LA AGENCIA DE PROTECCIÓN DE DATOS PRESENTA LAS GUÍAS DE ANÁLISIS DE RIESGO Y EVALUACIÓN DE IMPACTO

La AEPD presentó a la Asociaciones empresariales más significativas, entre las que se encontraba AMIITEL, las guías elaboradas por la institución para ayudar a cumplimentar la Evaluación de Impacto en Protección de Datos Personales (EIPD) y los análisis de riesgo que deben realizar las empresas para adecuarse al Reglamento General 2016/679 del Parlamento Europeo y del Consejo, norma que, como ya hemos informado, será plenamente aplicable en España a partir del 25 de mayo de 2018.

Dejaron claro los responsables de la Agencia que no es necesario realizar una Evaluación de Impacto de todos los tratamientos que hasta la fecha vienen realizando las empresas; se debe realizar en los casos en que “sea probable” que exista un “alto riesgo para los derechos y libertades de los afectados”. Y debe realizarse “antes del tratamiento”, por lo que, el mandato del reglamento no se extiende a las operaciones de tratamiento en curso en el momento en que comience a ser de aplicación.

Actitud proactiva de las empresas frente a la protección de datos

El Reglamento General introduce un profundo cambio en el modelo tradicional existente para afrontar la protección de datos de carácter personal. Se basa en el principio de responsabilidad proactiva de quienes tratan los datos: son las empresas las que deben de analizar los datos que tratan, con qué finalidades lo hacen, qué tipo de tratamiento y qué medidas son las adecuadas para cumplir las exigencias de la nueva norma.

Las Guías presentadas son sólo una herramienta que permite evaluar de manera anticipada esos potenciales riesgos, en función de las actividades de tratamiento que se llevan  a cabo con los mismos y establecer una respuesta adecuada para reducirlos a un nivel de riesgo aceptable. El objetivo primordial es promover una cultura proactiva de la privacidad y proporcionar un marco de referencia para el ejercicio de ese compromiso responsable que, a su vez, contribuya a fortalecer la protección eficaz de los derechos de las personas.

Ofrece directrices y orientaciones; es un modelo que la Agencia pone a disposición de todos; en ningún caso su estructura es obligatoria: las empresas que tengan que realizar una EIPD pueden hacerlo conforme a sus propios modelos, metodologías y estructuras.

Seguramente la gran mayoría de las empresas instaladoras e integradoras no estén obligadas a realizar una EIPD, según expresaron responsables de la AEPD a AMIITEL en la reunión que mantuvieron tras la presentación pública de la Guía.

Todos convinimos que, para nuestras empresas, sería muy conveniente elaborar un documento de buenas prácticas que fije las obligaciones que deben de asumir las empresas del sector para cumplir con las exigencias de la protección de datos personales que manejan.  Desde nuestra Asociación ya hemos empezado a trabajar para dar forma a ese documento.

Puedes descargarte las guías aquí:

Evaluaciones de Impacto

Descarga la guía [+]

 

Análisis de Riesgos

Descarga la guía [+]