Para realizar una evaluación de impacto en la protección de datos personales los responsables del tratamiento deben considerar ciertos elementos que el marco normativo establece para su elaboración.
La EIPDP y el marco legal de México
En caso particular del marco legal mexicano la evaluación de impacto es obligatoria para los responsables del sector público, tal como se define y establece en los artículos 3 fracción XVI, 74 primer y segundo párrafo, 75, 76, 77, 78 y 79 en la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO), las leyes estatales y las Disposiciones Administrativas de carácter general para la elaboración, presentación y valoración de evaluaciones de impacto en la protección de datos personales.
Es importante recordar que la Evaluación de Impacto en la Protección de Datos Personales es una herramienta con carácter preventivo que debe realizar el responsable del tratamiento para poder identificar, evaluar y gestionar los riesgos a los que está expuesto el tratamiento que realiza.
Los sujetos obligados deberán realizar una evaluación de impacto en la protección de datos personales cuando realicen un tratamiento intensivo o relevante con base al artículo 75 de la LGPDPPSO y el artículo 8 de las Disposiciones Administrativas se considera cuando:
- Existan riesgos inherentes a los datos personales.
- Se traten datos personales sensibles.
- Se efectúen o pretendan efectuar transferencias de datos personales
7 elementos que no pueden faltar en tu EIPDP
Además en su artículo 14 en las fracciones I a VII dichas disposiciones, presentan el contenido mínimo que debe incluir una evaluación de impacto, los cuales podrás ver a través de la siguiente infografía.
- Descripción política, programa, tecnología, sistema, plataforma que implique un tratamiento intensivo o relevante (Artículo 15 y 16 de las disposiciones administrativas).
- Justificación de la necesidad de la política, programa, tecnología, sistema, plataforma que implique un tratamiento intensivo o relevante (Artículo 17 de las disposiciones administrativas).
- Representación del ciclo de vida de los datos personales a trata (Artículo 18 de las disposiciones administrativas).
- Identificación, análisis, descripción y gestión de los riesgos inherentes (Artículo 19 de las disposiciones administrativas).
- Análisis de cumplimiento normativo LGPDPPSO, leyes estatales y demás normativa aplicable (Artículo 20 de las disposiciones administrativas).
- Resultado de consultas externas (Artículo 21 de las disposiciones administrativas).
- Opinión técnica del Oficial de PDP o cualquier otra información que se considere conveniente (Artículo 22 de las disposiciones administrativas).
¿La EIPDP es obligatoria para el sector privado?
Para el sector privado no es obligatorio pero si recomendable, realizar una evaluación de impacto en la protección de datos personales, para ello el INAI publicó recientemente una Guía para la elaboración de evaluaciones de impacto a la privacidad, que contienen recomendaciones y mejores prácticas para su elaboración.
No te pierdas próximamente un TodoPDPodcast donde te platicaré sobre las Evaluaciones de Impacto en materia de datos personales.
Miriam Padilla Espinosa
MBA, Ing en Computación orgullosamente UNAM, apasionada de los datos personales, seguridad de la información y TIC -Todos los artículos son a título personal.
https://www.linkedin.com/in/mpadillaespinosa
Ponte en contacto conmigo.