E l RGPD, en sus principios, y también la LODP prevé un análisis de riesgos. Quiere decir que las medidas de cumplimiento para responsables o encargados deban aplicarse en función del riesgo que suponga para los derechos y libertades de los interesados sobre los tratamientos de datos personales que realizan,
Por ello, responsable y encargado del tratamiento deben llevar a cabo una valoración o análisis del riesgo de sus tratamientos cuando los realicen, con el fin de determinar qué medidas aplicar y cómo hacerlo. Este análisis del riesgo según la LOPD y el RGPD, variará en función de:
- Los tipos de tratamiento.
- La naturaleza de los datos.
- El número de interesados afectados.
- La cantidad y variedad de tratamientos que realice una misma organización.
En las grandes organizaciones, como regla general, el análisis de riesgos, deberá llevarse a cabo utilizando alguna de las metodologías de análisis de riesgo existentes.
En las organizaciones de menor tamaño y con tratamientos de poca complejidad, el análisis de riesgos será el resultado de una reflexión, mínimamente documentada, sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados.
Apartado1 del artículo 25 del RGPD:
“Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados”.
En cambio, en la LOPDGDD el punto de análisis se hace más especifico y las obligaciones ( Responsable y Encargado del Tratamiento) se focalizan en el artículo.28. En el punto 2, se observan aquellos RIESGOS que podrán producirse cuando :
- Cuando el tratamiento pudiera generar situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados.
- Cuando el tratamiento pudiese privar a los afectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales.
- Cuando se produjese el tratamiento no meramente incidental o accesorio de las categorías especiales de datos a las que se refieren los artículos 9 y 10 del Reglamento (UE) 2016/679 y 9 y 10 de esta ley orgánica o de los datos relacionados con la comisión de infracciones administrativas.
- Cuando el tratamiento implicase una evaluación de aspectos personales de los afectados con el fin de crear o utilizar perfiles personales de los mismos, en particular mediante el análisis o la predicción de aspectos referidos a su rendimiento en el trabajo, su situación económica, su salud, sus preferencias o intereses personales, su fiabilidad o comportamiento, su solvencia financiera, su localización o sus movimientos.
- Cuando se lleve a cabo el tratamiento de datos de grupos de afectados en situación de especial vulnerabilidad y, en particular, de menores de edad y personas con discapacidad.
- Cuando se produzca un tratamiento masivo que implique a un gran número de afectados o conlleve la recogida de una gran cantidad de datos personales.
- Cuando los datos personales fuesen a ser objeto de transferencia, con carácter habitual, a terceros Estados u organizaciones internacionales respecto de los que no se hubiese declarado un nivel adecuado de protección.
- Cualesquiera otros que a juicio del responsable o del encargado pudieran tener relevancia y en particular aquellos previstos en códigos de conducta y estándares definidos por esquemas de certificación.
En el ámbito práctico del análisis de riesgo, se debe dar respuesta a cuestiones como las que se exponen a continuación.
Cuanto mayor sea el número de respuestas afirmativas mayor sería el riesgo que podría derivarse del tratamiento. Si la respuesta a estas preguntas y otras del mismo tipo fuera negativa, es razonable concluir que la organización no realiza tratamientos que generen un elevado nivel de riesgo y que, por tanto, no debe poner en marcha las medidas previstas para esos casos.
- ¿Se tratan datos sensibles?
- ¿Se incluyen datos de una gran cantidad de personas?
- ¿Incluye el tratamiento la elaboración de perfiles?
- ¿Se cruzan los datos obtenidos de los interesados con otros disponibles en otras fuentes?
- ¿Se pretende utilizar los datos obtenidos para una finalidad para otro tipo de finalidades?
- ¿Se están tratando grandes cantidades de datos, incluido con técnicas de análisis masivo tipo big data?
- ¿Se utilizan tecnologías especialmente invasivas para la privacidad, como las relativas a geolocalización, videovigilancia a gran escala o ciertas aplicaciones del Internet de las Cosas?
Esta gestión y análisis de riesgos se puede dividir en tres etapas diferenciadas.
La identificación, la evaluación y el tratamiento de los riesgos.
La AEPD ofrece materiales para ayudar en el proceso del análisis de riesgos en algunos tratamientos. Estos materiales no garantizan el pleno cumplimiento del Reglamento de Protección de Datos RGPD, ni LOPDGDD. Siendo un remedio para aquellas empresas que realizan tratamientos de datos personales. Afortunadamente implica escaso nivel de riesgo para los derechos y libertades de las personas cuyos datos tratan. Pero se ha de tener en cuenta que todo tratamiento conlleva un cierto nivel de riesgo. Todo esto, sin dejar de lado el perjuicio de no adoptar las correspondientes medidas de seguridad.
La posibilidad de externalizar esta tarea fundamental a una empresa con experiencia, puede ser una buena y eficaz decisión.