La Agencia Española de Protección de Datos (AEPD) ha presentado la nueva guía Gestión del riesgo y evaluación de impacto en tratamientos de datos personales. La presentación se ha realizado en el marco de un acto online que ha servido también de foro en el que comentar y profundizar sobre los contenidos del nuevo documento.
La presentación de la guía se ha centrado en la importancia que tiene la Evaluación de Impacto de datos personales (EIOD) para la protección de los derechos y libertades de las personas físicas al ser un instrumento proactivo que requiere de un análisis previo y no por defecto.
La EIPD ayuda a identificar los riesgos de un tratamiento de datos en sus diferentes vertientes, finalidades (análisis de proporcionalidad), sistemas e interesados comenzando por determinar si se aplican o no y estableciendo si los riesgos han sido mitigados o no.
En el contexto de la responsabilidad activa, la identificación y análisis de factores de riesgo estará siempre documentado y justificado a fin de que el responsable de tratamiento pueda demostrar que las decisiones tomadas en cada momento con relación a la gestión del riesgo han sido las más adecuadas en función de la información de la que se disponía en caso de solicitar aclaración por parte de la Autoridad de Control en su caso
Se deberá además de los factores de riesgo, identificar la probabilidad de que ocurran, así como la probabilidad lo que permitirá establecer los niveles de riesgo.
La AEPD ha presentado en el mismo evento su herramienta online Evalúa Riesgo RGPD que servirá para ayudar a los responsables y encargados de tratamiento a identificar los factores de riesgo de sus tratamientos de datos.
La publicación de la nueva guía sobre EIPD se engloba dentro de la labor divulgativa e interpretativa de la AEPD que el Reglamento General de Protección de Datos recoge como uno de sus principales cometidos.
Las implicaciones de la gestión de riesgo en protección de datos
Como se señalábamos en la introducción, la gestión del riesgo supone un ejercicio de reflexión que hay que llevar a cabo antes de realizar una actividad de tratamiento de datos personales. Su objetivo es el de identificar y poder anticiparse a los posibles efectos adversos, o no previstos, que el tratamiento podría tener sobre los interesados.
La gestión del riesgo ha de permitir que el responsable tome las decisiones y acciones necesarias para conseguir que el tratamiento cumpla los requisitos del RGPD y la LOPDGDD, garantizando y pudiendo demostrar la protección de los derechos de los interesados.
La gestión del riesgo es una tarea que confronta las expectativas y pretensiones del responsable del tratamiento con la realidad que se deriva de las consecuencias de la implementación efectiva del mismo para los interesados. También confronta los objetivos a corto plazo del responsable con una visión a largo plazo de las consecuencias que las operaciones de tratamiento pueden suponer sobre los interesados. Además, obliga a realizar un análisis crítico de las relaciones de un tratamiento con el entorno.
La gestión del riesgo que exige el RGPD es aquella que está orientada específicamente a proteger los derechos y libertades de los interesados, y no hay que confundirla con otras orientaciones de riesgo, como la gestión de riesgo de cumplimiento. A su vez, la gestión del riesgo para los derechos y libertades se extiende más allá de únicamente una gestión de riesgos de seguridad.
El correcto desempeño de esta tarea obliga al responsable a realizar algo más que elaborar documentos o utilizar herramientas de ayuda a la toma de decisiones. La gestión del riesgo obliga a estudiar, analizar, actuar y asumir responsabilidades, así como a realizar su seguimiento continuo y permanente. Por lo tanto, la gestión del riesgo es un proceso y, como tal, ha de ser eficaz (conseguir sus objetivos) y eficiente (realizarse con el mínimo coste y empleo de recursos).
Como herramienta básica para la ejecución de la responsabilidad proactiva, la gestión del riesgo para los derechos y libertades ha de estar incluida y formar parte indivisible de las políticas de gestión de la organización. Por lo tanto, la gestión del riesgo para los derechos y libertades es una tarea que debe ser realizada “por defecto” cuando se están tratando datos de carácter personal.
La gestión del riesgo y la Evaluación de Impacto para la Protección de Datos son procesos íntimamente vinculados. La EIPD es una especificidad dentro de la gestión del riesgo. Por lo tanto, la EIPD no puede existir sin estar formando parte de la gestión de riesgos para los derechos y libertades, extendiéndola con una serie de requisitos adicionales.
Mientras que la gestión del riesgo es obligatoria para todo tratamiento, las obligaciones concretas que se establecen para la EIPD son obligatorias, exclusivamente, para tratamientos de alto riesgo. La obligación de realizar una EIPD, establecida en el RGPD y en su desarrollo, es una declaración de mínimos. Es decir, la EIPD puede ser recomendable o necesaria en otros casos, independientemente de que sea obligatoria para casos específicos. En ocasiones su utilización puede ser aconsejable, como herramienta para “garantizar y poder demostrar” la conformidad con el RGPD.
En cualquier caso, independientemente de guías o listas de obligación, la gestión del riesgo incluyendo las garantías de una EIPD ha de realizarse “Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas”.