{"id":9126,"date":"2017-10-30T18:16:14","date_gmt":"2017-10-30T18:16:14","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/eugdpracademy\/knowledgebase\/5-phases-of-the-eu-gdpr-data-protection-impact-assessment-2\/"},"modified":"2023-11-27T23:07:06","modified_gmt":"2023-11-27T23:07:06","slug":"5-fases-evaluacion-impacto-proteccion-datos-rgpdue","status":"publish","type":"adv_resources","link":"https:\/\/staging.advisera.com\/es\/articulos\/5-fases-evaluacion-impacto-proteccion-datos-rgpdue\/","title":{"rendered":"5 fases de la Evaluaci\u00f3n de Impacto de la Protecci\u00f3n de Datos RGPD UE"},"content":{"rendered":"<h2>Una breve descripci\u00f3n de la metodolog\u00eda DPIA<\/h2>\n<p>Este art\u00edculo se enfoca en un nuevo instrumento que puede definirse como mitad auditor\u00eda y mitad gesti\u00f3n de proyecto. En su <a href=\"https:\/\/staging.advisera.com\/gdpr\/data-protection-impact-assessment\/\" target=\"_blank\" rel=\"noopener noreferrer\">art\u00edculo 35<\/a>, el <a href=\"https:\/\/staging.advisera.com\/gdpr\/\" target=\"_blank\" rel=\"noopener noreferrer\">Reglamento General de Protecci\u00f3n de Datos<\/a> ofrece una herramienta anal\u00edtica espec\u00edfica, similar a un instrumento previamente establecido. Para los evaluadores, es conocido como gesti\u00f3n de informaci\u00f3n y de riesgos de seguridad. Tenga en cuenta que este art\u00edculo no revisar\u00e1 la metodolog\u00eda de evaluaci\u00f3n del impacto del RGPD en profundidad, fase por fase. En vez de ello, har\u00e1 m\u00e1s bien un resumen de todas las fases de dicha evaluaci\u00f3n. Otros art\u00edculos de esta serie explicar\u00e1n los detalles de cada fase.<\/p>\n<h2>La naturaleza de una EIPD<\/h2>\n<p>Si usted ha le\u00eddo el art\u00edculo sobre <a href=\"https:\/\/staging.advisera.com\/es\/articulos\/el-rol-del-dpd-a-la-luz-del-reglamento-general-de-proteccion-de-datos\/\">El rol del DPD<\/a>, podr\u00e1 haberse dado cuenta que el rol del DPD es algo horizontal, mezclado con habilidades legales, evaluativas, t\u00e9cnicas y comunicacionales. La EIPD es actualmente la materializaci\u00f3n de esa mezcla. Adicionalmente, al incluir en la EIPD tanto a responsables como encargados del tratamiento en su procedimiento, se podr\u00eda presumir que es la herramienta perfecta para asegurar la responsabilidad de una empresa.<\/p>\n<p>Existe una obligaci\u00f3n legal para llevar a cabo una evaluaci\u00f3n si el tratamiento tiene altas probabilidades de ser un alto riesgo para el interesado (<a href=\"https:\/\/staging.advisera.com\/gdpr\/data-protection-impact-assessment\/\" target=\"_blank\" rel=\"noopener noreferrer\">art. 35 RGPD<\/a>). Dado lo que est\u00e1 en juego en un negocio y a la evoluci\u00f3n de los sistemas TI, un enfoque de gesti\u00f3n de riesgos le permite a una organizaci\u00f3n determinar sus controles requeridos. Lo hace posible al estudiar el tratamiento, priorizar los riesgos y tratarlos en una manera proporcional para optimizar costes y tomar decisiones.\u00a0 Finalmente, una EIPD ayuda al negocio a demostrar la implementaci\u00f3n de los principios de privacidad. Por lo tanto, podemos decir que la EIPD es una herramienta de cumplimiento; y debe ser usada antes de la implementaci\u00f3n del tratamiento (an\u00e1lisis ex ante).<br \/>\n<div id=\"middle-banner\" class=\"banner-shortcode\"><\/div><script>loadMiddleBanner();<\/script><div id=\"sidebar-banner-trigger\" class=\"banner-shortcode\"><\/div><\/p>\n<h2><strong>Un breve resumen de la metodolog\u00eda<\/strong><\/h2>\n<p>Una EIPD consiste generalmente de varias fases. Cada una de esas fases analiza un aspecto espec\u00edfico de su tratamiento de datos contra una serie de controles y evaluaciones. Si usted se ha preguntado acerca de lo que hacen el piloto y el copiloto antes de despegar, realmente emplean una lista de verificaci\u00f3n aplicada a sus instrumentos de acuerdo a una serie de controles regulados y revisados. Una EIPD es similar, pero con m\u00e1s flexibilidad, al contrario de la lista de verificaci\u00f3n de un avi\u00f3n.<\/p>\n<p>Una EIPD se adapta de acuerdo a la profundidad de la evaluaci\u00f3n que desee llevar a cabo, lo cual significa que no hay l\u00edmite de tiempo indicado para cada elemento de la evaluaci\u00f3n. En otras palabras, si su equipo de evaluaci\u00f3n desea pasar m\u00e1s tiempo elaborando controles o buscando y estudiando amenazas al tratamiento, usted deber\u00eda dejarlos que lo hagan, ya que las salidas esperadas del an\u00e1lisis son los correctivos. En t\u00e9rminos de la metodolog\u00eda, el <a href=\"https:\/\/staging.advisera.com\/gdpr\/data-protection-impact-assessment\/\" target=\"_blank\" rel=\"noopener noreferrer\">art\u00edculo 35.7<\/a> del Reglamento se\u00f1ala los m\u00ednimos elementos que deben ser evaluados, los cuales se describen a continuaci\u00f3n en 5 fases:<\/p>\n<ul>\n<li><strong>Fase <\/strong><strong>1<\/strong>\u00a0es b\u00e1sicamente una lista detallada del tratamiento de datos, incluyendo: los datos que usa, los detalles de sus responsables y encargados, la base legal o los per\u00edodos de retenci\u00f3n aplicados a los datos. Guarda cierta semejanza con el antiguo formato de notificaci\u00f3n, un requerimiento de la Directiva 95\/46 EC, el cual desaparecer\u00e1 luego del 25 de mayo del 2018.<\/li>\n<li><strong>Fase <\/strong><strong>2<\/strong> identifica los controles legales y de tratamiento de riesgos que est\u00e1n implementados actualmente. Esta fase involucra el conjunto de medidas actuales y existentes desde un punto de vista legal, t\u00e9cnico, f\u00edsico y organizacional. El objetivo es controlar cualquier riesgo que pueda ser identificado antes de la implementaci\u00f3n del tratamiento de los datos. Si, por ejemplo, su negocio no ha revisado su pol\u00edtica relacionada con el acceso a las instalaciones (por ejemplo: emisi\u00f3n de carn\u00e9, bit\u00e1coras de acceso, etc.), usted probablemente debiera hacer eso primero antes de ampliar la pol\u00edtica hacia un \u00e1rea recientemente construida o adquirida en sus instalaciones o hacia un sistema nuevo.<\/li>\n<li><strong>Fase <\/strong><strong>3<\/strong>\u00a0se\u00f1ala las fuentes de riesgos para el tratamiento de datos. Hace la siguiente pregunta: \u201c\u00bfmi negocio ser\u00e1 impactado por este nuevo tratamiento de datos, y de ser as\u00ed d\u00f3nde y cu\u00e1ndo ser\u00e1 el impacto?\u201d Esta fase se enfoca en posibles intrusiones de privacidad (por ejemplo, da\u00f1os causados por datos imprecisos o una violaci\u00f3n de seguridad), y una evaluaci\u00f3n de los riesgos corporativos, da\u00f1o a la reputaci\u00f3n o costos financieros.\u00a0 Requiere imaginaci\u00f3n, especialmente para revisar una buena cantidad de fuentes de riesgo contra su negocio. Si usted gerencia una firma bancaria, una de las fuentes de riesgo es que su base de datos puede ser pirateada y revisada de manera fraudulenta. Es un riesgo de seguridad en s\u00ed, pero tambi\u00e9n conlleva un riesgo financiero para sus acciones mientras que representa un riesgo a su reputaci\u00f3n ante los ojos de sus clientes.<\/li>\n<li><strong>Fase <\/strong><strong>4<\/strong>\u00a0es acerca de analizar e identificar eventos negativos potenciales y amenazas al tratamiento de datos. La diferencia con la Fase 3 es que se enfoca en los datos personales de los interesados, y en impactos potenciales del nuevo tratamiento de dichos datos.\u00a0 Ya sean los eventos internos o externos, humanos o no humanos (t\u00e9cnicos), esta fase es relevante con respecto a los desarrollos tecnol\u00f3gicos. Las nuevas tecnolog\u00eda pueden carecer de una clara introducci\u00f3n a medidas amigables de seguridad de la privacidad y por lo tanto pueden exponer los interesados a amenazas tales como pirateo, suplantaci\u00f3n de identidad y recibir correo no deseado. Su prop\u00f3sito es determinar a cu\u00e1les tipos de amenaza puede estar expuesto su tratamiento. Supongamos que usted es el director de un hospital grande. Los registros m\u00e9dicos de sus pacientes son muy sensibles. Una amenaza humana puede ser que dichos registros sean revisados por los miembros equivocados del personal por las razones equivocadas, y una\u00a0 amenaza no humana pudiera ser que el sistema operativo usado por su hospital ha estado funcionando por 10 a\u00f1os sin haber sido actualizado. En el primer caso, usted podr\u00eda temer que los registros pudiesen ser revisados de manera fraudulenta y no autorizada, mientras que en el segundo caso, usted podr\u00eda temer ser objeto de un ciber-ataque a su sistema operativo. Al final, la confidencialidad m\u00e9dica de sus pacientes estar\u00e1 en riesgo si no se corrige la amenaza.<\/li>\n<li>Finalmente,\u00a0<strong>Fase\u00a0<\/strong><strong>5<\/strong>\u00a0se hace en formato de reporte y resumen el an\u00e1lisis, los controles actuales, los riesgos al negocio y las amenazas a los datos personales. El reporte establece las opciones de la organizaci\u00f3n para abordar cada riesgo, amenaza y vulnerabilidad detectados. Se\u00f1ala si cada opci\u00f3n resultar\u00e1 en una eliminaci\u00f3n, reducci\u00f3n o aceptaci\u00f3n del riesgo.\u00a0 El reporte ser\u00e1 registrado, almacenado y presentado a la alta direcci\u00f3n de su organizaci\u00f3n. Los gerentes pueden decidir cu\u00e1les acciones deben ser tomadas, y hacer el seguimiento de dichas acciones. Es de hacer notar que dichos reportes contribuyen a demostrar el cumplimiento del principio de responsabilidad se\u00f1alado en el <a href=\"https:\/\/staging.advisera.com\/es\/articulos\/que-es-la-rgpd-ue\/\" target=\"_blank\" rel=\"noopener noreferrer\">RGPD<\/a>.<\/li>\n<\/ul>\n<h2><strong>Valor agregado de la E<\/strong><strong>I<\/strong><strong>PD<\/strong><\/h2>\n<p>La EIPD representa un valor agregado para su negocio. Podr\u00eda parecer que es un ejercicio muy tedioso y largo. Sin embargo, adem\u00e1s de darle \u201cluz verde\u201d a su cumplimiento con respecto a tratamiento espec\u00edfico de datos, tambi\u00e9n le dar\u00e1 un pre-an\u00e1lisis del tratamiento conducido por el personal involucrado con la EIPD mientras muestra la buena fe a las autoridades nacionales y clientes.<\/p>\n<p>Tal evaluaci\u00f3n ofrece una poderosa oportunidad para revisar documentos, preparar la implementaci\u00f3n de su proyecto, desarrollar o adaptar sus pol\u00edticas, actualizar aspectos t\u00e9cnicos, y reforzar sus controles. En pocas palabras, la EIPD invita a su personal a intercambiar impresiones y aumentar la concienciaci\u00f3n acerca de la protecci\u00f3n de datos personales en su compa\u00f1\u00eda.<\/p>\n<p>Demostrar el cumplimiento a las autoridades de protecci\u00f3n de datos es lo que debe mantener en la mente. Esta autoridad conocer\u00e1 acerca de sus evaluaciones, ya que usted debe llevar un registro de ellas. En caso de presentarse una auditor\u00eda en sus instalaciones, usted ser\u00e1 capaz de demostrar su buena fe al mostrar esos registros. Adicionalmente, en lo que respecta a sus clientes, usted le podr\u00e1 asegurar a sus interesados que cuidar\u00e1 sus datos y su reputaci\u00f3n.<\/p>\n<p><em>Haga click ac\u00e1 para descargar su<\/em>\u00a0<a href=\"https:\/\/info.staging.advisera.com\/eugdpracademy\/es\/descarga-gratuita\/diagrama-del-proceso-de-implementacion-del-rgpd-ue\">Diagrama de Implementaci\u00f3n RGPD UE<\/a>\u00a0<em>gratuito para aprender d\u00f3nde encaja la EIPD en todo el proceso.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Una breve descripci\u00f3n de la metodolog\u00eda DPIA Este art\u00edculo se enfoca en un nuevo instrumento que puede definirse como mitad auditor\u00eda y mitad gesti\u00f3n de proyecto. En su art\u00edculo 35, el Reglamento General de Protecci\u00f3n de Datos ofrece una herramienta anal\u00edtica espec\u00edfica, similar a un instrumento previamente establecido. Para los evaluadores, es conocido como gesti\u00f3n [&hellip;]<\/p>\n","protected":false},"author":63,"featured_media":0,"comment_status":"open","ping_status":"closed","template":"","tags":[],"class_list":["post-9126","adv_resources","type-adv_resources","status-publish","hentry","adv_resource_type-articles-es","adv_standard-eu-gdpr","adv_topic-implementation","adv_level-beginner"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/es\/wp-json\/wp\/v2\/adv_resources\/9126","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/es\/wp-json\/wp\/v2\/adv_resources"}],"about":[{"href":"https:\/\/staging.advisera.com\/es\/wp-json\/wp\/v2\/types\/adv_resources"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/es\/wp-json\/wp\/v2\/users\/63"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/es\/wp-json\/wp\/v2\/comments?post=9126"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/es\/wp-json\/wp\/v2\/adv_resources\/9126\/revisions"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/es\/wp-json\/wp\/v2\/media?parent=9126"}],"wp:term":[{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/es\/wp-json\/wp\/v2\/tags?post=9126"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}