PIA RGPD

PIA RGPD

¿Cómo sé si mi recogida de datos cumple con el RGPD?

Entrepreneurs discussing work results on meeting

¿Cuándo es obligatorio una PIA?

 

Como ya se ha mencionado, es obligatorio realizar una PIA (también conocido como AIPD RGPD DAIPD RGPD AIPD RGPD) cuando el tratamiento de los datos pueda suponer un alto riesgo para los derechos y libertades de las personas interesadas, como en los siguientes casos :

 

  • El tratamiento está incluido en la lista de los tipos de operaciones para los que la CNIL (autoridad de supervisión del Reglamento General Europeo sobre Protección de Datos) requiere una PIA.  Ver artículo de CNIL

 

  • El tratamiento de datos cumple al menos dos de los siguientes criterios :

Evaluación/elaboración de perfiles

-Decisión automática con efecto jurídico o similar

-Vigilancia sistemática

-Recopilación de datos sensibles

-Recopilación de datos personales a gran escala

-Cruce de datos

-Datos relativos a las personas vulnerables (pacientes, niños, ancianos)

-Uso de nuevas tecnologías

-Exclusión del beneficio de un derecho y un contrato

 

¿Cómo realizar una evaluación de impacto en la protección de datos personales?

Una evaluación de impacto en la protección de datos personales (PIA RGPD) debería incluir al menos :

 

  • Una descripción de las operaciones de tratamiento, los fines del tratamiento de los datos, una descripción del interés legítimo del responsable del tratamiento de los datos en la recogida y el tratamiento de esos datos personales
  • Una evaluación de la necesidad y proporcionalidad de las diferentes operaciones de tratamiento en relación con los fines de las operaciones con los datos
  • Una evaluación de los riesgos para los derechos y libertades de las personas interesadas por la recogida y el tratamiento de datos personales
  • Las medidas previstas en caso de riesgos: garantías, medidas y mecanismos de seguridad para asegurar la protección de los datos personales y demostrar el cumplimiento del RGPD.

Para llevar a cabo esta evaluación de impacto, la CNIL describe el siguiente método :

1. Delimitación y descripción del contexto de tratamiento de datos

 

2. Análisis de las medidas que garantizan la proporcionalidad y la necesidad del tratamiento de datos y la protección de los derechos de los interesados

 

3. Evaluación de los riesgos para la privacidad relacionados con la seguridad de los datos personales

 

4. Validación de la evaluación de impacto en la protección de datos personales en los puntos anteriores

Business partners shaking hands in agreement

¿Qué es una PIA RGPD?

 

Una PIA del RGPD (PIA RGPD: Privacy Impact Assessment en inglés) es la Evaluación de Impacto de la Protección de Datos (EIPD, en español). Es un paso clave para que su estructura cumpla con los requisitos. Hace responsable al Delegado de Protección de Datos y a sus referentes. Se trata de una herramienta para llevar a cabo un tratamiento de datos que cumpla con el RGPD y respete la privacidad de las personas interesadas por la recogida y el tratamiento de datos personales. El tratamiento de los datos personales puede generar un riesgo para los derechos y libertades de las personas interesadas. La PIA permitirá aplicar un nivel de seguridad proporcional al riesgo que presenta el procesamiento.

 

La PIA del RGPD es obligatoria para las operaciones de procesamiento que puedan crear altos riesgos para los derechos y libertades de privacidad de los interesados mediante la recogida y el procesamiento de datos.

 

Además, una PIA del RGPD puede referirse a una sola operación de tratamiento de datos  o a un conjunto de operaciones similares. Por ejemplo: la SNCF puede llevar a cabo un único análisis de impacto en el sistema de videovigilancia desplegado en sus diversas estaciones.

Preguntas frecuentes sobre el PIA

    En el contexto de la PIA RGPD, un riesgo sobre los datos personales de las personas interesadas por la recogida y el tratamiento de datos personales puede ser:

     

    • Un riesgo indeseado: como la violación de la confidencialidad o la integridad de los datos y las posibles repercusiones de esas violaciones en los derechos y libertades de las personas interesadas por la recogida y el tratamiento de datos personales.

     

    • Todas las amenazas a los derechos y libertades de las personas interesadas por la recogida y el tratamiento de datos.
     
    Este riesgo se estima en gravedad y probabilidad. Además, la gravedad de este riesgo se evalúa para las personas afectadas y no para la empresa responsable del tratamiento de datos.

    Para ayudarle a llevar a cabo su evaluación de impacto de datos personales, nuestra sección de formación RGPD Academy le proporciona una formación especializada:

     

    Formación en evaluación de impacto en la protección de datos personales (PIA) (aula virtual): esta formación de dos medias jornadas está dirigida a los DPO, RS y directores de proyectos.

    Esta formación permitirá:

     

    1. Determinar y aplicar una metodología para analizar el impacto de una operación en las personas interesadas

    2. Desarrollar herramientas (marco de referencia, tabla de análisis) para gestionar los riesgos y amenazas

    3. Acompañar y documentar la toma de decisiones

    4. Analizar la evaluación de los resultados de la evaluación de impacto de los datos personales (explotación de los resultados, evaluaciones de impacto, validación de la PIA)

    La evaluación de impacto sobre la protección de datos personales debe ser realizada por el DPO o la persona encargada del cumplimiento dentro de la empresa. Si el responsable ha designado un DPO para la protección de datos de su empresa, el DPO será el encargado de llevar a cabo esta evaluación y de garantizar el cumplimiento del RGPD de la estructura en la que opera.

     

    Además, este análisis requerirá la intervención de los directores del proyecto y los técnicos que supervisen su desarrollo.

    Woman writing on her daily planner

    Más información sobre el programa de formación

    Formaciones RGPD

    Aquí tiene algunos artículos que pueden interesarle

    ¿Qué son los datos personales?
    Non classé

    ¿Qué son los datos personales?

    Los datos personales son cualquier información sobre una persona física identificada o identificable. Estos datos personales permiten identificar a la persona física.
    Leer más
    El DPO: ¿Un activo real en una empresa?
    Non classé

    El DPO: ¿Un activo real en una empresa?

    Desde la entrada en vigor del Reglamento General de Protección de Datos, esta función ha evolucionado pasando a ser obligatoria en algunos casos y cambiando de nombre a DPO. La pregunta es “¿Qué significa DPO? ».
    Leer más

    Ver todos los artículos