Guía de Evaluación de Impacto en la Protección de Datos.

Compartir
Facebook Twitter Copiar enlace WhatsApp LinkedIn

2.2 Análisis del marco normativo aplicable

El objetivo de esta fase 2 es analizar la normativa aplicable al tratamiento realizado para comprender su aplicación a las distintas etapas de dicho tratamiento.

Toda EIPD supone, además, conocer los presupuestos habilitantes para un tratamiento lícito y que, por tanto, cumple con la normativa vigente. Debe recordarse que la EIPD es una herramienta que orienta al responsable para cumplir de manera acabada con las normas locales en materia de 11 protección de datos, en particular, cuando la complejidad del proyecto o actividad de la organización impide una aplicación simple de la legislación local.

Así pues, resulta necesario identificar cuáles son las normas que deben aplicar tanto en forma previa, al efectuar el análisis preliminar que se verá, como luego, al momento de realizar la EIPD, si del análisis surge la necesidad efectiva. En ese caso, corresponde evaluar si existen normas sectoriales que además le sean aplicables al caso concreto.

A continuación, se listan de manera sintética los principales aspectos de las legislaciones uruguaya y argentina que el responsable debe tener en consideración durante toda EIPD:

1. Licitud del tratamiento

  • Identificar cuál es la norma o base legal que autoriza el tratamiento.
  • Determinar cuál es la fuente de obtención de los datos.
  • Definir si existen otros derechos involucrados además de la protección de datos que justifiquen el tratamiento.

2. Comunicación o cesión de datos personales

  • Definir el cumplimiento del principio de previo consentimiento informado o aplicabilidad de alguna de las excepciones legalmente dispuestas.
  • Identificar la forma de resguardar los consentimientos y de acreditarlos si fuese necesario.
  • Identificar los procesos de revocación de consentimiento.
  • Conocer la base legal para realizar la comunicación o cesión de datos.

3. Transferencias internacionales

  • Identificar si se realizan transferencias y los territorios o jurisdicciones a las que se realiza.
  • Determinar la causal que legitima las transferencias.
  • Identificar los tipos de datos transmitidos.
  • Identificar si es necesario o si se cuenta con autorización del órgano de control.
  • Para el caso de que existan encargados de tratamientos, verificar si se requiere realizar transferencias internacionales.

4. Veracidad y proporcionalidad de los datos

  • Identificar que solamente se traten los datos necesarios para la finalidad del tratamiento.
  • Evaluar la pertinencia de recabar datos con fines históricos, científicos o estadísticos.
  • Definir si existen mecanismos de actualización de datos.
  • Identificar cuál es el procedimiento para eliminar los datos una vez agotada la finalidad.
  • Analizar la necesidad de mantener los datos bloqueados y en ese caso definir los procedimientos de disociación.

5. Datos con regímenes especiales de protección

  • Determinar si se tratan datos dentro de alguna de las categorías especialmente protegidas.
  • Si se tratan datos sensibles, indicar si se cuenta con el consentimiento por expreso y por escrito.

6. Principio de reserva o confidencialidad

  • Determinar la necesidad de formar al personal en protección de datos y, en especial, en el deber de debida reserva o confidencialidad.
  • Elaborar procesos de reacción ante eventuales infracciones a la reserva o confidencialidad.

7. Tratamiento de datos personales

  • Definir medidas para recabar consentimientos, especialmente de representantes de menores de edad o personas incapaces.
  • Definir si es necesario trabajar con encargados de tratamiento.
  • Evaluar la necesidad de contar con documentación que acredite las relaciones entre responsables y encargados, y eventualmente, sub encargados (tratamiento de los datos, medidas de seguridad, eliminación de la información).

8. Ejercicio de derechos

  • Adoptar las medidas necesarias para dar cumplimiento al ejercicio de derechos en los plazos establecidos normativamente.
  • Asegurar formas de acreditar la identidad de los titulares de datos.
  • Definir procesos para el ejercicio de derechos ante encargados y sub encargados.
  • Definir especialmente procesos para dar respuesta al ejercicio del derecho de impugnación de valoraciones personales.

9. Seguridad

  • Revisar las medidas de seguridad adoptadas.
  • Realizar el análisis de riesgos.

10. Cumplimiento de obligaciones formales

  • Determinar las bases de datos existentes y la necesidad de su inscripción.
  • Designar cuando sea necesario un Delegado de Protección de Datos.
  • Determinar contenido y ubicación de las políticas de privacidad.