1.3 ¿Qué es una Evaluación de Impacto en la Protección de Datos (EIPD)?
Una Evaluación de Impacto en la Protección de Datos (EIPD) es un proceso que las organizaciones deben efectuar para identificar y tratar los riesgos que puedan producir sus actividades habituales, sus nuevos proyectos o sus políticas corporativas cuando involucran el tratamiento de datos personales. Ello considerando que el tratamiento de datos personales puede provocar impactos en 06 los derechos de las personas que deben ser de algún modo identificados, gestionados, minimizados o eliminados para cumplir con la normativa vigente.
Si bien se ha incorporado recientemente como una obligación expresa en las legislaciones de Latinoamérica y Europa, la EIPD resulta desde hace tiempo una buena práctica reconocida por normas técnicas internacionales. Su objetivo es reforzar los principios en materia de protección de datos personales y orientar al responsable a los efectos de su cumplimiento, en especial cuando la complejidad del proyecto o actividad bajo análisis exige un examen más detallado.
Para que este proceso resulte exitoso, es necesario involucrar a las personas que integran la organización, a consultores expertos e incluso a los sectores o grupos de titulares de datos que posiblemente puedan ser afectados. Es notorio que la EIPD ayuda a resolver potenciales problemas en materia de protección de datos, sobre todo, al principio del desarrollo de un proyecto o actividad, posibilitando la integración de mecanismos de privacidad por diseño y por defecto desde una etapa temprana.
Debe aclararse que la EIPD no está concebida únicamente para las grandes organizaciones que producen un impacto ostensible en la comunidad, sino también para las startups de tecnología y otras pequeñas empresas que, por la especificidad de sus emprendimientos, generen o puedan generar en el futuro un impacto en los datos personales de la ciudadanía.
Los riesgos que sean identificados en el proceso deben evaluarse tanto en una dimensión individual como en una dimensión comunitaria. Hay operaciones de tratamiento de datos que, consideradas individualmente, no lucen relevantes, pero que en el agregado podrían suponer un riesgo significativo para derechos y garantías fundamentales de las personas. Es evidente que no pueden preverse todos los efectos posibles de un proyecto, cualquiera este sea, pero se deben empeñar los mejores esfuerzos para computar la mayor cantidad de riesgos en la EIPD, a fin de que ésta pueda ser considerada completa y válida.
En este sentido, la EIPD busca conocer, de manera acabada, la relación específica que existe entre la organización y los titulares de datos. Así es que se deben tener en cuenta, entre otras cosas:
- Las expectativas razonables de privacidad que tienen las personas involucradas.
- La influencia que tiene la actividad de la organización en la sociedad.
- Cómo y por qué la organización toma ciertas decisiones, cuáles son sus objetivos.
En todos los casos, la EIPD es un proceso que genera valor para la organización que la lleva adelante.
En el caso de los organismos públicos, permite establecer lazos de confianza con la ciudadanía. En el caso de las empresas privadas, evita potenciales costos reputacionales y fideliza a los clientes o consumidores. Por otra parte, la EIPD no es necesariamente un proceso complejo e injustificadamente oneroso, ni debe ser, tampoco, idéntico para todas las organizaciones. La evaluación de un proyecto de una pequeña empresa es distinta de la evaluación de las actividades habituales o de las políticas corporativas de un grupo económico entero, pero esto no significa que se prescinda de rigor 07 en los reportes que resulten de la evaluación en el primer caso, sino que, dentro de ciertos parámetros, la EIPD es adaptable a cada caso particular.
Por último, y como se verá con más atención en el capítulo que sigue, el proceso de elaboración de la EIPD presupone distintas fases:
VA IMAGEN