Perkins Human Media

Calendario 2017 para la LOPD – Febrero

WebMaster rgpd

La presente entrada se corresponde con el Calendario 2017 para la LOPD – Febrero y que tratará acerca de la Evaluación de Impacto relativa a la Protección de Datos –EIPD- (Art. 35 del Reglamento General de Protección de Datos -2016/679-).

INTRODUCCIÓN: EL ANÁLISIS DE RIESGOS

Calendario 2017 para la LOPD - FebreroLa Evaluación de Impacto relativa a la Protección de Datos, supone Análisis de Riesgos, algo cada vez más usual en las leyes y por tanto de cumplimiento en las corporaciones y no sólo desde el punto de vista de la Protección de Datos, sino, desde el ámbito financiero, sector asegurador, etc .

Generalmente, los Análisis de Riesgos son estándares desarrollados mediante normas ISO  (International Organization for Standardization) e IEC (International Electrotechnical Commission).

Se ha de aclarar que las normas ISO en principio no son de obligado cumplimiento, es decir, son normas enfocadas a la buena conducta/práctica de las corporaciones que así se deseen certificar. Por tanto estas quedan en el ámbito privado.

No obstante, cada vez más, esas normas desde hace unos años empiezan a “aterrizar” en disposiciones legales. A modo de ejemplo: en materia de Seguridad de la Información en el ámbito público se aprueba el Real Decreto 3/2010, de 8 de enero que regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, recientemente modificado por el Real Decreto 951/2015.

Una vez dada estas pinceladas cabe la cuestión siguiente ¿Qué tengo que saber para hacer una EIPD? Conocer dos elementos básicos: metodología de gestión de riesgos y también conocer la protección de datos.

DETERMINACIÓN DEL OBJETO: TRATAMIENTOS Y OPERACIONES DE TRATAMIENTO

El objeto puede proyectarse sobre un conjunto de elementos:

  1. Para cada elemento relevante de un dispositivo,
  2. Para cada módulo relevante de un sistema,
  3. Para cada actividad de un proceso de negocio y,
  4. Para cada tarea que incida en un flujo de información.

Pero ¿Cuál es el elemento central desde el punto de vista de la Protección de Datos? Teniendo como base el Reglamento General de Protección de Datos de la Unión Europea –RGPDUE – este nos enfoca a tratamiento y a operaciones de tratamiento.

Palabra clave: TRATAMIENTO
Se ha de hacer la salvedad que se debe de obviar de lo que le rodea “por arriba” o Concepto de fichero y por “debajo” operaciones de tratamiento.

Considerando al RGPOUE, este define a «tratamiento» como:

«cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, efectuadas o no mediante procedimientos automatizados, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”»

Pongamos un ejemplo:

  1. Fichero Pacientes de una clínica privada.
  2. A modo de tratamiento típico la gestión de las historias clínicas.
  3. Y dichos tratamientos conllevan operaciones. Por ejemplo: nuevo diagnóstico, recetar fármacos, captura de dato biométricos, etc.

Volviendo al EIPD, ésta, la Evaluación de Impacto, se puede realizar bien desde tratamientos o sobre operaciones de tratamiento, es decir, en nuestro ejemplo: sobre historias clínicas o sobre nuevo diagnóstico, recetar fármacos, captura de dato biométrico.

Dicho ésto hay que distinguir  entre:

A. Tratamiento en desarrollo y tratamientos en producción

Los tratamientos en producción son aquellos que ya se están llevando a cabo. La entrada en vigor del RGPDUE va a obligar a realizar un análisis de los mismos conforme al nuevo marco y el resultado de la misma supondrá que puedan continuar, dejar de tratarse o dejarse en stand by como posteriormente se indica.

Los tratamientos en desarrollo podrán y deberán analizarse previamente a su puesta en producción.

B. Uno o varios

Según el artículo 35.1. del RGPDUE in fine “Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares”

Por tanto se puede deducir que se pueden agrupar no solo en una misma EIPD operaciones de tratamiento sino también tratamientos.

SUPUESTOS DE OBLIGACIÓN (Art. 35.3 RGPDUE)

El RGPDUE contempla dos situaciones en este sentido: que la EIPD tenga carácter obligatorio o que esta aún no teniendo esa consideración es de interés su realización. La conveniencia queda en principio a criterio del Responsable del Fichero.

Se podrá clasificar en función de estos criterios:

1. Operaciones de tratamiento que llevan implícito una evaluación sistemática y exhaustiva de aspectos personales relativos a personas físicas que se basen en un tratamiento automatizado como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente o perjudiquen de alguna manera.

2. Tratamientos a gran escala relativos a alguna categoría especial de datos, y/o de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas.

¿Qué son categorías especiales de datos? El art. 9 del RGPD lo define como:

«aquellos que revelen el origen étnico o racial,  las opiniones políticas, las convicciones religiosas o filosóficas o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física».

Esto se manifiesta en ficheros con datos especialmente sensibles calificándose de Nivel Alto.

Por otro lado «tratamiento a gran escala» se define perfectamente en el art. 9 del RGPDUE:

«Aquellas que persigan tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo, por ejemplo, debido a su sensibilidad, cuando, en función del nivel de conocimientos técnicos alcanzado, se haya utilizado una nueva tecnología a gran escala y a otras operaciones de tratamiento que entrañan un alto riesgo para los derechos y libertades de los interesados, en particular cuando estas operaciones hacen más difícil para los interesados el ejercicio de sus derechos. (…) También es necesaria una evaluación del impacto relativa a la protección de datos para el control de zonas de acceso público a gran escala,  en particular cuando se utilicen dispositivos optoelectrónicos  (…) El tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado. (…)»

3. Tratamientos enfocados a control sistemático, o de monitorización, a gran escala de áreas de acceso al público, en su caso, utilizando dispositivos de optoelectrónica.

4. Uso de NN. TT. especialmente invasivas. A modo de ejemplo la video vigilancia a gran escala (Cámaras de video en ciudades como Londres), drones, la vigilancia electrónica, la minería de datos, biometría, técnicas genéticas, geolocalización o la utilización de radiofrecuencia (RFID).

5. Tratamiento grandes volúmenes de datos personales a través de tecnologías Big data, Internet de las Cosas (Internet of Things –IoT-), o el desarrollo y la construcción de ciudades inteligentes (Smart Cities)

Descarga  de la Guía de Evaluación de Impacto relativa a protección de Datos publicada por la Agencia Española de Protección de Datos.

Fuente-Información: © govertis
Fuente-Foto: © de su autor / © publicación

 

,
WP to LinkedIn Auto Publish Powered By : XYZScripts.com