La AEPD publica una nueva guía para gestionar riesgos de los tratamientos de datos personales y realizar evaluaciones de impacto. El documento incorpora diferentes criterios e interpretaciones de la AEPD, el Comité Europeo de Protección de Datos y el Supervisor Europeo.
A quién está dirigido el documento
La Guía está dirigida a:
- responsables,
- encargados de tratamiento,
- delegados de protección de datos
- etc.
Gestionar riesgos de manera adecuada
Ofrece una visión unificada de gestionar riesgos y de las evaluaciones de impacto en protección de datos.
También facilita la integración de la gestión de riesgos en los procesos de gestión y gobernanza de las entidades.
Aplicación de la guía para gestionar riesgos
La guía presentada es aplicable a cualquier tratamiento, con independencia del nivel de riesgo. Además, para los tratamientos de alto riesgo, incorpora las orientaciones necesarias para realizar la evaluación de impacto. En su caso, da indicaciones referentes a la consulta previa a la que se refiere el artículo 36 del RGPD. Este artículo establece que el responsable debe consultar a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto sigue ofreciendo un riesgo residual alto o muy alto tras haber tomado medidas.
Contenido de la guía
Por consiguiente, la Guía consta de tres apartados:
- una descripción de los fundamentos de la gestión de riesgos para los derechos y libertades;
- un desarrollo metodológico básico para la aplicación de la gestión del riesgo,
- un apartado enfocado en los casos en los sea preciso realizar una EIPD, con las orientaciones necesarias para llevarla a cabo.
EVALÚA_RIESGO RGPD
Además, la Agencia ha presentado EVALÚA_RIESGO RGPD, el prototipo de una nueva herramienta que tiene como objetivo:
- ayudar a responsables y encargados a identificar los factores de riesgo para los derechos y libertades de los interesados presentes en el tratamiento;
- hacer una primera evaluación del riesgo intrínseco, incluyendo necesidad de realizar una EIPD,
- estimar el riesgo residual si se utilizan medidas y garantías para mitigar los riesgos.