Qué es la Evaluación de Impacto de la Protección de Datos? ¿Afecta a mi startup?
Delegado de Protección de Datos, Privacidad desde el Diseño o por Defecto, Evaluación de Impacto de la Protección de Datos…son sólo algunos de los conceptos en materia de privacidad que las empresas que traten datos personales (¿alguna no lo hace?), deberán empezar a manejar.
Aquí nos centramos en la citada Evaluación de Impacto de Protección de Datos (más fácil “EIPD”). Nos encontramos ante un concepto de privacidad novedoso a nivel normativa pero clásico a nivel teórico. Esta figura se incluye en la propuesta de Reglamento Europeo de Protección de Datos, actualmente siguiendo su camino en la Unión Europea, y pretende que todas aquellas organizaciones que implementen nuevos sistemas de tratamiento de datos o modifiquen los que ya tienen (apps, software, programas, etc…), evalúen de forma previa qué impacto en la privacidad de los usuarios, tendrán dichos sistemas.
En otras palabras, pretende que antes a la implementación de los mismos, los responsables del desarrollo, identifiquen y tomen medidas para minimizar dichos riesgos. Esta figura tiene mucho que ver con otro concepto “nuevo”: la privacidad desde el diseño: las herramientas que traten datos, deben incorporar el respeto a la privacidad en el mismo momento que se evalúan otros elementos iniciales como el coste, el diseño gráfico, proveedores informáticos, etc…
¿Cómo se traduce esta obligación para startups?
Esto implica más documentación, más protocolos, más papeles. Con carácter previo al tratamiento de datos deberá redactarse un informe de EIPD. Esto implica un informe por cada app, programa, software distinto…
¿Qué incluye?
- Una identificación de la necesidad de redactar el EIPD.
- Una descripción de los flujos de información.
- Identificar los riesgos asociados a la privacidad.
- Identificar cómo soluciono dichos riesgos.
¿Debo hacerlo?
A fecha de hoy no es obligatorio, pero la mencionada reforma europea lo prevé para aquellos sistemas de información que traten datos de más de 5000 personas en un plazo inferior a un año. ¿Mucho? No necesariamente, pensad en las descargas de cualquier app. También se prevé por si se trataran datos sensibles (por ejemplo salud).
¿Quién debe intervenir en su redacción?
Indiscutiblemente es necesaria la intervención de personal técnico de la empresa que sea capaz de dar respuesta a las preguntas que se le plantearan en relación a riesgos relacionados con un proyecto concreto y forma de solucionarlos. Deberá además intervenir personal calificado (y a poder ser, certificado) en materia de privacidad ya sea a nivel técnico como jurídico (y si pueden ser los dos, mejor).
¿Dónde encuentro más información?
Actualmente la Autoridad de Protección de Datos del Reino Unido ha publicado una Guía Práctica sobre el tema y la AEPD un borrador (muy inspirado en la primera), que en breve acabará en Guía.
Si tienes dudas sobre este o cualquier otro tema, no dudes en contactarnos!