Análisis de riesgos aplicados a la privacidad y a la protección de datos en el Reglamento general de protección de datos (RGPD) y en la LO 3/2018 (LOPDGDD)
- Estado: Redacción actual VIGENTE
- Orden: Administrativo
- Fecha última revisión: 04/02/2019
Desde la entrada en vigor del RGPD es obligatorio el cumplimiento de los requerimientos y obligaciones para el responsable y el encargado de tratamiento que este incluye, entre las que destaca, la necesidad de llevar a cabo un análisis de riesgos con el fin de establecer medidas de seguridad y control para garantizar los derechos y libertades de las personas.
La reforma de la regulación de protección de datos supuso un cambio del modelo tradicional para afrontar las medidas que garantizan la protección de los datos personales hacia un nuevo modelo más dinámico, enfocado en la gestión continua de los riesgos potenciales asociados al tratamiento desde su diseño.
Conforme se indica en el considerando 74, debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas físicas.
Así, a diferencia de lo que sucedía en la legislación derogada, en la que se determinaba las medidas aplicables en función del tipo de datos objeto de tratamiento, en el nuevo Reglamento, las medidas técnicas y organizativas serán establecidas por los responsables y encargados en función de los riesgos detectados a través de la realización del análisis previo. El análisis de riesgos por tanto, tiene por objeto detectar riesgos potenciales asociados al tratamiento de los datos antes de que estos se produzcan -es decir desde el diseño- para adoptar las medidas que garanticen la protección de los datos personales.
En este sentido, el análisis de los riesgos deberá realizarse tomando en consideración diversas variables. Así lo señala el considerando 76 estableciendo que ?la probabilidad y la gravedad del riesgo para los derechos y libertades del interesado debe determinarse con referencia a la naturaleza, el alcance, el contexto y los fines del tratamiento de datos. El riesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto.
Es fundamental, por tanto realizar un análisis previo para determinar -de forma preliminar- el nivel de riesgo al que puede estar expuesto el tratamiento y en función de los resultados tomar las decisiones adecuadas en base a ellos. En consecuencia, las medidas a implementar por responsables y encargados dependerán del resultado de ese necesario análisis de riesgos de forma que:
- Si como resultado del análisis se concluye que las actividades de tratamiento no están expuestas a riesgos relevantes, no resultará necesario realizar la denominada Evaluación de impacto en la Protección de Datos. En todo caso, será necesario documentar adecuadamente que se ha llevado a cabo este análisis previo y los motivos por lo que se ha concluido que el tratamiento de los datos presenta una baja exposición al riesgo. En estos supuestos, las medidas organizativas y técnicas -destinadas, como sabemos, a garantizar los derechos y libertades de los interesados- podrán implementarse aplicando un enfoque de mínimos atendiendo a que el nivel de riesgo al que está expuestas las actividades de tratamiento no resulta elevado.
- Si del resultado del análisis previo se concluye que el tratamiento puede suponer un riesgo alto para los derechos y las libertades de las personas físicas, entonces resultará necesario realizar la Evaluación de Impacto en la Protección de Datos. En este sentido, el considerando 75 enumera una serie de factores o supuestos asociados a riesgos para los derechos y libertades de los interesados, sobre los que posteriormente volveremos a incidir cuando analicemos el proceso de evaluación de impacto en la protección de Datos personales. En todo caso , debemos señalar que la evaluación del riesgo no tiene un carácter definitivo, por cuanto que resulta conveniente revisar las medidas que en cada caso se hayan adaptado, para proceder a actualizarlas y adaptarlas en cada caso, si ello resultase necesario.
No hay versiones para este comentario
- Generalidades
- Procedimiento Administrativo
- Revisión de actos en vía administrativa
- Revisión judicial del acto administrativo: Derecho Procesal Contencioso-Administrativo
- Contratos del Sector Público
- Bienes de las administraciones públicas
- Expropiación forzosa
- Ordenación del territorio, Urbanismo, Vivienda y Medioambiente
- Derecho local
- Extranjería
- Tráfico, seguridad vial y transportes
- Protección de datos
- Objeto y ámbito de aplicación
- Sistema de proactividad
- Deber de Información a los afectados
- Glosario de definiciones
- Principios generales relativos al tratamiento
- Bases jurídicas de legitimación de los tratamientos
- Categorías de datos
- Derechos de los interesados y limitaciones
- Responsable del tratamiento
- Encargado del tratamiento
- Registro de Actividades de Tratamiento. Identificación y estructura
- Análisis de riesgos ESTOY AQUÍ
- Evaluación del impacto
- Delegado de protección de datos
- Medidas de Seguridad
- Violación de seguridad (quiebra de seguridad)
- Transferencias internacionales, BCR y Códigos de conducta
- Tratamiento concretos
- Autoridades de Protección de Datos
- Procedimientos en caso de vulneración de la normativa
- Régimen sancionador
- Garantía de los derechos digitales
Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE
Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo
-
Sentencia SOCIAL Nº 126/2018, TSJ Madrid, Sala de lo Social, Sec. 2, Rec 1268/2017, 07-02-2018
Orden: Social Fecha: 07/02/2018 Tribunal: Tsj Madrid Ponente: Marques Ferrero, Santiago Ezequiel Num. Sentencia: 126/2018 Num. Recurso: 1268/2017
-
Sentencia Administrativo AN, Sala de lo Contencioso, Sec. 1, Rec 225/2010, 26-04-2012
Orden: Administrativo Fecha: 26/04/2012 Tribunal: Audiencia Nacional Ponente: Guerrero Zaplana, Jose Num. Recurso: 225/2010
-
Sentencia Civil Nº 163/2015, AP - Asturias, Sec. 5, Rec 176/2015, 08-06-2015
Orden: Civil Fecha: 08/06/2015 Tribunal: Ap - Asturias Ponente: Casero Alonso, Jose Luis Num. Sentencia: 163/2015 Num. Recurso: 176/2015
-
Sentencia Civil Nº 140/2015, AP - Asturias, Sec. 5, Rec 160/2015, 20-05-2015
Orden: Civil Fecha: 20/05/2015 Tribunal: Ap - Asturias Ponente: Casero Alonso, Jose Luis Num. Sentencia: 140/2015 Num. Recurso: 160/2015
-
Sentencia Supranacional Nº C-73/07, TJUE, 16-12-2008
Orden: Supranacional Fecha: 16/12/2008 Tribunal: Tribunal De Justicia De La Union Europea Num. Sentencia: C-73/07
-
Ciclo de vida de los datos en materia de protección de datos
Orden: Administrativo Fecha última revisión: 04/02/2019
En un análisis de riesgos global, las actividades de tratamiento se agrupan por procesos comunes expuestos a riesgos similares, lo que simplifica el análisis y permite establecer medidas de seguridad por defecto. La descripción de los tratamientos...
-
Tratamiento de datos con fines de videovigilancia
Orden: Administrativo Fecha última revisión: 12/02/2019
En el caso de la videovigilancia, la licitud del tratamiento proviene de la existencia de un interés público, en los términos establecidos en el artículo 6.1.e) del RGPD.El tratamiento con fines de videovigilancia se encuentra regulado en la LOPD...
-
Responsabilidad del Responsable del tratamiento de datos en el RGPD y en la LOPDGDD.
Orden: Administrativo Fecha última revisión: 30/01/2019
La regulación de la responsabilidad del Responsable del Tratamiento se contempla en el artículo 24 del RGPD, así como en el artículo 28 de la LOPDGDD. Las obligaciones impuestas por el RGPD a los responsables del tratamiento de los datos se pone...
-
Tipos de riesgos relacionados con la seguridad de los datos en el RGPD y en la LOPDGDD
Orden: Administrativo Fecha última revisión: 04/02/2019
A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el RGPD, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos (como la seudonimización y el cifrado). ...
-
Infracciones en materia de protección de datos (LOPDGDD y RGPD)
Orden: Administrativo Fecha última revisión: 23/01/2019
Las infracciones se recogen de manera bastante somera en el artículo 83 del RGPD y de un modo más específico en la nueva LOPDGDD (arts. 71 a 74). Con respecto al RGPD, el artículo 83 indica las condiciones para la imposición de multas admini...
-
Formulario de contrato de confidencialidad en ámbito de investigación/innovación (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 21/01/2019
ACUERDO PREVIO DE [DESCRIPCION] EN EL ÁMBITO DE LA INVESTIGACIÓN/INNOVACIÓN Y SU CONFIDENCIALIDAD(Acuerdo de Confidencialidad)REUNIDOSDe una parte, [NOMBRE_EMPRESA] (en adelante Empresa), con CIF [CIF], y domicilio [DIRECCION], [POBLACION], [CODIG...
-
Modelo de consentimiento expreso para tratamiento de datos con autorización uso de mensajeria instantánea. Asesorías. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
Responsable: [NOMBRE_EMPRESA] - Teléfono de contacto: [NUM_TLF]NIF: [NIF] - Correo electrónico: [CORREO_ELECTRONICO]Dirección postal: [CALLE], [NUMERO], [LUGAR], [CIUDAD], [CODIGO_POSTAL], [PROVINCIA]CONSENTIMIENTO EXPRESO PARA EL TRATAMIENTO DE D...
-
Modelo de contestación a solicitud de ejercicio de derecho de oposición al tratamiento (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
[NOMBRE_EMPRESA]CIF/NIF [NUMERO][DIRECCION][TELEFONO][CORREO_ELECTRONICO] ASUNTO: CONTESTACIÓN AL EJERCICIO DEL DERECHO DE OPOSICIÓNEstimado Sr./Sra.:Acusamos recibo de su solicitud de fecha [FECHA], mediante el que ejercita su derecho de oposici...
-
Modelo de cláusula informativa para pacientes con cesión de datos (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
Responsable: [NOMBRE_EMPRESA] - Teléfono de contacto: [NUM_TLF]NIF: [NIF] - Correo electrónico: [CORREO_ELECTRONICO]Dirección postal: [CALLE], [NUMERO], [LUGAR], [CIUDAD], [CODIGO_POSTAL], [PROVINCIA]Delegado de Protección de datos: [ESPECIFIQUE ...
-
Modelo básico de consentimiento para el tratamiento de datos. Asesorías. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
Responsable: [NOMBRE_EMPRESA] - Teléfono de contacto: [NUM_TLF]NIF: [NIF] - Correo electrónico: [CORREO_ELECTRONICO]Dirección postal: [CALLE], [NUMERO], [LUGAR], [CIUDAD], [CODIGO_POSTAL], [PROVINCIA]Delegado de Protección de datos: [ESPECIFIQUE ...
-
Análisis del Reglamento general de protección de datos de la UE (Reglamento UE 2016/679, de 27 de abril de 2016).
Fecha última revisión: 12/01/2017
-
Caso práctico: Información al trabajador de la presencia de sistema de localización por GPS en el vehículo de empresa
Fecha última revisión: 13/04/2016
-
Caso práctico: ¿A qué entidades se aplica el Reglamento General de Protección de Datos?
Fecha última revisión: 16/04/2018
-
Análisis jurisprudencial sobre el uso de cámaras ocultas para controlar la actividad laboral. Poder de dirección y control del empresario y Agencia Española de Protección de Datos (AEPD)
Fecha última revisión: 21/04/2016
-
Caso práctico: ¿Deben los padres de los alumnos solicitar el consentimiento expreso para realizar grabaciones o fotografías durante las actividades organizadas por los colegios?
Fecha última revisión: 10/09/2018
PLANTEAMIENTOEl Reglamento UE 2016/679, de 27 de abril de 2016 será aplicable a partir del 25 de mayo de 2018 afectando al conjunto de derechos a través de los cuales la actual Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal gar...
PLANTEAMIENTOUna empresa que proporciona ha instalado en su flota de vehículos comerciales sistemas de geolocalización por GPS como medio de control de la utilización que el empleado realiza del vehículo, así como del cumplimiento de su jornada ...
PLANTEAMIENTOLa aplicación del Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) (25/05/2018) implicará, para aquellas empresas u organizaciones que tratan datos, la realización de un nece...
PLANTEAMIENTOAnálisis jurisprudencial sobre el uso de cámaras ocultas para controlar la actividad laboral. Poder de dirección y control del empresario y Agencia Española de Protección de Datos (AEPD)Del análisis de las distintas sentencias que ...
PLANTEAMIENTOLa realización de actividades lúdicas o deportivas organizadas por los centros educativos motiva que ,en innumerables ocasiones, los padres y madres de los alumnos realicen grabaciones y fotografías de los menores para “conservar”...
-
Resolución de 28 de abril de 2014, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación del registrador de la propiedad de Burgos n.º 4 por la que se deniega la expedición de una certificación registral.
Órgano: Direccion General De Los Registros Y Del Notariado Fecha: 28/04/2014
-
Resolución de 1 de agosto de 2018, de la Dirección General de los Registros y del Notariado, por la que se aprueba el modelo de cláusula general voluntaria relativa al tratamiento de datos de carácter personal, de conformidad con lo establecido en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
Órgano: Direccion General De Los Registros Y Del Notariado Fecha: 01/08/2018
-
Resolución de 19 de junio de 2018, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación de la registradora de la propiedad de Sevilla n.º 5, por la que deniega la expedición de certificación relativa a nueve fincas registrales.
Órgano: Direccion General De Los Registros Y Del Notariado Fecha: 04/07/2018
-
Resolución de 24 de enero de 2013, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la negativa del registrador de la propiedad de Motril n.º 2 a expedir determinadas notas simples informativas.
Órgano: Direccion General De Los Registros Y Del Notariado Fecha: 24/01/2013
-
Resolución de 11 de diciembre de 2017, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación del registrador de la propiedad accidental de Madrid n.º 5, por la que se deniega la expedición de la certificación.
Órgano: Direccion General De Los Registros Y Del Notariado Fecha: 03/01/2018
-
Adaptación LOPDGDD. Paso a paso
- Autores: V.V.A.A.
- Publicación: 18/02/2019
- Desde 19.95€
-
Curso online adaptación a la LOPDGDD para Pymes con formularios
- Autores: V.V.A.A.
- Desde 90.75€
-
Reglamento General de Protección de Datos (RGPD)
- Autor: Editorial Colex, S.L.
- Publicación: 01/08/2018
- Desde 4.25€
