Evaluación de Impacto en Protección de Datos Personales

Contexto regulatorio actual v/s Proyecto de Ley de Datos Personales

La obligación de realizar EIDPD por parte de los responsables es otra de las grandes novedades que introducirá el Proyecto de Ley:

Ley 19.628Proyecto de Ley de Datos Personales
No existe obligación alguna de realizar Evaluaciones de Impacto.Es obligatoria para determinados tipos de tratamientos de datos.  

¿Qué es una Evaluación de Impacto de Protección de Datos?

Una EIPDP es un análisis de riesgo frente a un determinado proyecto que involucrara tratamiento de datos personales, con el objetivo de evaluar posibles lesiones a los derechos de los titulares de datos. Una vez realizado el análisis, se emite un informe que permite identificar los riesgos (amenazas) y determinar qué medidas es necesario adoptar, ya sea para eliminar dichos riesgos, o minimizarlos. 

¿Cuándo es necesario realizar una EIPDP?

No siempre es necesario que el responsable realice una EIPDP. No obstante, el llevarlas a cabo de forma voluntaria cuando no existe ninguna obligación legal es siempre beneficioso para la organización, por cuanto podrá detectar riesgos y supondrá una actitud proactiva del responsable frente a la Agencia de Protección de Datos.

El Proyecto de Ley establece dos situaciones en las que es obligatorio realizar esta evaluación:

  1. Causal genérica: Cuando sea probable que un tipo de tratamiento de datos por su (i) naturaleza, (ii) alcance, (iii) contexto, (iv) tecnología utilizada o (v) fines, pueda producir un alto riesgo para los derechos de las personas titulares, el responsable deberá llevar a cabo, con anterioridad al inicio de las operaciones de tratamiento, una evaluación de impacto en protección de datos personales.
  • Causales específicas:  
    • Evaluación sistemática de datos personales, como elaboración de perfiles.
    • Tratamiento a gran escala de datos personales.
    • Tratamientos que impliquen observación o monitoreo sistemático de zonas de acceso público.
    • Tratamiento de datos sensibles.

¿Qué elementos debe contener la EIPDP?

Según el Proyecto de Ley, corresponderá a la Agencia establecer orientaciones mínimas para realizar esta evaluación.

Estas deben incluir, a lo menos:

  1. Descripción de las operaciones de tratamiento.
  2. Finalidad de las operaciones de tratamiento.
  3. Evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.
  4. Evaluación de los riesgos.
  5. Medidas de mitigación.

error: Content is protected !!