Uno de los aspectos esenciales del nuevo Reglamento de Protección de Datos (RGPD) radica en el principio de responsabilidad activa, que es la obligación de prevención que corresponde a las empresas que tratan datos de carácter personal.

EL RGPD entiende que actuar cuando ya se ha producido la infracción en materia de protección de datos es insuficiente, ya que estas infracciones podrían causar daños difíciles de reparar.

El tratamiento de datos en ocasiones puede llevar aparejado consecuencias negativas afectando a los derechos y a las libertades de las personas. Por ello, y con el fin de mitigarlos, conviene realizar un análisis de riesgos basado en la protección de los mismos.

El enfoque de riesgos en protección de datos puede adoptar dos modalidades:

  • La orientada a determinar las medidas de seguridad técnicas y organizativas para proteger los datos personales y,
  • Los riesgos para los derechos y libertades de las personas.

Los riesgos que implica el tratamiento de datos personales pueden llegar a afectar, tanto de manera física como no física, a las libertades y a los derechos de las personas y un claro ejemplo de ello sería el riesgo de exclusión social y/o las dificultades para encontrar un puesto de trabajo debido al conocimiento de determinados datos personales.

Esta reflexión, basada en la importancia de la determinación de riesgos como medida para prevenir que se produzcan daños irreparables que afecten a las personas, ha sido trasladada al RGPD en formas tales como:

  • La protección de datos por defecto, basada en la aplicación de medidas que garanticen, por defecto, que solo serán tratados aquellos datos personales necesarios para alcanzar el fin específico del tratamiento de datos.
  • Las evaluaciones de impacto centradas en aquellos tratamientos de datos que impliquen un alto riesgo para las libertades y los derechos de las personas.

De igual manera, la Agencia Española de Protección de Datos está preparando una Guía de análisis de riesgo que será publicada en breve junto a un catálogo de cumplimiento normativo.

Fases para elaborar una política de riesgos basada en la prevención:

  • COMUNICACIÓN: A través de la identificación de los riesgos y de la posibilidad de que estos sean materializados, es importante concienciar y formar al personal de las empresas en materia de protección de datos.
  • CONTEXTO: Por medio del análisis del marco en el que se desarrolla la política de análisis de riesgos y teniendo en cuenta la normativa aplicable para ello.
  • IDENTIFICACIÓN DE RIESGOS: Elaboración de un mapa de riesgos por parte de la empresa con el fin de localizar la posibilidad de cometer infracciones en materia de protección de datos.
  • ANÁLISIS Y EVALUACIÓN DEL RIESGO: Cuantificando así, tanto de manera cuantitativa como cualitativa, los riesgos implicados en el tratamiento de los datos.
  • GESTION DEL RIESGO: Con el fin de determinar la existencia de posibles soluciones para cada riesgo y teniendo en cuanta la relación costo-beneficio que pueda existir en cada caso.
  • SEGUIMIENTO DEL RIESGO: Auditorías e informes de seguimiento interno y medidas de respuesta preventiva.

Además de este tipo de metodología, existen en el mercado estándares y normas que pueden ser tenidas en cuenta para la realización de análisis de riesgos, como por ejemplo, la norma ISO 27005 basada en el suministro de las directrices necesarias para la gestión de riesgos de seguridad de la información en las empresas.

En definitiva, el RGPD supone un mayor compromiso, y no una mayor carga, para las empresas en relación al tratamiento de datos de carácter personal.

 

Letslaw es un despacho de abogados especializado en derecho digital, comercio electrónico y protección de datos.