Aplicable a todo tratamiento de datos personales

Fuente de la imagen: geralt en pixabay

El Reglamento General de Protección de Datos (RGPD), establece que las organizaciones que tratan datos personales deben realizar una gestión del riesgo con el fin de establecer las medidas que sean necesarias para garantizar los derechos y libertades de las personas. Aquellos casos en los que los tratamientos impliquen un riesgo alto para la protección de datos, el Reglamento dispone que esas organizaciones están obligadas a realizar una Evaluación de Impacto en Protección de Datos (EIPD) para mitigar esos riesgos. En el sitio Protección de Datos, texto “Nueva guía para gestionar riesgos y evaluar impactos”[1], me hacía eco de la publicación por parte de la Agencia Española de Protección de Datos (AEPD), de la guía para la gestión del riesgo y evaluación de impacto en tratamientos de datos personales[2], un documento que incorpora la experiencia acumulada en la aplicación de la gestión del riesgo en el ámbito de la protección de datos desde la aplicación del (RGPD) y añade las interpretaciones de la AEPD, el Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos.

Consta de tres apartados: el primero contiene una descripción de los fundamentos de la gestión de riesgos para los derechos y libertades; el segundo incluye un desarrollo metodológico básico para la aplicación de la gestión del riesgo, y el último está enfocado en los casos en los que sea preciso realizar una EIPD[3], con las orientaciones necesarias para llevarla a cabo. El documento[4] ofrece una visión unificada de la gestión de riesgos y de las evaluaciones de impacto en protección de datos, y facilita la integración de la gestión de riesgos en los procesos de gestión y gobernanza de las entidades. La guía es aplicable a cualquier tratamiento, con independencia de su nivel de riesgo. Para los casos de tratamientos de alto riesgo, incorpora las orientaciones necesarias para realizar la EIPD y, en su caso, la consulta previa a la que se refiere el artículo 36 del RGPD, que establece que el responsable debe consultar a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto sigue ofreciendo un riesgo residual alto o muy alto tras haber tomado medidas.

Igualmente, en el sitio Protección de Datos, bajo el título EVALÚA_RIESGO RGPD[5] recogía la información por parte de la AEPD del recurso EVALÚA_RIESGO RGPD, prototipo de una nueva herramienta que ayuda a responsables y encargados a identificar los factores de riesgo para los derechos y libertades de los interesados presentes en el tratamiento; hacer una primera evaluación del riesgo intrínseco, incluyendo necesidad de realizar una EIPD, y estimar el riesgo residual si se utilizan medidas y garantías para mitigar los riesgos[6]. Según la AEPD, los factores de riesgo desplegados en esta herramienta no tienen carácter exhaustivo, por lo que el responsable deberá identificar aquellos que sean específicos para el tratamiento e incluirlo en su evaluación. La valoración del nivel de riesgo así como el cálculo final de nivel de riesgo, tiene carácter general y mínima que tendrá que ser ajustada por dicho responsable para determinar con precisión el nivel de riesgo del tratamiento. Fuente de la información: AEPD. Fuente de la imagen: geralt en pixabay.

____________________________

[1] Velasco Carretero, Manuel. Nueva guía para gestionar riesgos y evaluar impactos. Sitio Protección de Datos. 2021. Visitado el 06/07/2021.

[2] Si quieres acceder a ella, clickea AQUÍ, cortesía de la AEPD.

[3] Evaluación de Impacto en Protección de Datos.

[4] ,Dirigido a responsables, encargados de tratamientos y delegados de protección de datos (DPD),

[5] Velasco Carretero, Manuel. EVALÚA_RIESGO RGPD. Sitio Protección de Datos. 2021. Visitado el 06/07/2021.

[6] Si quieres descargar la herramienta, clickea AQUÍ.