¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a identificar y documentar cómo una actividad de tratamiento de datos personales puede afectar la privacidad y los derechos de los titulares.
La Evaluación de Impacto a la Privacidad, también conocida como EIP o PIA, permite analizar si un tratamiento de datos es necesario, proporcional y adecuado antes de implementarlo, o cuando se realizan cambios relevantes en un tratamiento existente.
Este documento no reemplaza tu evaluación general de riesgos, sino que la complementa desde un enfoque específico de privacidad. Su objetivo es ayudarte a identificar riesgos para los titulares, definir medidas de protección y conservar evidencia de que tu empresa evaluó el tratamiento antes de avanzar.
¿Qué tengo que hacer? 🚀
💡Este documento debe estar alineado a las operaciones reales y al contexto de tu empresa. El template editable contiene la estructura base para realizar la evaluación, pero debes completarlo considerando el tratamiento evaluado, las áreas involucradas, los sistemas utilizados, los proveedores, las transferencias de datos, la normativa aplicable y los riesgos que podrían afectar a los titulares.
Al trabajar en el template de la plataforma, te recomendamos primero leerlo en su totalidad para así comprender la información que deberás documentar posteriormente. Y para completarlo de forma adecuada, te recomendamos considerar lo siguiente:
Comprender el tratamiento que vas a evaluar.
Antes de completar la evaluación, asegúrate de entender qué datos personales se tratan, para qué se usan, quiénes son los titulares, qué áreas participan, qué sistemas o herramientas intervienen y si existen proveedores o transferencias de datos.
También es importante identificar si se tratan datos sensibles, datos de menores, datos financieros, información de salud u otras categorías que puedan requerir mayores medidas de protección.
Evalúa si el tratamiento es necesario y proporcional.
La evaluación no debe limitarse a describir el tratamiento. También debe ayudarte a justificar por qué la empresa necesita tratar esos datos y si la cantidad de información recolectada es adecuada para la finalidad definida.
Si existen alternativas menos invasivas para lograr el mismo objetivo, deberían ser consideradas antes de implementar el tratamiento.
⚖️ Recomendación legal: La "proporcionalidad" significa que no debes pedir más datos de los estrictamente necesarios para cumplir tu objetivo comercial. Por ejemplo, si necesitas enviar un producto, puede ser necesario solicitar una dirección pero no sería razonable pedir datos que no tienen relación con esa entrega. También es importante documentar cuál es la base legal que permite realizar el tratamiento (como un contrato, una obligación legal o el consentimiento explícito) antes de empezar a usar esos datos.
Decisiones automatizadas, perfilamiento o inteligencia artificial.
En conjunto con el área de Tecnología o área responsable pertinente dentro de tu empresa, debes evaluar si el tratamiento incluye procesos automatizados o IA que puedan generar efectos jurídicos o impactos significativos sobre el titular.
En estos casos, es recomendable evaluar si existe intervención humana, si el titular puede solicitar revisión o explicación, y si se adoptaron medidas para reducir riesgos de sesgo, discriminación o decisiones incorrectas.
⚖️ Recomendación legal: El uso de inteligencia artificial o perfilamiento puede aumentar el nivel de riesgo del tratamiento. Por eso, no alcanza con indicar que se utiliza una herramienta tecnológica, también deberías explicar para qué se usa, qué impacto puede tener y qué controles existen para evitar resultados injustos, desactualizados o discriminatorios.
Identifica riesgos y define medidas de de privacidad.
Identifica los riesgos asociados al tratamiento desde la perspectiva del titular de los datos personales. Algunos riesgos pueden estar relacionados con accesos no autorizados, uso de datos para finalidades no informadas, conservación excesiva, transferencias inseguras, falta de transparencia, decisiones automatizadas injustas o exposición de información sensible.
Todos los registros de esta evaluación deben gestionarse desde el módulo de Riesgos, o tu Matriz de Riesgos equivalente, y documentarse en el Informe de Análisis de Riesgos.
Frente a cada riesgo identificado, debes definir medidas concretas de privacidad, seguridad, control, documentación o seguimiento.
Determina el resultado de la evaluación.
Una vez analizada la información, el Oficial de Protección de Datos Personales y/o el Comité de Privacidad de la Información deben determinar si el tratamiento puede implementarse, si requiere medidas adicionales, si debe ajustarse o si no debería avanzar por presentar riesgos no aceptables.
La decisión final debe estar justificada de forma clara y quedar documentada.
Si se definen medidas adicionales, también deben asignarse responsables y plazos de implementación.
Comunicación, seguimiento y versionado.
El resultado debe considerarse antes de iniciar el tratamiento y debe comunicarse a la Alta Dirección y al Comité de Privacidad. Para ello puedes usar el Informe del Análisis de Riesgos.
Recuerda que un versionado permite identificar quién elaboró el documento, quién lo aprobó, la fecha de aprobación y la clasificación de la información.
También ayuda a demostrar que el documento fue revisado y aprobado formalmente dentro de la organización.
Todos los puntos anteriores aportan al cumplimiento normativo, ya que permite tener una trazabilidad adecuada y un control de los cambios realizados al documento.
💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Añade todos los pasos y medidas de seguridad que consideres necesarios para que tu procedimiento sea efectivo y se adecúe perfectamente a las operaciones de tu empresa.
Realiza esta evaluación antes de iniciar tratamientos nuevos o implementar cambios relevantes en tratamientos existentes.
No completes el template como un trámite formal. Utilízalo para identificar riesgos reales para los titulares de datos personales.
Revisa si los datos recolectados son necesarios y proporcionales para la finalidad definida.
Presta especial atención a tratamientos con datos sensibles, menores de edad, decisiones automatizadas, inteligencia artificial, transferencias internacionales o proveedores con acceso a datos personales.
Define medidas concretas para mitigar los riesgos de privacidad identificados, con responsables y plazos claros.
Conserva evidencia de la evaluación, aprobación, comunicación y seguimiento de las medidas definidas.
Revisa y actualiza la evaluación cuando cambien las finalidades del tratamiento, las categorías de datos, los sistemas utilizados, los proveedores, las transferencias, las herramientas de inteligencia artificial o la normativa aplicable.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! También puedes contactarnos por correo electrónico o a través de la plataforma, y te brindaremos la atención que necesites.