PIA frente a DPIA: El arte de evaluar los riesgos para la intimidad

¿Puede controlar con precisión cómo fluyen los datos dentro y fuera de su organización?

Si no es así, esté prevenido: la mayoría de las empresas necesitan comprender cómo recoja, utilicey compartir información - y cómo esas prácticas se relacionan con el riesgo para la privacidad.

Gestión del riesgo de los datos y privacidad suele ser una pesadilla para muchas empresas, ya que puede resultar difícil determinar qué datos requieren un mayor nivel de protección. Por eso, las empresas necesitan aplicar evaluaciones de riesgos para la privacidad a fin de comprender los riesgos actuales y futuros que podrían afectar a los clientes, los empleados y la organización en su conjunto.

¿Qué son las evaluaciones del riesgo para la privacidad?

Las evaluaciones del riesgo para la intimidad o evaluaciones de impacto suelen denominarse Evaluaciones de impacto sobre la privacidad (EIP) y Evaluaciones de impacto sobre la protección de datos (EIPD).

El propósito de una evaluación de riesgos para la privacidad es proporcionar señales de alerta temprana que puedan detectar factores de riesgo para que las organizaciones puedan evitar errores en cumplimiento de la privacidad y estructurar sus programas para reducir los riesgos relacionados con la privacidad. Además, una evaluación de riesgos es una herramienta eficaz contra el robo de datos y la protección del cliente en la panorama de la privacidad de los datos.

El riesgo para la privacidad puede derivarse de la exposición a problemas que podrían derivarse de información personal identificable (IPI) exposición. El esfuerzo de evaluación de riesgos tratará de evaluar y, en última instancia, resolver esta amenaza a la intimidad de las personas.

¿Qué es una evaluación del impacto sobre la privacidad (EIP)?

A PIA es un proceso estándar que identifica y documenta los comportamientos de los datos en los procesos, productos y sistemas que contienen información personal y establece cómo se gestiona, protege y comparte el riesgo potencial para la privacidad.

Las organizaciones utilizan las PIA para mitigar los riesgos organizativos para la privacidad. Suelen llevarse a cabo cuando se implanta un nuevo proceso empresarial, se adquiere una nueva empresa o se lanza un nuevo producto. Sin embargo, las PIA también pueden aplicarse a procesos, productos y sistemas existentes cuando se modifican (por ejemplo, cuando una empresa amplía su actividad a un nuevo país o región).

Las PIA ayudan a cualquier empresa:

• garantizar que la información recopilada cumple los requisitos legales y reglamentarios en materia de privacidad
• evaluar el riesgo de la recogida de datos, su mantenimiento y la circulación de la IIP
• identificar las medidas y procedimientos adecuados para mitigar cualquier riesgo potencial para la privacidad

¿Qué es una evaluación de impacto sobre la protección de datos (EIPD)?

En Reglamento general de protección de datos de la UE (RGPD) ha puesto de relieve la forma en que las organizaciones abordan la protección de la privacidad y las evaluaciones de riesgos. El RGPD impuso a las empresas el nuevo requisito de elaborar EADP para las actividades de tratamiento de datos consideradas de alto riesgo.

Aunque no existen requisitos definitivos sobre la forma en que las organizaciones deben documentar una DPIA, a continuación se exponen algunas implementaciones que las empresas deberían tener en cuenta:

1. Un enfoque metódico para describir las actividades de tratamiento y la finalidad general de dichas actividades (qué, cuándo, cómo y por qué se tratan los datos personales).
2. Una evaluación de la base jurídica que hace necesaria la recogida de datos en relación con su finalidad
3. Una evaluación del riesgo que pondría en peligro el derecho a la intimidad de cualquier persona (cliente, empleado, etc.).
4. Que las medidas de protección de datos que deben adoptarse para mitigar el riesgo y garantizar la protección de los datos personales y sensibles se ajusten a los requisitos de cumplimiento del GDPR.

Estos puntos clave deben ayudar a las organizaciones a priorizar el tipo de datos que recopilan y procesan, el riesgo relacionado con el procesamiento de datos y la posibilidad de cualquier incidente y su impacto global. Por lo tanto, una DPIA ayuda a las organizaciones a adoptar un enfoque objetivo para evaluar el riesgo del procesamiento de datos y la preparación para mitigar los escenarios negativos.

Diferencia entre PIA y DPIA

Aunque las PIA y las DPIA suelen utilizarse indistintamente, ambas evaluaciones se dirigen a requisitos y objetivos diferentes. Por ejemplo, tanto las PIA como las DPIA permiten a las empresas abordar y reducir riesgos: derechos individuales, cumplimiento organizativo o ambos.

Las PIA están diseñadas principalmente para analizar si las organizaciones disponen de controles para identificar riesgos y determinar si cumplen o no la normativa sobre privacidad. La capacidad de auditar el riesgo ayuda a las organizaciones a adoptar un enfoque proactivo ante posibles problemas y a remediar cualquier área de incumplimiento con respuestas reactivas a avisos de privacidadla exclusión voluntaria, la violación de datos y seguridad programas.

En cambio, el requisito de la EADP está estrechamente vinculado al artículo 35 del RGPD, especialmente en los casos en que el tratamiento de datos personales pueda suponer un alto riesgo para los derechos y libertades de los interesados.

En este tipo de situaciones es necesaria una EIPD:

• Una evaluación de los aspectos personales identificables de un individuo, como la elaboración de perfiles (mecanismos de publicidad selectiva).
• Tratamiento a gran escala de IP e IIP (recogida de datos biométricos de los empleados)
• Recogida y tratamiento automatizados de datos
• Vigilancia a gran escala de zonas públicas (datos de vigilancia/reconocimiento facial)

Cómo ayuda BigID a evaluar los riesgos para la privacidad

Las PIA y las DPIA pueden ser complicadas de manejar, ya que constan de varios requisitos de documentación, y es importante mitigar el riesgo para mantener el cumplimiento.

Con BigID, las organizaciones pueden gestionar, supervisar y validar las evaluaciones de riesgos para la privacidad de Artículo 35 del GDPR y CPRA cumplimiento. He aquí algunas maneras de hacerlo:

• Colaborar con un enfoque basado en datos para cumplimentar PIA/DPIA
• Integrar con Registro de actividades de tratamiento (RoPA)
• Personalizar cuestionarios para la evaluación de procesos de negocio o proyectos
• Identificar y reducir los riesgos asociados al tratamiento en función del nivel de riesgo y la actividad
• Coordinar con terceros controlar y evaluar el riesgo del intercambio y la transferencia de datos
• Automatizar el cálculo de riesgos para la privacidad, la seguridad y la gobernanza de datos
• Crea fácilmente información reglamentaria cumplir los requisitos de protección de la intimidad

Más información - y empiece a utilizar la aplicación PIA de BigID para automatizar el cumplimiento de la normativa (artículo 35 del RGPD, CPRA) mediante la creación de flujos de trabajo y marcos específicos para las evaluaciones de impacto sobre la privacidad (EIP) y las evaluaciones de impacto sobre la protección de datos (EIPD).

Autor

Verrion Wright

Estrategia y desarrollo de contenidos

Verrion Wright es un ambicioso experto en marketing con más de 20 años de experiencia en marketing de productos, desarrollo de contenidos y estrategia digital. Centrado en la información basada en datos y el marketing integrado, ha ocupado puestos de responsabilidad en diversos sectores, como los servicios informáticos, la privacidad de datos, el marketing y la publicidad (planificación de medios). En BigID, Verrion es el Director de Estrategia y Desarrollo de Contenidos, que ayuda a elevar el contenido a través de todos los pilares, regiones y compradores, creando consistentemente contenido convincente a través de varios medios - incluyendo vídeo, artículos, listas de control, libros blancos y guías.