La Agencia Española de Protección de Datos (AEPD) ha presentado esta semana una nueva herramienta para ayudar a las empresas a cumplir con la normativa de protección de datos. La herramienta se llama Gestiona y servirá para que las empresas puedan realizar sus análisis de riesgos y, en caso de necesitarlo, sus evaluaciones de impacto en la protección de datos personales (EIPD).
Todos los responsables de tratamiento deben realizar un análisis de riesgos teniendo en cuenta “la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas” según recoge el Reglamento General de Protección de Datos (Art. 24.1 RGPD). El problema surge a la hora de determinar en qué consiste un análisis de riesgos adecuado a la legislación. Además, el análisis de riesgo constituye el paso previo que permite valorar si es necesaria o no una Evaluación de Impacto, otra responsabilidad cuyo cumplimiento también plantea dudas.
La herramienta Gestiona está encaminada a resolver cualquier duda que pueda plantear la realización del análisis de riesgos y la evaluación de impacto. La nueva herramienta Gestiona funciona como un formulario web en el que se puede escoger la opción de realizar un análisis de riesgos o una evaluación de impacto.
El responsable de tratamiento contestará a una batería de preguntas que le indicarán, en el caso del análisis de riesgos, si el tratamiento de datos que realiza como parte de su actividad cumple con los requisitos que hacen obligatoria la realización de una evaluación de impacto. En caso de que la EIPD sea necesaria, la herramienta permite realizar también esta evaluación.
La nueva herramienta Gestiona se une a la herramienta Facilita que la AEPD lanzó coincidiendo con la entrada en aplicación del RGPD y que está destinada a PYMES y autónomos que traten datos personales considerados de bajo riesgo.
La AEPD también ha realizado un esfuerzo importante en la creación de guías informativas cuyo objetivo es presentar la legislación de un modo más claro y exhaustivo con ejemplos prácticos y un lenguaje más asequible, así como aclarar aquellos puntos cuya interpretación genera controversia. Es el caso de la Guía Práctica de Análisis de Riesgos en los Tratamiento de Datos Personales sujetos al RGPD y la Guía para las Evaluaciones de Impacto en la Protección de Datos sujetas al RGPD. En relación con las evaluaciones de impacto cabe mencionar también la Lista de Tipos de Tratamientos de Datos que Requieren Evaluación de Impacto.