¿Qué debe contener una evaluación de impacto?

Share on linkedin
Share on email
Share on whatsapp
Share on facebook
Share on twitter

A continuación enumeraremos los elementos y apartados que debe contener una evaluación de impacto para cumplir a la perfección con el RGPD.

Como sabes, el Reglamento es muy específico en algunos de sus puntos. En este caso, en el artículo 35.7 se recoge las necesidades mínimas de una evaluación de impacto, que son las siguientes:

  • Una descripción del ciclo de vida de los datos: este punto sería como un resumen global de qué pasa y qué pasará con los datos que posees en tu empresa. Para empezar, debes describir el ciclo de vida de estos datos. Es decir, cuál sería su “recorrido vital”. Además, se requiere que se especifique el flujo de esta información. ¿La compartirás con terceros? ¿Quiénes serán? Tendrás que dejar constancia de cualquier elemento que participe en lo denominado como la actividad de tratamiento.
  • Un análisis de la necesidad y la proporcionalidad del tratamiento de estos datos: en este momento de la evaluación de impacto deberás analizar la base de legitimación, la finalidad, necesidad y proporcionalidad del tratamiento. Tanto del que ya has hecho, como del que haces y del que harás. Podría resumirse como la explicación de la envergadura de seguridad que vas a necesitar según lo que vayas a hacer con la información de terceros de la que eres poseedor.
  • Identificación de amenazas y de riesgos: aquí se tratará de identificar a qué amenazas y riesgos, reales y potenciales, están o estarán expuestas las actividades de tratamiento. Vendría a ser como los “por si acaso” que pones en la maleta cuando vas de vacaciones, pero esta vez con sentido.
  • Evaluación de riesgos: deberás evaluar cómo es de probable que los riesgos y amenazas anteriores se materialicen. Además, debe constar el impacto que tendrían estos al materializarse, con tal de poder estar preparados y garantizar a tus clientes o usuarios la máxima previsión en cuanto a seguridad.
  • Tratamiento de los riesgos: ¿qué respuesta darás a estos riesgos si realmente llegan a materializarse? No solo debes detectar lo que puede pasar, sino que tendrás que hacer constar qué harás si sucede. Necesitas aclararlo previamente con tal de minimizar tanto la probabilidad de que sucedan como el impacto que tendrían al hacerlo.
  • Un plan de acción y unas conclusiones: tu evaluación de impacto debe también contener un informe de conclusiones en el que se resuma el resultado de este análisis del que hemos hablado en los puntos anteriores. Además, se incluirán las medidas de control que se implantarán para gestionar los riesgos que has identificado y garantizar así que los datos de tus clientes o usuarios están seguros.

Una buena evaluación de impacto es clave para garantizar que puedes dar la máxima satisfacción con tu producto o servicio a las personas que te han facilitado sus datos para ello. Con el equipo o medios adecuados, tendrás tu evaluación de impacto hecha antes de que puedas terminar de imaginar todo lo que puedes llegar a ofrecer a tus clientes.

Comparte este artículo

Comparte

Share on linkedin
Share on email
Share on whatsapp
Share on facebook
Share on twitter

Artículo redactado por:

Pedro Simón

Doctor en Derecho con mención internacional, que cuenta con una amplia experiencia docente como profesor en diversas instituciones (UdG, UOC, UNIR, ICAB) y que ha investigado ampliamente sobre el derecho digital, es autor de publicaciones como El régimen constitucional del derecho al olvido digital y El reconocimiento del derecho al olvido digital en España y en la UE: Efectos tras la STJUE de 13 de mayo de 2014.

Artículos relacionados

Newsletter

¿Quieres recibir todas las noticias sobre el RGPD? Suscríbete a nuestro boletín y recibe contenido exclusivo.

Webinars gratuitos

Multas por RGPD

webinar gratuito Multas por RGPD Analizamos las multas de Glovo, Juasapp y Equifax 08/07/2020 16:00h Cualquier organización puede estar expuesta a ser sancionada por incumplir

REGÍSTRATE AHORA »