Se ha mejorado el Análisis de Riesgos existente ampliando el cuestionario e incluyendo preguntas de control, que permiten ver la Conformidad/ No conformidad, de acuerdo a la normativa vigente. Además de informar de la Obligatoriedad o No, de realizar una evaluación de impacto.
EVALUACIÓN DE IMPACTO
Permite evaluar de manera anticipada cuáles son los potenciales riesgos a los que están expuestos los datos personales en función de las actividades de tratamiento que se llevan a cabo con los mismos.
Desde la aplicación de protección de datos MsDatos para acceder a realizar o consultar el Informe se puede hacer desde el menú Informes – 3. Evaluación de Impacto:
O desde la barra de botones de acceso directo:
A continuación se indican las Instrucciones necesarias para realizar una Evaluación de Impacto. Tras acceder, aparece el mantenimiento de Evaluaciones, donde se pueden crear tantas
evaluaciones, por empresa, como el usuario necesite.
Para registrar una Evaluación de Impacto de Protección de Datos (EIPD), es necesario indicar la siguiente información:
- Nombre: Identificación de la Evaluación de Impacto.
- Fecha de Inicio: Fecha de inicio de realización de la EIPD.
- Fecha de Fin: Fecha de finalización de la EIPD. Al indicar una fecha de fin, la evaluación se entiende por cerrada y Bloquea la edición de la misma. Para modificarla, basta con eliminar la fecha de fin (creando una nueva versión de la Evaluación).
- Versión: Campo auto-numérico, que se incrementa en función del cierre de la Evaluación.
- Responsable: Se ha de asignar un responsable, que coincide con la persona que realiza dicha evaluación.
- Descripción del Proyecto: Descripción del proyecto a realizar.
Tras grabar estos datos iniciales, el sistema te propone comenzar con el asistente para cumplimentar la información que requiere dicha evaluación.
Si pulsamos SI, comienza el asistente. Si pulsamos No, vuelve a la pantalla principal del mantenimiento de la Evaluación. Una vez grabada, el usuario, puede acceder a completar el Asistente, en cualquier momento, desde el botón: ASISTENTE DE EVALUACIÓN.
ASISTENTE DE EVALUACIÓN
Para completar la información necesaria para realizar una Evaluación de Impacto de Protección de Datos, MsDatos ofrece un asistente para guiar a los usuarios:
En este asistente, se puede ver en todo momento:
• El proyecto en el que estamos trabajando
• La persona Responsable asignada
• Las diferentes partes en que se divide el proyecto, para que pueda navegar libremente
por él.
A continuación, se explican detalladamente cada uno de los apartados:
– PESTAÑA EQUIPO > EQUIPO DE EVALUACIÓN
A continuación se ha de incluir tanto el Personal Interno como a las Empresas Externas intervinientes en la EIPD. Uno de los puntos importantes es identificar a todas las personas que participan en el proceso de Evaluación y en qué modo.
Por esto, en este primer apartado, se identifica tanto Personal interno, como las empresas Externas.
Pulsar el botón + y seleccionar la persona/ empresa externa. Tras añadirla, se muestran las competencias que tiene, pero además hay que indicar la Responsabilidad, en este caso, indicar que tipo de figura es frente a la Evaluación, atendiendo a los siguientes criterios:
La matriz de la asignación de responsabilidades o RACI, (acrónimo formado por las iniciales de los tipos de responsabilidad), es un método utilizado en la gestión de proyectos para relacionar actividades con individuos o equipos de trabajo. RACI establece las siguientes figuras de responsabilidad:
– REALIZADOR [Responsible (R)]: Responsable de realizar la tarea.
– RESPONSABLE [Accountable (A)]: Responsable de que la tarea se realice, sin necesidad de ser
el que la ejecute y responsable de rendir cuentas sobre su ejecución.
– CONSULTADO [Consulted (C)]: Figura que debe ser consultada para la realización de la tarea.
– INFORMADO [Informed (I)]: Figura que debe ser informada sobre la realización de la tarea.
– PESTAÑA NECESIDAD > ANALISIS DE NECESIDAD DE EVALUACIÓN
Seleccionar los criterios por los que se hace necesaria la creación de una EIPD para la empresa. En el proceso de creación de la Evaluación de Impacto, es necesario estar debidamente motivada. La EIPD, se basa en la necesidad, según nos indica un Análisis de Riesgos inicial.
Por ello, en el apartado de Necesidad, seleccionamos el Análisis de riesgos, realizado previamente. Para completar la motivación de la necesidad de realizar una EIPD, se muestra un cuestionario de seis apartados, con sencillas preguntas a responder con texto o si/no.
PESTAÑA FICHEROS > DESCRIPCIÓN DETALLADA
Identificación de los ficheros y sus detalles de tratamiento. Todo proyecto, debe quedar descrito y fundamentado. En este caso, la Evaluación se realiza en
función de los tratamientos de la empresa, reflejados en los ficheros descritos en el sistema.
Esta pantalla informará entre otras cosas de los tratamientos de la empresa y el riego de los datos contenidos.
PESTAÑA CONSULTAS > RESULTADO DEL PROCESO DE CONSULTA
Como muestra de transparencia del tratamiento, a continuación se muestran los resultados de las consultas realizadas. Es necesario tener presente la opinión, perspectiva, información, …, de las personas que intervienen en el ciclo de vida de los datos, tanto como propietarios de los mismos, como por el tratamiento que hacen de ellos.
Por ello, hay que realizar consultas, tanto a nuestro personal, empresas externas, como a los propios interesados, sobre la visión que tienen respecto al tratamiento de los datos. Este control se puede hacer mediante diferentes métodos, como cuestionarios, formularios, reuniones, etc.
Pulsar el botón + para incluir:
• Persona/ Empresa consultada.
• Ámbito (externo o interno a la organización).
• Fecha de la consulta.
• El método utilizado (campo de selección de los posibles métodos utilizados).
• Documentación adjunta (a través de MsArchivo, se debe adjuntar la documentación
utilizada en la consulta).
• Descripción de la documentación. donde se indican los detalles de la consulta, método, etc.
PESTAÑA RIESGOS > IDENTIFICACIÓN Y GESTIÓN DE RIESGOS
Identificación de los riesgos existentes en la empresa, derivados del tratamiento de los datos. Se deben identificar los riesgos específicos existentes en la empresa, para que se puedan aplicar las medidas correctoras necesarias.
Se crea un cuestionario específico, para poder identificar los riesgos existentes en el tratamiento y sus medidas correctoras.
Este cuestionario, se divide en 10 categorías. Por cada pregunta, en la parte inferior, obtenemos la siguiente información:
• Si causa o no Riesgo.
• El riesgo que causa.
• La medida correctora a aplicar.
• La Gravedad del Riego.
• La Probabilidad (de que ocurra).
• La valoración (calculada en función de la gravedad y la probabilidad).
PESTAÑA RECOMENDACIONES > RECOMENDACIONES DEL EQUIPO AUDITOR
A continuación, el equipo auditor, tiene la posibilidad de incluir todas aquellas medidas mitigantes para mejorar la seguridad de los datos en la empresa. Como complemento al cuestionario anterior, el Equipo Auditor (identificado anteriormente), puede y debe proponer medidas adicionales para un correcto y seguro tratamiento de los datos.
Para añadir una recomendación del equipo auditor, pulsar el botón + , e indicar la siguiente información:
• Categoría, según la fase del tratamiento, en la que se clasifica la medida.
• Descripción detallada de la medida propuesta.
• Auditor que la propone
• Ámbito del auditor (dato completado automáticamente).
PESTAÑA PLAN DE ACCIÓN > PLAN DE ACCIÓN Y REVISIÓN IMPLANTACIÓN
Gestión y control de las medidas mitigantes a implantar en la empresa. En esta pantalla se muestran todas las medidas a aplicar por la empresa, resultante en la EIPD,
tanto por el cuestionario, como las propuestas por el equipo auditor.
Se establece un Plan de Acción para controlar las medidas a implantar y para revisar su implantación. Por ello, se debe establecer por cada una Fecha Prevista y una Fecha de Implantación. Para establecer las fechas, pulsar el botón (editar):
• Responsable: Indicar la persona responsable de implantar la medida.
• Fecha Prevista: Indicar la fecha límite en la que se presupone va a estar implantada la media.
• Fecha Implantada: Fecha real de cuando se implanta la medida.
• Estado: Este campo va en función de la fecha de implantación. Si no tiene fecha, está enestado Pendiente. En caso de completar fecha de implantación, se cambia a
Implantada.
PESTAÑA INFORMES > EMISIÓN DE INFORMES
Emisión de los Informes de la Evaluación de Impacto, tanto el privado como el público. Control de los registros del informe privado.
En este apartado se emiten los informes necesarios, tras la cumplimentación de todos los apartados de la Evaluación. Esta documentación tiene que estar disponible para la empresa, como manual de funcionamiento en materia de Protección de Datos.
Están disponibles los siguientes Informes:
• Informe de Evaluación: Informe final de la Evaluación de Impacto. Siguiendo los criterios de documentación de calidad, en este informe se indica toda la literatura legal en la que se basa este procedimiento, la normativa que cumple y para una mejor gestión, los formatos en los que reflejará la información variable que ha de contener.
Para generar un informe, pulsar su botón y se emite el documento en Word. Este informe se adjunta automáticamente en el Agente MsArchivo.
