¿En qué consiste el análisis de riesgos según RGPD?

 E RGPD prevé que las medidas de cumplimiento para responsables o encargados deban aplicarse en función del riesgo que los tratamientos que realizan supongan para los derechos y libertades de los interesados.

Por ello, responsable y encargado del tratamiento deben llevar a cabo una valoración del riesgo de sus tratamientos realicen, con el fin de determinar qué medidas aplicar y cómo hacerlo. Este análisis del riesgo variará en función de:

– Los tipos de tratamiento.

– La naturaleza de los datos.

– El número de interesados afectados.

– La cantidad y variedad de tratamientos que realice una misma organización.

En las grandes organizaciones, como regla general, el análisis deberá llevarse a cabo utilizando alguna de las metodologías de análisis de riesgo existentes.

En las organizaciones de menor tamaño y con tratamientos de poca complejidad, el análisis será el resultado de una reflexión, mínimamente documentada, sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados.

Apartadodel artículo 25 del RGPD:

“Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados”.

El análisis de riesgo deberá dar respuesta a cuestiones como las que se exponen a continuación.

Cuanto mayor sea el número de respuestas afirmativas mayor sería el riesgo que podría derivarse del tratamiento. Si la respuesta a estas preguntas y otras del mismo tipo fuera negativa, es razonable concluir que la organización no realiza tratamientos que generen un elevado nivel de riesgo y que, por tanto, no debe poner en marcha las medidas previstas para esos casos.

– ¿Se tratan datos sensibles?

– ¿Se incluyen datos de una gran cantidad de personas?

– ¿Incluye el tratamiento la elaboración de perfiles?

– ¿Se cruzan los datos obtenidos de los interesados con otros disponibles en otras fuentes?

– ¿Se pretende utilizar los datos obtenidos para una finalidad para otro tipo de finalidades?

– ¿Se están tratando grandes cantidades de datos, incluido con técnicas de análisis masivo tipo big data?

– ¿Se utilizan tecnologías especialmente invasivas para la privacidad, como las relativas a geolocalización, videovigilancia a gran escala o ciertas aplicaciones del Internet de las Cosas?

Esta gestión y análisis de riesgos se puede dividir en tres etapas diferenciadas. La identificación, la evaluación y el tratamiento de los riesgos. 

La AEPD ofrece materiales para ayudar en el proceso del análisis de riesgos en algunos tratamientos, aun cuando no garantiza el pleno cumplimiento del Reglamento de Protección de Datos, RGPD, siendo más bien un remedio para aquellas empresas que realizan tratamientos de datos personales implicando escaso nivel de riesgo para los derechos y libertades de las personas cuyos datos tratan,  aun cuanto se ha de tener en cuenta que todo tratamiento conlleva un cierto nivel de riesgo. Todo esto sin el perjuicio de que se deban adoptar las correspondientes medidas de seguridad.

La posibilidad de externalizar esta tarea fundamental a una empresa con experiencia, puede ser una buena y eficaz decisión  

 

Si la actividad de su organización pertenece a alguno de estos sectores, tales como:  Sanidad, Solvencia patrimonial y crédito, Generación y uso de perfiles, Actividades Políticas, Sindicales o Religiosas, Servicios de Telecomunicaciones, Seguros, Entidades bancarias y financieras, Actividades de servicios sociales, Publicidad, Videovigilancia masiva ( Videovigilancia de grandes infraestructura como estaciones de ferrocarril o centros comerciales)  probablemente pueda necesitar al menos un Análisis de Riegos. Altaos puede ayudarle .

Tal vez su empresa se encuentre o no reflejada aquí;  si no lo fuera, También podemos asesorarle. 

2018-09-25T12:15:41+00:00 30 octubre, 2018|