Guía de Evaluación de Impacto en la Protección de Datos.

Compartir
Facebook Twitter Copiar enlace WhatsApp LinkedIn

2.6 Plan de tratamiento de riesgos

El objetivo de esta fase 6 es realizar un adecuado plan de tratamiento de los riesgos determinados en la etapa anterior. Toda EIPD supone, además, conocer los presupuestos habilitantes para un tratamiento lícito y que, por tanto, cumple con la normativa vigente. Debe recordarse que la EIPD es una herramienta que orienta al responsable para cumplir de manera acabada con las normas locales en materia de protección de datos, en particular, cuando la complejidad del proyecto o actividad de la organización impide una aplicación simple de la legislación local.

En esta etapa, la organización debe planificar las acciones que llevará a cabo para mitigar o eliminar los riesgos que fueron identificados previamente. A este respecto, debe recordarse que no siempre es posible suprimir el impacto derivado del tratamiento de datos y que, muchas veces, la EIPD solo permitirá reducir dicho impacto a un nivel bajo. En otras ocasiones, dada la finalidad o la estructura del proyecto o actividad bajo análisis, la mitigación del riesgo puede resultar igualmente imposible, por lo que en tales instancias la organización deberá discontinuar su iniciativa.

Cuando una organización está evaluando soluciones, debe considerar, en qué medida el impacto en los derechos de las personas es proporcional a los fines del proyecto y cómo podría alcanzar los mismos objetivos a través de medios menos riesgosos para los derechos de las personas. Hay muchas y muy diversas medidas que las organizaciones pueden tomar para reducir riesgos identificados en la EIPD. Algunas de las más frecuentes son:

  • No recolectar o almacenar algún tipo de dato personal.
  • No recolectar o almacenar datos sensibles.
  • Monitorear o limitar la toma de decisiones automatizada cuando esta se funde en el tratamiento de datos personales.
  • Otorgar al titular de datos la posibilidad de gestionar preferencias en la entrega de su información, permitiéndole entregar categorías de datos de manera discriminada.
  • Implementar períodos razonables de conservación de los datos y mecanismos seguros para la destrucción de información.
  • Implementar medidas adecuadas de seguridad de la información.
  • Capacitar al personal en materia de protección de datos y concientizarlo respecto de los riesgos involucrados en las operaciones de tratamiento.
  • Contratar un delegado de protección de datos que le dé seguimiento al proyecto o actividad bajo análisis.
  • Establecer pactos de confidencialidad con el personal que desalienten la difusión no autorizada de información. Implementar técnicas de disociación de datos cuando sea posible.
  • Producir códigos de procedimiento que enseñen cómo compartir información dentro de la organización.
  • Diseñar sistemas que permitan el fácil acceso a la información por parte de los titulares de datos, así como plataformas que hagan más sencillo atender y contestar a los requerimientos de rectificación y supresión.
  • Estableciendo una política de privacidad que informe exhaustivamente a los titulares de datos cómo se utilizará su información y a quién deben y pueden contactar en caso de algún reclamo.
  • Vinculándose con encargados de tratamiento que garanticen la seguridad de la información e implementando contratos robustos tendientes a ese fin.
  • Desarrollando contratos de cesión de datos que esclarezcan qué información será compartida, cómo será compartida y con quiénes será compartida.
  • Instrumentando contratos de transferencia internacional con salvaguardas efectivas de protección de datos.

Más allá de los ejemplos anteriores, en la práctica de la gestión de riesgos se suele considerar que existen por lo menos tres maneras amplias de tratar los riesgos, que son las siguientes:

  • Aceptando el riesgo: el riesgo se encuentra en un nivel aceptable o por razones justificadas se opta por asumirlo.
  • Transfiriendo el riesgo: trasladar el riesgo a alguien más, por ejemplo, mediante la contratación de un seguro.
  • Mitigando el riesgo: implementación de nuevos controles o mejoramiento de los existentes para llevar el riesgo a un valor aceptable. Estos controles podrán influir sobre la probabilidad de ocurrencia, o sobre el impacto que tiene el riesgo para la organización.

En todos los casos, el plan de tratamiento de riesgos deberá detallar (al menos) para cada riesgo identificado:

  • Control a implementar, detallando las medidas a implementar
  • Responsable de su implementación
  • Plazo de implementación

Los riesgos y las soluciones deben quedar registradas en un informe. Tal informe debe reflejar cómo las medidas propuestas por la organización disminuyen o suprimen los riesgos detectados.

Cuando una organización acepta determinados riesgos, debe explicar por qué ha tomado esa decisión y qué impide llevar adelante alguna acción al respecto. ha llegado a dicha conclusión.