EVALUACIÓN DE IMPACTO EN

PROTECCIÓN DE DATOS
(EIPD)
Actividad Grupal

ASPECTOS LEGALES Y REGULATORIOS

En el presente documento se observará el informe de evaluación de impacto en protección de
datos (EIDP) ejecutada en una clínica dental de España mediante la aplicación SANDAS.
Adicionalmente se anexa informes de la actividad de tratamiento; seguimiento y control;
valoración, necesidad y proporcionalidad de la EIPD.

ALVAREZ PAREDES ALEX – CHIRIBOGA SALAZAR OSCAR – OLAYA

MATUTE DOUGLAS - VÉLEZ SARMIENTO VICTOR
Contenido
1. INFORME DE LA VALORACIÓN, NECESIDAD Y PROPORCIONALIDAD DE LA EIDP...........................2
2. INFORME DE EVALUACIÓN DE IMPACTO.......................................................................................3
3. INFORME DE LA ACTIVIDAD DE TRATAMIENTO.............................................................................3
4. Conclusiones..................................................................................................................................4
5. Bibliografía.....................................................................................................................................5
6. Anexos...........................................................................................................................................5

4
1. INFORME DE LA VALORACIÓN, NECESIDAD Y
PROPORCIONALIDAD DE LA EIDP
SONRÍE, es una clínica española que se dedica al tratamiento y atención de personas que
requieran servicios dentales. En la actualidad, SW System S.I., es la empresa proveedora
encargada del soporte y mantenimiento del software de gestión de pacientes que utiliza
SONRÍE, la misma que se encuentra alojada en un servidor local.
SONRÍE ha venido en un creciendo constante, en el último año recibió mayor cantidad de
pacientes con respecto a años anteriores, motivo por el cual el software que venía trabajando
ya no le abastecía, SONRÍE tuvo la necesidad de cambiar el software por el que ofrece una
empresa española llamada No Problem S.I., la cual provee software como un servicio (SaaS),
esta empresa cuenta con alojamiento cloud para el almacenamiento de información, siendo la
sede física del centro de procesamiento de datos (CPD) en España, dicha empresa cuenta con
certificaciones ISO 27001 ofertando a SONRÍE la integridad de la información, en los
procesos ejecutados en el software.
Según el Reglamento General de Protección de Datos (RGPD) en su artículo 35.1 nos indica
que antes del tratamiento de la información se debe realizar la evaluación de impacto de las
operaciones en la protección de datos personales. Motivo por el cual es necesario ejecutar la
Evaluación de Impacto en Protección de Datos (EIPD) ya que permitirá reconocer y analizar
las posibles afectaciones de los datos al realizar algún tipo de acción sobre estas.
El EIDP permitirá asegurar el uso responsable de los datos de los pacientes de la clínica
SONRÍE, permitiendo que los trabajadores utilicen medidas de seguridad sobre la
información que estos ofrezcan al momento de recibir el servicio para poder disponer de un
historial clínico, dichos datos son sensibles y deben ser llevados a cabo bajo normativas de
protección de información.

2
2. INFORME DE EVALUACIÓN DE IMPACTO
2.1. Identificación del proyecto
RESPONSABLE DEL TRATAMIENTO
SONRÍE
TÍTULO DE PROYECTO DE EIPD
EVALUACIÓN DE IMPACTO EN PROTECCIÓN DE DATOS DE SONRÍE
NÚMERO DE REGISTRO DE EIPD
0001
FECHA EIPD
23 DE MAYO DE 2022 – 23 DE AGOSTO DE 2022
RESPONSABLES DEL PROYECTO

2.2. Análisis del motivo por el que se realiza la EIPD

3. INFORME DE LA ACTIVIDAD DE TRATAMIENTO

3.1. Evaluación de riesgos

La

3
4. Conclusiones
Puedo concluir que en Occidental industria alimenticia realiza y está alineada a las
normativas ISO 27001, sin embargo falta un control y un personal que dé seguimiento a las
mismas, ya que en ciertos aspectos ignoran procedimientos que deben ser ejecutados.
En Occidental y en el departamento de tecnología de la información y comunicación se han
considerado 3 tipos de activos, los cuales son [SW] Aplicaciones (software), [COM] Redes
de comunicaciones, [HW] Equipos informáticos (hardware).
Se realizó la pre auditoría en donde se evidenció varios lineamientos que son llevados a cabos
dentro de la empresa los cuales nos servirán para mejorar aspectos de control en los ámbitos
de:
• Políticas de Seguridad de la Información
• Organización de la Seguridad de la Información
• Seguridad ligada a los Recursos Humanos
• Gestión de Activos
• Control de Acceso
• Criptografía

4
5. Bibliografía

[1] AENOR, UNE-ISO-IEC 27001:2007 1a. modificación: Tecnología de la información, técnicas de

seguridad, Sistemas de Gestión de la Seguridad de la Información (SGSI), requisitos, Madrid:
AENOR, 2009.

[2] ISO 27000.ES, «ISO 27000.ES,» [En línea]. Available: https://www.iso27000.es/. [Último acceso:
24 04 2022].

[3] J. A. Amaya, Sistemas de información gerenciales: Hardware, software, redes, Internet, diseño,
Bogotá: ECOE EDICIONES, 2010.

6. Anexos

Anexo 1 Categorización de activos

Anexo 2 Cumplimiento de Políticas de Seguridad de la información

5
Anexo 3 Cumplimiento de Organización de la seguridad de la información

Anexo 4 Cumplimiento de Seguridad ligada a los recursos humanos

6
Anexo 5 Cumplimiento de Gestión de activos

7
Anexo 6 Cumplimiento de Control de acceso

8
Anexo 7 Cumplimiento de Criptografía