La empresa municipal de aparcamientos y gestión vial de Ceuta, habría que preguntarse si la misma ha realizado la evaluación de impacto en materia de protección de datos (EIPD), un requisito legal obligatorio para cualquier entidad que trate datos de personas. Esta empresa actualmente tiene a unos 500 trabajadores contratados con un presupuesto de vente millones de euros.

La EIPD es un análisis exhaustivo que permite identificar y evaluar los riesgos para la privacidad de personas, y establecer las medidas necesarias para mitigarlos. Su ausencia en una empresa que maneje una gran cantidad de datos personales, representaría una grave vulneración de la normativa vigente y pondría en riesgo la privacidad de los ciudadanos de Ceuta.

Esta supuesta falta de no haber realizado esta evaluación de impacto expondría a sus clientes y trabajadores a una serie de riesgos, entre los que destacarían:

Fugas de datos de información personal de usuarios que podría ser sustraída por ciberdelincuentes, lo que podría dar lugar a fraudes, suplantación de identidad y otros delitos.

Incumplimiento de la normativa esta empresa municipal se expondría a sanciones administrativas y judiciales por no cumplir con la normativa vigente en materia de protección de datos.

Perdida de confianza por la falta de transparencia y seguridad en el tratamiento de datos personales pudiendo erosionar la confianza de los ceutíes en esta empresa municipal.

La falta de una EIPD en Amgevicesa supondría un claro ejemplo de la importancia de la protección de datos en esta era digital. Es fundamental que todas las organizaciones, tanto públicas como privadas, cumplan con la normativa vigente y tomen las medidas necesarias para garantizar la seguridad de los datos personales de sus usuarios y clientes.

¿Por qué es tan importante la EIPD?

El Reglamento General de Protección de Datos (RGPD) de la UE, que también es ley en nuestro país, exige la realización de una EIPD cuando un tratamiento de datos planeado pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas. Los motivos para llevar a cabo una EIPD son múltiples.

Cumplimiento normativo: Es una obligación legal establecida por el RGPD

Prevención de riesgos: Ayuda a identificar y mitigar posibles brechas de seguridad y sus consecuencias.

Transparencia: Demuestra el compromiso de la organización con la protección de datos

¿Cuáles serian las consecuencias de que Amgevicesa no tuviera la EIPD?

Las consecuencias de la misma podrían ser múltiples y graves, en el supuesto caso de no haber evaluado los riesgos de los datos personales de los ceutíes, podrían estar expuestos a posibles ataques cibernéticos, fugas de información o usos indebidos.

Sanciones económicas donde la Agencia Española de Protección de Datos podría imponer sanciones económicas significativas a las organizaciones que incumplen RGDP.

Responsabilidad civil en caso de producirse una brecha de seguridad, Amgevicesa podría ser demandada por los afectados. Concluiría exponiendo que, la EIPD es una herramienta fundamental para garantizar la protección de datos personales y cumplir con la normativa vigente.

José Antonio Carbonell Buzzian, auditor, consultor y asesor en seguridad