓMO MEDIMOS LA PROBABILIDAD?
Para medir la probabilidad se suelen utilizar diferentes sistemas (porcentual, frecuencia diaria….) pero al final los trasladaremos a un Nivel.
6.2.2. ¿CÓMO VALORAMOS EL IMPACTO O CONSECUENCIAS?
Para ello debemos de establecer unos CRITERIOS DE IMPACTO. Los criterios de impacto pueden ser diversos. Por ejemplo:
- INFRACCIONES
Obviamente este criterio de impacto es básico. No obstante, se plantea el problema de la no graduación de sanciones en el texto del RGPDUE. Aunque la necesaria proporcionalidad del derecho sancionador y los criterios “típicos”, que a buen seguro serán de aplicación, podrán servir para establecer una graduación aproximada.
- PÉRDIDA DE CLIENTES
- PÉRDIDA REPUTACIONAL
- PÉRDIDAS ECONÓMICAS
- OTROS: VOLUMEN DE DATOS, REINCIDENCIA, ETC…
En definitiva, criterios que actualmente recoge el artículo 45 de la LOPD y que a buen seguro se tendrán en cuenta también en el marco del RGPDUE aunque no se contemplen expresamente.
Para cada criterio de impacto establecemos una ESCALA o VALORACIÓN que al final trasladaremos a un nivel. Por ejemplo:
MUY BAJO (0)
BAJO (1-3)
MEDIO (4-6)
ALTO (7-9)
MUY ALTO (10)
N/A = NO APLICA
Y el posible impacto será siempre el mayor de los valores de todos los criterios de impacto.
Fig. 5. EIPD. Criterio de impacto. SandaS GRC Privacidad versión RGPDUE @ElevenPaths
6.2.3. DETERMINACIÓN DEL RIESGO INICIAL
El valor del riesgo es el resultado de poner en unión para cada escenario de riesgo la probabilidad y el impacto:
- CONSULTAS: AL DPO Y A INTERESADOS (O SUS REPRESENTANTES)
Según la guía de la AEPD las consultas se deben hacer cuando se disponga ya de cierta 
información y me parece acertado.
En relación a la consulta al DPO siempre debe de ser consultado formalmente, cuando exista, pues es parte de sus funciones asesorar (cuando se le solicite) sobre la EIPD y supervisar su aplicación.
Por otro lado y en relación con los interesados o sus representantes será más fácil de concretar su participación en la consulta en supuestos en los que la representación es algo que está formalizado legalmente, como sucede por ejemplo con los representantes sindicales en el caso de tratamientos que afecten a empleados.
Expertos en Ciberseguridad, Privacidad, IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.
