La Agencia de Acceso a la Información Pública de Argentina junto con la Unidad Reguladora y de Control de Datos Personales de Uruguay elaboraron una guía de evaluación de impacto en el tratamiento de datos personales.

El 28 de enero de 2020, Día Internacional de la Protección de los Datos Personales, se publicó la Guía de Evaluación de Impacto en la Protección de Datos Personales (en adelante, la EIPD), fruto del trabajo conjunto entre la Agencia de Acceso a la Información Pública de Argentina y la Unidad Reguladora y de Control de Datos Personales de Uruguay, autoridades nacionales de protección de datos personales de ambos países. La ley uruguaya ya prevé la realización de evaluaciones de impacto de privacidad, mientras que la ley actual argentina, no (algo que sí está contemplado en el proyecto de ley pendiente de tratamiento en el Congreso de la Nación [más información aquí]).

La EIPD se basa, principalmente, en las leyes de los Estados miembro de la Unión Europea y de los Estados parte del Convenio 108, del cual la Argentina y Uruguay son parte.

En línea con el principio de accountability y siguiendo los conceptos de privacy by design and default, la EIPD tiene por finalidad orientar a entidades del sector público y privado, desde una etapa inicial, a evaluar aquellas prácticas o proyectos que pudieran afectar los derechos de los titulares de los datos y así mitigar posibles efectos negativos. La EIPD está orientada a grandes empresas, así como también a start-ups de tecnología y otras pequeñas empresas.

La EIPD constituye una importante referencia para las organizaciones a la hora de definir los procesos para la gestión de sus activos de información que involucren datos personales. Ayuda a identificar los riesgos que puedan generarse en sus actividades habituales, sus nuevos proyectos o sus políticas corporativas, con el objetivo de ser gestionados, minimizados o eliminados, para cumplir con una efectiva protección de los datos en cumplimento de la regulación vigente.

A través de la evaluación de impacto se busca conocer de forma más profunda la relación que existirá entre el responsable del tratamiento y los titulares de datos, teniendo especialmente en cuenta: (a) las expectativas razonables de privacidad que tienen los titulares de los datos personales; (b) la influencia que tiene la actividad del responsable de tratamiento en la sociedad; (c) cómo y por qué el responsable toma ciertas decisiones; y, (d) cuáles son sus objetivos. En ese sentido, la EIPD se divide en seis etapas de evaluación que abarcan desde la identificación de las personas clave en el potencial tratamiento de datos personales hasta la detección de posibles riesgos en dicho tratamiento.

Las actividades dentro de cada una de estas etapas incluyen: (i) determinar los participantes del análisis preliminar y de la evaluación de impacto, y definir los procesos para la documentación; (ii) analizar la normativa aplicable al tratamiento realizado; (iii) realizar un análisis previo de varios factores que inciden en la necesidad de efectuar una evaluación de impacto (esto puede obviarse cuando la evaluación de impacto se impone de forma obligatoria bajo la ley); (iv) analizar todas las instancias de tratamiento que se va a realizar desde la perspectiva de la protección de datos personales; (v) evaluar el posible riesgo en cada una de las etapas del contexto de tratamiento definidas en la etapa anterior, a fin de realizar una adecuada gestión de dichos riesgos; y (vi) realizar un adecuado plan de tratamiento de los riesgos determinados en la etapa anterior, en caso de existir.

En cada etapa del proceso, se insta al responsable a realizar informes parciales, que luego puedan ser integrados en un informe final que describa las acciones previstas y los resultados alcanzados.

Los resultados de la evaluación de impacto deben incorporarse en la gestión del proyecto o en la gestión habitual de las actividades de la organización que hayan sido objeto de análisis. En efecto, la EIPD destaca que es importante registrar y dar cuenta del proceso de evaluación de manera exhaustiva y auditable. Más aún, se recomienda que el responsable del EIPD publique una copia del informe final en su página web o la exhiba en caso de solicitud de un interesado, resguardando la información confidencial de corresponder.