¿Qué es una evaluación de impacto en protección de datos personales (EIPDP) y cuándo es necesario que se lleve a cabo?
Entérate de como la nueva Ley de Datos Personales integra este nuevo mecanismo de análisis de riesgos frente a tratamientos riesgosos y las hipótesis en las que es obligatorio realizarlo.
Ley 19.628 v/s La nueva Ley de Datos Personales
La obligación de realizar EIDPD por parte de los responsables es otra de las grandes novedades que introdujo la nueva Ley:
| Ley 19.628 | Proyecto de Ley de Datos Personales |
|---|---|
| No existe obligación alguna de realizar Evaluaciones de Impacto. | Es obligatoria para determinados tipos de tratamientos de datos. |
¿Qué es una Evaluación de Impacto de Protección de Datos?
Una EIPDP es un análisis de riesgo frente a un determinado proyecto que involucrara tratamiento de datos personales, con el objetivo de evaluar posibles lesiones a los derechos de los titulares de datos. Una vez realizado el análisis, se emite un informe que permite identificar los riesgos (amenazas) y determinar qué medidas es necesario adoptar, ya sea para eliminar dichos riesgos, o minimizarlos.
¿Cuándo es necesario realizar una EIPDP?
No siempre es necesario que el responsable realice una EIPDP. No obstante, el llevarlas a cabo de forma voluntaria cuando no existe ninguna obligación legal es siempre beneficioso para la organización, por cuanto podrá detectar riesgos y supondrá una actitud proactiva del responsable frente a la Agencia de Protección de Datos.
La nueva ley establece dos situaciones en las que es obligatorio realizar esta evaluación:
- Causal genérica: Cuando sea probable que un tipo de tratamiento de datos por su (i) naturaleza, (ii) alcance, (iii) contexto, (iv) tecnología utilizada o (v) fines, pueda producir un alto riesgo para los derechos de las personas titulares, el responsable deberá llevar a cabo, con anterioridad al inicio de las operaciones de tratamiento, una evaluación de impacto en protección de datos personales.
- Causales específicas:
- Evaluación sistemática de datos personales, como elaboración de perfiles.
- Tratamiento a gran escala de datos personales.
- Tratamientos que impliquen observación o monitoreo sistemático de zonas de acceso público.
- Tratamiento de datos sensibles.
¿Qué elementos debe contener la EIPDP?
Según la nueva ley, corresponderá a la Agencia establecer orientaciones mínimas para realizar esta evaluación.
Estas deben incluir, a lo menos:
- Medidas de mitigación.
- Descripción de las operaciones de tratamiento.
- Finalidad de las operaciones de tratamiento.
- Evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.
- Evaluación de los riesgos.
