1. Inicio keyboard_arrow_right
  2. Artículos keyboard_arrow_right
  3. Evaluación de Impacto en Protección de Datos Personales

Evaluación de Impacto en Protección de Datos Personales

¿Qué es una evaluación de impacto en protección de datos personales (EIPDP) y cuándo es necesario que se lleve a cabo?

Entérate de como la nueva Ley de Datos Personales integra este nuevo mecanismo de análisis de riesgos frente a tratamientos riesgosos y las hipótesis en las que es obligatorio realizarlo.

Ley 19.628 v/s La nueva Ley de Datos Personales

La obligación de realizar EIDPD por parte de los responsables es otra de las grandes novedades que introdujo la nueva Ley:

Ley 19.628Nueva Ley de Datos Personales
No existe obligación alguna de realizar Evaluaciones de Impacto.Es obligatoria para determinados tipos de tratamientos de datos.  

¿Qué es una Evaluación de Impacto de Protección de Datos?

Una EIPDP es un análisis de riesgo frente a un determinado proyecto que involucrara tratamiento de datos personales, con el objetivo de evaluar posibles lesiones a los derechos de los titulares de datos. Una vez realizado el análisis, se emite un informe que permite identificar los riesgos (amenazas) y determinar qué medidas es necesario adoptar, ya sea para eliminar dichos riesgos, o minimizarlos. 

¿Cuándo es necesario realizar una EIPDP?

No siempre es necesario que el responsable realice una EIPDP. No obstante, el llevarlas a cabo de forma voluntaria cuando no existe ninguna obligación legal es siempre beneficioso para la organización, por cuanto podrá detectar riesgos y supondrá una actitud proactiva del responsable frente a la Agencia de Protección de Datos.

La nueva ley establece dos situaciones en las que es obligatorio realizar esta evaluación:

  1. Causal genérica: Cuando sea probable que un tipo de tratamiento de datos por su (i) naturaleza, (ii) alcance, (iii) contexto, (iv) tecnología utilizada o (v) fines, pueda producir un alto riesgo para los derechos de las personas titulares, el responsable deberá llevar a cabo, con anterioridad al inicio de las operaciones de tratamiento, una evaluación de impacto en protección de datos personales.
  2. Causales específicas:
    • Evaluación sistemática de datos personales, como elaboración de perfiles.
    • Tratamiento a gran escala de datos personales.
    • Tratamientos que impliquen observación o monitoreo sistemático de zonas de acceso público.
    • Tratamiento de datos sensibles.

¿Qué elementos debe contener la EIPDP?

Según la nueva ley, corresponderá a la Agencia establecer orientaciones mínimas para realizar esta evaluación.

Estas deben incluir, a lo menos:

  1. Descripción de las operaciones de tratamiento.
  2. Finalidad de las operaciones de tratamiento.
  3. Evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.
  4. Evaluación de los riesgos.
  5. Medidas de mitigación.

Comparte esta publicación

Twitter Facebook email
Información
local_offer   Tema
Artículos