05 diciembre 2017

¿Hay vida más allá de Oracle? Evaluaciones de impacto de protección de datos bajo la GDPR

Las evaluaciones de impacto de protección de datos (DPIA) ayudan a las organizaciones a identificar, evaluar y mitigar o minimizar los riesgos de privacidad con las actividades de procesamiento de datos. Son particularmente relevantes cuando se introduce un nuevo proceso, sistema o tecnología de procesamiento de datos.

Los DPIA también respaldan el principio de rendición de cuentas, ya que ayudan a las organizaciones a cumplir con los requisitos del Reglamento General de Protección de Datos (GDPR) y demuestran que se han tomado las medidas adecuadas para garantizar el cumplimiento.

El incumplimiento de una DPIA adecuada, en su caso, constituye un incumplimiento del GDPR y podría generar multas de hasta el 2% de la facturación global anual de una organización o 10 millones €, el que sea mayor.

¿Cuándo debería realizarse un DPIA?


La GDPR exige que se lleve a cabo una DPIA donde el procesamiento de datos probablemente genere un alto riesgo para los derechos y las libertades de las personas físicas. Las tres condiciones principales identificadas en el GDPR son:
  • Una evaluación sistemática y exhaustiva de los aspectos personales relacionados con las personas físicas, que se basa en el procesamiento automatizado, incluida la elaboración de perfiles, y en la que se basan las decisiones que producen efectos jurídicos sobre la persona física o afectan de forma similar a la persona física.
  • Procesamiento a gran escala de categorías especiales de datos o de datos personales relacionados con condenas y delitos penales.
  • Monitoreo sistemático de un área de acceso público a gran escala.

Ejemplos de procesamiento de datos personales donde es probable que se requiera un DPIA

  • Compañía proveedora de servicio de telefonía e internet:
    • Retención de datos de llamadas, mensajes y accesos a internet
  • Grandes corporaciones: 
    • Una empresa que supervisa sistemáticamente las actividades de sus empleados, incluidas sus estaciones de trabajo y su actividad en Internet.
  • Bancos e intermediarios financieros: 
    • Una institución que crea una calificación crediticia o base de datos de fraude a nivel nacional.
    • Listas negras, tipo World-check, de verificación KYC ("Know Your Customer").
    • Listas AML (anti-lavado de dinero), como Accuity Global WatchList.
  • Empresas farmacéuticas e instituciones médicas: 
    • El archivo de datos sensibles personales pseudonimizados de proyectos de investigación o ensayos clínicos.
    • Un hospital que procesa los datos genéticos y de salud de sus pacientes en su sistema de información.
  • Compañías de marketing:
    • La recopilación de datos de redes sociales públicas para generar perfiles.

¿Cuándo debería realizarse un DPIA?

Se debe realizar un DPIA lo antes posible dentro de cualquier ciclo de vida del  proyecto de adaptación a GDPR, de modo que sus hallazgos y recomendaciones puedan incorporarse en el diseño de la operación de procesamiento.

Conocido como privacidad por diseño, la incorporación de características de privacidad de datos en el diseño de proyectos puede tener los siguientes beneficios:
  • Abordar los problemas con anticipación a menudo será más simple y menos costoso.
  • Los problemas potenciales se identifican en una etapa temprana.
  • Mayor conciencia de privacidad y protección de datos en toda la organización.
  • Las organizaciones tendrán menos probabilidades de violar el GDPR.
  • Es menos probable que las acciones sean intrusivas para la privacidad y tengan un impacto negativo en las personas.

Elementos clave de un DPIA exitoso

La GDPR no especifica qué proceso debe seguirse, para realizar un DPIA, sino que permite a las organizaciones introducir un marco que complementa sus prácticas de trabajo existentes. 
Un DPIA generalmente constará de los siguientes pasos clave:
  • Identifique la necesidad de un DPIA.
  • Describe el flujo de información.
  • Identificar la protección de datos y los riesgos relacionados.
  • Identificar soluciones de protección de datos para reducir o eliminar los riesgos.
  • Firme los resultados de DPIA.
  • Integra soluciones de protección de datos en el proyecto.

¿Quién debería participar en la realización de un DPIA?

La organización (controlador del dato) es la responsable de garantizar que se lleve a cabo la puesta en marcha de un DPIA. Esta puesta en marcha debe ser impulsada por personas con la experiencia y el conocimiento adecuados del proyecto en cuestión, normalmente el equipo del proyecto. Si su organización no posee suficiente experiencia y experiencia internamente, puede considerar contratar especialistas externos para que asesoren con su experiencia/conocimiento o realicen el mismo DPIA.

Bajo la GDPR es necesario que cualquier organización con un oficial de protección de datos designado (DPO) busque el consejo de la DPO. Este consejo y las decisiones tomadas deben documentarse como parte del proceso DPIA.

Los elementos clave del mapeo de datos en GDPR

Para mapear efectivamente sus datos, necesita comprender el flujo de información, describirlo e identificar sus elementos clave.

Comprender el flujo de información
Un flujo de información es una transferencia de información de una ubicación a otra, por ejemplo: 
  • Desde dentro hacia fuera de la Unión Europea.
  • Desde proveedores y subproveedores hasta clientes.
Describe el flujo de información
  • Recorra el ciclo de vida de la información para identificar usos de datos imprevistos o involuntarios. Esto también ayuda a minimizar qué datos se recopilan.
  • Asegúrese de consultar a las personas que utilizarán la información sobre las implicaciones prácticas.
  • Considere los posibles usos futuros de la información recopilada, incluso si no es inmediatamente necesaria.
Identificar sus elementos clave
Elementos de datos
  • ¿Qué tipo de información se está procesando (nombre, correo electrónico, dirección, etc.)  
  • En qué categoría pertenece (datos de salud, antecedentes penales, datos de ubicación, etc.)?
Formatos
  • ¿En qué formato almacena los datos (copia impresa, digital, base de datos, trae su propio dispositivo, teléfonos móviles, etc.)?
Método de transferencia
  • ¿Cómo se recopilan datos (publicaciones, teléfonos, redes sociales) y cómo se comparte internamente (dentro de su organización) y externamente (con terceros)?
Ubicación
  • ¿Qué ubicaciones están involucradas en el flujo de datos (oficinas, la nube, terceros, etc.)?
Responsabilidad
  • ¿Quién es responsable de los datos personales? A menudo, esto cambia a medida que los datos se mueven en toda la organización.
Acceso
  • ¿Quién tiene acceso a los datos en cuestión?

Los desafíos clave del mapeo de datos

  • Identificando datos personales: Los datos personales pueden residir en una serie de ubicaciones y almacenarse en varios formatos, como papel, electrónico y audio. Su primer desafío es decidir qué información necesita registrar y en qué formato.
  • Identificar salvaguardias técnicas y organizativas apropiadas: El segundo desafío probablemente sea identificar la tecnología apropiada, y la política y los procedimientos para su uso, para proteger la información y, a la vez, determinar quién controla el acceso a la misma.
  • Comprender las obligaciones legales y regulatorias: Su desafío final es determinar cuáles son las obligaciones legales y reglamentarias de su organización. Además del GDPR, esto puede incluir otros estándares de cumplimiento, como el estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) e ISO 27001.
Una vez que haya completado estos tres desafíos, estará en condiciones de avanzar, ganándose la confianza de sus partes interesadas clave.

Otros pasos a tener en cuenta

Implantar, si es necesario, un sistema de gestión de información personal (PIMS)
BS 10012: 2017 es el estándar británico que especifica los requisitos para un sistema de gestión de información personal (PIMS) y está alineado con los requisitos del GDPR.

Proporciona una estructura bien definida para gestionar la protección de datos, y está diseñada para seguir el ciclo planificar-hacer-verificar-actuar (PDCA) para garantizar la mejora continua.

Haber implantado un sistema de gestión de seguridad de la información (ISMS)
La certificación acreditada según ISO 27001 demuestra que su empresa sigue las mejores prácticas de seguridad de la información y ofrece una evaluación independiente y experta de si sus datos están adecuadamente protegidos. Reconocido internacionalmente, es independiente del sector, no favorece ninguna tecnología o solución, y puede ser utilizado por organizaciones de cualquier tamaño.

El enfoque basado en riesgos ISO 27001 para implementar controles de seguridad de la información es un excelente enfoque para cumplir con el requisito de GDPR de que las organizaciones implementen controles técnicos y organizacionales apropiados para garantizar la "confidencialidad, integridad y disponibilidad" de los sistemas y servicios de procesamiento.

No hay comentarios:

Publicar un comentario

Por favor deja tu comentario, es valioso.