Boletín 2014/12/15.- Evaluación de Impacto en la Protección de Datos

La Agencia de Protección de Datos continua apostando por  educar a las empresas que tratan datos personales en la realización de comportamientos proactivos, diligentes y responsables que contribuyan a garantizar el respeto en la utilización de datos personales y a fortalecer la confianza de los clientes y usuarios de dichas empresas en que sus datos están siendo tratados adecuadamente.

Fruto de esa apuesta, la Agencia aboga por el concepto de “privacidad desde el diseño”, que significa que  las cuestiones de protección de datos y privacidad se tomen en consideración desde la fase inicial, desde el momento mismo del diseño de un producto o servicio (por ejemplo un nuevos programa o sistema informático, una página web en la que se recojan y traten datos personales, una campaña de mailing masiva o una campaña de telemarketing, una aplicación de gestión de nóminas …) identificando los posibles riesgos para poder corregirlos anticipadamente evitando que una vez desarrollado o implantado, se descubra su ilegalidad o que no respeta adecuadamente la normativa sobre protección de datos y haya que rediseñarlo o adaptarlo con los altos costes que eso supone, no solo económicos sino incluso (lo que es más importante todavía) de imagen y reputación para la empresa afectada.

Para gestionar ese riesgo se puede realizar previamente una Evaluación de Impacto en la Protección de Datos consistente en analizar los riesgos que un determinado sistema de información, producto o servicio puede entrañar para la protección de los datos de los afectados, para gestionar los riesgos identificados adoptando las medidas necesarias para eliminarlos o mitigarlos.

En estos momentos no hay obligación legal de realizar Evaluaciones de Impacto aunque podría existir en el futuro si se aprueba la Propuesta de Reglamento General de Protección de Datos para la Unión Europea en los términos propuestos por la Comisión Europea. En todo caso la propia Agencia establece que aunque la realización de una evaluación de impacto no eximirá de responsabilidades en caso de vulneración de la normativa de protección de datos, sí podrá ser teni­da en cuenta como un elemento relevante para valorar si la empresa ha sido diligente en la implementación de las medidas adecuadas para cumplir con las exigencias legales.

Por supuesto no es imprescindible  hacerlas en caso de pequeños cambios o proyectos que no signifiquen modificaciones importantes o nuevos usos de datos personales o que éstas sean sencillas y no impliquen riesgos para la privacidad; ni no todas las EIPD tienen por qué realizarse con la misma profundidad, sino que dependerá del tipo de empresa, del sector y actividad de la misma del tamaño de la organización, de si hace tratamientos masivos de datos personales especialmente si son sensibles como datos de menores o de salud …

En Vadillo Asesores podemos ayudarle y asesorarle en la realización de una evaluación de impacto, por lo que si lo desea puede ponerse en contacto con Luis Jorquera en el teléfono 945 22 27 62 o en  l.jorquera@grupovadillo.com