A continuación enumeraremos los elementos y apartados que debe contener una evaluación de impacto para cumplir a la perfección con el RGPD.
Como sabes, el Reglamento es muy específico en algunos de sus puntos. En este caso, en el artículo 35.7 se recoge las necesidades mínimas de una evaluación de impacto, que son las siguientes:
- Una descripción del ciclo de vida de los datos: este punto sería como un resumen global de qué pasa y qué pasará con los datos que posees en tu empresa. Para empezar, debes describir el ciclo de vida de estos datos. Es decir, cuál sería su “recorrido vital”. Además, se requiere que se especifique el flujo de esta información. ¿La compartirás con terceros? ¿Quiénes serán? Tendrás que dejar constancia de cualquier elemento que participe en lo denominado como la actividad de tratamiento.
- Un análisis de la necesidad y la proporcionalidad del tratamiento de estos datos: en este momento de la evaluación de impacto deberás analizar la base de legitimación, la finalidad, necesidad y proporcionalidad del tratamiento. Tanto del que ya has hecho, como del que haces y del que harás. Podría resumirse como la explicación de la envergadura de seguridad que vas a necesitar según lo que vayas a hacer con la información de terceros de la que eres poseedor.
- Identificación de amenazas y de riesgos: aquí se tratará de identificar a qué amenazas y riesgos, reales y potenciales, están o estarán expuestas las actividades de tratamiento. Vendría a ser como los “por si acaso” que pones en la maleta cuando vas de vacaciones, pero esta vez con sentido.
- Evaluación de riesgos: deberás evaluar cómo es de probable que los riesgos y amenazas anteriores se materialicen. Además, debe constar el impacto que tendrían estos al materializarse, con tal de poder estar preparados y garantizar a tus clientes o usuarios la máxima previsión en cuanto a seguridad.
- Tratamiento de los riesgos: ¿qué respuesta darás a estos riesgos si realmente llegan a materializarse? No solo debes detectar lo que puede pasar, sino que tendrás que hacer constar qué harás si sucede. Necesitas aclararlo previamente con tal de minimizar tanto la probabilidad de que sucedan como el impacto que tendrían al hacerlo.
- Un plan de acción y unas conclusiones: tu evaluación de impacto debe también contener un informe de conclusiones en el que se resuma el resultado de este análisis del que hemos hablado en los puntos anteriores. Además, se incluirán las medidas de control que se implantarán para gestionar los riesgos que has identificado y garantizar así que los datos de tus clientes o usuarios están seguros.
Una buena evaluación de impacto es clave para garantizar que puedes dar la máxima satisfacción con tu producto o servicio a las personas que te han facilitado sus datos para ello. Con el equipo o medios adecuados, tendrás tu evaluación de impacto hecha antes de que puedas terminar de imaginar todo lo que puedes llegar a ofrecer a tus clientes.