Evaluación de Impacto

Descripción del Servicio

Una Evaluación de Impacto (o PIA por sus siglas en inglés) es una herramienta que permite evaluar de manera anticipada cuáles son los potenciales riesgos a los que están expuestos los datos personales en función de las actividades de tratamiento que se llevan a cabo con los mismos. El análisis de riesgos para un determinado tratamiento permite identificar los riesgos que se ciernen sobre los datos de los interesados y establecer una respuesta adoptando las salvaguardas necesarias para aceptarlos, mitigarlos, evitarlos o transferirlos hasta un nivel de riesgo aceptable. El RGPD prevé que las Evaluaciones de Impacto se lleven a cabo «antes del tratamiento» en los casos en que sea probable que exista un alto riesgo para los derechos y libertades de los afectados.

Nuestra metodología incluye todos los requerimientos exigidos por el RGPD en su artículo 35.7, donde se establece lo que debe incluir una EIPD:

• descripción sistemática de la actividad de tratamiento previstas

• evaluación de la necesidad y proporcionalidad del tratamiento respecto a su finalidad

• evaluación de los riesgos exhaustiva

• Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales.

A. Contexto del tratamiento de los datos:

1. Descripción del ciclo de vida de los datos (descripción detallada del ciclo de vida y del flujo de datos en el tratamiento, con su Identificación, intervinientes, terceros, sistemas implicados y cualquier elemento relevante que participe en la actividad de tratamiento)

2. Análisis de la necesidad y proporcionalidad del tratamiento: Análisis de la base de legitimación, la finalidad y la necesidad y proporcionalidad del tratamiento que se pretenden llevar a cabo.

B. Gestión de riesgos:

1. Identificación de las amenazas y riesgos potenciales a los que están expuestos las actividades de tratamiento.

2. Evaluación de la probabilidad y el impacto de que se materialicen los riesgos a los que está expuesta la organización.

3. Respuesta ante los riesgos identificados con el objetivo de minimizar la probabilidad y el impacto de que estos se materialicen hasta un nivel de riesgo aceptable que permita garantizar los derechos y libertades de las personas físicas.

C. Conclusión y validación: Plan de acción y conclusiones (Informe de conclusiones)