¿Debe el DPD realizar el análisis de riesgo?

El artículo 39, apartado 2, del RGPD requiere que el delegado de protección de datos (DPD) desempeñe sus funciones "prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento".

Dicho artículo recuerda un principio general (y de sentido común para el Grupo de Trabajo del artículo 29, actual Comité Europeo de Protección Datos), que puede ser pertinente para muchos aspectos del trabajo diario de un DPD, a saber: que éstos establezcan prioridades en lo que respecta a sus actividades y centren sus esfuerzos en las cuestiones que presenten mayores riesgos para la protección de datos. Esto no significa que deban desatender la supervisión de la observancia de las normas en las operaciones de tratamiento de datos que tengan comparativamente menos riesgos, sino que deben centrarse principalmente en los ámbitos de mayor riesgo.

Este enfoque selectivo y pragmático debe ayudar a los DPD a asesorar al responsable del tratamiento sobre qué metodología usar cuando se realice un análisis de riesgos o una evaluación de impacto relativa a la protección de datos, qué ámbitos deben ser objeto de una auditoria de protección de datos interna o externa, qué actividades de formación internas proporcionar al personal o a los directivos encargados de las actividades de protección de datos y a qué operaciones de tratamiento dedicar más tiempo y recursos.

En resumen, la obligación de llevar a cabo el análisis de riesgos es del responsable y la función del DPD es asesorar al responsable en el cumplimiento de las obligaciones derivadas del RGPD pero el responsable podría disponer que una de las tareas de su DPD fuera la llevanza de los análisis de riesgos en protección de datos.

Para más información puede consultar el siguiente enlace, así como la Guía de Gestión del riesgo y evaluación de impacto en tratamientos de datos personales