Proteger la información sensible desde el primer momento

En un post anterior hablamos de la necesidad que tienen las empresas de elegir periódicamente entre guardar y custodiar información confidencial o destruirla. En éste trataremos sobre la importancia de plantearse la protección de datos y la privacidad desde el primer momento, es decir, desde el mismo instante en que se diseña un nuevo producto o servicio. Esto, por de pronto, supondrá dos importantes ventajas. En primer lugar, permitirá una mayor eficacia en la protección de los derechos de los afectados; y, en segundo término, evitará los importantes gastos que se pudieran derivar de un equivocado planteamiento inicial o de un mal uso de las tecnologías, que habría que reconducir posteriormente.   Unas de las herramientas más extendidas y útiles para asegurar la protección de datos desde el primer momento son las Evaluaciones de Impacto en la Privacidad o en la Protección de Datos (PIAs por sus siglas en inglés: Privacy Impact Assessments), que se han desarrollado fundamentalmente en países anglosajones.   Pero, ¿cómo funciona una Evaluación de Impacto en la Protección de los Datos Personales (EIPD en español)? Pues bien, su función es analizar, en primer lugar, los riesgos que un determinado sistema de información, producto o servicio puede entrañar para el derecho fundamental a la protección de datos de los afectados. Y, una vez realizada esta tarea, el siguiente paso se centra en afrontar la gestión eficaz de los riesgos identificados mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos.   Como apuntan desde la Agencia Española de Protección de Datos, la gran ventaja derivada de la realización de una EIPD en las etapas iniciales del diseño de un nuevo producto, servicio o sistema de información es que permite identificar los posibles riesgos y corregirlos anticipadamente, evitando los costes derivados de descubrirlos a posteriori, cuando el servicio está en funcionamiento o, lo que es peor, cuando la lesión de los derechos se ha producido. En estos casos no solo se incurre en costes económicos, sino también de imagen para la organización cuya reputación se ve afectada.   A continuación, resumimos los principales puntos a tener en cuenta para realizar correctamente un EIPD:   -La evaluación debe ser sistemática y estar orientada a revisar procesos de forma continua, más que a producir un informe final. -Tiene que haber una clara y perfecta identificación de los responsables de las distintas tareas. -Existe una primera fase de identificación y clasificación de la información para determinar los datos personales que se tratan y sus características. -Es importante identificar quién y cómo tendrá acceso y tratará los datos personales. -Todos los afectados (departamentos, socios, agentes externos?) pueden participar en el proceso y realizar aportaciones. -Se describirán los controles que se implantarán para asegurar que sólo se tratan los datos personales necesarios para las finalidades definidas. -El resultado se verá reflejado en un documento final, que no debe contener información confidencial.