INFORME DE EVALUACIÓN DE IMPACTO EN MATERIA DE PROTECCIÓN DE DATOS ADAPTADO AL RGPD
Vanessa MorochoInforme11 de Enero de 2020
1.959 Palabras (8 Páginas)380 Visitas
Actividades[pic 1]
Trabajo: Elaboración de una evaluación de impacto de datos personales (EIPD)
INFORME DE EVALUACIÓN DE IMPACTO EN MATERIA DE PROTECCIÓN DE DATOS
ADAPTADO AL RGPD
14 de diciembre de 2019
Índice
Pulsar el botón derecho del ratón encima de esta línea y seleccionar "Actualizar campos" si desea ver el índice de contenidos
1. Identificación del Proyecto
RESPONSABLE DEL TRATAMIENTO |
Clinica Dental-Vanessa Morocho |
TÍTULO DE PROYECTO DE EIPD |
Evaluación de Impacto para los datos de pacientes de la Clínica Dental Vanessa Morocho |
NÚMERO DE REGISTRO DE EIPD |
001 |
FECHA EIPD |
14 de diciembre de 2019 - 31 de enero de 2020 |
2. Análisis del motivo por el que se realiza la EIPD
LOS SIGUIENTES TRATAMIENTOS ESTÁN OBLIGADOS A REALIZAR LA EIPD |
- Data-Clientes-Clinica Vane |
3. Flujos de Datos Personales 14-12-2019
A continuación se muestra la información relativa a las siguientes categorías de actividades de tratamiento, llevadas a cabo por parte de Clinica Dental-Vanessa Morocho conforme a lo dispuesto en el artículo 30 RGPD.
3.1. Tratamiento - Data-Clientes-Clinica Vane
FICHEROS CON DATOS ASOCIADOS |
Data-clinica vane |
ARCHIVOS AUTOMATIZADOS |
Bbdd gestión de clientes, contable, fiscal y administrativa Bbdd publicidad y prospección comercial Bbdd historial clínico |
Encargado del Tratamiento |
No problem s. l. |
CATEGORÍAS DE DATOS PERSONALES |
CATEGORÍAS DE DATOS DE CARÁCTER IDENTIFICATIVO NIF/DNI Nombre y Apellidos Teléfono Imagen / Voz CATEGORÍAS ESPECIALES DE DATOS Origen racial o étnico Datos genéticos Datos relativos a la salud CATEGORÍAS DE DATOS DE MENORES Datos en relación con los servicios de la sociedad de la información de menores de 16 años Otros datos de menores de 13 años |
ORIGEN DE LOS DATOS |
El propio interesado o su representante legal |
COLECTIVOS O CATEGORIAS DE INTERESADOS |
Pacientes |
CATEGORIAS DE DESTINATARIOS DE CESIONES |
Fuerzas y cuerpos de seguridad: Policía |
FINALIDADES |
La finalidad del tratamiento será el almacenamiento y manejo de datos personales de pacientes de la Clínica Dental Vanessa Morocho con la finalidad de gestionar la historia clínica de sus pacientes, agendamiento de citas médicas y promociones de nuevos tratamientos odontológicos. Datos que serán almacenados en la nube SaaS. |
INTERESADOS OBJETO DEL TRATAMIENTO |
El número de afectados es de 0 a 10.000 |
EXTENSIÓN GEOGRÁFICA DEL TRATAMIENTO |
Regional |
BASE LEGITIMADORA |
Consentimiento del interesado Ejecución de un contrato en que el interesado es parte Cumplimiento de una obligación legal Protección de los intereses vitales del interesado Interés legítimo del Responsable del tratamiento o de un tercero Se presta un servicio como encargado de tratamiento |
4. Plan de proyecto
Las fases que se han seguido han sido las siguientes:
1. Definición de alcance y planificación
2. Preparación
3. Necesidad y proporcionalidad
4. Gestión de riesgos:
4.1.Apreciación de riesgos
4.2.Identificación de riesgos
4.3.Análisis de riesgos
4.4.Evaluación de riesgos
5.Consultas
6. Tratamiento del riesgo
7. Emisión de informe
5. Metodología
5.1. Requisitos de la Metodología
Toda metodología de gestión de riesgos debe cumplir los siguientes requisitos:
Metódica | No deje lugar a la improvisación. |
Objetiva | El método utilizado debe ser objetivo y no depender de la arbitrariedad. |
Repetible | Debe permitir conseguir resultados repetibles en el tiempo. |
Documentada | Toda modificación, concreción o criterio adoptado respecto de la presente metodología deberá registrarse en este documento al objeto de que cualquier persona autorizada pueda consultarla y continuarla. |
Por tanto los riesgos que inicialmente están por encima de dicho nivel y deben ser tratados son los que se listan a continuación:
5.2. Tipo de Metodología
Para la elaboración de la presente metodología se ha considerado lo establecido en la "ISO 31000:2009 Gestión del Riesgo- Principios y Directrices".
Se han seguido las siguientes fases:
1. Apreciación del riesgo, lo que incluye:
a) Identificación de riesgos.
b) Análisis de riesgos.
c) Evaluación de riesgos.
2. Tratamiento de los riesgos.
5.3. Análisis de los Escenarios de Riesgo
Una vez determinado los diferentes escenarios de riesgo, hay que estimar cuán vulnerable es el tratamiento de datos, en dos sentidos:
- Frecuencia: Cada cuánto se materializa el escenario del riesgo.
- Impacto: Supuesta la materialización del escenario del riesgo, estimación del daño o perjuicio que ocasionará.
5.3.1. Criterio de valoración de la frecuencia de materialización de una amenaza
La frecuencia pone en perspectiva la degradación, pues una amenaza puede ser de terribles consecuencias pero de muy improbable materialización; mientras que otra amenaza puede ser de muy bajas consecuencias, pero tan frecuente como para acabar acumulando un daño considerable.
Se valora la frecuencia de materialización de una amenaza en base a la siguiente escala y criterio con la correspondiente equivalencia:
NOMBRE | DESCRIPCIÓN |
>= 1 vez cada 100 años | Se produce al menos una vez cada 100 años |
>= 1 vez cada 10 años | Se produce al menos una vez cada 10 años |
>= 1 vez al año | Se produce al menos una vez al año |
>= 10 veces al año | Se produce al menos 10 veces al año |
>= 100 veces al año | Se produce al menos 100 veces al año |
5.4. Criterios de impacto
Concepto. El impacto mide (o estima) el daño causado por un escenario del riesgo en el supuesto de que ocurriera.
Valoración. Al respecto se valora el impacto en un tratamiento caso de verse afectado por escenario de riesgo en base a la siguiente escala (por defecto) y criterio:
...