Por fin, le he podido echar un vistazo al documento de la Agencia Española de Protección de Datos sobre la Evaluación del Impacto (EdI) en los proyectos que afectan a datos personales. Esta evaluación también se conoce con el acrónimo anglosajón de PIA (Privacy Impact Analysis) . Se puede consultar el texto de la Agencia, buscándolo en su Web o descargándolo aquí: Guia_Impacto_PDP.

De qué va

La EdI debe utilizarse cada vez que se pretende recabar unos datos personales para una finalidad de una institución privada o pública. Ejemplos: una empresa que quiera desarrollar una campaña de marketing, utilizando unos formularios a través de los cuales se recaben datos personales.

La verdad es que me esperaba algo un poco más elaborado y he quedado un poco decepcionado. Además, a mi manera de ver, hasta hay una confusión de términos, cuando se habla de «Riesgos«, cuando, en realidad, se quiere decir «Amenazas«. Para evitar confusiones, prefiero las definiciones utilizadas por ISACA (que para eso uno es un CISA…)

Amenaza: «Anything (e.g., object, substance, human) that is capable of acting against an asset in a manner that can result in harm.»

Riesgo: «The combination of the probability of an event and its consequence.»

Simplificando, en cristiano, la amenaza es algo que no deseamos que nos ocurra; el riesgo es la probabilidad de que esa amenaza nos afecte. Además, por muy grande que sea la amenaza, el riesgo a ella asociado puede ser mínimo. Ejemplo de andar por casa: la amenaza de un asteroide que caiga encima del estadio Bernabeu es muy importante (bueno, depende de para quién…), pero el riesgo/probabilidad es francamente mínimo.

Qué he aprendido

A pesar de la decepción que comentaba antes, he podido organizar un poco la información sobre la EdI y ha salido la infografía que publico a continuación (por cierto, gracias a la gente de www.easel.ly).

Privacy Impact Assessment

Privacy Impact Assessment

Los 11 puntos de la EdI

1. Los Participantes

¿A quién encargar el trabajo para la realización de una EdI? La lógica (y el documento de la Agencia), menciona a 3 distintos perfiles. Esto es:

– El representante del área/departamento en el cual se van a tratar los datos personales (Business Owner, para los que nos gusta fardar del inglés);

– El Delegado de Protección de Datos (DPO), que antaño llamábamos Responsable de Seguridad;

– El Responsable del área de Sistemas/IT (conocido también como «el informático»).

La presencia del Business Owner es fundamental, para no dejar a solas al DPO y al informático, no vaya a ser que se les ocurra algo perfectamente seguro, pero que, en la práctica, no sirve a los intereses de la organización.

Ah, y no nos olvidemos que existe la Dirección, a la que hay que mantener periódicamente informado sobre este proyecto.

 

2. La Información

Es necesario establecer de antemano qué tipo de dato personal se va a recoger. A los que trabajamos en esto de la protección de datos no deja de sorprendernos que, en las amistosas charlas con nuestros clientes, nos enteramos de que los departamentos de Marketing (algunos) quieren conocer mejor a sus propios clientes, pero no saben qué preguntar…

 

3. La Clasificación de la Información

Ya sabemos qué queremos, ahora sólo (es un decir) nos falta establecer para qué queremos esos datos. Es decir, hay que establecer la finalidad de uso de los tratamiento de datos. Además, en esta clasificación de la información, tendremos que establecer la importancia/peso de la misma y su adecuación a la persecución de los fines que nos hemos propuesto. ¿Son los datos que recabaremos adecuados, pertinentes y no excesivos? De estas consideraciones, sacaremos las conclusiones sobre qué medidas de seguridad tendremos que adoptar.

 

4. La Participación de los Afectados

Deberemos tener en cuenta tanto a los afectados externos a nuestra organización (las personas de las que recabaremos los datos), como los afectados internos, que no son otros que los usuarios de la información, para los que habrá que preparar la adecuada formación.

 

5. El Flujo de la Información

¿De dónde viene la información? ¿Cómo respetamos el deber de información previsto en el art. 5 LOPD? ¿Quién la usa? Si la enviamos a alguien (cesionarios y encargados del tratamiento), ¿quiénes son? ¿Hay amparo legal para esta comunicación?

 

6. Amenazas y Riesgos

Ya sabemos qué entendemos por cada uno de los conceptos de este apartado. Ahora, nos toca verificar las amenazas que se ciernen sobre el tratamiento de estos datos y en qué riesgos podemos incurrir (técnicos, legales, organizativos, económicos).

 

7. Tratamiento del Riesgo

Ya puestos, hay que decidir qué hacer con estos riesgos. Las posibilidades son:

– eliminarlos/evitarlos;

– mitigarlos;

– transferirlos;

– resignarnos y aceptarlos.

No hay má.

 

8. Controles

¿Está la información en un lugar seguro? ¿Tenemos controles de accesos? ¿Quién accede a los logs de estos accesos? ¿Copias de Seguridad? Y la información en papel, ¿qué hacemos con ella?

 

9. Documento de Resumen

Ya hemos llegado casi al final. Lo mejor, en este punto, es poner todo por escrito y dejar claro las funciones de cada uno de los participantes. Conviene también establecer un calendario de actuaciones, que tenga en cuenta las distintas prioridades.

 

10. Publicación

Todo nuestro esfuerzo no debe permanecer en un cajón, si no que debe publicarse (con sentido común) para que los usuarios de la información sepa qué hacer, los afectados conozcan sus derechos y la Dirección de la organización tome conciencia de la importancia de la privacidad desde el diseño (francamente, me gusta más la privacy by design).

 

11. Revisión Periódica

¿Ha terminado nuestro trabajo? Pues, desgraciadamente, no. Todo nuestro proyecto de EdI debe someterse a la prueba de la realidad. Lo que hemos montado ¿funciona? ¿en qué podemos mejorar? ¿dónde nos hemos equivocado? ¿hay alguien que lo hace mejor? Y vuelta a empezar…

Así funciona la seguridad de la información. Si te parece demasiado, siempre tienes a mano unos consultores que te hacen todo esto por 90€…