Las Guías para una Evaluación de Impacto en la … · Agencia Española de Protección de Datos 2...
Transcript of Las Guías para una Evaluación de Impacto en la … · Agencia Española de Protección de Datos 2...
1 Agencia Española de Protección de Datos
Análisis y gestión del riesgo en el tratamiento de datos:
Las Guías para una Evaluación de Impacto en la
Protección de Datos Personales
3er. Congreso Internacional de Protección de Datos
Medellín, 28 y 29 de mayo de 2015
JOSE LUIS RODRIGUEZ ALVAREZ
DIRECTOR
AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
2 Agencia Española de Protección de Datos
Entorno de riesgo creciente
• Sociedades altamente tecnologizadas y globalizadas
• Cada día nuevos productos y servicios que usan intensivamente
datos personales
• Crecimiento exponencial volumen de información
• Se multiplican las capacidades de uso de la información con
fines diversos
• Aumento de posibilidades explotación comercial y el valor
económico de los datos
• Incremento de los riesgos para la privacidad
• Pérdida de capacidad de autodeterminación de los individuos:
más posibilidades de pérdida de control sobre información
personal.
3 Agencia Española de Protección de Datos
Nuevas necesidades
Reforzar los derechos de los ciudadanos, actualizar
legislaciones
Complementar planteamientos tradicionales.
Nuevos enfoques preventivos
Fortalecer la “accountability”
Implantar “Privacy by Design”
Evaluaciones de Impacto en la Protección de Datos
(Privacy Impact Assessment)
4 Agencia Española de Protección de Datos
Evaluciones de Impacto
Desarrollado países anglosajones. En algunos casos es
obligatorio
Mayoría países europeos no existe obligación legal
Nuevo Reglamento General de Protección de Datos:
“riesgos específicos para los derechos y libertades
de los ciudadanos”
Lista de tratamientos, ampliable por las
Autoridades
EIPD (PIAs): son un análisis de riesgos y un plan de gestión
5 Agencia Española de Protección de Datos
Evaluciones de Impacto
Metodología madura, incorporable aunque no exista obligación
Claros beneficios:
Ahorro costes económicos, reputacionales derivados de
riesgos previsibles
Mejora políticas y prácticas protección datos de las
organizaciones
Mejor protección más confianza clientes y usuarios
AEPD Promover la realización de EIPD
Elaborar Guía para facilitar realización
7 Agencia Española de Protección de Datos
La Guía EIPD
Elaboración participativa: consulta pública
Marco flexible
Modelo estructurado
Adaptable a características organizaciones
Posibilidad de guías sectoriales
8 Agencia Española de Protección de Datos
Aspectos generales
Proceso sistemático de evaluación para identificar y
eliminar riesgos
Más allá de evaluación cumplimento normativo
Substancial y no sólo formal
Reglado y estructurado
Reproducible y verificable
Inicio en fase temprana
Publicidad (parcial) conclusiones
9 Agencia Española de Protección de Datos
Fases
Análisis de Necesidad
Identificación de Riesgos
Gestión de Riesgos
10 Agencia Española de Protección de Datos
Análisis de necesidad
Análisis de Necesidad
Identificación de Riesgos
Gestión de Riesgos
11 Agencia Española de Protección de Datos
Identificación de riesgos
Análisis de Necesidad
Identificación de Riesgos
Gestión de Riesgos
12 Agencia Española de Protección de Datos
Gestión de riesgos
Análisis de Necesidad
Identificación de Riesgos
Gestión de Riesgos