Gestión e impacto de riesgo en datos personales

Desde la Agencia Española de Protección de Datos (AEPD) abordan la “Gestión de del riesgo y evaluación de impacto en tratamientos de datos personales”, en una guía en que exponen sus experiencias en la gestión del riesgo en el ámbito de la protección de datos tras la publicación del Reglamento General de Protección de Datos (RGPD),
Dicho documento se nutre no sólo de las interpretaciones de la autoridad de control a nivel nacional, la AEPD, sino que se complementa con las interpretaciones del Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos. Esta guía se dirige a los responsables, encargados de tratamientos y delegados de protección de datos (DPD), ofreciendo un análisis unificado de la gestión de riesgos y de las evaluaciones de impacto en materia de protección de datos, facilitando de este modo la integración del análisis de riesgos en los procesos de gestión y administración de las entidades. En este sentido, la Agencia hace alusión al Reglamento en la medida que se encarga de recordar que establece que las organizaciones que tratan datos de carácter personal deben llevar a cabo una gestión del riesgo dirigida a establecer todas aquellas medidas de seguridad que sean necesarias para garantizar los derechos y libertades de las personas adquiridos por las distintas normativas aplicables.

En aquellos casos en los que los tratamientos impliquen un riesgo alto para la protección de los datos, del propio Reglamento se infiere que dichas entidades están obligadas a realizar una Evaluación de Impacto en Protección de Datos (EIPD) de cara a intentar mitigar esos riesgos lo máximo posible.

Por otra parte, la propia Autoridad de Control, la AEPD, ha indicado expresamente que esta guía es aplicable a cualquier tratamiento con independencia del nivel de riesgo que tenga asociado. En este sentido, para aquellos tratamientos cuyo riesgo sea alto, se incorporan las orientaciones correspondientes para hacer la Evaluación de Impacto, y en caso de ser necesario, la consulta previa que establece el artículo 36 del RGPD, en el que se establece que el responsable de tratamiento debe consultar a la  Autoridad de control antes de realizar un tratamiento cuando el resultado de la Evaluación de Impacto continúe resultando alto o muy alto pese a las medidas adoptadas para ese tratamiento. En esta nueva guía se definen aquellos factores que se han considerado de riesgo para los derechos y libertades las personas implicadas en un tratamiento. Esta relación de factores indicados en la guía no es exhaustiva, sino que el responsable de tratamiento deberá identificar aquellos que sean específicos para cada tratamiento y realizar su correspondiente evaluación.  Por otra parte, se incluye una evaluación del riesgo intrínseco, que incluye la necesidad de realizar una EIPD y la necesidad de estimar el riesgo residual si existen medidas y garantías de seguridad destinadas a mitigar los riesgos.

Asimismo, el documento recoge una serie de criterios adicionales que incrementan la criticidad del tratamiento a analizar, los cuales también deben tenerse en consideración como factores de riesgo. A modo ejemplificativo, no taxativo, se exponen algunos de los factores tipificados por la AEPD para tener en cuenta a la hora de realizar el análisis de riesgo de un tratamiento:

1. Tratamientos que impliquen perfilado o valoración de sujetos, incluida la recogida de datos del sujeto en múltiples ámbitos de su vida (desempeño en el trabajo, personalidad y comportamiento), que cubran varios aspectos de su personalidad o sobre sobre sus hábitos..- Con un valor de riesgo recomendado como ALTO.
2. Tratamientos que impliquen el uso de categorías especiales de datos a las que se refiere el artículo 9.1 del RGPD, datos relativos a condenas o infracciones penales a los que se refiere el artículo 10 del RGPD o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos.- Con un valor de riesgo recomendado como MUY ALTO.
3. Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público, así como el procesamiento de identificadores únicos que permitan la identificación de usuarios de servicios de la sociedad de la información como pueden ser los servicios web, TV interactiva, aplicaciones móviles, etc.- Con un valor de riesgo recomendado como ALTO.

Desde GlobalSuite Solutions podemos apoyarte en la gestión del riesgo y en la realización de Evaluaciones de Impacto en Protección de Datos, consiguiendo que tu Sistema de Gestión esté perfectamente integrado con un software como GlobalSuite® Privacy Data Protection. Esto te  supondrá los siguientes beneficios:

• Ahorrarás un 27% más de tiempo y utilizarás menos recursos con el uso del software, obteniendo mejores resultados y su consolidación.
• Conseguirás optimizar un 25% más en la realización de los procesos referentes a la Protección de Datos.
• Obtendrás un 28% más de eficiencia en la realización de los análisis de riesgos y en las evaluaciones de impacto.