La AEPD actualiza su guía de gestión de riesgo y evaluación de impacto del tratamiento de datos personales
30-06-2021 — AR/2021/093
Esta nueva guía de la Agencia Española de Protección de Datos unifica y actualiza las guías anteriores sobre estos asuntos. Además de recordar principios generales de la protección de datos, aporta criterios y metodología para incorporar los riesgos a la gestión de las entidades y realizar la evaluación de impacto.
- Compartir
- Correo electrónico
La Agencia Española de Protección de Datos (AEPD) ha publicado, el 29-6-2021, la actualización de su guía «Gestión del riesgo y evaluación de impacto en tratamiento de datos personales».
La finalidad que manifiesta el regulador es unificar las guías anteriores sobre este asunto y facilitar a las entidades la integración de la gestión de riesgos en sus procesos de gestión y gobernanza.
La gestión de riesgos en el RGPD
El Reglamento General de Protección de Datos (RGPD) obliga a realizar una gestión del riesgo para definir las medidas necesarias de protección de los derechos y libertades de las personas.
Además, cuando los tratamientos impliquen un riesgo alto para la protección de datos, el RGPD exige que se realice una «evaluación de impacto en protección de datos» (EIPD) para mitigar los riesgos detectados.
Para ayudar a los responsables y encargados de tratamiento a cumplir con estas exigencias, la AEPD actualiza la guía y hace hincapié en el principio de responsabilidad proactiva y en la importancia, no solo de asegurar, sino también de demostrar el cumplimiento de los requisitos del reglamento.
Estructura de la guía
La guía es aplicable a cualquier tratamiento, con independencia de su nivel de riesgo y se divide en tres secciones principales:
- Una primera sección que contiene los fundamentos de la gestión de riesgos para los derechos y libertades.
- Una sección con el desarrollo metodológico básico para la aplicación práctica de la gestión del riesgo para los derechos y libertades.
- Para los casos de tratamientos de alto riesgo, se incorporan las orientaciones necesarias para realizar la EIPD y, en su caso, la consulta previa a la autoridad de control, obligatoria cuando una evaluación de impacto sigue ofreciendo un riesgo residual alto o muy alto tras haber tomados las medidas de seguridad.
Evaluación del riesgo
La AEPD ha lanzado también «Evalúa Riesgo RGPD», un prototipo de herramienta que facilita a los responsables y a los encargados del tratamiento:
- la identificación de los factores de riesgo para los derechos y libertades de los interesados presentes en los tratamientos;
- la evaluación del riesgo inherente, incluyendo la necesidad de realizar una EIPD, y
- la estimación del riesgo residual si se utilizan medidas y garantías adecuadas para mitigar los riesgos.
La herramienta incluye un catálogo de riesgos y controles. No es exhaustivo, por lo que el responsable deberá identificar los que sean específicos para cada tratamiento e incluirlos en su evaluación.