Las análisis de riesgos en los tratamientos de datos personales y la adaptación de las empresas al RGPD. ¿Cómo controlar actividades que puedan suponer una amenaza? Conoce las claves legales con Letslaw y soluciones eficaces.

El 25 de mayo de 2018 se cumplen dos años desde la entrada en vigor del Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en cuanto al tratamiento y la libre circulación de datos personales, en adelante, RGPD. Desde ese momento, será aplicable el RGPD y obligatorio el cumplimiento de los requerimientos y obligaciones para el responsable y el encargado de tratamiento que este incluye, entre las que destaca la necesidad de llevar a cabo un análisis de riesgos con el fin de establecer medidas de seguridad y control para garantizar los derechos y libertades de las personas.

El diseño adecuado de las actividades de tratamiento es un aspecto clave para poder garantizar los derechos y libertades de los interesados. La fase de diseño de un tratamiento define el flujo de los datos personales, así como todos los elementos que intervendrán a lo largo del mismo.

De igual modo, es el momento idóneo para definir las medidas de control y seguridad para garantizar los derechos y libertades de los interesados con el objetivo de que un tratamiento nazca respetando los requerimientos de privacidad requeridos.

¿Cómo cumplir con el RGPD?

El RGPD, consciente de que un tratamiento nace expuesto a riesgos con impacto en la protección de los datos, introduce los conceptos de “protección de datos desde el diseño y por defecto”.

Ambos conceptos, tienen como premisa, garantizar los derechos y libertades de los interesados desde la definición de una actividad de tratamiento.

El responsable del tratamiento que realiza o desea realizar actividades para tratar con datos personales, debe establecer procedimientos de control que garanticen cumplir los principios de protección.

Definir y establecer medidas de control y seguridad es una tarea fundamental que se debe realizar de acuerdo a las particularidades de las actividades de tratamiento.

Gestión de riesgos: ¿Qué implicaciones tiene en la protección de los datos?

Se entiende por gestión de riesgos el conjunto de actividades y tareas que permiten controlar la incertidumbre relativa a una amenaza mediante una secuencia de actividades que incluyen la identificación y evaluación del riesgo, así como, las medidas para su reducción o mitigación.

La gestión de riesgos es una actividad común hoy en día en las compañías, utilizada en múltiples ámbitos y con un enfoque dirigido a los potenciales daños o riesgos a los que está expuesta la compañía con respecto a una tipología concreta de amenazas.

El RGPD busca aprovechar las ventajas que ofrece la gestión de riesgos, pero introduce una nueva visión, donde el foco de atención no se centra en las amenazas que se ciernen sobre la compañía, centrando su atención en las amenazas sobre los derechos y libertades de los interesados. La evaluación de los riesgos debe ser el resultado de una reflexión sobre las implicaciones que los tratamientos de datos de carácter personal tienen sobre los interesados.

Se trata de establecer hasta qué punto una actividad de tratamiento, por sus características, el tipo de datos a los que se refiere o el tipo de operaciones puede causar un daño a los interesados.

Este enfoque implica estimar el daño y su tipología que se puede producir sobre los interesados, por ejemplo, un daño material derivado de la vulneración de sus derechos y libertades.

Auditoría y control de la información

Es fundamental tener en cuenta que la gestión de riesgos se puede dividir en tres etapas diferenciadas:

  1. Identificar amenazas y riesgos
  2. Evaluar los riesgos
  3. Tratar los riesgos

Para una correcta implementación del RGPD, la Agencia Española de Protección de Datos ha elaborado unas Guías, que resultan de utilidad para aquellos que deban acatar el Reglamento.

Letslaw

En Letslaw te asesoramos en relación a la necesidad de tu empresa, de acuerdo con el tratamiento de datos que realice. Somos especialistas en protección de datos y contamos con las competencias profesionales y experiencia exigibles por el nuevo Reglamento.

Si quieres saber más información o tienes cualquier duda puedes contactarnos a admin@letslaw.es o en el 914 323 772.