Evaluación de Impacto en la Privacidad (PIA) e ISO/IEC 29134

Uno de los aspectos relevantes para las organizaciones en materia de protección de datos personales es garantizar que las acciones tomadas son efectivas y eficientes tanto en cuanto al cumplimiento de la regulación aplicable como en el uso optimo de los recursos invertidos.

Implementar controles y elaborar documentación son formas comunes de demostrar el cumplimiento de la regulación aplicable, pero esto no significa que la organización este exenta de sanciones, toda vez que se pierde un factor relevante, lo importante de cumplir la regulación sobre protección de datos es evitar que las personas sean impactadas por un uso inadecuado de sus datos personales.

Mantener medidas de control desde una perspectiva de cumplimiento sin considerar el efecto que se tiene sobre los intereses legítimos de las personas (dueños o titulares de los datos personales) es una labor que muchas veces se observa solo desde el punto de vista del cumplimiento normativo o desde un punto de vista técnico - operativo, pero cuando la autoridad competente realiza una verificación, encuentra que a pesar de todo lo implementado e invertido, se encuentran no solo incumplimientos sino afectación a los titulares de datos personales y ello sustenta las sanciones aplicables.

En este contexto, una evaluación de impacto en la privacidad (PIA por sus siglas en ingles de "Privacy Impact Assessment") es un instrumento que podemos utilizar en un entorno cambiante para identificar y hacer una evaluación de los potenciales impactos en la privacidad, siendo aplicable a un proceso, un sistema de información, un proyecto, producto u otra iniciativa que utiliza y procesa datos personales o Información de Identificación Personal (PII).

Basado en un enfoque de gestión del riesgo, el PIA nos ayuda en un equilibrio entre los objetivos del negocio (sin negocio no hay organización que haga tratamiento de datos personales) y los intereses de los titulares de datos personales (sin datos personales no hay negocio) de modo que la organización pueda tomar las acciones necesarias para tratar el riesgo a la privacidad.

Desarrollar un PIA es un instrumento relevante para que la organización y sus responsables (en los diversos niveles de responsabilidad) puedan tomar las decisiones mas acertadas en materia de protección de datos personales, aun cuando el contexto sea cambiante o incierto, produciendo como resultado un documento (Informe PIA) que servirá de referencia (con el nivel suficiente de detalle) para diversas acciones a tomar, incluyendo las decisiones sobre nuevos proyectos o iniciativas en etapas iniciales (privacidad por diseño), siendo de utilidad también en etapas posteriores para determinar si se mantiene como adecuado el nivel de alineamiento que determina la organización.

Un informe de PIA puede incluir documentación sobre las medidas tomadas para el tratamiento de riesgos, por ejemplo, las medidas que surgen del uso de un Sistema de Gestión de Seguridad de la Información (ISMS) bajo ISO / IEC 27001 o mas precisamente en un Sistema de Gestión de Información sobre Privacidad (PIMS) bajo ISO/IEC 27701.

Los informes PIA pueden ser un instrumento importante cuando tenemos una cadena de valor o de provisión de servicios que involucren diversas áreas u organizaciones, de este modo, se puede tener una forma confiable y con base en evidencias de que cada una de las áreas u organizaciones involucradas han desarrollado y mantienen sus propios PIAs que garanticen que toda la cadena mantenga de forma adecuada el cumplimiento con la regulación sobre protección de datos aplicable.

Cabe señalar que en algunas jurisdicciones, el PIA es un requerimiento legal obligatorio, pero no se especifica exactamente como se debe realizar, lo que nos genera un espacio de libertad para aplicar las mejores practicas internacionales, siempre busca del mayor valor para la organización y los intereses legítimos de las personas (dueños o titulares de los datos personales involucrados).

La norma internacional ISO/IEC 29134 "Guidelines for privacy impact assessment" nos proporciona directrices sobre como realizar un PIA y como estructurar el informe de PIA.

Los controles que se consideren necesarios para tratar los riesgos identificados durante el proceso de evaluación de impacto en la privacidad pueden generarse por la propia organización, tomarse o adaptarse de múltiples conjuntos de controles, incluidos ISO/IEC 27002 (para controles de seguridad de la información), ISO/IEC 29151 (para controles de protección de PII), ISO/IEC 27018 (para controles de seguridad en entornos de cloud computing), ISO/IEC 27701 (cuando se busque una certificación internacional sobre privacidad para la organización) o estándares nacionales comparables, o pueden ser definidos por la persona responsable de realizar el PIA, independientemente de cualquier otro conjunto de control.

Si tienes consultas o inquietudes sobre esta norma puedes contactarnos en info@gtdi.pe o seguirnos en redes sociales.

Programas de formacion relacionados :

• ISO/IEC 29100:2011 Essentials - Privacy Framework (inicia el 03 de noviembre del 2020)
• ISO/IEC 27134:2017 Essentials - Guidelines for privacy impact assessment (inicia el 04 de noviembre del 2020)
• Seminario ISO/IEC 27018 - Privacidad en Cloud Computing (07 de noviembre del 2020)
• ISO/IEC 27701:2019 Essentials - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management (inicia el 14 de noviembre del 2020)