Nueva guía para la gestión de riesgos del tratamiento de datos personales

La Agencia Española de Protección de Datos ha publicado hace escasos días una nueva guía dirigida principalmente a delegados de Protección de Datos, responsables y encargados del tratamiento, con el fin de servir de ayuda para gestionar el riesgo de los tratamientos de datos personales y realizar evaluaciones de impacto, en definitiva, cumplir con la normativa vigente.

Esta guía actualiza y unifica las presentadas hace más de tres años por la AEPD:

· “Guía práctica de análisis de riesgo para el tratamiento de datos personales”

· “Guía práctica para la evaluación de impacto en la protección de datos personales”.

El RGPD establece que las organizaciones que tratan datos personales deben realizar una gestión del riesgo con el fin de establecer las medidas que sean necesarias para garantizar los derechos y libertades de las personas. Además, en aquellos casos en los que los tratamientos impliquen un riesgo alto para la protección de datos, el Reglamento dispone que esas organizaciones están obligadas a realizar una Evaluación de Impacto en Protección de Datos (EIPD) para mitigar esos riesgos.

El nuevo documento, contiene criterios e interpretaciones de la misma Agencia, del Comité Europeo de Protección de Datos y el Supervisor Europeo y es aplicable a todo tipo de tratamientos de datos personales. Concretamente, para los tratamientos de alto riesgo, incorpora las orientaciones necesarias para realizar la evaluación de impacto y, en su caso, la consulta previa a la que se refiere el artículo 36 del Reglamento General de Protección de Datos, que establece que el responsable debe consultar a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto sigue ofreciendo un riesgo residual alto o muy alto tras haber tomado medidas.

En definitiva, ofrece una visión unificada de la gestión de riesgos y de las evaluaciones de impacto en materia de protección de datos, facilitando la integración de la gestión de riesgos en los procesos de gestión y gobernanza de las entidades.

Además de recoger la experiencia acumulada, pretende mejorar los materiales dirigidos a ayudar al cumplimiento por parte de los responsables, dando una visión unificada de la gestión de riesgos y de la EIPD.

La Guía consta de tres apartados:

1. Descripción de los fundamentos de la gestión de riesgos para los derechos y libertades

2. Desarrollo metodológico básico para la aplicación de la gestión del riesgo

3. Contiene las orientaciones necesarias para realizar una evaluación de impacto.

Guillermo Caro Arteaga

Abogado

gcaro@binauramonlex.com



Deja un comentario


Twittear
Compartir
Compartir