El concepto de riesgo, probabilidad e impacto a la hora de realizar la evaluación de impacto de protección de datos

A pesar de no existir una definición directa de EIPD en el propio RGPD, este exige en su artículo 24 que teniendo en cuenta “los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento”. De esta manera, el responsable de tratamiento debe  implementar las medidas de control adecuadas para demostrar que se garantizan los derechos y libertades de las personas así como la seguridad de los datos.

Para llegar a este fin, el responsable del tratamiento debe considerar desde el inicio las acciones preventivas suficientes para poder identificar, evaluar y tratar los riesgos asociados al tratamiento de datos personales y así poder asegurar los principios de protección de los datos garantizando los derechos y libertades de los interesados.

Por su parte, el artículo 35.1 del RGPD, nos dice: “Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales”.

La EIPD actúa como una herramienta de carácter preventiva que se utiliza para poder identificar, evaluar y gestionar los riesgos de las concretas actividades de tratamiento, o dicho con otras palabras, permite determinar el nivel de riesgo de un tratamiento cuyo objetivo es establecer una serie de controles para mitigar el riesgo.

Se trata de un excelente ejercicio de transparencia que permite identificar posibles riesgos, corrigiéndolos anticipadamente, evitando los costes derivados de descubrirlos con posterioridad, costes que pueden ser tanto económicos como reputacionales.

EL RIESGO

Dejando de lado todas las consideraciones que el concepto de riesgo pudiese proyectar, lo conveniente es centrarse de manera exclusiva en las implicaciones que tiene la existencia de riesgos en el ámbito de la privacidad y la protección de datos.

De este modo, es posible enunciar la idea principal sobre la que descansa el riesgo en la protección de datos, indicando que se trata de la posibilidad de que pueda producirse un daño cierto para una persona física o un incumplimiento de las obligaciones que recaen sobre cualquier responsable de tratamiento, ambas derivadas de un tratamiento de datos personales.

• Consideración legal del riesgo:

La problemática del riesgo en el ámbito de la protección de datos reside en la falta de regulación de la que goza este término, en tanto que no encuentra una definición certera en todo el texto del RGPD.

Por esta razón, una decisión suficientemente madura y profesional debe considerar el riesgo como un conjunto de todas las posibles contingencias que puedan llegar a existir en un tratamiento de datos personales, ligadas siempre a unos resultados nocivos y atentatorios contra los derechos fundamentales a la protección de datos de los que gozan las personas físicas interesadas o afectadas en cada tratamiento.

Así, una aproximación más concreta a la idea legal del riesgo se puede encontrar en el Considerando el art. 85 del RGPD, en el que se establece que la consecuencia de que se materialice un riesgo supone la existencia de “daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional o cualquier otro perjuicio económico o social significativa”.

Como vemos, a pesar de que no se trate de un numerus clausus en el que el legislador aporte seguridad jurídica al concepto, sí es posible afirmar que el RGPD establece unas bases legales para que entendamos el riesgo en sentido amplio, desde un perjuicio tan inmaterial como un daño a la reputación de un individuo.

LA PROBABILIDAD

La probabilidad es la posibilidad de materialización del riesgo analizado, debiendo tener en cuenta que estamos hablando, en cualquier caso, de una probabilidad teórica pues la cuantificación exacta es imposible toda vez que el riesgo cero no existe.

Ello, aplicado al mundo práctico empresarial, supone la exigencia de poder cuantificar dicha probabilidad de que se materialice el riesgo con algún tipo de escala cualitativa o cuantitativa, a elección del encargado de realizar el análisis de riesgo y, si así conviene, la posterior evaluación de impacto de cada tratamiento.

Como punto de partida, nuestra recomendación es siempre afianzar la mencionada escala en términos que resulten asequibles o fácilmente abarcables por el responsable de seguridad o personal encargado dentro de la empresa. En este sentido, se recomienda partir de una escala de cinco posibilidades, siendo el primero de los escenarios el más lejano en la posibilidad de materialización del riesgo y el quinto el más cercano. En efecto, se recomienda adoptar la siguiente escala de probabilidades:

1º. Eventual: el riesgo puede materializarse en un escenario muy remoto

2º. Improbable: el riesgo se podría materializar en escenarios muy reducidos

3º. Probable: el riesgo puede ocurrir en cualquier momento

4º. Probable: teniendo en cuanto al estacadura de la empresa, es posible que ocurra en varias ocasiones

5º. Muy cercano: el riesgo se va a materializar, tarde o temprano, en algún momento de la fase de vida de varios tratamientos de datos.

Como vemos, se trata de un sistema de escalas muy común y que es aplicable a casi cualquier entidad, pues de lo que se trata es de abarcar en términos generales los escenarios de carencias de seguridad más plausibles en el seno de la entidad.

EL IMPACTO

Al igual que el concepto de riesgo el impacto no encuentra una definición legal exhaustiva o tan siquiera expresa en la literalidad del RGPD.

De este modo, es posible entender el impacto como la consecuencia efectiva que proyectará un tratamiento o conjunto de tratamientos de datos concretos sobre las personas físicas a las que afecta dicho tratamiento. Dicho de otro modo, el impacto es el efecto, positivo o negativo, que un determinado tratamiento de datos pudiese tener sobre la persona a la que se le han recabado los mismos.

Este impacto puede tener diferentes escalas, que determinarán su carácter positivo o negativo, pero es innegable que cualquier tratamiento de datos generará en las personas físicas afectadas algún tipo de efecto. A saber, a modo de ejemplo, es indudable que no podemos comparar un tratamiento consistente en recabar meros datos identificativos para la suscripción de una revista online que aquel en el que se recaban datos de salud para llevar a cabo una operación quirúrgica; pero en ambos podemos afirmar la existencia de un impacto, más o menos agresivo, sobre la persona afectada.

En definitiva, en el ámbito de la privacidad y la protección de datos, el impacto va asociado inevitablemente al riesgo inherente y residual que genere el tratamiento o conjunto de tratamientos objeto de la evaluación.