Un Privacy Impact Assestment (en adelante, PIA) o una Evaluación de Impacto en la Protección de Datos Personales es el análisis de los riesgos que un determinado sistema de información, producto o servicio puede implicar para los datos de carácter personal que se tratan dentro de una organización.
¿Para qué sirve el PIA?
El PIA sirve para identificar los riesgos derivados de un tratamiento de datos de carácter personal, especialmente si se utilizan nuevas tecnologías, con el fin de adoptar medidas de eliminación o mitigación de los problemas de seguridad que podrían impactar o menoscabar los derechos vinculados a la privacidad de las personas.
Implementar un PIA es una gran ventaja para las organizaciones empresariales, puesto que permite, desde el inicio del diseño de un nuevo sistema de información, producto o servicio, identificar los posibles riesgos y corregirlos de manera anticipada con base en la normativa de protección de los datos de carácter personal. En este sentido, con el PIA se busca prevenir lesiones graves a los derechos fundamentales de las personas, que obliguen a la organización a implementar soluciones costosas para eliminar la vulneración que ya se ha generado.
¿Cuándo se debe implementar un PIA?
El artículo 35 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), exige a los Responsables del Tratamiento de Datos la realización de una evaluación de impacto (PIA) en aquellos casos en los que el tratamiento que realice implique un alto riesgo para los derechos y libertades de las personas. Particularmente se requiere en los siguientes supuestos:
- Cuando se realice una evaluación sistemática y exhaustiva de aspectos personales de personas físicas. Ejemplo: elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos para los interesados
- Cuando se efectúe en un tratamiento a gran escala de datos personales que reflejen el origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, aquellos relativos a condenas e infracciones penales, entre otros.
- Cuando exista tratamiento a gran escala basado en la observación sistemática de una zona de acceso público.
¿Cómo se elabora un PIA?
Según la normativa, en la la evaluación de impacto deben incluirse como mínimo los siguientes aspectos:
- Una descripción de las operaciones de tratamiento de datos previstas, los fines del tratamiento y el interés legítimo perseguido por el Responsable del Tratamiento.
- Un análisis de la necesidad y proporcionalidad del tratamiento, respecto su finalidad.
- Una evaluación de los riesgos para los derechos y libertades de las personas.
- Las medidas previstas para afrontar los riesgo identificados, incluídas las garantías, medidas de seguridad y mecanismos que garanticen el cumplimiento de la normativa en materia de protección de datos.
Por último, vale la pena mencionar que en caso tal que en el PIA se muestre que el tratamiento de los datos implica un riesgo alto para los derechos de los afectados, el Responsable del Tratamiento deberá consultar a la Agencia Española de Protección de Datos antes de proceder con dicho tratamiento.
¿Quién debe elaborar un PIA?
El PIA debe ser elaborado por todas aquellas personas físicas o jurídicas que estén desarrollando un proyecto que implique recabar datos de carácter personal (PYMES, starups, grandes empresas, etc.), así como aquellas que realicen cambios sobre un proyecto ya existente y que tenga efectos sobre la privacidad de las personas.
¿Qué se necesita para elaborar un buen PIA?
Área Digital Abogados (Área Digital Abogados) cuenta con un equipo de abogados especialistas en derecho de las nuevas tecnologías y protección de datos con sede en Barcelona, que ofrece sus servicios profesionales para sus clientes españoles y extranjeros que operen en territorio nacional.
Si aún tienes dudas de cómo gestionar los datos de carácter personal que recaba tu empresa, no olvides probar el Test de Evaluación de Protección de Datos que ofrece gratuitamente Área Digital Abogados en su página web.