La nueva Guía para la gestión de riesgos y evaluación de impacto de la AEPD
El pasado 29 de junio de 2021, la Agencia española de Protección de Datos (en adelante,
“AEPD”) publicó una nueva Guía para la “Gestión del Riesgo y Evaluación de Impacto en tratamientos de datos personales” cuyo principal objetivo radica en unificar y actualizar las anteriores guías publicadas en esta materia hace más de tres años, esto es, la “Guía practica de análisis de riesgo para el tratamiento de datos personales” y la “Guía práctica para la evaluación de impacto en la protección de datos personales”.
Analizamos todos los aspectos a destacar de la La nueva Guía para la gestión de riesgos y evaluación de impacto de la AEPD
¿A quién está dirigida?
Esta nueva Guía está dirigida a responsables, encargados de tratamientos y delegados de protección de datos (DPD). Su objetivo principal es ofrecer una visión unificada de la gestión de riesgos y de las evaluaciones de impacto en protección de datos y, además, facilitar la integración de la gestión del riesgo en los procesos del día a día de las empresas u organizaciones.
En este sentido, el Reglamento General de Protección de Datos (en adelante, “RGPD”) establece que las organizaciones que traten datos de carácter personal deberán realizar una gestión del riesgo con el fin de establecer las medidas que sean necesarias para garantizar los derechos y libertades de las personas. Además, en aquellos casos en los que los tratamientos impliquen un riesgo alto para la protección de los datos, el Reglamento dispone expresamente que las organizaciones están obligadas a realizar una Evaluación de Impacto en Protección de Datos (en adelante, “EIPD”) para mitigar dichos riesgos.
¿Qué incluye este documento?
La Guía publicada por la AEPD consta de una estructura detallada y organizada dentro de la que podemos diferenciar con claridad tres grandes apartados o secciones principales, divididas en capítulos, en los que se abordan las siguientes temáticas:
- Un primer apartado en el que se describen los fundamentos de la gestión de riesgos para los derechos y libertades de las personas físicas, estando esta sección destinada a proporcionar la orientación necesaria para la gestión de riesgos y realización de la Evaluación de Impacto.
- Un segundo apartado más práctico que incluye un desarrollo metodológico básico para la aplicación de la gestión del riesgo para los derechos y libertades, haciendo hincapié en que la AEPD sólo marca unos mínimos a seguir, de forma que corresponde a la organización establecer y desarrollar sus propios procesos.
- Un apartado final focalizado en los casos en los sea preciso realizar una Evaluación de Impacto para la Protección de Datos con orientaciones metodológicas específicas al respecto. Entendiéndose la Evaluación de Impacto como un proceso global, y no como un momento concreto, que forma parte indivisible e intrínseca de la propia gestión de riesgos.
EVALÚA_Riesgo RGPD
La AEPD introdujo como novedad en la referida Guía el prototipo de una herramienta que ayuda a responsables y encargados a identificar los factores de riesgo para los derechos y libertades de los interesados presentes en el tratamiento; a hacer una primera evaluación del riesgo intrínseco, incluyendo necesidad de realizar una EIPD, y estimar el riesgo residual si se utilizan medidas y garantías para mitigar los riesgos.
Los factores de riesgo desplegados en esta herramienta no tienen carácter exhaustivo por lo que el responsable deberá identificar aquellos que sean específicos para el tratamiento e incluirlo en su evaluación. La valoración del nivel de riesgo para cada factor que efectúa la herramienta, así como el cálculo final de nivel de riesgo, tiene carácter general y supone una evaluación mínima que, en su caso, tendrá que ser ajustada por dicho responsable para determinar con precisión el nivel de riesgo del tratamiento.
En conclusión, esta herramienta, como tal, no lleva a cabo la toma de ninguna decisión, sino que asiste al responsable que es quien deberá, en ultima instancia, asumir ese cometido y responsabilidad.
No obstante, y para hacer posible lo anterior, la herramienta sintetiza los posibles factores de riesgo atendiendo a:
- Los fines del tratamiento.
- Los tipos de datos tratados.
- El ámbito y alcance del tratamiento.
- La tipología de los interesados.
- Los factores técnicos y tecnologías empleados.
- La existencia de bases de datos específicas.
- Los efectos colaterales del tratamiento en los interesados.
- La categoría o sector donde trata los datos el responsable o encargado.
- Las comunicaciones de datos llevadas a cabo.
- El impacto de la potencial pérdida de confidencialidad y seguridad.
Cuando el usuario accede a la herramienta, se le presenta un amplio abanico de campos que debe elegir si seleccionar. Por ejemplo: perfilado, geolocalización, control de acceso, sujetos involucrados, tratamiento a gran escala, duración del tratamiento, etc. Así, el usuario selecciona qué campos considera que aplican al tratamiento efectuado y cuáles no, y se le ofrece la opción de indicar, así mismo, si ha aplicado técnicas para mitigar los riesgos, y en qué medida.
Una vez hecho lo anterior, la plataforma desarrolla un informe, que no constituye una EIPD como tal, pero si una base o punto de partida, a partir del cual el responsable no solo podrá demostrar su cumplimiento –accountability– sino que podrá usar de referencia para elaborar la EIPD en sí.
Análisis, gestión de riesgos y EIPD
Como se ha indicado anteriormente, el RGPD establece la obligación de gestionar el riesgo que para los derechos y libertades de las personas supone un tratamiento. Este riesgo surge tanto por la propia existencia del tratamiento como por las dimensiones técnicas y organizativas del mismo. El riesgo surge tanto por el tratamiento automatizado de datos como por su procesamiento manual, por los elementos humanos y por los recursos implicados. El riesgo surge por los fines del tratamiento y su naturaleza, y también por su alcance y el contexto en el que se desenvuelve.
En este sentido, y debido a que se han identificado múltiples factores de riesgo en el RGPD, así como en numerosa normativa de desarrollo, la persona a cargo de la evaluación del riesgo de un tratamiento debería tener en cuenta todos los factores que ya están identificados y determinar si estos afectan, o son susceptible de afectar al tratamiento. Por ello, y en aras a facilitar dicha labor a los responsables del tratamiento, la AEPD ha realizado un esfuerzo de sistematización compilando todos los factores de riesgo ya identificados en distintos documentos y agrupándolos por categorías en la nueva Guía.
Una vez analizado y gestionado el riesgo, si los tratamientos llevados a cabo se determinan como tratamientos de alto riesgo, deberá llevarse a cabo una EIPD. La gestión del riesgo y la EIPD son procesos que se encuentran estrechamente vinculados ya que la segunda es una especificidad dentro de la primera. Así, la EIPD no puede existir sin formar parte de la gestión de riesgos, por lo que mientras que la gestión del riesgo es obligatoria para todo tratamiento, las obligaciones concretas que se establecen para la EIPD lo son exclusivamente para tratamientos de alto riesgo. Así pues, el análisis de la obligación de realizar una EIPD forma parte del proceso de evaluación de riesgo para los derechos y libertades.
A este respecto, es importante tener en cuenta que el hecho de que un tratamiento de datos personales no esté incluido en los supuestos obligados no siempre implica que no sea necesario llevar a cabo la EIPD. El RGPD no limita la capacidad de decisión del responsable a la hora de decidir si esta se lleva a cabo o no. El RGPD viene a establecer un mecanismo de proactividad que permite al responsable decidir sobre la necesidad de llevar a cabo la EIPD en línea con los riesgos inherentes asociados al tratamiento en función de su naturaleza, alcance, contexto y finalidades (Considerando 76 y Artículo 35.1 del RGPD).
En particular, es preciso tener en cuenta que las listas de tratamientos obligados y excluidos establecidos por las autoridades de control y referidas en el artículo 35 del RGPD (35.4 y 35.5) son orientativas y no limitan la potestad de decisión del responsable sobre sus tratamientos de datos personales y sobre el ejercicio de la responsabilidad proactiva.