La AEPD publica una nueva guía sobre la gestión del riesgo y evaluación de impacto

por

publicado el 5 julio 2021

Categorías: General

La Agencia Española de Protección de Datos (AEPD) ha publicado una nueva guía sobre la Gestión del riesgo y evaluación de impacto en tratamientos de datos personales. Con esta guía pretende informar de los conocimientos obtenidos de la aplicación de la gestión del riesgo en el área de la protección de datos. Buscan también incorporar las nuevas opiniones e interpretaciones de la AEPD, del Comité Europeo de Protección de Datos (CEPD) y del Supervisor Europeo de Protección de Datos (SEPD). Otras de las finalidades de la guía son mejorar los materiales destinados a asistir al cumplimiento de los responsables y facilitar la integración de la gestión de riesgos para los derechos y libertades, así como el cumplimiento del RGPD, en los procedimientos de gestión y gobernanza de las entidades.  

La guía establece que la gestión del riesgo es uno de los cimientos de la dirección de las organizaciones. Es necesario que todas las entidades que quieran comenzar con garantías un nuevo producto o servicio gestionen los elementos de incertidumbre que resultan de su naturaleza, ámbito o contexto. 

Para realizar una correcta gestión del riesgo es preciso determinar y caracterizar de manera concisa los fines del tratamiento. Tanto los fines como su legitimación deben estar establecidos antes de iniciar la gestión del riesgo. Es necesario conocer y analizar los riesgos que un determinado tratamiento puede representar para los derechos y libertades. Este análisis tiene que ser lo suficientemente exhaustivo como para obtener unas conclusiones relativas al riesgo y para cumplir con las obligaciones de Registro de Actividades del Tratamiento. La evaluación del nivel de riesgo tiene por objetivo optimizar los esfuerzos para disminuir y tramitar los riesgos de manera proporcional. Además de establecer si el nivel de riesgo requiere cumplir con lo indicado en los artículos 35 y 36 RGPD (relativos a supuestos de alto riesgo). 

No solo es preciso identificar el riesgo sino también los factores que lo generan. Para cada uno de los factores reconocidos, el responsable tendrá que indicar su impacto inherente, el que deriva de no considerar las medidas y garantías para los derechos y libertades. De esta manera, se pretende constituir cuatro niveles de impacto del riesgo (muy significativo, significativo, limitado y muy limitado), además de cuatro niveles de probabilidad de concurrencia (muy alta, alta, baja e improbable). Así, la combinación de sus valores permitirán fijar estos niveles de riesgo: muy alto, alto, medio y bajo. 

Una vez identificado el riesgo, ha de continuarse con su tratamiento. Esto implica tomar medidas e implementar garantías que reduzcan el nivel de riesgo para los derechos y libertades. Este ejercicio implica efectuar acciones para reducir, eliminar o asumir de manera controlada los riesgos reconocidos. Por ello, el tratamiento podría entenderse como una manera de aminorar el potencial perjuicio disminuyendo, tanto la probabilidad de que se materialicen los riesgos, como el impacto que representan. Las medidas pueden ser medidas sobre el concepto y diseño del tratamiento, medidas de gobernanza y las políticas de protección de datos o medidas de seguridad para la protección de derechos y libertades. 

Para concluir la Agencia destaca que la gestión de riesgo que reclama el RGPD es la dirigida a proteger los derechos y libertades de los interesados, y no hay que confundirla con otras como la gestión de riesgo de cumplimiento. La gestión de riesgo y la Evaluación de Impacto de la Protección de Datos (EIPD) están profundamente relacionados. Sin embargo, mientras que la gestión del riesgo ha de realizarse en todo tratamiento, los deberes establecidos en la EIPD son obligatorias solo en el tratamiento de alto riesgo.