Una Evaluación del Impacto de la Privacidad ( PIA ) es un proceso que ayuda a las organizaciones a identificar y gestionar los riesgos de privacidad que surgen de nuevos proyectos, iniciativas, sistemas, procesos, estrategias, políticas, relaciones comerciales, etc. [1] Beneficia a varias partes interesadas, incluida la organización. sí mismo y los clientes, de muchas formas. [2] En los Estados Unidos y Europa, se han emitido políticas para exigir y estandarizar las evaluaciones de impacto en la privacidad. [3] [4]
Descripción general
Una Evaluación de Impacto en la Privacidad es un tipo de evaluación de impacto realizada por una organización (generalmente, una agencia gubernamental o corporación con acceso a una gran cantidad de datos confidenciales y privados sobre personas que ingresan o fluyen a través de su sistema). La organización revisa sus propios procesos para determinar cómo estos procesos afectan o podrían comprometer la privacidad de las personas cuyos datos almacena, recopila o procesa. Las PIA han sido realizadas por varias sub-agencias del Departamento de Seguridad Nacional de los Estados Unidos (DHS), [5] [6] y los métodos para llevarlas a cabo se han estandarizado. [4]
Un PIA generalmente está diseñado para lograr tres objetivos principales:
- Garantice el cumplimiento de los requisitos legales, reglamentarios y de políticas aplicables para la privacidad.
- Identificar y evaluar los riesgos de violaciones de la privacidad u otros incidentes y efectos.
- Identificar los controles de privacidad adecuados para mitigar los riesgos inaceptables.
Un informe de impacto en la privacidad busca identificar y registrar los componentes esenciales de cualquier sistema propuesto que contenga cantidades significativas de información personal y establecer cómo se pueden administrar los riesgos de privacidad asociados con ese sistema. A veces, una PIA irá más allá de una evaluación de un "sistema" y considerará los efectos críticos "posteriores" en las personas que se ven afectadas de alguna manera por la propuesta. [7]
Propósito
Dado que la PIA se refiere a la capacidad de una organización para mantener segura la información privada, la PIA debe completarse siempre que dicha organización esté en posesión de la información personal de sus empleados, clientes, clientes y contactos comerciales, etc. : nombre, edad, número de teléfono, dirección de correo electrónico, sexo, información de salud. También se debe realizar una PIA siempre que la organización posea información que de otro modo sea sensible, o si los sistemas de controles de seguridad que protegen la información privada o sensible están experimentando cambios que podrían conducir a incidentes de privacidad. [8] [9]
Beneficios
Según una presentación en el Congreso de la Asociación Internacional de Profesionales de la Privacidad , una PIA tiene los siguientes beneficios: [2]
- Proporciona un sistema de alerta temprana: una forma de detectar problemas de privacidad, crear protecciones antes, no después, de una gran inversión y solucionar los problemas de privacidad lo antes posible.
- Evita errores de privacidad costosos o vergonzosos
- Proporciona evidencia de que una organización intentó prevenir riesgos de privacidad (reducir la responsabilidad, publicidad negativa, daño a la reputación)
- Mejora la toma de decisiones informada
- Ayuda a la organización a ganarse la confianza del público.
- Demuestra a los empleados, contratistas, clientes y ciudadanos que la organización se toma en serio la privacidad.
Implementación
Los PIA implican un proceso simple: [8] [9]
- Inicio del proyecto: defina el alcance del proceso de PIA (que varía según la organización y el proyecto). Si el proyecto se encuentra en sus primeras etapas, la organización puede optar por realizar un PIA preliminar y luego completar un PIA completo una vez que esté completamente en marcha.
- Análisis de flujo de datos: mapear cómo el proceso comercial propuesto maneja la información personal , identificar grupos de información personal y crear un diagrama de cómo fluye la información personal a través de la organización como resultado de las actividades comerciales en cuestión.
- Análisis de privacidad: el personal involucrado en el movimiento de información personal puede completar cuestionarios de análisis de privacidad, seguidos de revisiones, entrevistas y discusiones sobre los problemas e implicaciones de privacidad.
- Informe de evaluación del impacto de la privacidad: se documentan los riesgos de privacidad y las posibles implicaciones, así como una discusión de los posibles esfuerzos que se podrían hacer para mitigar o remediar los riesgos.
Historia
En la década de 1970, la Oficina de Evaluación de Tecnología de los Estados Unidos creó la Evaluación de Tecnología (TA) . Se utilizó una TA para determinar las repercusiones sociales y sociales de las nuevas tecnologías. De manera similar, por esta época surgieron las Evaluaciones de Impacto Ambiental (EIA), una reacción al impulso social de los movimientos verdes de los años sesenta . El método de ambas evaluaciones de impacto actuó como precursor de la creación del PIA. La Declaración de impacto en la privacidad fue una versión mucho menos extensa de la PIA que surgió a finales de los ochenta. Durante la década de 1990 surgió la necesidad de medir la efectividad de la seguridad de los datos de una empresa u organización, especialmente con la mayoría de los datos almacenados en computadoras u otras plataformas electrónicas. Los PIA más extensos comenzaron a ser utilizados con más frecuencia por corporaciones y gobiernos a mediados de la década de 1990, y ahora son utilizados por organizaciones de todo el mundo y por varios gobiernos, incluidos Nueva Zelanda , Canadá , Australia y el Departamento de Seguridad Nacional de los Estados Unidos. para evaluar el riesgo de privacidad de sus sistemas. Además, varios otros países y corporaciones utilizan sistemas de evaluación similares a los PIA para el análisis de riesgo de datos. [10] [11]
PIA en todo el mundo
Estados Unidos
La Ley de Gobierno Electrónico de 2002 , Sección 208, establece el requisito de que las agencias lleven a cabo evaluaciones de impacto sobre la privacidad (PIA) para los sistemas y colecciones de información electrónica. La evaluación es un método práctico para evaluar la privacidad en los sistemas de información y colecciones, y una garantía documentada de que los problemas de privacidad se han identificado y abordado adecuadamente. El proceso está diseñado para guiar a los propietarios y desarrolladores de sistemas SEC en la evaluación de la privacidad durante las primeras etapas de desarrollo y durante todo el ciclo de vida del desarrollo de sistemas (SDLC), para determinar cómo su proyecto afectará la privacidad de las personas y si los objetivos del proyecto se pueden cumplir. al mismo tiempo que protege la privacidad. [3]
Europa
La Comisión Europea firmó su primer Marco para Evaluaciones de Impacto en la Privacidad en el contexto de la Tecnología RFID en 2011. [4] Esto sirvió como base para reconocer posteriormente las Evaluaciones de Impacto en la Privacidad en el Reglamento General de Protección de Datos (GDPR), que en algunos casos ahora exige evaluación de impacto de protección de datos (DPIA). Aparte de los nuevos sistemas y proyectos de TI, el enfoque de PIA tiene valor para revisiones o auditorías estructuradas y periódicas de los acuerdos de privacidad de una organización.
Proyecto PIAF
PIAF (Marco de evaluación del impacto de la privacidad para la protección de datos y los derechos de privacidad) es un proyecto cofinanciado por la Comisión Europea que tiene como objetivo alentar a la UE y sus Estados miembros a adoptar una política progresiva de evaluación del impacto de la privacidad como un medio para abordar las necesidades y desafíos relacionados con privacidad y al procesamiento de datos personales. [12]
Ver también
Referencias
- ^ "Código de práctica de la realización de evaluaciones de impacto en la privacidad" (PDF) . Oficina del Comisionado de Información . Febrero de 2014 . Consultado el 20 de julio de 2016 .
- ^ a b David Wright (14 de noviembre de 2012). "El estado del arte en la evaluación del impacto de la privacidad" (PDF) .
- ^ a b "Comisión de Bolsa y Valores de Estados Unidos" (PDF) .
- ^ a b c Comisión de la UE (12 de enero de 2011). "Marco de evaluación de impacto de protección de datos y privacidad para aplicaciones RFID" . Comisión Europea; Políticas, información y servicios; Leyes . Consultado el 22 de diciembre de 2019 .
- ^ Jackson, Janice; Hawkins, Donald; Callahan, Mary Ellen (26 de agosto de 2011). "Evaluación del impacto de la privacidad para el programa de verificación sistemática de derechos de extranjeros (SAVE)" (PDF) . Departamento de Seguridad Nacional de EE. UU . Consultado el 13 de mayo de 2016 .
- ^ Gaffin, Elizabeth; Teufel III, Hugo (1 de abril de 2007). "Evaluación del impacto de la privacidad para el sistema de información de verificación que respalda los programas de verificación" (PDF) . Departamento de Seguridad Nacional de EE. UU . Consultado el 13 de mayo de 2016 .
- ^ "Manual de evaluación del impacto en la privacidad" (PDF) . Consultado el 6 de enero de 2017 .
- ^ a b "Pautas de evaluación del impacto de la privacidad: un marco para gestionar las pautas de riesgos de la privacidad" . Gobierno de Canadá . Archivado desde el original el 13 de julio de 2016 . Consultado el 8 de julio de 2016 .
- ^ a b "GUÍA DE EVALUACIÓN DE IMPACTO EN LA PRIVACIDAD (PIA)" (PDF) . Comisión de Bolsa y Valores de EE. UU . Consultado el 8 de julio de 2016 .
- ^ Clarke, Roger. "Una historia de evaluaciones de impacto de privacidad" . Sitio web de Roger Clarke . Consultado el 8 de julio de 2016 .
- ^ Pearson, Tancock, Charlesworth, Siani, David, Andrew. "La aparición de las evaluaciones del impacto de la privacidad" (PDF) . HP . Consultado el 8 de julio de 2016 .CS1 maint: varios nombres: lista de autores ( enlace )
- ^ "PIAF" .