La guía más completa para gestionar el riesgo de los datos personales

La Agencia Española de Protección de Datos (AEPD) acaba de presentar la guía Gestión del riesgo y evaluación de impacto en tratamientos de datos personales, un documento que resumen toda la experiencia del organismo a la hora de aplicar la gestión del riesgo en la protección de datos desde que se puso en funcionamiento el Reglamento General de Protección de Datos (RGPD) e incorpora sus interpretaciones y las de dos organismos europeos: el Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos.

La idea es ofrecer una visión unificada en la gestión de riesgos que sirva a los responsables, encargados de tratamientos y delegados de protección de datos (DPD) a la hora de mejorar sus procesos en la gobernanza de las entidades. La guía se puede aplicar a cualquier tratamiento, de mayor o menor riesgo, incluso en los denominados de alto riesgo para organismos y entidades como, por ejemplo, los medios de comunicación.

El RGPD ha cambiado recientemente las reglas del juego al establecer que las organizaciones deben tratar datos personales siempre garantizando los derechos y libertades de las personas. Además, en aquellos casos en los que los tratamientos impliquen un riesgo alto para la protección de datos, el Reglamento dispone que esas organizaciones están obligadas a realizar una Evaluación de Impacto en Protección de Datos (EIPD) para mitigar esos riesgos.

La guía está dividida en tres apartados. Por un lado, el que describe los fundamentos de la gestión de riesgos para los derechos y libertades; un segundo que incluye un desarrollo metodológico básico para la aplicación de la gestión del riesgo; y el último está enfocado en los casos en los sea preciso realizar una EIPD, con las orientaciones necesarias para llevarla a cabo.

Además, la Agencia ha presentado EVALÚA_RIESGO RGPD, el prototipo de una nueva herramienta que ayuda a responsables y encargados de organismos y entidades a identificar los factores de riesgo para los derechos y libertades de los interesados presentes en el tratamiento; hacer una primera evaluación del riesgo intrínseco, incluyendo necesidad de realizar una EIPD, y estimar el riesgo residual si se utilizan medidas y garantías para mitigar los riesgos.