¿Cómo sé si mi recogida de datos cumple con el RGPD?

¿Cómo sé si mi recogida de datos cumple con el RGPD?
Non classé

¿Cuándo es obligatorio una PIA?

Como ya se ha mencionado, es obligatorio realizar una PIA (también conocido como AIPD RGPD DAIPD RGPD AIPD RGPD) cuando el tratamiento de los datos pueda suponer un alto riesgo para los derechos y libertades de las personas interesadas, como en los siguientes casos :

  1. El tratamiento está incluido en la lista de los tipos de operaciones para los que la CNIL (autoridad de supervisión del Reglamento General Europeo sobre Protección de Datos) requiere una PIA // https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-aipd-requise.pdf 
  2. El tratamiento de datos cumple al menos dos de los siguientes criterios :
  • Evaluación/elaboración de perfiles
  • Decisión automática con efecto jurídico o similar
  • Vigilancia sistemática
  • Recopilación de datos sensibles
  • Recopilación de datos personales a gran escala
  • Cruce de datos
  • Datos relativos a las personas vulnerables (pacientes, niños, ancianos)
  • Uso de nuevas tecnologías
  • Exclusión del beneficio de un derecho y un contrato

¿Cómo realizar una evaluación de impacto en la protección de datos personales?

Una evaluación de impacto en la protección de datos personales (PIA RGPD) debería incluir al menos:

  • Una descripción de las operaciones de tratamiento, los fines del tratamiento de los datos, una descripción del interés legítimo del responsable del tratamiento de los datos en la recogida y el tratamiento de esos datos personales
  • Una evaluación de la necesidad y proporcionalidad de las diferentes operaciones de tratamiento en relación con los fines de las operaciones con los datos
  • Una evaluación de los riesgos para los derechos y libertades de las personas interesadas por la recogida y el tratamiento de datos personales
  • Las medidas previstas en caso de riesgos: garantías, medidas y mecanismos de seguridad para asegurar la protección de los datos personales y demostrar el cumplimiento del RGPD.

Para llevar a cabo esta evaluación de impacto, la CNIL describe el siguiente método :

  1. Delimitación y descripción del contexto de tratamiento de datos
  2. Análisis de las medidas que garantizan la proporcionalidad y la necesidad del tratamiento de datos y la protección de los derechos de los interesados
  3. Evaluación de los riesgos para la privacidad relacionados con la seguridad de los datos personales
  4. Validación de la evaluación de impacto en la protección de datos personales en los puntos anteriores

¿Qué es una PIA RGPD?

Una PIA del RGPD (PIA RGPD: Privacy Impact Assessment) en inglés es la Evaluación de Impacto de la Protección de Datos (EIPD, en español). Es un paso clave para que su estructura cumpla con los requisitos. Hace responsable al Delegado de Protección de Datos y a sus referentes. Se trata de una herramienta para llevar a cabo un tratamiento de datos que cumpla con el RGPD y respete la privacidad de las personas interesadas por la recogida y el tratamiento de datos personales. El tratamiento de los datos personales puede generar un riesgo para los derechos y libertades de las personas interesadas. La PIA permitirá aplicar un nivel de seguridad proporcional al riesgo que presenta el procesamiento.

La PIA del RGPD es obligatoria para las operaciones de procesamiento que puedan crear altos riesgos para los derechos y libertades de privacidad de los interesados mediante la recogida y el procesamiento de datos.

Además, una PIA del RGPD puede referirse a una sola operación de tratamiento de datos  o a un conjunto de operaciones similares. Por ejemplo: la SNCF puede llevar a cabo un único análisis de impacto en el sistema de videovigilancia desplegado en sus diversas estaciones.

¿Qué es un riesgo sobre los datos personales?

En el contexto de la PIA RGPD, un riesgo sobre los datos personales de las personas interesadas por la recogida y el tratamiento de datos personales puede ser:

  • Un riesgo indeseado: como la violación de la confidencialidad o la integridad de los datos y las posibles repercusiones de esas violaciones en los derechos y libertades de las personas interesadas por la recogida y el tratamiento de datos personales
  • Todas las amenazas a los derechos y libertades de las personas interesadas por la recogida y el tratamiento de datos

Este riesgo se estima en términos de gravedad y probabilidad. Además, la gravedad de este riesgo se evalúa para los interesados y no para la empresa responsable del tratamiento de los datos.

Formarse para llevar a cabo una PIA RGPD

Para ayudarle a llevar a cabo su evaluación de impacto de datos personales, nuestra sección de formación RGPD Academy le proporciona una formación especializada:

Formación en evaluación de Impacto en la protección de datos personales (PIA) (aula virtual): esta formación de dos medias jornadas está dirigida a los DPO, RS y directores de proyectos.

Esta formación permitirá:

  1. Determinar y aplicar una metodología para analizar el impacto de una operación en las personas interesadas
  2. Desarrollar herramientas (marco de referencia, tabla de análisis) para gestionar los riesgos y amenazas
  3. Acompañar y documentar la toma de decisiones
  4. Analizar la evaluación de los resultados de la evaluación de impacto de los datos personales (explotación de los resultados, evaluaciones de impacto, validación de la PIA)

¿Quién puede llevar a cabo una evaluación de impacto sobre los datos personales?

La evaluación de impacto sobre la protección de datos personales debe ser realizada por el DPO o la persona encargada del cumplimiento dentro de la empresa. Si el responsable ha designado un DPO para la protección de datos de su empresa, el DPO será el encargado de llevar a cabo esta evaluación y de garantizar el cumplimiento del RGPD de la estructura en la que opera.

Además, este análisis requerirá la intervención de los directores del proyecto y los técnicos que supervisen su desarrollo.

Comparte este artículo

Artículos similares

¿Cuál es el marco jurídico de la protección de datos personales?
Non classé

¿Cuál es el marco jurídico de la protección de datos personales?

Leer más
Causas y consecuencias del incendio OVHcloud Estrasburgo
Non classé

Causas y consecuencias del incendio OVHcloud Estrasburgo

Leer más