Este blog fue publicado originalmente bajo Privasee, que desde entonces ha cambiado su marca a Vera. Puede encontrar más información sobre nuestra nueva marca aquí: https://www.getvera.ai/privasee-to-vera
Una Evaluación de Impacto en la Protección de Datos (DPIA) es un proceso documentado que le ayuda a encontrar y mitigar riesgos asociados con los datos personales.
Al realizar una DPIA, usted:
- Desglosará cómo y por qué intenta procesar datos personales e identificará los tipos de datos involucrados.
- Determinará los riesgos para la privacidad de las personas y otros derechos.
- Encontrará mejores formas de hacer las cosas que reduzcan o eliminen los riesgos de protección de datos.
Una buena DPIA le ayudará a prever y gestionar riesgos, mejorar la eficiencia al reducir la recopilación innecesaria de datos, y mostrar a los clientes y reguladores que toma en serio la protección de datos.
Una DPIA es una herramienta altamente beneficiosa para cualquiera que esté considerando un nuevo producto o proyecto que involucre datos personales.
Es posible que haya escuchado a personas usar términos como “Evaluación de Impacto en la Privacidad (PIA)” y “Evaluación de Protección de Datos (DPA)” para describir este proceso. Sin embargo, el término “DPIA” proviene del propio RGPD, que proporciona un conjunto de reglas sobre cuándo y cómo llevar a cabo el proceso.
El RGPD requiere una DPIA antes de usar datos personales de ciertas maneras riesgosas. Cada Autoridad de Protección de Datos (DPA) en el Reino Unido, la UE y el Área Económica Europea (EEA) también proporciona una lista de actividades para las cuales se requiere una DPIA.
Componentes Clave de una Evaluación de Impacto en la Protección de Datos
Hay muchas maneras de realizar una DPIA, siempre que tome ciertos pasos para asegurarse de que está procesando datos personales de manera segura. “Procesar datos personales” significa usar información que puede identificar a individuos (“sujetos de datos”).
Según el Artículo 35 del RGPD, una DPIA debe incluir:
- Una descripción sistemática de: algún texto
- Las operaciones de procesamiento (lo que planea hacer con los datos personales).
- Los propósitos del procesamiento (por qué intenta recopilar o usar datos personales).
- Cuando sea aplicable, el interés legítimo que persigue (cómo el proyecto sirve a los intereses de su organización y otras personas).
- Una evaluación de la necesidad y proporcionalidad (si necesita procesar datos personales para lograr su objetivo, y si está procesando la cantidad correcta de datos personales de maneras apropiadas).
- Una evaluación de los riesgos para los derechos y libertades de las personas (el daño potencial a la privacidad de las personas y otros derechos)
- Medidas para abordar los riesgos, incluyendo: algún texto
- Salvaguardias
- Medidas de seguridad
- Mecanismos para asegurar la protección de datos y demostrar el cumplimiento del RGPD
En algunos casos, es posible que necesite consultar con las personas afectadas por su proyecto o su Autoridad de Protección de Datos (DPA) local.
Desglosaremos todo esto en un proceso paso a paso a continuación.
Ejemplo: Operaciones de procesamiento y propósitos de Snap
El año pasado, Snap lanzó My AI, una versión de ChatGPT dentro de Snapchat.
La Oficina del Comisionado de Información del Reino Unido (ICO) alegó que Snap no había realizado una DPIA adecuada para My AI y emitió una sanción preliminar del RGPD contra la empresa.
Después de que Snap produjo cinco versiones sucesivas de su DPIA, la ICO desestimó el caso.
La ICO publicó un aviso de decisión detallando cómo la DPIA de Snap mejoró con el tiempo, por lo que conocemos las opiniones del regulador sobre cómo hacer bien este proceso.
Por un lado, la ICO dijo que las primeras versiones de la DPIA de Snap no proporcionaron una “descripción sistemática” suficientemente detallada de las “operaciones de procesamiento” y propósitos. Esto se relaciona con el primer punto descrito en la sección anterior.
Pero en la versión cinco, esta parte de la DPIA de Snap cumplió con los requisitos del RGPD, por las siguientes razones:
- Snap describió sistemáticamente cómo utilizó la tecnología ChatGPT de OpenAI para generar las salidas de My AI.
- Snap prestó más atención al contexto más amplio de su producto, incluidas las preocupaciones públicas sobre la IA generativa.
- Snap proporcionó estadísticas sobre los usuarios de Snapchat y My AI para ayudar a identificar riesgos, particularmente riesgos que involucren a niños.
- Snap dio un desglose detallado de sus propósitos para procesar datos personales a través de My AI, que incluyó: algún texto
- Proporcionar una experiencia personalizada,
- Mejorar el servicio,
- Ofrecer anuncios contextuales,
- Proporcionar una función orientada a la seguridad y protección.
A lo largo de sus cinco DPIAs, Snap evaluó su producto con mayor detalle y mapeó cómo My AI podría impactar a los usuarios de Snapchat. Mirar el panorama general ayudó a Snap:
- Identificar riesgos previamente no vistos
- Implementar salvaguardias apropiadas
- Evitar una multa del RGPD
¿Cuándo se Requiere una DPIA bajo el RGPD?
Realizar una DPIA es obligatorio en algunas circunstancias.
Como parte de una investigación del RGPD, los reguladores pueden exigir ver una copia de su DPIA. Por lo tanto, es particularmente importante que realice una DPIA cuando se requiera hacerlo.
Aquí están las cuatro fuentes principales que nos dicen cuándo una DPIA es obligatoria.
1. El umbral de “probable alto riesgo” del RGPD
A veces, usted tiene que decidir por sí mismo si se requiere una DPIA.
Según el Artículo 35 (1), debe realizar una DPIA si es probable que su uso de datos personales resulte en un alto riesgo para los “derechos y libertades” de las personas, incluidos los derechos a:
- Privacidad
- Protección de datos
- Otros derechos, como la libertad de expresión y el derecho al trabajo
Al decidir si debe hacer una DPIA, debe considerar la “naturaleza, alcance, contexto y propósitos” de sus actividades previstas. En otras palabras:
- Lo que está haciendo
- Cuántos datos personales están involucrados
- Qué tipo de personas podrían verse afectadas
- Por qué lo está haciendo
Es más probable que necesite hacer una DPIA si está utilizando nuevas tecnologías.
2. Las actividades de alto riesgo específicas del RGPD
Además de este umbral de “probable alto riesgo”, el Artículo 35 (3) del RGPD dice que debe realizar una DPIA si está:
- Involucrado en “perfilado sistemático y extenso” con efectos significativos. Esto podría incluir actividades como calificación crediticia, vigilancia, o algunas formas de publicidad conductual.
- Procesando grandes cantidades de “datos de categoría especial” (incluyendo información sobre la etnicidad, salud, o opiniones políticas de las personas) o datos sobre delitos penales.
- Monitoreando sistemáticamente un área accesible al público a gran escala, como a través de CCTV.
3. Guía del Comité Europeo de Protección de Datos (EDPB)
El Comité Europeo de Protección de Datos (EDPB) ha adoptado una guía que indica cuándo es probable que se requiera una DPIA, incluyendo lo siguiente (entre otros):
- Evaluación y puntuación. Esto significa usar tecnología para hacer predicciones sobre las personas, incluyendo su desempeño en el trabajo, situación económica, salud, intereses personales, fiabilidad, comportamiento, ubicación o movimientos.
- Emparejamiento o combinación de conjuntos de datos: Por ejemplo, usar dos conjuntos de datos— derivando de dos actividades diferentes o dos organizaciones diferentes—de una manera que las personas podrían no esperar.
- Prevenir el acceso a servicios: Por ejemplo, cuando un banco utiliza datos de referencia crediticia para decidir si ofrecer un préstamo a un cliente.
Hay varios más escenarios listados en la guía, así que léala si no está seguro de si necesita hacer una DPIA.
4. Listas de actividades de alto riesgo de los reguladores
Finalmente, cada Autoridad de Protección de Datos (DPA) publica una lista de actividades que requieren una DPIA en su jurisdicción.
Por ejemplo, aquí hay algunas de las actividades que requieren una DPIA según la Comisión de Protección de Datos de Irlanda (DPC):
- El uso a gran escala de datos personales por razones distintas a aquellas para las que fueron recopilados originalmente.
- “Monitoreo, seguimiento u observación sistemática de la ubicación o comportamiento de individuos.”
- Obtener datos personales de fuentes de terceros (a menos que pueda cumplir con los requisitos de transparencia del RGPD al hacerlo).
Guía Paso a Paso para Realizar una DPIA
Como se señaló, no hay una “única manera” de realizar una DPIA. Pero aquí hay un resumen de lo que debe incluir, con algunos consejos sobre cómo completar cada paso.
Paso 1: Razón para la DPIA
Primero, debe registrar por qué está realizando una DPIA, probablemente por una de las siguientes razones:
- Artículo 35 (1): Su proyecto es “altamente probable” que presente un “alto riesgo” para los derechos y libertades de las personas
- Artículo 35 (3) (a): Perfilado sistemático y extenso
- Artículo 35 (3) (b): Datos de categoría especial o datos de delitos penales
- Artículo 35 (3) (c): Monitoreo de un lugar público
- Su proyecto requiere una DPIA según la guía del EDPB
- Su proyecto involucra una actividad de alto riesgo designada por su Autoridad de Protección de Datos
- Ninguna de las anteriores
Vea “¿Cuándo se Requiere una DPIA bajo el RGPD?” arriba para más detalles sobre estas condiciones.
Paso 2: Descripción del procesamiento
El Paso 2 de la DPIA es donde explica lo que pretende hacer con los datos personales.
El RGPD requiere que considere la naturaleza, alcance, contexto y propósitos del procesamiento. Más allá de esto, depende de usted cuánta información incluir.
La mayoría de las DPIAs abordan los siguientes puntos:
| Tipos de datos de categoría especial o de delitos penales involucrados | Origen racial o étnico Opiniones políticas Creencias religiosas o filosóficas Afiliación sindical |
|---|---|
