Nueva guía de la AEPD para la gestión del riesgo en el tratamiento de datos personales

La nueva guía de la AEPD ya está disponible para que la consultes. Te interesará especialmente si eres el responsable del tratamiento de datos personales en una empresa o en tu propio negocio. Pero tampoco deberías dejarle de echar un vistazo si, simplemente, sientes curiosidad por todo lo relacionado con la protección de datos.

La nueva guía de la AEPD ofrece una visión unificada

La gestión del riesgo y la evaluación de impacto son dos tareas diferentes, pero estrechamente relacionadas entre sí. El documento “Gestión del riesgo y evaluación de impacto en tratamientos de datos personales” supone toda una novedad, porque es la primera vez que la AEPD ofrece una visión unificada de estos procesos. Y lo hace a fin de facilitar la labor de las entidades y personas que deben llevar a cabo el tratamiento de datos personales.

No se limita a enunciar las disposiciones legales, sino que también incluye aclaraciones basadas en la experiencia acumulada por la propia Agencia, el Comité Europeo de Protección de Datos, y el Supervisor Europeo de Protección de Datos, en estos tres años de vigencia del RGPD.

Gestión del riesgo y evaluación de impacto

El RGPD establece la obligación, para todas las organizaciones que lleven a cabo el tratamiento de datos personales, de realizar una gestión del riesgo para conocer mejor qué posibles vulneraciones pueden afectar a los datos. A fin de garantizar los derechos y libertades fundamentales de las personas.

Si a resultas de ese análisis, se determina que existe un alto nivel de riesgo en lo referente a la protección de datos, surge entonces la obligación de realizar una evaluación de impacto en protección de datos (EIPD) con el objetivo de mitigar esos riesgos.

Aunque no todas las entidades van a tener que hacer necesariamente una EIPD, las disposiciones del documento que estamos examinando son aplicables a todo tipo de tratamientos de datos, sin importar su nivel de riesgo.

gestión del riesgo en el tratamiento de datos personales

La información se estructura en tres partes

Con el fin de que el contenido puedas entenderlo de la mejor forma posible, la información se ha dividido en tres grandes apartados. En el primero, se habla de los fundamentos de la gestión de riesgos. En el segundo, se habla del método básico para llevarlo a cabo, y en el tercero, se incluyen orientaciones para implementar la EIPD en caso de que haya que realizarla.

El texto combina la literalidad de la ley con explicaciones detalladas sobre lo que debes hacer tanto al abordar la tarea de gestionar el riesgo como al hacer la EIPD. Incluye prácticos esquemas y tablas que sintetizan la información y la hacen más accesible.

De todos sus apartados, uno de los más importantes es el relativo a la explicación de los casos en los que es o no necesario llevar a cabo la evaluación de impacto en protección de datos, porque sigue siendo un tema que suscita dudas.

Mención aparte merece la explicación sobre la obligación establecida en el artículo 36 del RGPD sobre la consulta previa con la autoridad de control si tras realizar la EIPD se determina que existe riesgo para los derechos y libertades.

El documento explica detalladamente en qué consiste esta consulta y en qué casos es obligatorio llevarla a cabo, así como los requisitos para hacerlo bien.

La nueva guía de la AEPD trata de resolver todas las posibles dudas que puedas tener en lo relativo a las labores de gestión del riesgo y evaluación del impacto. A fin de que los responsables del tratamiento de datos personales puedan realizar su labor de la forma más eficiente posible y con pleno sometimiento a las prescripciones legales.

imagen