Asignatura Datos del alumno Fecha

Apellidos: Martn Qulez

Aspectos legales y
23/12/2015
regulatorios
Nombre: Alvaro

Actividades

Trabajo: Elaboracin de una PIA (Privacy Impact Assessment o

evaluacin de impacto de datos personales)

El trabajo consiste en la elaboracin de una PIA. Para ello hay que tener en cuenta lo
siguiente:

1. Hay que partir del siguiente supuesto de hecho:

Una clnica dental situada en Espaa utiliza determinado software de gestin de

pacientes instalado en modo local. La empresa SW SYSTEMS S.L es la proveedora del
mismo y a la vez la encargada de efectuar su mantenimiento.

El propietario de la clnica ha decidido cambiar dicho software por el de la empresa NO

PROBLEM S.L. que adems se entrega en modo Software como Servicio (SaaS),
proporcionando ella misma el alojamiento cloud para los datos, siendo la sede fsica del
alojamiento de stos un CPD que se encuentra en Espaa. La denominacin social NO
PROBLEM S.L. est registrada tambin en Espaa.

2. Debe emitirse un informe final:

A partir de la PIA y utilizando como base la Gua para una Evaluacin de Impacto en
la Proteccin de Datos de la AEPD que se indica en el apartado recursos, emitir un
informe final.

Recursos para consulta:

http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/G
uias/Guia_EIPD.pdf
https://youtu.be/HKHx3osckwM

TEMA 3 Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martn Qulez
Aspectos legales y
23/12/2015
regulatorios
Nombre: Alvaro

Evaluacin de Impacto en la Proteccin de Datos

Identificacin del proyecto
Cdigo
PIA-DENTAL-001

Descripcin
Evaluacin del Impacto de Privacidad en el proyecto de migracin del servicio de
gestin de pacientes de la empresa SW SYSTEMS S.L a la empresa NO PROBLEM S.L.

Responsable del proyecto y datos de contacto

Data Protection Officer Alvaro Martn Qulez
Correo electrnico: amquilez@gmail.com
Telfono de contacto: 654136409

Fecha del informe

23/12/2015

Versin del informe

1.0

Resumen ejecutivo
Descripcin sucinta del proyecto
Migracin del servicio de gestin de pacientes instalado en modo local, provisto y
mantenido por la empresa SW SYSTEMS S.L a un servicio proporcionado en modo
Software como Servicio con alojamiento de los datos en la nube por la empresa NO
PROBLEM S.L.

Principales riesgos identificativos

Los principales riesgos identificativos tienen que ver con el tratamiento de datos
personales de carcter mdico, la integridad y confidencialidad de los mismos y la
existencia de medidas de seguridad adecuadas para el acceso a los mismos.

Resumen de las medidas ms importantes de mitigacin de propuestas

TEMA 3 Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martn Qulez
Aspectos legales y
23/12/2015
regulatorios
Nombre: Alvaro

Formacin adecuada en materia de proteccin de datos para evitar el riesgo.

Anlisis y desarrollo correcto de la nueva aplicacin para mitigar el riesgo en la
integridad y confidencialidad.
Implementacin de medidas de seguridad adecuadas para mitigar el riesgo en el acceso.

Anlisis de necesidad de la Evaluacin

Resultado del anlisis
El proceso de migracin de la aplicacin se debe realizar siguiendo la normativa
espaola sobre proteccin de datos personales, persiguiendo la confidencialidad e
integridad de los datos en la aplicacin final y con las medidas de seguridad necesarias
para la gestin del control de accesos a los datos personales.

Motivacin de la necesidad de la realizacin de la EIPD

Es necesaria la realizacin de la EIPD puesto que estamos trabajando con datos
personales de carcter mdico y segn la legislacin espaola de la Ley Orgnica de
Proteccin de Datos necesitaremos el consentimiento expreso de los interesados para
tratar esos datos.

Descripcin detallada del proyecto

Descripcin detallada de los flujos de datos personales
Los datos personales existentes sern suministrados por parte de SW SYSTEMS S.L. a
NO PROBLEM S.L.
Una vez la nueva aplicacin est en marcha NO PROBLEM S.L. ser la encargada del
tratamiento de los nuevos datos personales que se puedan generar.

Resultado del proceso de consultas

Identificacin de las partes interesadas (internas y externas) o a las que afecta
el proyecto
Internas: Data Protection Officer
Externas: SW SYSTEMS S.L. y NO PROBLEM S.L.

Contribuciones de las partes consultadas (se pueden incluir como anexos al

informe)

TEMA 3 Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martn Qulez
Aspectos legales y
23/12/2015
regulatorios
Nombre: Alvaro

SW SYSTEMS S.L. proporcionar los datos existentes en la Base de Datos de pacientes

a NO PROBLEM S.L. al finalizar la migracin del sistema, eliminando esos datos
cuando la nueva aplicacin sea operativa.

Resumen de los riesgos ms importantes puestos de manifiesto en la consulta

Comprobar la integridad de los datos proporcionados por parte de SW SYSTEMS S.L.

Identificacin y gestin de riesgos

Identificacin detallada de riesgos
1. Incumplimiento de la legislacin sobre proteccin de datos personales.
2. Carencia de medidas de seguridad adecuadas o ineficacia de las mismas en
relacin al tratamiento de los datos personales.
3. Tratar datos especialmente protegidos sin adoptar las salvaguardias necesarias
por parte de NO PROBLEM S.L.
4. Utilizar mecanismos de rastreo sin obtener un consentimiento vlido tras una
informacin adecuada por parte de NO PROBLEM S.L.
5. Utilizacin de los datos personales para finalidades incompatibles con las
declaradas por parte de NO PROBLEM S.L.
6. Accesos no autorizados a datos personales por parte de NO PROBLEM S.L.
7. Violacin de la confidencialidad de los datos personales por parte de empleados
de NO PROBLEM S.L.
8. Inexistencia de mecanismos para ejercitar los derechos ARCO por parte de NO
PROBLEM S.L.
9. Inexistencia de poltica de Seguridad o Responsable de Seguridad por parte de
NO PROBLEM S.L.
10. Deficiencias organizativas o tcnicas en la gestin del control de accesos por
parte de NO PROBLEM S.L.
11. Deficiencias en la proteccin de la confidencialidad de la informacin por parte
de NO PROBLEM S.L.

Impacto y probabilidad de cada riesgo identificado

1. Existe una gran probabilidad de sufrir prdidas econmicas y daos
reputacionales al incumplir la legislacin sobre proteccin de datos personales.

TEMA 3 Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martn Qulez
Aspectos legales y
23/12/2015
regulatorios
Nombre: Alvaro

2. Existe una gran probabilidad de sufrir prdidas econmicas, prdida de clientes

y daos reputacionales derivados de la carencia de medidas de seguridad
adecuadas o ineficacia de las mismas en relacin al tratamiento de los datos
personales, sobre todo cuando se produce prdida de los datos personales.
3. Baja probabilidad al tratar datos especialmente protegidos sin adoptar las
salvaguardias necesarias por parte de NO PROBLEM S.L.
4. Probabilidad mediana de utilizar mecanismos de rastreo sin obtener un
consentimiento vlido tras una informacin adecuada por parte de NO
PROBLEM S.L.
5. Probabilidad mediana de utilizacin de los datos personales para finalidades
incompatibles con las declaradas por parte de NO PROBLEM S.L.
6. Probabilidad baja de accesos no autorizados a datos personales por parte de NO
PROBLEM S.L.
7. Probabilidad baja de violacin de la confidencialidad de los datos personales
por parte de empleados de NO PROBLEM S.L.
8. Probabilidad baja de inexistencia de mecanismos para ejercitar los derechos
ARCO por parte de NO PROBLEM S.L.
9. Probabilidad baja de inexistencia de poltica de Seguridad o Responsable de
Seguridad por parte de NO PROBLEM S.L.
10. Probabilidad baja de deficiencias organizativas o tcnicas en la gestin del
control de accesos por parte de NO PROBLEM S.L.
11. Probabilidad baja de deficiencias en la proteccin de la confidencialidad de la
informacin por parte de NO PROBLEM S.L.

Gestin de los riesgos: decisin adoptada para cada riesgo, objetivos de

control, controles y medidas propuestas
1. Incumplimiento de la legislacin sobre proteccin de datos personales, realizar
una formacin adecuada del personal sobre proteccin de datos para mitigar el
riesgo con una comunicacin clara de las responsabilidades del personal y de las
sanciones aparejadas.
2. Carencia de medidas de seguridad adecuadas o ineficacia de las mismas en
relacin al tratamiento de los datos personales, realizar una formacin
adecuada del personal sobre seguridad y uso adecuado de las TIC para mitigar

TEMA 3 Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martn Qulez
Aspectos legales y
23/12/2015
regulatorios
Nombre: Alvaro

el riesgo con una comunicacin clara de las responsabilidades del personal y de

las sanciones aparejadas.
3. Tratar datos especialmente protegidos sin adoptar las salvaguardias necesarias
por parte de NO PROBLEM S.L., verificar que el tratamiento de los datos se
hace amparado por el consentimiento existente de los interesados para evitar el
riesgo.
4. Utilizar mecanismos de rastreo sin obtener un consentimiento vlido tras una
informacin adecuada por parte de NO PROBLEM S.L., comprobar que se evita
el uso de mecanismos de rastreo para evitar el riesgo y en caso de que se utilicen
comprobar que se informa con transparencia y se respetan las preferencias
establecidas por los afectados en sus navegadores para mitigarlo.
5. Utilizacin de los datos personales para finalidades incompatibles con las
declaradas por parte de NO PROBLEM S.L., comprobar la informacin sobre las
finalidades de los datos, los criterios utilizados y las medidas implantadas para
lograr el equilibrio entre el inters del responsable y los derechos de los
afectados para evitar el riesgo.
6. Accesos no autorizados a datos personales por parte de NO PROBLEM S.L.,
comprobar que se establecen los mecanismos y procedimientos adecuados
sobre la obligacin de guardar secreto sobre los datos personales conocidos en
el ejercicio de las funciones profesionales comunicando las posibles sanciones
econmicas y/o penales para transferir el riesgo.
7. Violacin de la confidencialidad de los datos personales por parte de empleados
de NO PROBLEM S.L., realizar una formacin adecuada del personal sobre sus
obligaciones y responsabilidades respecto a la confidencialidad de la
informacin estableciendo sanciones disuasorias para transferir el riesgo.
8. Inexistencia de mecanismos para ejercitar los derechos ARCO por parte de NO
PROBLEM S.L., definicin de procedimientos de gestin y puesta en marcha de
herramientas que garanticen el conocimiento sobre cmo actuar ante la
ejercitacin de los derechos ARCO y la formacin por parte de los empleados
encargados para transferir el riesgo.
9. Inexistencia de poltica de Seguridad o Responsable de Seguridad por parte de
NO PROBLEM S.L., comprobacin de la existencia de poltica de Seguridad o
Responsable de Seguridad y su nombramiento en caso contrario para evitar el
riesgo.

TEMA 3 Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martn Qulez
Aspectos legales y
23/12/2015
regulatorios
Nombre: Alvaro

10. Deficiencias organizativas o tcnicas en la gestin del control de accesos por

parte de NO PROBLEM S.L., establecimiento de polticas estrictas de concesin
de permisos, procedimientos de adecuados de revocacin de los mismos cuando
no sean necesarios e inventariado de los recursos que contengan datos
personales para mitigar el riesgo.
11. Deficiencias en la proteccin de la confidencialidad de la informacin por parte
de NO PROBLEM S.L., adoptar medidas de cifrado de los datos personales
adecuadas al riesgo y al estado de la tecnologa, establecer procedimientos de
notificacin a los afectados y a la autoridad de control cuando se produzca una
quiebra en la seguridad para mitigar el riesgo.

Anlisis de cumplimiento normativo

Resumen general de cumplimiento
Ser de obligado cumplimiento la Ley Orgnica de Proteccin de Datos de la legislacin
espaola, as como otra cualquier otra ley que afecte al tratamiento de datos personales
y medidas de seguridad.

Deficiencias detectadas y propuestas de solucin

N.A.

Conclusiones
Anlisis final
En la presente gua se ha elaborado la evaluacin de impacto de datos personales en el
proyecto de migracin de la aplicacin de gestin de la empresa SW SYSTEMS S.L. a la
nueva aplicacin de la empresa NO PROBLEM S.L., realizando un anlisis de los
riesgos considerados y de las actuaciones a realizar para el tratamiento de los mismos.
Asimismo se establecen una serie de recomendaciones sobre materia de proteccin de
datos para el buen desarrollo del proyecto.
El Data Protection Officer ser el responsable de la buena marcha del proyecto en
materia de datos personales y del cumplimiento de las obligaciones asignadas a cada
una de las partes.

Recomendaciones del equipo responsable de la EIPD

TEMA 3 Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martn Qulez
Aspectos legales y
23/12/2015
regulatorios
Nombre: Alvaro

En el apartado de Identificacin y gestin de riesgos se establece una serie de

recomendaciones de obligado cumplimiento sobre la Evaluacin de Impacto de Datos
Personales para cada uno de los riesgos identificados.

Medidas tcnicas que deben adoptarse en el diseo del proyecto para eliminar
o evitar, mitigar, transferir o aceptar los riesgos para la privacidad
En el apartado de Identificacin y gestin de riesgos se establece una serie de medidas
tcnicas de obligado cumplimiento sobre la Evaluacin de Impacto de Datos Personales
para cada uno de los riesgos identificados.

Medidas organizativas que deben adoptarse en el diseo del proyecto para

eliminar o evitar, mitigar, transferir o aceptar los riesgos para la privacidad
En el apartado de Identificacin y gestin de riesgos se establece una serie de medidas
organizativas de obligado cumplimiento sobre la Evaluacin de Impacto de Datos
Personales para cada uno de los riesgos identificados.

TEMA 3 Actividades