Blog

datos personales - Protección de Datos - RGPD

Evaluación de impacto: ¿qué es? ¿tengo que hacerla?

Evaluación de impacto: ¿qué es? ¿tengo que hacerla?

¿Necesitas saber qué es una evaluación de impacto? Sigue leyendo y te contaremos en qué consiste y si te debe de interesar hasta el nivel de aplicarla en tu empresa.

¿Qué es?

Entremos en casa por la puerta: una evaluación de impacto, cuando estamos hablando de protección de datos, es un ejercicio en el que analizamos los riesgos que nuestro sistema de gestión, o nuestro objeto de negocio pueden llegar a suponer para los derechos de quienes nos han proporcionado su información personal.

El resultado de este análisis es la adopción de las medidas necesarias en la gestión de estos datos para que todo quede en regla según lo que dicta el RGPD. ¿En otras palabras? Tenemos unos datos, vamos a ponernos en lo peor que pueda pasar y tomemos medidas preventivas para que eso no suceda. Si quieres sorprender a tus empleados o compañeros con un toque políglota, en inglés se denomina PIA, Privacy Impact Assessment.

Deberás realizar esta prueba antes de iniciar el tratamiento de los datos que posees.

¿Me toca?

Según el RGPD, tienen obligación de realizar una evaluación de impacto aquellas empresas que gestionen tratamientos que puedan comportar un riesgo elevado para los derechos y las libertades de los usuarios. El reglamento no es exacto en cuanto a cuáles son estos riesgos ni en cuanto a qué significa el parámetro “elevado” con lo cual, a la menor sospecha de pertenecer a este grupo, es bueno realizar una EIPD, o Evaluación de Impacto de Protección de Datos.

Otras dos situaciones en las que el RGPD dicta que debería llevarse a cabo una evaluación de este tipo es cuando se dé una evaluación sistemática (cuando se evalúen aspectos personales de personas mediante un tratamiento automatizado), un tratamiento a gran escala de datos especialmente sensibles, esto incluye datos de menores, o cuando se utilicen tecnologías especialmente invasivas con la privacidad, como serían drones, videovigilancia, geolocalización, etc. ¿Estás en alguno de estos grupos? ¡Pues a evaluar impactos!

Puede ser que sigas sin tener claro si necesitas realizar una evaluación de impacto, pero para eso está el RGPD. En el reglamento se lee una lista de entidades que sí deben realizarla, y estas son: farmacéuticas, hospitales, seguridad privada y vigilancia, comercializadoras de energía, empresas que hagan e-commerce y, por supuesto, los colegios.

Esforzarse antes, descansar después

Aunque parezca un proceso que ralentiza la puesta en marcha de tu negocio, es todo lo contrario. Una vez evaluados estos impactos y hechos todos los trámites correspondientes al cumplimiento del RGPD, podrás realizar tu actividad tranquilamente y estando seguro de que los datos de quienes han confiado en ti están seguros.