¿En qué consiste el análisis de riesgo al que se refiere el RGPD?
El RGPD prevé que las medidas de cumplimiento para responsables o encargados deban aplicarse en función del riesgo que los tratamientos que realizan supongan para los derechos y libertades de los interesados.
Por ello, responsable y encargados deben llevar a cabo una valoración del riesgo de sus tratamientos realicen, con el fin de determinar qué medidas aplicar y cómo hacerlo. Este análisis del riesgo variará en función de:
- Los tipos de tratamiento.
- La naturaleza de los datos.
- El número de interesados afectados.
- La cantidad y variedad de tratamientos que realice una misma organización.
En las grandes organizaciones, como regla general, el análisis deberá llevarse a cabo utilizando alguna de las metodologías de análisis de riesgo existentes.
En las organizaciones de menor tamaño y con tratamientos de poca complejidad, el análisis será el resultado de una reflexión, mínimamente documentada, sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados.
El análisis de riesgo deberá dar respuesta a cuestiones como las que se exponen a continuación.
Cuanto mayor sea el número de respuestas afirmativas mayor sería el riesgo que podría derivarse del tratamiento. Si la respuesta a estas preguntas y otras del mismo tipo fuera negativa, es razonable concluir que la organización no realiza tratamientos que generen un elevado nivel de riesgo y que, por tanto, no debe poner en marcha las medidas previstas para esos casos.
- ¿Se tratan datos sensibles?
- ¿Se incluyen datos de una gran cantidad de personas?
- ¿Incluye el tratamiento la elaboración de perfiles?
- ¿Se cruzan los datos obtenidos de los interesados con otros disponibles en otras fuentes?
- ¿Se pretende utilizar los datos obtenidos para una finalidad para otro tipo de finalidades?
- ¿Se están tratando grandes cantidades de datos, incluido con técnicas de análisis masivo tipo big data?
- ¿Se utilizan tecnologías especialmente invasivas para la privacidad, como las relativas a geolocalización, videovigilancia a gran escala o ciertas aplicaciones del Internet de las Cosas?
La AEPD ha desarrollado materiales para ayudar en el proceso de valoración de los riesgos en tratamientos, como la Guía sobre análisis de riesgos y la Guía de evaluaciones de impacto, que se pueden consultar en los siguientes enlaces:
https://www.aepd.es/documento/guia-evaluaciones-de-impacto-rgpd.pdf
https://www.aepd.es/documento/guia-analisis-de-riesgos-rgpd.pdf
Si no encuentra respuesta, puede formularnos su consulta.