La AEPD presenta unas guías prácticas para acompañar a las entidades en las evaluaciones de riesgos sobre protección de datos

02-03-2018 — AR/2018/020

La Agencia Española de Protección de Datos publica dos guías sobre los análisis de riesgos y las obligaciones que demuestren el cumplimiento del RGPD. Diferencia un análisis preliminar de la injerencia del tratamiento en la privacidad de las personas, según tipología de los datos, los fines de tratamiento, naturaleza, contexto y riesgos específicos, y una evaluación de impacto en protección de datos (en adelante, EIPD), con una metodología para realizarla.

La Agencia Española de Protección de Datos (en adelante, AEPD) publicó el 28-2-2018, dos guías sobre las actividades relacionadas con los análisis de riesgos, que vienen derivadas de las obligaciones para reforzar y demostrar el cumplimiento del RGPD.

La AEPD diferencia dos escenarios:

  • Un análisis preliminar de la injerencia del tratamiento en la privacidad de las personas atendiendo a la tipología de los datos, los fines de tratamiento, naturaleza, contexto y riesgos específicos.
  • Una evaluación de impacto en protección de datos (en adelante, EIPD) cuando el tratamiento tiene una injerencia especialmente relevante en la privacidad de las personas.

En concreto, la “Guía práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD” ofrece directrices y orientaciones para establecer una hoja de ruta que permite contemplar la privacidad desde el inicio, mediante un enfoque de análisis de riesgos, facilitando el cumplimiento del RGPD.

En este sentido, la propia guía incluye mediante anexos, plantillas relativas a:

  • Análisis de la necesidad de la realización de una EIPD.
  • Descripción de actividades de tratamiento.
  • Documentación del análisis básico de riesgos (preliminar a la EIPD).
  • Registro de actividades de tratamiento para responsables y encargados.

Con esta guía la AEPD refuerza la conveniencia de realizar un análisis preliminar de todos los tratamientos con el fin de poder determinar los riesgos asociados a dichos tratamientos, y en su caso, llevar a cabo un análisis mucho más pormenorizado como es la EIPD.

La segunda guía, la “Guía práctica para las evaluaciones de impacto en la protección de los datos sujetas al RGPD” define la metodología para realizar una EIPD, determinando el nivel de riesgo que entraña un tratamiento, con el objetivo de establecer las medidas de control más adecuadas para mitigar o reducir ese riesgo.

Como en la guía anterior, la AEPD recoge una serie de plantillas para:

  • Análisis de documentación del ciclo de vida de los datos asociados a las actividades de tratamiento.
  • Análisis de la necesidad y proporcionalidad del tratamiento.
  • Catálogo de amenazas y posibles soluciones.
  • Gestión de riesgos.
  • Plan de acción y conclusiones.

Tanto el análisis de riesgos, como las EIPD son procesos utilizados para reforzar y demostrar el cumplimiento del RGPD y cumplir con el principio de responsabilidad proactiva (accountability) por el que los responsables deben siempre estar en condiciones de demostrar la licitud de los tratamientos que llevan a cabo.

En los documentos vinculados tienen disponibles las dos guías citadas.