Blog

Hoy en día, es fundamental para la buena marcha de una empresa que su gestión se apoye en una identificación y evaluación de riesgos que le permita poner en marcha las medidas necesarias para prevenirlos y evitarlos. De hecho, son ya varias las normativas de sistemas de gestión que están incluyendo este enfoque en su estructura, como es el caso de las últimas versiones de las normas ISO 9001, ISO 14001, ISO 45001, ISO 22000…y muchas otras.

Pues bien, la protección de datos no podía ser menos, y el nuevo Reglamento UE 2016/679 General de Protección de Datos (RGPD) exige a los Responsables de tratamiento de los datos que adopten las medidas necesarias de seguridad basándose en los posibles riesgos que detecten. Concretamente, establece lo siguiente:

Artículo 25.1 del RGPD: “Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados”.

Artículo 32.2 del RGPD: “Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”

En efecto, el RGPD establece la necesidad de que cualquier empresa u organización adopte las medidas de seguridad teniendo en cuenta los riesgos. En cambio, la Evaluación de impacto no se requiere siempre, sino que cada organización debe valorar si es necesaria o no en función de cada actividad de tratamiento que lleve a cabo.  Será fundamental el análisis de riesgo previo para poder determinar si existe algún tratamiento con nivel de riesgo alto para los derechos de las personas físicas que nos obligue a realizar la evaluación de impacto, pero además el RGPD nos da pistas, y en el artículo 35.3 describe varios casos en los cuales se ha considerado que un tratamiento puede derivar en riesgos elevados y son aquello en los que exista:

• Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado como la elaboración de perfiles y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten de modo similar.
• Tratamiento a gran escala de las categorías especiales de datos personales, o datos sobre condenas e infracciones penales o medidas de seguridad conexas.
• Observación sistemática a gran escala de una zona de acceso público

La Agencia Española de Protección de Datos (AEPD) ha publicado varias guías que abordan tanto el Análisis de Riesgos como la Evaluación de impacto.

Si tiene dudas y necesita más información en relación con el Reglamento General de Protección de Datos (RGPD) contacte con nosotros.

Foto: d3images