CONCEPTO

En este contexto, una evaluación de impacto en la privacidad (PIA por sus

siglas en ingles de "Privacy Impact Assessment") es un instrumento que se
puede utilizar en un entorno cambiante para identificar y hacer una evaluación
de los potenciales impactos en la privacidad, siendo aplicable a un proceso, un
sistema de información, un proyecto, producto u otra iniciativa que utiliza y
procesa datos personales o Información de Identificación Personal (PII).

Basado en un enfoque de gestión del riesgo, el PIA nos ayuda en un equilibrio

entre los objetivos del negocio (sin negocio no hay organización que haga
tratamiento de datos personales) y los intereses de los titulares de datos
personales (sin datos personales no hay negocio) de modo que la organización
pueda tomar las acciones necesarias para tratar el riesgo a la privacidad.

IMPORTANCIA Y ALCANCE

Desarrollar un PIA es un instrumento relevante para que la organización y sus

responsables (en los diversos niveles de responsabilidad) puedan tomar las
decisiones más acertadas en materia de protección de datos personales, aun
cuando el contexto sea cambiante o incierto, produciendo como resultado un
documento (Informe PIA) que servirá de referencia (con el nivel suficiente de
detalle) para diversas acciones a tomar, incluyendo las decisiones sobre
nuevos proyectos o iniciativas en etapas iniciales (privacidad por diseño),
siendo de utilidad también en etapas posteriores para determinar si se
mantiene como adecuado el nivel de alineamiento que determina la
organización.

INFORME PIA

Un informe PIA puede incluir documentación sobre las medidas tomadas para
el tratamiento de riesgos, por ejemplo, las medidas que surgen del uso de un
Sistema de Gestión de Seguridad de la Información (ISMS) bajo ISO / IEC
27001 o más precisamente en un Sistema de Gestión de Información sobre
Privacidad (PIMS) bajo ISO/IEC 27701.

Los informes PIA pueden ser un instrumento importante cuando tenemos una
cadena de valor o de provisión de servicios que involucren diversas áreas u
organizaciones, de este modo, se puede tener una forma confiable y con base
en evidencias de que cada una de las áreas u organizaciones involucradas han
desarrollado y mantienen sus propios PIAs que garanticen que toda la cadena
mantenga de forma adecuada el cumplimiento con la regulación sobre
protección de datos aplicable.

IMPLEMENTACIÓN

Cabe señalar que, en algunas jurisdicciones, el PIA es un requerimiento legal

obligatorio, pero no se especifica exactamente cómo se debe realizar, lo que
genera un espacio de libertad para aplicar las mejores prácticas
internacionales, siempre en busca del mayor valor para la organización y los
intereses legítimos de las personas. (dueños o titulares de los datos personales
involucrados).

¿CÓMO SE REALIZA?

La norma internacional ISO/IEC 29134 "Guidelines for privacy impact

assessment" nos proporciona directrices sobre cómo realizar un PIA y cómo
estructurar el informe de PIA.

Los controles que se consideren necesarios para tratar los riesgos identificados
durante el proceso de evaluación de impacto en la privacidad pueden
generarse por la propia organización, tomarse o adaptarse de múltiples
conjuntos de controles, incluidos ISO/IEC 27002 (para controles de seguridad
de la información), ISO/IEC 29151 (para controles de protección de PII),
ISO/IEC 27018 (para controles de seguridad en entornos de cloud computing),
ISO/IEC 27701 (cuando se busque una certificación internacional sobre
privacidad para la organización) o estándares nacionales comparables, o
pueden ser definidos por la persona responsable de realizar el PIA,
independientemente de cualquier otro conjunto de control.