Evaluación de impacto de privacidad (PIA)
¿Qué es Evaluación de impacto de privacidad (PIA)?
Evaluación de impacto de privacidad (PIA)Proceso estructurado para identificar, evaluar y mitigar los riesgos de privacidad de un sistema, proyecto o tratamiento antes de su puesta en marcha.
Una evaluación de impacto de privacidad (PIA), denominada evaluación de impacto en la protección de datos (DPIA) en el artículo 35 del RGPD, es una valoración documentada de cómo un tratamiento afecta a los derechos y libertades de las personas. Cartografía flujos de datos, bases jurídicas, categorías de interesados, retención, destinatarios, transferencias, controles de seguridad y riesgos residuales, e implica consulta al DPD y a partes interesadas. La DPIA es obligatoria para monitorización a gran escala, datos sensibles, decisiones automatizadas con efectos significativos y otros tratamientos de alto riesgo identificados por las autoridades. Metodologías como las guías PIA de la CNIL, la plantilla del ICO, el catálogo de riesgos de ENISA y NIST IR 8062 facilitan análisis reproducibles. El resultado guía cambios de diseño, mitigaciones, consulta previa y seguimiento continuo.
● Ejemplos
- 01
Realizar una DPIA antes de desplegar reconocimiento facial en las entradas de la oficina.
- 02
Actualizar una PIA al añadir un nuevo encargado de tratamiento a una plataforma de soporte.
● Preguntas frecuentes
¿Qué es Evaluación de impacto de privacidad (PIA)?
Proceso estructurado para identificar, evaluar y mitigar los riesgos de privacidad de un sistema, proyecto o tratamiento antes de su puesta en marcha. Pertenece a la categoría de Privacidad y protección de datos en ciberseguridad.
¿Qué significa Evaluación de impacto de privacidad (PIA)?
Proceso estructurado para identificar, evaluar y mitigar los riesgos de privacidad de un sistema, proyecto o tratamiento antes de su puesta en marcha.
¿Cómo funciona Evaluación de impacto de privacidad (PIA)?
Una evaluación de impacto de privacidad (PIA), denominada evaluación de impacto en la protección de datos (DPIA) en el artículo 35 del RGPD, es una valoración documentada de cómo un tratamiento afecta a los derechos y libertades de las personas. Cartografía flujos de datos, bases jurídicas, categorías de interesados, retención, destinatarios, transferencias, controles de seguridad y riesgos residuales, e implica consulta al DPD y a partes interesadas. La DPIA es obligatoria para monitorización a gran escala, datos sensibles, decisiones automatizadas con efectos significativos y otros tratamientos de alto riesgo identificados por las autoridades. Metodologías como las guías PIA de la CNIL, la plantilla del ICO, el catálogo de riesgos de ENISA y NIST IR 8062 facilitan análisis reproducibles. El resultado guía cambios de diseño, mitigaciones, consulta previa y seguimiento continuo.
¿Cómo defenderse de Evaluación de impacto de privacidad (PIA)?
Las defensas contra Evaluación de impacto de privacidad (PIA) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Evaluación de impacto de privacidad (PIA)?
Nombres alternativos comunes: DPIA, Evaluación de impacto en la protección de datos.
● Términos relacionados
- privacy№ 856
Privacidad desde el diseño
Enfoque de ingeniería y gobierno que integra la privacidad en sistemas, procesos y configuraciones por defecto desde las primeras fases de diseño, en lugar de añadirla más tarde.
- privacy№ 276
Clasificación de datos
Proceso de etiquetar la información según su sensibilidad y valor para aplicar de forma coherente los controles de protección, tratamiento y retención adecuados.
- privacy№ 280
Minimización de datos
Principio de privacidad que obliga a recoger, tratar y conservar únicamente los datos personales estrictamente necesarios para una finalidad legítima definida.
- privacy№ 278
Prevención de Pérdida de Datos (DLP)
Conjunto de tecnologías y políticas que detectan y bloquean la exfiltración no autorizada de datos sensibles en endpoints, redes, correo y servicios en la nube.
- compliance№ 440
RGPD
Reglamento General de Protección de Datos de la Unión Europea que regula el tratamiento de datos personales de personas en la UE y el EEE.
- privacy№ 210
Gestión del consentimiento
Procesos y herramientas que recopilan, registran, refrescan y aplican los permisos del usuario para tratar datos personales y emplear cookies conforme a la normativa de privacidad.
● Véase también
- № 228CPRA