Guía para la evaluación de impacto requerida en el Reglamento Europeo de Protección de Datos

Abstract

[ES] Desde la década de los cincuenta, se han ido desarrollando mecanismos legales con el objetivo de proteger a la sociedad en el ámbito de la privacidad y de sus datos personales. Con la puesta en funcionamiento del Reglamento General de Protección de Datos a mediados del 2018, toda Europa adoptó un mismo marco normativo de aplicación inmediata con el objetivo de facilitar una puesta en marcha común en sus estados miembros. ¿Es tan sencillo como parece? En este trabajo explicamos las novedades que trae este nuevo reglamento y los cambios que conlleva para los profesionales de la protección de datos. Mostramos una hoja de ruta a seguir para garantizar el correcto cumplimiento normativo dentro de cualquier organización, siendo capaces de adoptar un papel proactivo para anticiparse a las posibles amenazas sobre los derechos y libertades de los usuarios. Con la hoja de ruta pueden aprender a realizar análisis de riesgos y evaluaciones de impacto que permiten trazar un plan para aplacar los posibles riesgos generados a la hora de tratar datos personales. Realizamos un balance de estos dos últimos años, desde su entrada en funcionamiento, y nos hacemos eco de algunas noticias de actualidad que han aparecido en los medios. Estas están relacionadas con una gestión inadecuada de algunas directrices que nos proporciona la normativa. Concluimos el proyecto plantando la semilla de una aplicación que será desarrollada en un futuro proyecto y que se puede utilizar como plantilla para construir una herramienta de apoyo para los responsables de protección de datos.

[CA] Des de la dècada dels anys cinquanta, s’han anat desenvolupant mecanismes legals per a tractar de protegir a la societat en l’àmbit de la privacitat i de les seues dades personals. Amb la posada en funcionament del Reglament General de Protecció de Dades a mitjans del 2018, tota Europa va adoptar un mateix marc normatiu d’aplicació immediata amb l’objectiu de facilitar una implantació comú en tots els seus estats membres. Serà tant senzill com pareix? En aquest treball expliquem les novetats que inclou el nou reglament i els canvis que comporta per als professionals de la protecció de dades. Mostrem un full de ruta a seguir per a poder garantir el correcte compliment normatiu dins de qualsevol organització, sent capaços d’adoptar un paper proactiu per a poder avançar-nos a les possibles amenaces sobre els drets i llibertats dels usuaris. Amb el full de ruta poden aprendre a realitzar anàlisis de riscs i avaluacions d’impacte que permeten tindre un pla per a mitigar els possibles riscs generats a l’hora de tractar dades personals. Revisem la situació d’aquets darrers dos anys, des de la seua entrada en funcionament, i analitzem algunes noticies d’actualitat que han aparegut als mitjans de comunicació. Aquestes estan relacionades amb una gestió inadequada d’algunes directrius que ens proporciona la normativa. Per acabar, plantegem les bases d’una aplicació que serà desenvolupada en un futur projecte i que es pot fer servir com una plantilla per a construir una ferramenta en la que es recolzaran els responsables de la protecció de dades.

[EN] Since the 1950s, legal mechanisms have been developed aiming to protect society in terms of privacy and personal data. With the implementation of the General Data Protection Regulation by mid-2018, whole Europe embraced the same legal framework with the goal of facilitating an implementation of a common strategy in its member states. Is it as simple as it looks? In this document, we explain the new developments that this recent regulation brings, and related changes that it entails for data protection professionals. We show a roadmap to follow in order to ensure correct regulatory compliance in any organization. Thus, they will be able to take a proactive role by anticipating potential threats about the rights and freedoms of users, which may occur. With the roadmap they can learn how to perform risk analyses and impact assessments that allow drawing up a plan to appease potential risks generated when processing personal data. We review the situation over the last two years, since its implementation, and we analyse the latest news. These are related to an inadequate management of some guidelines provided by the regulation. We conclude the project by planting the seed of an application that will be developed in a future project, and which can be used as a template to build a tool for data protection managers.