La AEPD publica una guía para gestionar el riesgo de los tratamientos de datos personales

La Agencia Española de Protección de Datos (AEPD), de quienes somos entidad adscrita, ha presentado la guía ‘Gestión del riesgo y evaluación de impacto en tratamientos de datos personales’, un documento que incorpora la experiencia acumulada en la aplicación de la gestión del riesgo en el ámbito de la protección de datos desde la aplicación del Reglamento General de Protección de Datos (RGPD) y añade las interpretaciones de la AEPD, el Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos.

El documento, dirigido a responsables, encargados de tratamientos y delegados de protección de datos (DPD), ofrece una visión unificada de la gestión de riesgos y de las evaluaciones de impacto en protección de datos, y facilita la integración de la gestión de riesgos en los procesos de gestión y gobernanza de las entidades.

El Reglamento General de Protección de Datos (RGPD) establece que las organizaciones que tratan datos personales deben realizar una gestión del riesgo con el fin de establecer las medidas que sean necesarias para garantizar los derechos y libertades de las personas. Además, en aquellos casos en los que los tratamientos impliquen un riesgo alto para la protección de datos, el Reglamento dispone que esas organizaciones están obligadas a realizar una Evaluación de Impacto en Protección de Datos (EIPD) para mitigar esos riesgos.

La guía es aplicable a cualquier tratamiento, con independencia de su nivel de riesgo. Consta de tres apartados: el primero contiene una descripción de los fundamentos de la gestión de riesgos para los derechos y libertades; el segundo incluye un desarrollo metodológico básico para la aplicación de la gestión del riesgo, y el último está enfocado en los casos en los sea preciso realizar una EIPD, con las orientaciones necesarias para llevarla a cabo.

EVALÚA_RIESGO RGPD

Además, la Agencia ha presentado EVALÚA_RIESGO RGPD, el prototipo de una nueva herramienta que ayuda a responsables y encargados a identificar los factores de riesgo para los derechos y libertades de los interesados presentes en el tratamiento; hacer una primera evaluación del riesgo intrínseco, incluyendo necesidad de realizar una EIPD, y estimar el riesgo residual si se utilizan medidas y garantías para mitigar los riesgos.

Análisis, gestión de riesgos y EIPD

El análisis y la gestión de riesgos son procedimientos que permiten a las organizaciones identificar y poder anticiparse a los posibles efectos adversos o no previstos que el tratamiento pueda tener para los derechos y libertades de los interesados. Esta gestión debe permitir que el responsable tome las decisiones y acciones necesarias para conseguir que el tratamiento cumpla los requisitos del RGPD y la LOPDGDD, garantizando y pudiendo demostrar la protección de los derechos de los interesados.

Por su parte, el RGPD establece que cuando sea probable que un tipo de tratamiento entrañe un alto riesgo, el responsable debe realizar una evaluación del impacto, proceso que permite a las organizaciones identificar los riesgos que un sistema, producto o servicio puede implicar para los derechos y libertades de las personas y, tras haber realizado ese análisis, afrontar y gestionar esos peligros antes de que se materialicen.