Análisis de riesgos aplicados a la privacidad y a la protección de datos en el Reglamento general de protección de datos (RGPD) y en la LO 3/2018 (LOPDGDD)
- Estado: Redacción actual VIGENTE
- Orden: Administrativo
- Fecha última revisión: 20/07/2021
Desde la entrada en vigor del RGPD es obligatorio el cumplimiento de los requerimientos y obligaciones para el responsable y el encargado de tratamiento que este incluye, entre las que destaca la necesidad de llevar a cabo un análisis de riesgos con el fin de establecer medidas de seguridad y control para garantizar los derechos y libertades de las personas, medidas enfocadas siempre en la gestión continua de los riesgos potenciales asociados al tratamiento desde su diseño.
El plan de cumplimiento de protección de datos debe atender y respetar, en todo caso, los principios y características principales que lo rigen. Con esta base principal, se procederá al diseño de un boceto de los tratamientos y datos que se van a utilizar en la entidad responsable, así como el principal foco de interesados sobre los que se van a proyectar. Para ello, es necesario conocer con profundidad la actividad de la empresa, así como el modo de trabajo y su estructura, de cara a proceder fielmente con respecto a la imagen de la entidad.
Una vez se ha interiorizado lo anterior, se deben buscar las bases de legitimación de los tratamientos que preliminarmente hemos enunciado, en conjunción con el abanico de derechos del interesado. La idea de ello es que se debe contar con unas garantías adecuadas de, por un lado, voluntad de cumplimiento con las bases de legitimación y, por el otro, de respeto y mecanismos de reacción adecuados a la satisfacción de los derechos del interesado.
Así, como ya recoge la el considerando (74) del RGPD, «debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas físicas».
Por tanto, «la probabilidad y la gravedad del riesgo para los derechos y libertades del interesado debe determinarse con referencia a la naturaleza, el alcance, el contexto y los fines del tratamiento de datos. El riesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto». (considerando 76 del RGPD).
En función de lo anterior, nace la necesidad de desarrollar un análisis de riesgos. El primer paso es la contextualización del escenario de riesgo, lo cual guarda relación directa con la descripción del ciclo de vida de los datos y la identificación de las amenazas que pueden afectar a la privacidad y que van ligadas al tratamiento de los datos. Dicho análisis nos ayudará a averiguar las medidas más eficaces y necesarias para mitigar o evitar los riesgos asociados a los tratamientos de datos de carácter personal y del mismo se podrá concluir:
- Sí debe realizarse una EIPD: al efectuar el análisis, o durante los pasos previos, se llega a la conclusión de que los tratamientos o alguno de los tratamientos pueden entrañar un riesgo elevado o alto para los derechos y libertades de las personas físicas.
- No es necesaria una EIPD: del análisis de riesgos realizado se entiende que las actividades de tratamiento no están expuestas a riesgos relevantes que motiven la necesidad de realizar una EIPD en profundidad. Tal conclusión debe estar debidamente fundamentada.
En conclusión, se trata de una fase previa a la EIPD que servirá para identificar las amenazas que se proyectan sobre los datos de los interesados y así poder diseñar e implementar una respuesta adecuada sobre ellos. Es decir, ayudará a encontrar las medidas de seguridad y control que se necesitan para cumplir con lo dispuesto en la normativa y reducir la amenaza a un nivel aceptable para la entidad.
Acudiendo a la Guía Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD de la AEPD, podemos consultar esta tabla orientativa que recoge las operaciones principales en el tratamiento de datos:
TIPO DE TRATAMIENTO | DESCRIPCIÓN |
Evaluación o scoring | Valoraciones y análisis, elaboración de perfiles y predicciones (relacionados con el desempeño del trabajo, situación económica, salud, intereses personales, ubicación...). |
Toma de decisiones automatizada con efecto legal o similar | Tiene como objetivo la toma de decisiones sobre sujetos que producen efectos legales sobre la persona física o le afecta significativamente. |
Monitorización sistemática | Observación y control de los interesados, incluidos los datos recopilados a través de redes o sistema de control de un área de acceso público. |
Datos confidenciales o de naturaleza personal | Tratamiento con categorías especiales de datos personales (datos médicos, penales...). |
Coincidencia o combinación de conjunto de datos | Actividades de tratamiento que implican la combinación de conjuntos de datos. |
Datos relativos a las personas vulnerables | Menores, colectivos más vulnerables o que necesitan protección especial (ej. ancianos, enfermos psíquicos...). |
Uso innovador o aplicación de nuevas soluciones tecnológicas u organizativas | Nuevas tecnologías en el tratamiento de datos (ej. huella dactilar y reconocimiento facial). |
Tratamiento que impide que los interesados usen un servicio o contrato o ejerzan un derecho | Operaciones de procesamiento de datos con el objetivo de permitir, modificar o rechazar el acceso de los interesados a un servicio o contrato. |
Tratamientos sujetos a un código de conducta que lo requiere | Cuando a los tratamientos evaluados se les aplica un código de conducta que exige su cumplimiento. |
No hay versiones para este comentario
- Generalidades
- Procedimiento Administrativo
- Revisión de actos en vía administrativa
- Revisión judicial del acto administrativo: Derecho Procesal Contencioso-Administrativo
- Contratos del Sector Público
- Bienes de las administraciones públicas
- Expropiación forzosa
- Ordenación del territorio, Urbanismo y Vivienda
- Derecho ambiental
- Derecho local
- Derecho de extranjería
- Tráfico, seguridad vial y transportes
- Protección de datos
- Objeto y ámbito de aplicación
- Sistema de proactividad
- Deber de Información a los afectados
- Glosario de definiciones
- Principios generales relativos al tratamiento
- Bases jurídicas de legitimación de los tratamientos
- Categorías de datos
- Derechos de los interesados y limitaciones
- Aspectos comunes del responsable y el encargado de tratamiento de datos
- Registro de Actividades de Tratamiento. Identificación y estructura
- Análisis de riesgos ESTOY AQUÍ
- Evaluación del impacto
- Delegado de protección de datos
- Medidas de Seguridad
- Violación de seguridad (quiebra de seguridad)
- Transferencias internacionales, BCR y Códigos de conducta
- Autoridades de Protección de Datos
- Procedimientos en caso de vulneración de la normativa
- Régimen sancionador
- Garantía de los derechos digitales
- Protección de datos para abogados y procuradores
- Protección de datos para comunidades de propietarios
- Protección de datos en redes sociales
- Constitución Española
- Estudio de la responsabilidad de las Administraciones Públicas
Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE
Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo
-
Sentencia Supranacional Nº C-245/20, TJUE, 24-03-2022
Orden: Supranacional Fecha: 24/03/2022 Tribunal: Tribunal De Justicia De La Union Europea Num. Sentencia: C-245/20
-
Sentencia Supranacional Nº C-272/19, TJUE, 09-07-2020
Orden: Supranacional Fecha: 09/07/2020 Tribunal: Tribunal De Justicia De La Union Europea Num. Sentencia: C-272/19
-
Sentencia Supranacional Nº C-40/17, TJUE, 29-07-2019
Orden: Supranacional Fecha: 29/07/2019 Tribunal: Tribunal De Justicia De La Union Europea Num. Sentencia: C-40/17
-
Sentencia Supranacional Nº C-507/17, TJUE, 24-09-2019
Orden: Supranacional Fecha: 24/09/2019 Tribunal: Tribunal De Justicia De La Union Europea Num. Sentencia: C-507/17
-
Sentencia Supranacional Nº C-73/07, TJUE, 16-12-2008
Orden: Supranacional Fecha: 16/12/2008 Tribunal: Tribunal De Justicia De La Union Europea Num. Sentencia: C-73/07
-
Obligaciones en materia de protección de datos en las relaciones laborales
Orden: Laboral Fecha última revisión: 21/05/2021
Dentro de las obligaciones que el RGPD fijan en materia de proteción de datos personales para la empresa encontramos el Registro de actividades de tratamiento (RAT), el Análisis de riesgos y una evaluación de impacto (EIPD).Registro de activi...
-
Medidas de seguridad o de salvaguarda de la información en el RGPD y en la LOPDGDD
Orden: Administrativo Fecha última revisión: 20/07/2021
El RGPD instaura un sistema de protección de datos basado en la responsabilidad proactiva. En este sentido, determina que serán los responsables y encargados los que deberán establecer las medidas técnicas y organizativas apropiadas para garantiz...
-
La protección de datos para los profesionales del derecho
Orden: Administrativo Fecha última revisión: 15/02/2022
Son dos las normas principales que regulan el tratamiento de datos personales:Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento...
-
Ciclo de vida de los datos en materia de protección de datos
Orden: Administrativo Fecha última revisión: 20/07/2021
Como ha razonado la AEPD en su Guía Práctica para las evaluaciones de impacto en la protección de los datos sujetas al RGPD, el análisis de riesgos conlleva tener un conocimiento muy claro del contexto y de los procesos a analizar. Para ello, de...
-
Gestión de riesgos y EIPD en un despacho de abogados o procuradores
Orden: Administrativo Fecha última revisión: 11/02/2022
El artículo 32 del RGPD indica que el responsable o encargado del tratamiento aplicará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo y teniendo en cuenta:El estado de la técnica.Los costes ...
-
Modelo de consentimiento expreso para tratamiento de datos con autorización uso de mensajeria instantánea. Asesorías. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
Responsable: [NOMBRE_EMPRESA] - Teléfono de contacto: [NUM_TLF]NIF: [NIF] - Correo electrónico: [CORREO_ELECTRONICO]Dirección postal: [CALLE], [NUMERO], [LUGAR], [CIUDAD], [CODIGO_POSTAL], [PROVINCIA]CONSENTIMIENTO EXPRESO PARA EL TRATAMIENTO DE D...
-
Modelo básico de consentimiento para el tratamiento de datos. Asesorías. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
Responsable: [NOMBRE_EMPRESA] - Teléfono de contacto: [NUM_TLF]NIF: [NIF] - Correo electrónico: [CORREO_ELECTRONICO]Dirección postal: [CALLE], [NUMERO], [LUGAR], [CIUDAD], [CODIGO_POSTAL], [PROVINCIA]Delegado de Protección de datos: [ESPECIFIQUE ...
-
Modelo de cláusula de consentimiento con transferencia internacional de datos. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
Responsable: [NOMBRE_EMPRESA] - Teléfono de contacto: [NUM_TLF]NIF: [NIF] - Correo electrónico: [CORREO_ELECTRONICO]Dirección postal: [CALLE], [NUMERO], [LUGAR], [CIUDAD], [CODIGO_POSTAL], [PROVINCIA]Delegado de Protección de datos: [ESPECIFIQUE ...
-
Modelo general de consentimiento expreso para el tratamiento de datos. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
Responsable: [NOMBRE_EMPRESA] - Teléfono de contacto: [NUM_TLF]NIF: [NIF] - Correo electrónico: [CORREO_ELECTRONICO]Dirección postal: [CALLE], [NUMERO], [LUGAR], [CIUDAD], [CODIGO_POSTAL], [PROVINCIA]Delegado de Protección de datos: [ESPECIFIQUE ...
-
Modelo de cláusula general de protección de datos para tratar datos de salud e historias clínicas. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
Responsable: [NOMBRE_EMPRESA] - NIF/CIF: [NUMERO] - Teléfono de contacto: [NUM_TLF]Correo electrónico: [CORREO_ELECTRONICO]Dirección postal: [DIRECCION], [POBLACION], [CODIGO_POSTAL], [PROVINCIA].Delegado de Protección de datos: [ESPECIFIQUE AQUI...
-
Análisis del Reglamento general de protección de datos de la UE (Reglamento UE 2016/679, de 27 de abril de 2016).
Fecha última revisión: 12/01/2017
-
ADAPTACIÓN DE UN CLUB O ASOCIACIÓN DEPORTIVA A LA NORMATIVA DE PROTECCIÓN DE DATOS
Fecha última revisión: 04/07/2019
-
Caso práctico: ¿Deben los padres de los alumnos solicitar el consentimiento expreso para realizar grabaciones o fotografías durante las actividades organizadas por los colegios?
Fecha última revisión: 05/10/2021
-
Caso práctico: ¿A qué entidades se aplica el Reglamento General de Protección de Datos?
Fecha última revisión: 26/01/2022
-
Caso práctico: Información al trabajador de la presencia de sistema de localización por GPS en el vehículo de empresa
Fecha última revisión: 13/04/2016
PLANTEAMIENTOEl Reglamento UE 2016/679, de 27 de abril de 2016 será aplicable a partir del 25 de mayo de 2018 afectando al conjunto de derechos a través de los cuales la actual Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal ga...
Debemos partir de la base de que un club o asociación deportiva generalmente dispone de datos de carácter personal, tanto datos de socios, como de deportistas, directivos del club e incluso, si es el caso, de datos de empleados.Además, en funció...
PLANTEAMIENTOLa realización de actividades lúdicas o deportivas organizadas por los centros educativos motiva que en muchas ocasiones los padres y madres de los alumnos realicen grabaciones y fotografías de los menores para «conservar» un gráf...
PLANTEAMIENTOLa aplicación del Reglamento (UE) 2016/679 del Parlamento europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación...
PLANTEAMIENTOUna empresa que proporciona ha instalado en su flota de vehículos comerciales sistemas de geolocalización por GPS como medio de control de la utilización que el empleado realiza del vehículo, así como del cumplimiento de su jornada...
-
Resolución de 1 de agosto de 2018, de la Dirección General de los Registros y del Notariado, por la que se aprueba el modelo de cláusula general voluntaria relativa al tratamiento de datos de carácter personal, de conformidad con lo establecido en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 01/08/2018
-
Resolución de ICAC, 120/diciembre 2020, 01-12-2020
Órgano: Instituto Contable Y Auditoria De Cuentas Fecha: 01/12/2020 Núm. Resolución: 120/diciembre 2020
-
Resolución de 7 de marzo de 2019, de la Dirección General de los Registros y del Notariado, de corrección de errores de la de 1 de agosto de 2018, por la que se aprueba el modelo de cláusula general voluntaria relativa al tratamiento de datos de carácter personal, de conformidad con lo establecido en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos y por el que se deroga la directiva 95/46/CE (Reglamento general de protección de datos).
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 07/03/2019
-
Resolución de 28 de abril de 2014, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación del registrador de la propiedad de Burgos n.º 4 por la que se deniega la expedición de una certificación registral.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 28/04/2014
-
Resolución de 11 de diciembre de 2017, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación del registrador de la propiedad accidental de Madrid n.º 5, por la que se deniega la expedición de la certificación.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 03/01/2018