¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a establecer un procedimiento para identificar, realizar, documentar, aprobar y dar seguimiento a las Evaluaciones de Impacto a la Privacidad, también conocidas como EIP o PIA, por sus siglas en inglés.
Este procedimiento es importante porque permite generar evidencia sobre cómo tu empresa evalúa los riesgos de privacidad antes de iniciar un tratamiento de datos personales o antes de implementar cambios relevantes en tratamientos ya existentes.
También te ayudará a definir medidas específicas de privacidad, asignar responsables, documentar los resultados obtenidos y demostrar que los riesgos para los titulares fueron analizados y tratados de forma adecuada.
Esta evaluación se puede aplicar tanto para nuevos proyectos o tratamientos de datos personales, como para modificaciones relevantes en procesos, sistemas, proveedores, tecnologías, finalidades o categorías de datos que puedan generar riesgos para la privacidad de las personas.
¿Qué tengo que hacer? 🚀
💡 Este procedimiento debe estar alineado a las operaciones reales de tu empresa. El template editable está diseñado para ayudarte a documentar el proceso, pero debes ajustarlo a tu contexto, tus tratamientos de datos, tus sistemas, tus proveedores, tus responsables internos y la normativa aplicable a tu organización.
Al trabajar en el template de la plataforma, te recomendamos primero leerlo en su totalidad para así comprender la información que deberás documentar posteriormente. Y para completarlo de forma adecuada, te recomendamos considerar lo siguiente:
Identificación de la necesidad de evaluación.
El Oficial de Protección de Datos Personales o rol equivalente debe identificar si corresponde realizar una Evaluación de Impacto a la Privacidad cuando se planifique un nuevo tratamiento de datos personales o cuando exista una modificación relevante de un tratamiento existente.
Esta revisión debe considerar el tipo de datos tratados, la finalidad del tratamiento, el volumen de información, los sistemas utilizados, los destinatarios de los datos, los proveedores involucrados y los posibles impactos sobre los titulares.
Algunos casos donde puede ser necesario realizar una evaluación son: tratamiento de datos sensibles, datos de menores de edad o grupos vulnerables, tratamiento masivo o sistemático de datos personales, uso de tecnologías nuevas o emergentes, decisiones automatizadas, perfilamiento, inteligencia artificial, transferencias internacionales de datos o uso de proveedores con accesos privilegiados.
⚖️ Recomendación legal: Esta evaluación es una herramienta preventiva. Es mejor identificar los riesgos de privacidad antes de lanzar un proyecto, contratar una herramienta o modificar un sistema, porque corregir el tratamiento después puede generar reprocesos, costos, demoras o incumplimientos normativos.
Evaluación de Impacto a la Privacidad y riesgos asociados.
Una vez identificada la necesidad de realizar la evaluación, el Oficial de Protección de Datos Personales o rol equivalente, con apoyo de las áreas pertinentes, debe analizar las amenazas, impactos y riesgos que pueden derivarse del nuevo tratamiento o del cambio relevante en un tratamiento existente.
Para ello, se debe documentar la Evaluación de Impacto a la Privacidad, aplicar los criterios internos definidos por la empresa y registrar los escenarios de riesgo en la Matriz de Riesgos.
La evaluación debe analizar el impacto desde la perspectiva del titular de los datos personales, no solo desde la perspectiva de la empresa.
⚖️ Recomendación legal: En privacidad, el riesgo no debe medirse únicamente por el impacto económico o reputacional para la organización. También debe analizarse qué daño podría sufrir la persona, por ejemplo, pérdida de confidencialidad, discriminación, robo de identidad, afectación económica, exposición de datos sensibles o uso no esperado de su información.
Definición del tratamiento y medidas específicas de privacidad.
Una vez identificados los riesgos, el área responsable debe definir medidas específicas de privacidad para tratarlos.
Estas medidas pueden incluir controles normativos, técnicos, organizacionales o contractuales, según el tipo de riesgo detectado.
También debe asignarse un responsable para su implementación y, cuando corresponda, un plazo de ejecución.
Esta información debe registrarse en la Matriz de Riesgos o en el mecanismo definido por la empresa.
Generación y comunicación del informe de resultados.
Los resultados de la evaluación deben documentarse en el Informe del Análisis de Riesgos o en el informe definido por la organización.
Este informe funciona como evidencia de cumplimiento y permite comunicar los resultados al Oficial de Protección de Datos Personales, al Comité de Privacidad, a la Alta Dirección o a las partes interesadas autorizadas.
La comunicación puede realizarse en una sesión de comité, dejando evidencia mediante una minuta, o por otro medio formal, como correo electrónico organizacional, siempre que quede constancia de la comunicación y aprobación correspondiente.
⚖️ Recomendación legal: Antes de comunicar el informe, revisa quiénes realmente deben tener acceso. Una Evaluación de Impacto a la Privacidad puede contener información sensible sobre riesgos, sistemas, proveedores, controles o vulnerabilidades. Por eso, no siempre corresponde compartirla con toda la organización, sino solo con áreas y/o personas autorizadas.
Seguimiento a los resultados.
Los dueños asignados a los riesgos deben monitorear los planes de tratamiento y las medidas de privacidad pendientes hasta asegurar su implementación.
El Oficial de Protección de Datos Personales o rol equivalente también debe dar seguimiento y solicitar actualizaciones cuando sea necesario.
El objetivo no es solo documentar la evaluación, sino verificar que las medidas definidas realmente se implementen y ayuden a reducir los riesgos identificados.
Versionado del documento.
Al finalizar el procedimiento, debes completar la sección de versionado.
Esta sección permite identificar quién elaboró el documento, quién lo aprobó, la fecha de aprobación y la clasificación de la información.
También ayuda a demostrar que el procedimiento fue revisado, aprobado y comunicado formalmente dentro de la organización.
Todos los puntos anteriores aportan al cumplimiento normativo, ya que permite tener una trazabilidad adecuada y un control de los cambios realizados al documento.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu procedimiento fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa.
💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Realiza la Evaluación de Impacto a la Privacidad antes de iniciar el tratamiento de datos personales o implementar cambios relevantes.
No limites la evaluación al riesgo para la empresa. Analiza también el posible impacto sobre los titulares de datos personales.
Documenta los riesgos de privacidad identificados y las medidas definidas en la Matriz de Riesgos.
Asigna responsables y plazos claros para implementar las medidas de privacidad.
Conserva evidencia de la evaluación, aprobación, comunicación y seguimiento de los resultados.
Revisa este procedimiento periódicamente, especialmente si cambian tus finalidades de tratamiento, tecnologías, proveedores, sistemas, categorías de datos, transferencias internacionales o normativa aplicable.
Alinea este procedimiento con otros documentos internos, como la Metodología de Gestión de Riesgos, el Inventario de Datos Personales, la Matriz de Riesgos, la Guía de seguridad y privacidad en el desarrollo y mantenimiento de sistemas y las políticas de tratamiento de información.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! También puedes contactarnos por correo electrónico o a través de la plataforma, y te brindaremos la atención que necesites.