Evaluación de Impacto en la protección de datos personales

La Evaluación de Impacto en la Protección de Datos Personales es una herramienta con carácter preventivo que debe realizar el responsable del tratamiento para poder identificar, evaluar y gestionar los riesgos a los que está expuesto el tratamiento que realiza.

Con el objetivo de garantizar los derechos y libertades de los titulares.

El artículo 35 del Reglamento Europeo de Protección de Datos establece que ante la posibilidad de que un tratamiento implique riesgo para los derechos y las libertades de las personas físicas, será necesario realizar una Evaluación de Impacto a la Protección de Datos, antes de poner en operación el tratamiento. Esta obligación se encuentra alineada con el principio de privacidad que tiene como objetivo el análisis de un tratamiento desde su fase de diseño y garantizar una adecuada gestión de riesgos, además de cumplir con los principios de necesidad y proporcionalidad. 

En el marco legal mexicano en materia de protección de datos personales la Evaluación de Impacto en la Protección de Datos Personales se encuentra definida los artículos 3 fracción XVI, 74 primer y segundo párrafo, 75, 76, 77, 78 y 79 en la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO), que regula al Sector Público, las leyes estatales y las Disposiciones Administrativas de carácter general para la elaboración, presentación y valoración de evaluaciones de impacto en la protección de datos personales. 

Es importante mencionar que los responsables que operen, modifiquen una política pública, programa, sistema o plataforma, aplicación electrónica o tecnología, a través de la cual realicen un tratamiento intensivo o relevante de datos personales tienen la obligación con fundamento en los artículos 10 y 23 de las Disposiciones Administrativas de elaborar y presentar ante el INAI o los Organismos Garantes, una evaluación de impacto en la protección de datos personales, la cual deberá ser presentada 30 días antes a la fecha en que se pretenda operar o modificar la política pública, tecnología o programa. 

Las Disposiciones Administrativas presentan la definición de una evaluación de impacto en la protección de datos personales como el documento emitido por un responsable, para valorar los impactos respecto de un tratamiento intensivo o relevante de datos personales, de tal forma que a través de este análisis el responsable pueda gestionar los posibles riesgos a los principios, derechos y obligaciones. 

Un tratamiento intensivo o relevante con base al artículo 75 de la LGPDPPSO y el artículo 8 de las Disposiciones Administrativas se considera cuando:

• Existan riesgos inherentes a los datos personales.
• Se traten datos personales sensibles.
• Se efectúen o pretendan efectuar transferencias de datos personales 

Además en su artículo 14 en las fracciones I a VII  presentan el contenido mínimo que debe incluir una evaluación de impacto, los cuales podrás ver a través de la siguiente infografía. 

De forma adicional te comparto algunas referencias y guías para profundizar en el tema:

• Disposiciones administrativas de carácter general para la elaboración, presentación y valoración de evaluaciones de impacto en la protección de datos personales.
• ISO/IEC 29134:2017 Information technology — Security techniques — Guidelines for privacy impact assessment
• Guía practica para las evaluaciones de impacto en la protección de los datos sujetas al RGPD
• Modelo de informe de Evaluación de Impacto en la Protección de Datos para Administraciones Públicas
• Data protection impact assessments
• Privacy Impact Assessments
• Guide to undertaking privacy impact assessments
• How to do a Privacy Impact Assessment (PIA)
• Guide to Data Protection Impact Assessments
• Evaluación de Impacto 

Vector de Fondo creado por freepik – www.freepik.es

Infographic vector created by pikisuperstar – www.freepik.com