Análisis de riesgos aplicados a la privacidad y a la protección de datos en el Reglamento general de protección de datos (RGPD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 18/06/2018

Debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas físicas (Considerando 74, RGPD)

Conforme se indica en el considerando 74, el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el Reglamento, incluida la eficacia de las medidas.

Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas físicas.

Así, a diferencia de lo que sucedía en la legislación derogada, en la que se determinaba las medidas aplicables en función del tipo de datos objeto de tratamiento, en el nuevo Reglamento, las medidas técnicas y organizativas serán establecidas por los responsables y encargados en función de los riesgos detectados a través de la realización del análisis previo

El análisis de riesgos por tanto, tiene por objeto detectar riesgos potenciales asociados al tratamiento de los datos antes de que estos se produzcan – es decir desde el diseño- para adoptar las medidas que garanticen la protección de los datos personales.

En este sentido, la evaluación de los riesgos deberá realizarse tomando en consideración diversas variables. Así lo señala el considerando 76 estableciendo que “la probabilidad y la gravedad del riesgo para los derechos y libertades del interesado debe determinarse con referencia a la naturaleza, el alcance, el contexto y los fines del tratamiento de datos. El riesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto.”.

Es fundamental, por tanto realizar un análisis previo para determinar -de forma preliminar- el nivel de riesgo al que puede estar expuesto el tratamiento y en función de los resultados tomar las decisiones adecuadas en base a ellos. En consecuencia, las medidas a implementar por responsables y encargados dependerán del resultado de ese necesario análisis de riesgos de forma que:

- Si como resultado del análisis se concluye que las actividades de tratamiento no están expuestas a riesgos relevantes, no resultará necesario realizar la denominada Evaluación de impacto en la Protección de Datos. En todo caso, será necesario documentad adecuadamente que se ha llevado a cabo este análisis previo y los motivos por lo que se ha concluido que el tratamiento de los datos presenta una baja exposición al riesgo.

En estos supuestos, las medidas organizativas y técnicas -destinadas, como sabemos, a garantizar los derechos y libertades de los interesados- podrán implementarse aplicando un enfoque de mínimos atendiendo a que el nivel de riesgo al que está expuestas las actividades de tratamiento no resulta elevado.

- Si del resultado del análisis previo se concluye que el tratamiento puede suponer un riesgo puede suponer un alto para los derechos y las libertades de las personas físicas, entonces resultará necesario realizar la Evaluación de Impacto en la Protección de Datos.

En este sentido, el considerando 75 enumera una serie de factores o supuestos asociados a riesgos para los derechos y libertades de los interesados, sobre los que posteriormente volveremos a incidir cuando analicemos el proceso de evaluación de impacto en la protección de Datos personales.

En todo caso , debemos señalar que la evaluación del riesgo no tiene un carácter definitivo, por cuanto que resulta conveniente revisar las medidas que en cada caso se hayan adaptado, para proceder a actualizarlas y adaptarlas en cada caso, si ello resultase necesario.

No hay versiones para este comentario

Tratamiento de datos personales
Protección de datos
Análisis de riesgo
Persona física
Responsabilidad del responsable del tratamiento
Datos personales
Evaluación de riesgos
Actividades de tratamiento de datos
Pertenece al Grupo

Incluídos en este concepto

Documentos relacionados
Ver más documentos relacionados
  • Objeto y ámbito de aplicación del RGPD

    Orden: Administrativo Fecha última revisión: 30/07/2018

    A partir del 25 de mayo de 2018, con el comienzo con la aplicación del Reglamento general de protección de datos -en adelante RGPD- ,  se instaura un conjunto único de normas directamente aplicables en todos los Estados miembros.NOVEDADES: Real D...

  • Reglamento General de Protección de Datos (RGPD)

    Orden: Administrativo Fecha última revisión: 30/07/2018

    El nuevo Reglamento General de Protección de Datos de la Unión Europea, conocido como «Reglamento General de Protección de Datos» (RGPD), entró en vigor el 25 de mayo de 2016, a pesar de que su aplicación plena ha comenzado el 25 de mayo d...

  • Responsabilidad del responsable del tratamiento de datos en el RGPD.

    Orden: Administrativo Fecha última revisión: 19/06/2018

    La responsabilidad del responsable del tratamiento se especifica en el art. 42, ;RGPD. Las obligaciones impuestas por el RGPD a los responsables del tratamiento de los datos se ponen de manifiesto a lo largo del texto normativo. Sin perjuicio de...

  • Principio de licitud en el RGPD

    Orden: Administrativo Fecha última revisión: 19/06/2018

    Como se deduce de la literalidad del articulo reproducido, el denominado “principio de licitud” se encuentra referenciado junto con los principios de transparencia y lealtad. Ahora bien, esta reseña unificada no impide que pueda ser objeto de an...

  • Sistema de proactividad en el cumplimiento normativo del RGPD

    Orden: Administrativo Fecha última revisión: 18/06/2018

    La protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del Reg...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados