PIA RGPD

PIA RGPD

¿Cómo sé si mi recogida de datos cumple con el RGPD?

Entrepreneurs discussing work results on meeting

¿Cuándo es obligatorio una PIA?

 

Como ya se ha mencionado, es obligatorio realizar una PIA (también conocido como AIPD RGPD DAIPD RGPD AIPD RGPD) cuando el tratamiento de los datos pueda suponer un alto riesgo para los derechos y libertades de las personas interesadas, como en los siguientes casos :

 

  • El tratamiento está incluido en la lista de los tipos de operaciones para los que la CNIL (autoridad de supervisión del Reglamento General Europeo sobre Protección de Datos) requiere una PIA.  Ver artículo de CNIL

 

  • El tratamiento de datos cumple al menos dos de los siguientes criterios :

Evaluación/elaboración de perfiles

-Decisión automática con efecto jurídico o similar

-Vigilancia sistemática

-Recopilación de datos sensibles

-Recopilación de datos personales a gran escala

-Cruce de datos

-Datos relativos a las personas vulnerables (pacientes, niños, ancianos)

-Uso de nuevas tecnologías

-Exclusión del beneficio de un derecho y un contrato

 

¿Cómo realizar una evaluación de impacto en la protección de datos personales?

Una evaluación de impacto en la protección de datos personales (PIA RGPD) debería incluir al menos :

 

  • Una descripción de las operaciones de tratamiento, los fines del tratamiento de los datos, una descripción del interés legítimo del responsable del tratamiento de los datos en la recogida y el tratamiento de esos datos personales
  • Una evaluación de la necesidad y proporcionalidad de las diferentes operaciones de tratamiento en relación con los fines de las operaciones con los datos
  • Una evaluación de los riesgos para los derechos y libertades de las personas interesadas por la recogida y el tratamiento de datos personales
  • Las medidas previstas en caso de riesgos: garantías, medidas y mecanismos de seguridad para asegurar la protección de los datos personales y demostrar el cumplimiento del RGPD.

Para llevar a cabo esta evaluación de impacto, la CNIL describe el siguiente método :

1. Delimitación y descripción del contexto de tratamiento de datos

 

2. Análisis de las medidas que garantizan la proporcionalidad y la necesidad del tratamiento de datos y la protección de los derechos de los interesados

 

3.Evaluación de los riesgos para la privacidad relacionados con la seguridad de los datos personales

 

4.Validación de la evaluación de impacto en la protección de datos personales en los puntos anteriores

Business partners shaking hands in agreement

¿Qué es una PIA RGPD?

 

Una PIA del RGPD (PIA RGPD: Privacy Impact Assessment) en inglés es la Evaluación de Impacto de la Protección de Datos (EIPD, en español). Es un paso clave para que su estructura cumpla con los requisitos. Hace responsable al Delegado de Protección de Datos y a sus referentes. Se trata de una herramienta para llevar a cabo un tratamiento de datos que cumpla con el RGPD y respete la privacidad de las personas interesadas por la recogida y el tratamiento de datos personales. El tratamiento de los datos personales puede generar un riesgo para los derechos y libertades de las personas interesadas. La PIA permitirá aplicar un nivel de seguridad proporcional al riesgo que presenta el procesamiento.

 

La PIA del RGPD es obligatoria para las operaciones de procesamiento que puedan crear altos riesgos para los derechos y libertades de privacidad de los interesados mediante la recogida y el procesamiento de datos.

 

Además, una PIA del RGPD puede referirse a una sola operación de tratamiento de datos  o a un conjunto de operaciones similares. Por ejemplo: la SNCF puede llevar a cabo un único análisis de impacto en el sistema de videovigilancia desplegado en sus diversas estaciones.

Preguntas frecuentes sobre el PAI

    En el contexto de un PIA RGPD, el riesgo para la privacidad de las personas involucradas en la recopilación y tratamiento de datos personales puede ser :
     
    • Un evento temido: como una violación de la privacidad o integridad de los datos y el impacto potencial de tales violaciones en los derechos y libertades de quienes participan en la recopilación y el procesamiento de datos personales
     
    • Todas las amenazas a los derechos y libertades de quienes participan en la recopilación y el procesamiento de datos
     
    Este riesgo se estima en gravedad y probabilidad. Además, la gravedad de este riesgo se evalúa para las personas afectadas y no para la empresa responsable del tratamiento de datos.
    Para ayudarle a llevar a cabo su análisis de impacto en la privacidad, nuestro centro de formación RGPD Academy le proporciona formación especializada :
     
    Formación de Análisis de Impacto de Vida Privada (AIPD): este curso de 2 días y medio día es para DPO, RSSI y director de proyectos.
     
    Durante este entrenamiento:
     
    1. Determinar e implementar una metodología para analizar el impacto de un tratamiento en las personas afectadas
    2. Desarrollar herramientas (referentes, cuadrícula de análisis) para gestionar riesgos y amenazas
    3. Acompañar y documentar la toma de decisiones
    4. Analizar la evaluación de los resultados del análisis de impacto en la privacidad (explotación de resultados, evaluaciones de riesgos sobre privacidad, validación de la AIPD)
    El análisis del impacto en la privacidad debe ser realizado por el DPO o la persona de cumplimiento dentro de la empresa. Si el responsable del tratamiento ha nombrado un representante de protección de datos para su empresa, el DPO será responsable de implementar este análisis y garantizar el cumplimiento del RGPD de la estructura en la que opera.
     
    Además, este análisis requerirá la intervención de los gerentes de proyectos y técnicos que supervisan su desarrollo.
    Woman writing on her daily planner

    Más información sobre el programa de capacitación

    Capacitación RGPD

    Liens vers d’autres actualités :

    Voir tous les articles