Victoria Royo Pérez.— La Agencia Española de Protección de Datos (AEPD) ha presentado la Guía del Riesgo y Evaluación de Impacto en tratamientos de datos personales, recogiendo la experiencia acumulada a nivel nacional y europeo y unificando los criterios establecidos en la «Guía práctica de análisis de riesgo para el tratamiento de datos personales» y «Guía práctica para la evaluación de impacto de la protección de datos personales». El documento, de 160 páginas, tiene como objetivo guiar a los responsables de los tratamientos de datos personales en la gestión de riesgos independientemente del nivel de riesgo aplicable a cada caso.
Además, la AEPD presenta Evalúa Riesgo, la nueva herramienta de gestión de riesgos que cuenta con orientaciones concretas para aquellos tratamientos de datos personales que sean considerados de alto riesgo y requieran una Evaluación de Impacto de Protección de Datos.
Gestión de riesgos
Durante la presentación, Luis Antonio de Salvador Carrasco, Director de la División de Innovación Tecnológica de la AEPD, ha recordado que la política de la Agencia Española de Protección de Datos consiste en garantizar la protección de los derechos y libertades de los interesados y dar soporte a los responsables y encargados para que esa garantía pueda cumplirse de una forma eficaz.
Además, ha señalado cómo el Reglamento General de Protección de datos (RGPD) (LA LEY 6637/2016)demanda una identificación, evaluación y mitigación de los riesgos, pero no de los riesgos específicos, sino de derechos y libertades en relación a la protección de datos de los interesados.
Asimismo, el RGPD, para tomar medidas en el marco de una evaluación objetiva, también exige que esas medidas tengan un seguimiento y se revisen periódicamente atendiendo a los cambios, tanto de dentro de la organización, como aquellos que nos encontraremos en el contexto social donde se lleven a cabo los tratamientos. En consecuencia, esto requiere tomar acciones positivas, que permitan no solo garantizar el cumplimiento del RGPD, sino que permitan demostrar que se está garantizando ese cumplimiento. Por lo tanto, la gestión de riesgo que reclama la normativa europea tiene un carácter finalista: cumplir el RGPD en relación a los riesgos de los interesados.
Así, según la AEPD, la gestión de los riesgos debe sereficaz, es decir, que no sea un mero formalismo, sino que sea un proceso de gestión que toma acciones positivas que deben estar documentadas; y eficiente, ya que debe suponer el mínimo coste para la organización.
Aspectos a destacar de la nueva guía
Este documento está dirigido, preferentemente, a responsables, encargados de tratamientos y delegados de protección de datos (DPD) y tiene como objetivo facilitar a los responsables la realización de ese proceso de gestión de riesgo; así como servir de base para poder extender sus propios mecanismos de gestión de la organización a los requisitos que la agencia plantea.
Así, la guía consta de tres grandes apartados divididos en capítulos, y destaca por los siguientes aspectos:
- — Identifica los factores concretos de riesgo para los derechos y libertades que son inherentes al ámbito de los fines del tratamiento, dependiendo del contesto, naturaleza y alcance.
- — Identifica los factores de riesgo inherentes a la naturaleza de las brechas de datos personales y analiza los problemas que se pudieran derivar cuando tiene lugar una brecha de seguridad. Así, según la AEPD, si bien es necesario implementar medidas de seguridad orientadas a la protección de derechos de los interesados que eviten esas brechas, se deben analizar los escenarios para estudiar los riesgos y establecer qué pasos seguir en caso de que se produzcan esas brechas.
- — Establece en qué situaciones es necesaria y proporcional la realización de una evaluación de impacto.
Nueva herramienta para el proceso de gestión de riesgos
Evalúa Riesgo, como se conoce a esta herramienta, intenta ayudar a los responsables en su proceso de gestión, es decir, se trata de un elemento organizativo
Esta nueva herramienta clasifica los factores de riesgo atendiendo a los fines del tratamiento, a los tipos de datos que intervienen en el mismo, a su ámbito y alcance o a la tipología de los interesados. También recoge los factores técnicos del tratamiento o las tecnologías empleadas, los efectos colaterales que podría tener un tratamiento sobre los interesados o las comunicaciones que se llevan a cabo, contando con una solapa para añadir factores de riesgos que no están recogidos en la nueva herramienta. Así, como destacaba, Andrés Calvo Medina, Jefe de Área de Tecnología de la AEPD, «Esta herramienta no toma decisiones ni exime al responsable de las decisiones que debe tomar». Aunque, como ya hemos dicho, sí les ayuda para a la toma de decisiones.