Análisis de riesgos aplicados a la privacidad y a la protección de datos en el Reglamento general de protección de datos (RGPD) y en la LO 3/2018 (LOPDGDD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 20/07/2021

Desde la entrada en vigor del RGPD es obligatorio el cumplimiento de los requerimientos y obligaciones para el responsable y el encargado de tratamiento que este incluye, entre las que destaca la necesidad de llevar a cabo un análisis de riesgos con el fin de establecer medidas de seguridad y control para garantizar los derechos y libertades de las personas, medidas enfocadas siempre en la gestión continua de los riesgos potenciales asociados al tratamiento desde su diseño.

Evaluación de posibles riesgos en el tratamiento de datos personales

El plan de cumplimiento de protección de datos debe atender y respetar, en todo caso, los principios y características principales que lo rigen. Con esta base principal, se procederá al diseño de un boceto de los tratamientos y datos que se van a utilizar en la entidad responsable, así como el principal foco de interesados sobre los que se van a proyectar. Para ello, es necesario conocer con profundidad la actividad de la empresa, así como el modo de trabajo y su estructura, de cara a proceder fielmente con respecto a la imagen de la entidad.

Una vez se ha interiorizado lo anterior, se deben buscar las bases de legitimación de los tratamientos que preliminarmente hemos enunciado, en conjunción con el abanico de derechos del interesado. La idea de ello es que se debe contar con unas garantías adecuadas de, por un lado, voluntad de cumplimiento con las bases de legitimación y, por el otro, de respeto y mecanismos de reacción adecuados a la satisfacción de los derechos del interesado.

Así, como ya recoge la el considerando (74) del RGPD, «debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas físicas». 

Por tanto, «la probabilidad y la gravedad del riesgo para los derechos y libertades del interesado debe determinarse con referencia a la naturaleza, el alcance, el contexto y los fines del tratamiento de datos. El riesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto»(considerando 76 del RGPD)

En función de lo anterior, nace la necesidad de desarrollar un análisis de riesgos. El primer paso es la contextualización del escenario de riesgo, lo cual guarda relación directa con la descripción del ciclo de vida de los datos y la identificación de las amenazas que pueden afectar a la privacidad y que van ligadas al tratamiento de los datos. Dicho análisis nos ayudará a averiguar las medidas más eficaces y necesarias para mitigar o evitar los riesgos asociados a los tratamientos de datos de carácter personal y del mismo se podrá concluir:

  • Sí debe realizarse una EIPD: al efectuar el análisis, o durante los pasos previos, se llega a la conclusión de que los tratamientos o alguno de los tratamientos pueden entrañar un riesgo elevado o alto para los derechos y libertades de las personas físicas.
  • No es necesaria una EIPD: del análisis de riesgos realizado se entiende que las actividades de tratamiento no están expuestas a riesgos relevantes que motiven la necesidad de realizar una EIPD en profundidad. Tal conclusión debe estar debidamente fundamentada. 

En conclusión, se trata de una fase previa a la EIPD que servirá para identificar las amenazas que se proyectan sobre los datos de los interesados y así poder diseñar e implementar una respuesta adecuada sobre ellos. Es decir, ayudará a encontrar las medidas de seguridad y control que se necesitan para cumplir con lo dispuesto en la normativa y reducir la amenaza a un nivel aceptable para la entidad.

Acudiendo a la Guía Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD de la AEPD, podemos consultar esta tabla orientativa que recoge las operaciones principales en el tratamiento de datos:

TIPO DE TRATAMIENTODESCRIPCIÓN
Evaluación o scoringValoraciones y análisis, elaboración de perfiles y predicciones (relacionados con el desempeño del trabajo, situación económica, salud, intereses personales, ubicación...).
Toma de decisiones automatizada con efecto legal o similarTiene como objetivo la toma de decisiones sobre sujetos que producen efectos legales sobre la persona física o le afecta significativamente.
Monitorización sistemáticaObservación y control de los interesados, incluidos los datos recopilados a través de redes o sistema de control de un área de acceso público.
Datos confidenciales o de naturaleza personalTratamiento con categorías especiales de datos personales (datos médicos, penales...).

Coincidencia o combinación de conjunto de datos

 Actividades de tratamiento que implican la combinación de conjuntos de datos. 
Datos relativos a las personas vulnerablesMenores, colectivos más vulnerables o que necesitan protección especial (ej. ancianos, enfermos psíquicos...). 
 Uso innovador o aplicación de nuevas soluciones tecnológicas u organizativasNuevas tecnologías en el tratamiento de datos (ej. huella dactilar y reconocimiento facial).
Tratamiento que impide que los interesados usen un servicio o contrato o ejerzan un derechoOperaciones de procesamiento de datos con el objetivo de permitir, modificar o rechazar el acceso de los interesados a un servicio o contrato.  
 Tratamientos sujetos a un código de conducta que lo requiereCuando a los tratamientos evaluados se les aplica un código de conducta que exige su cumplimiento.

 

No hay versiones para este comentario

Tratamiento de datos personales
Análisis de riesgo
Protección de datos
Evaluación de impacto en protección de datos
Medidas de seguridad
Persona física
Amenazas
Actividades empresariales
Datos personales
Responsabilidad del responsable del tratamiento
Actividades de tratamiento de datos
Ciclo de vida de los datos
Elaboración de perfiles
Código de conducta
Categorías especiales de datos
Incluídos en este concepto

Documentos relacionados
Ver más documentos relacionados
  • Obligaciones en materia de protección de datos en las relaciones laborales

    Orden: Laboral Fecha última revisión: 21/05/2021

    Dentro de las obligaciones que el RGPD fijan en materia de proteción de datos personales para la empresa encontramos el Registro de actividades de tratamiento (RAT), el Análisis de riesgos y una evaluación de impacto (EIPD).Registro de activi...

  • Medidas de seguridad o de salvaguarda de la información en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 20/07/2021

    El RGPD instaura un sistema de protección de datos basado en la responsabilidad proactiva. En este sentido, determina que serán los responsables y encargados los que deberán establecer las medidas técnicas y organizativas apropiadas para garantiz...

  • La protección de datos para los profesionales del derecho

    Orden: Administrativo Fecha última revisión: 15/02/2022

    Son dos las normas principales que regulan el tratamiento de datos personales:Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento...

  • Ciclo de vida de los datos en materia de protección de datos

    Orden: Administrativo Fecha última revisión: 20/07/2021

    Como ha razonado la AEPD en su Guía Práctica para las evaluaciones de impacto en la protección de los datos sujetas al RGPD, el análisis de riesgos conlleva tener un conocimiento muy claro del contexto y de los procesos a analizar. Para ello, de...

  • Gestión de riesgos y EIPD en un despacho de abogados o procuradores

    Orden: Administrativo Fecha última revisión: 11/02/2022

    El artículo 32 del RGPD indica que el responsable o encargado del tratamiento aplicará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo y teniendo en cuenta:El estado de la técnica.Los costes ...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros y cursos relacionados