Evaluación del impacto sobre la privacidad

Una evaluación de impacto de la privacidad ( PIA ) es un proceso que ayuda a las organizaciones a identificar y gestionar los riesgos de privacidad que surgen de nuevos proyectos, iniciativas, sistemas, procesos, estrategias, políticas, relaciones comerciales, etc. ^[1] Beneficia a varias partes interesadas, incluida la propia organización y los clientes, de muchas maneras. ^[2] En los Estados Unidos y Europa, se han emitido políticas para ordenar y estandarizar las evaluaciones de impacto de la privacidad. ^{[3] [4]}

Descripción general

Una evaluación de impacto sobre la privacidad es un tipo de evaluación de impacto que lleva a cabo una organización (normalmente, una agencia gubernamental o corporación con acceso a una gran cantidad de datos privados y sensibles sobre personas que se encuentran en su sistema o que circulan a través de él). La organización revisa sus propios procesos para determinar cómo estos procesos afectan o pueden comprometer la privacidad de las personas cuyos datos conserva, recopila o procesa. Varias subagencias del Departamento de Seguridad Nacional de los Estados Unidos (DHS) han llevado a cabo evaluaciones de impacto sobre la privacidad ^{[5] [6]} y se han estandarizado los métodos para llevarlas a cabo [ ^{4] .}

Un PIA generalmente está diseñado para lograr tres objetivos principales:

1. Garantizar el cumplimiento de los requisitos legales, reglamentarios y de políticas aplicables en materia de privacidad.
2. Identificar y evaluar los riesgos de violaciones de privacidad u otros incidentes y efectos.
3. Identificar controles de privacidad adecuados para mitigar riesgos inaceptables.

Un informe de impacto sobre la privacidad busca identificar y registrar los componentes esenciales de cualquier sistema propuesto que contenga cantidades significativas de información personal y establecer cómo se pueden gestionar los riesgos de privacidad asociados con ese sistema. ^[7] Un informe de impacto sobre la privacidad a veces irá más allá de una evaluación de un "sistema" y considerará los efectos "posteriores" críticos sobre las personas que se ven afectadas de alguna manera por la propuesta. ^[8]

Objetivo

Dado que la PIA se refiere a la capacidad de una organización para mantener segura la información privada, la PIA debe completarse siempre que dicha organización esté en posesión de información personal sobre sus empleados, clientes, consumidores y contactos comerciales, etc. Aunque las definiciones legales varían, la información personal generalmente incluye: nombre, edad, número de teléfono, dirección de correo electrónico, sexo e información de salud de una persona. Una PIA también debe realizarse siempre que la organización posea información que sea sensible, o si los sistemas de control de seguridad que protegen la información privada o sensible están experimentando cambios que podrían conducir a incidentes de privacidad. ^{[9] [10]}

Beneficios

Según una presentación en el Congreso de la Asociación Internacional de Profesionales de la Privacidad , una PIA tiene los siguientes beneficios: ^[2]

• Proporciona un sistema de alerta temprana : una forma de detectar problemas de privacidad, crear salvaguardas antes, no después, de grandes inversiones, y solucionar los problemas de privacidad más temprano que tarde.
• Evita errores de privacidad costosos o embarazosos
• Proporciona evidencia de que una organización intentó prevenir riesgos de privacidad (reducir la responsabilidad, la publicidad negativa, el daño a la reputación)
• Mejora la toma de decisiones informada
• Ayuda a la organización a ganarse la confianza del público.
• Demuestra a los empleados, contratistas, clientes y ciudadanos que la organización se toma en serio la privacidad.

Implementación

Los PIA implican un proceso simple: ^{[9] [10]}

1. Inicio del proyecto: definir el alcance del proceso de evaluación de impacto ambiental (que varía según la organización y el proyecto). Si el proyecto se encuentra en sus primeras etapas, la organización puede optar por realizar una evaluación de impacto ambiental preliminar y luego completar una evaluación de impacto ambiental completa una vez que esté completamente en marcha.
2. Análisis del flujo de datos: trazar un mapa de cómo el proceso comercial propuesto maneja la información personal , identificar grupos de información personal y crear un diagrama de cómo la información personal fluye a través de la organización como resultado de las actividades comerciales en cuestión.
3. Análisis de privacidad: el personal involucrado en el movimiento de información personal puede completar cuestionarios de análisis de privacidad, seguidos de revisiones, entrevistas y discusiones sobre los problemas de privacidad y sus implicaciones.
4. Informe de evaluación del impacto de la privacidad: se documentan los riesgos de privacidad y las posibles implicaciones, así como un análisis de los posibles esfuerzos que podrían realizarse para mitigar o remediar los riesgos.

Historia

En la década de 1970, la Oficina de Evaluación de Tecnología de los Estados Unidos creó la Evaluación de Tecnología (TA) . La TA se utilizaba para determinar las repercusiones sociales y sociales de las nuevas tecnologías. De manera similar, en esta época surgieron las Evaluaciones de Impacto Ambiental (EIA), una reacción al impulso social de los movimientos verdes de los años sesenta . El método de ambas evaluaciones de impacto actuó como precursor de la creación de la PIA. La Declaración de Impacto de Privacidad fue una versión mucho menos extensa de la PIA que surgió a fines de los años ochenta. Durante la década de 1990, surgió la necesidad de medir la efectividad de la seguridad de los datos de una empresa u organización, especialmente porque la mayoría de los datos ahora se almacenan en computadoras u otras plataformas electrónicas. Las PIA más extensas comenzaron a ser utilizadas con mayor frecuencia por corporaciones y gobiernos a mediados de la década de 1990, y ahora las utilizan organizaciones de todo el mundo y varios gobiernos, incluidos Nueva Zelanda , Canadá , Australia y el Departamento de Seguridad Nacional de los Estados Unidos para evaluar el riesgo de privacidad de sus sistemas. Además, varios otros países y corporaciones utilizan sistemas de evaluación similares a los PIA para el análisis de riesgos de datos. ^{[11] [12]}

PIA en todo el mundo

Estados Unidos

La Ley de Gobierno Electrónico de 2002 , Sección 208, establece el requisito de que las agencias realicen evaluaciones de impacto de privacidad (PIAs, por sus siglas en inglés) para los sistemas y colecciones de información electrónica. La evaluación es un método práctico para evaluar la privacidad en los sistemas y colecciones de información, y una garantía documentada de que se han identificado y abordado adecuadamente los problemas de privacidad. El proceso está diseñado para guiar a los propietarios y desarrolladores de sistemas de la SEC en la evaluación de la privacidad durante las primeras etapas del desarrollo y durante todo el ciclo de vida del desarrollo de sistemas (SDLC, por sus siglas en inglés), para determinar cómo afectará su proyecto a la privacidad de las personas y si se pueden cumplir los objetivos del proyecto al mismo tiempo que se protege la privacidad. ^[3]

Europa

La Comisión Europea firmó su primer Marco para Evaluaciones de Impacto de Privacidad en el contexto de la Tecnología RFID en 2011. ^[4] Esto sirvió como base para reconocer posteriormente las Evaluaciones de Impacto de Privacidad en el Reglamento General de Protección de Datos (RGPD), que en algunos casos ahora exige la evaluación de impacto de protección de datos (EIPD). Además de los nuevos sistemas y proyectos de TI, el enfoque de EIP tiene valor para las revisiones o auditorías periódicas y estructuradas de las disposiciones de privacidad de una organización.

Proyecto PIAF

PIAF (A Privacy Impact Assessment Framework for data protection and privacy rights) es un proyecto cofinanciado por la Comisión Europea que tiene como objetivo alentar a la UE y a sus Estados miembros a adoptar una política progresiva de evaluación del impacto sobre la privacidad como medio para abordar las necesidades y los desafíos relacionados con la privacidad y el procesamiento de datos personales. ^[13]

Véase también

• Vigilancia global
  • Vigilancia masiva
• Los derechos humanos en el ciberespacio
• Evaluación de impacto
  • Evaluación de impacto ambiental
  • Evaluación de tecnología
• Ética de la información
• Privacidad de la información
• Prueba de penetración

Referencias

1. "Código de prácticas para la realización de evaluaciones de impacto sobre la privacidad" (PDF) . Oficina del Comisionado de Información . Febrero de 2014 . Consultado el 20 de julio de 2016 .
2. David Wright (14 de noviembre de 2012). "El estado del arte en la evaluación del impacto sobre la privacidad" (PDF) .
3. "Comisión de Bolsa y Valores de Estados Unidos" (PDF) .
4. Comisión Europea (12 de enero de 2011). «Marco de evaluación del impacto de la privacidad y la protección de datos para aplicaciones RFID». Comisión Europea; Políticas, información y servicios; Leyes . Consultado el 22 de diciembre de 2019 .
5. Jackson, Janice; Hawkins, Donald; Callahan, Mary Ellen (26 de agosto de 2011). "Evaluación del impacto de la privacidad para el programa de verificación sistemática de derechos de extranjeros (SAVE)" (PDF) . Departamento de Seguridad Nacional de los Estados Unidos . Consultado el 13 de mayo de 2016 .
6. Gaffin, Elizabeth; Teufel III, Hugo (1 de abril de 2007). "Evaluación del impacto de la privacidad para el sistema de información de verificación que respalda los programas de verificación" (PDF) . Departamento de Seguridad Nacional de los Estados Unidos . Consultado el 13 de mayo de 2016 .
7. "Evaluación del impacto de la privacidad: una herramienta esencial para la protección de datos". ASPE . Consultado el 14 de agosto de 2023 .
8. "Manual de evaluación del impacto de la privacidad" (PDF) . Consultado el 6 de enero de 2017 .
9. "Privacy Impact Assessment Guidelines: A Framework to Manage Privacy Risks Guidelines" (Directrices para la evaluación del impacto de la privacidad: un marco para gestionar los riesgos de la privacidad). Gobierno de Canadá . Archivado desde el original el 13 de julio de 2016. Consultado el 8 de julio de 2016 .
10. "GUÍA DE EVALUACIÓN DEL IMPACTO SOBRE LA PRIVACIDAD (PIA)" (PDF) . Comisión de Bolsa y Valores de Estados Unidos . Consultado el 8 de julio de 2016 .
11. Clarke, Roger. "Una historia de las evaluaciones del impacto de la privacidad". Sitio web de Roger Clarke . Consultado el 8 de julio de 2016 .
12. Pearson, Tancock, Charlesworth, Siani, David, Andrew. "El surgimiento de las evaluaciones de impacto de la privacidad" (PDF) . HP . Consultado el 8 de julio de 2016 .{{cite web}}: CS1 maint: varios nombres: lista de autores ( enlace )
13. "PIAF".