Evaluación de Impacto en la Protección de Datos Personales

PIA (Privacy Impact Assessment)

En castellano: EIPD Evaluación de Impacto en la Protección de Datos Personales

Muchos de vosotros nos habréis oído a muchos profesionales de la privacidad, hablar del PIA o de la Evaluación de Impacto en la protección de datos, pero ¿qué es exactamente y qué finalidad tiene?

Una Evaluación de Impacto en la Protección de Datos Personales (EIPD) es, básicamente, un ejercicio de análisis de los riesgos que un determinado sistema de información, producto o servicio que puede entrañar para el derecho fundamental a la protección de datos de los afectados cuyos datos se tratan y, como consecuencia de ese análisis, la gestión de dichos riesgos mediante la adopción de las medidas necesarias para eliminar o mitigar en lo posible aquellos que se hayan identificado. (Fuente: La guía para una Evaluación de Impacto en la Protección de Datos de la AGPD)

La finalidad de un PIA es establecer, con carácter previo a la realización de un tratamiento o proyecto de tratamiento, cuáles son las líneas del mismo, cuáles son sus riesgos y cómo debe abordarse la seguridad de ese tratamiento en base a la normativa general y sectorial.

Esta herramienta es esencial para conseguir este respeto es la cuidadosa evaluación de los riesgos que para la privacidad de las personas tiene cualquier nuevo sistema que trate datos de carácter personal, este  instrumento es lo que se conoce como Evaluación de Impacto en la Privacidad o Evaluación de Impacto en la Protección de Datos Personales (EIPD) y, junto con otros como la realización de auditorías periódicas, la correcta documentación de los tratamientos o el nombramiento de un delegado de protección de datos, viene a constituirse en un medio poderoso para avanzar en la mejora proactiva de la privacidad.

Es por ello, que el artículo 35 del Reglamento europeo de protección de datos (UE) 2016/679 regula la Evaluación de impacto relativa a la protección de datos y su consulta previa y nos indica que:  Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento  realizará, antes  del  tratamiento,  una  evaluación del  impacto  de  las operaciones  de  tratamiento  en  la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.