Análisis de riesgos y evaluación de impacto de datos
Autor | Christian Razza/Rafael Serrano |
Cargo | Asociado en CorralRosales/Socio en CorralRosales |
Todo tratamiento de datos personales implica un riesgo. Se considera como tratamiento a toda actividad que se realice con datos personales, incluyendo la recolección, conversión, uso y eliminación. El riesgo nace de la probabilidad de que se produzcan eventos negativos con los datos personales, tales como su robo, sustracción, alteración o eliminación.
Quienes lleven a cabo un tratamiento de datos personales deben identificar claramente los riesgos a los que se enfrenta, para poder mitigarlos, gestionarlos o asumirlos, a través de la adopción de diferentes medidas de seguridad. La identificación de los riesgos se la puede realizar mediante el análisis de riesgo, que ayudará a identificar los tratamientos de alto riesgo. Por su lado, las evaluaciones de impacto (en adelante “EIPD”) permitirán, sobre estos tratamientos calificados como de alto riesgo, evaluar posibles vulneraciones de derechos y los mecanismos para reducirlas.
La Ley Orgánica de Protección de Datos Personales (en adelante, la “LOPDP”)[1] estableció la obligación de contar con una metodología de riesgo y realizar una EIPD, cuyo objetivo es prever los impactos y riesgos en la privacidad de los titulares. Por tanto, la LOPDP exige que se implementen medidas de seguridad y control para garantizar los derechos y libertades de las personas[2].
-
¿Qué es una EIDP?
El Reglamento a la Ley Orgánica de Protección de Datos Personales[3] (en adelante, el “Reglamento”), en concordancia con lo que el Grupo de Trabajo del Artículo 29[4] señala sobre las EIPD, define a la evaluación de impacto como un “[…] análisis preventivo, de naturaleza técnica, mediante el cual el responsable valora los impactos reales del tratamiento de datos, a efecto de determinar y mitigar posibles riesgos […]”[5].
-
¿Cómo sé si se debe realizar una EIPD?
Según la LOPDP, una EIPD es obligatoria cuando el tratamiento de datos “conlleve un alto riesgo para los derechos y libertades del titular”. El artículo 42 de la LOPDP recoge algunos ejemplos de cuándo el procesamiento de datos puede generar altos riesgos:
-
Evaluación sistemática y exhaustiva de aspectos personales de personas naturales, que se base en un tratamiento automatizado (como la elaboración de perfiles) y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para tales personas
Por ejemplo, una institución financiera que investiga a sus clientes en una base de datos de referencia de crédito; o un programa de computadora que usa el historial...
-
Para continuar leyendo
Solicita tu prueba