La AEPD publica una guía que aborda el tratamiento de alto riesgo de datos personales 

Una guía que puede ser de interés para las corporaciones colegiales y el ejercicio profesional   La Agencia Española de Protección de Datos (AEPD) publicó una…

Una guía que puede ser de interés para las corporaciones colegiales y el ejercicio profesional

 

La Agencia Española de Protección de Datos (AEPD) publicó una nueva Guía titulada Gestión del Riesgo y evaluación de impacto en tratamientos de datos personales. Revelada el 29 de junio, su contenido aborda cómo afrontar cualquier tipo de tratamiento, y proporciona orientaciones para realizar una Evaluación de Impacto en Protección de Datos (EIPD) en los casos que precisan un tratamiento de alto riesgo. De hecho, también hay que recordar que el mismo día lanzó una nueva herramienta, EVALÚA RIESGO RGPD, que ayuda a identificar factores de riesgo en los tratamientos de datos personales.

Dado la amplitud y profundidad de su temática, se considera que esta Guía también es de especial interés para los responsables, encargados de tratamientos y delegados de protección de datos (DPD) de las organizaciones y corporaciones colegiales, así como para los y las profesionales que tratan en su ejercicio con datos personales que pueden tener una elevada sensibilidad. A continuación, glosamos algunos de sus aspectos más importantes.

 

Mayor probabilidad de riesgo: Evaluación de Impacto

Básicamente, en todo procedimiento de tratamiento conforme al Reglamento General de Protección de Datos (RGDP) siempre se ha de realizar una gestión del riesgo con objeto de implantar la metodología y las medidas precisas para preservar los derechos y libertades de las personas. De tal modo, si se considera probable que el tratamiento de estos datos puede implicar un riesgo elevado para su protección, se debe realizar esta Evaluación de Impacto según el RGPD cuya finalidad es minimizar dicho riesgo. Como señala la AEPD, «el análisis y la gestión de riesgos son procedimientos que permiten a las organizaciones identificar y poder anticiparse a los posibles efectos adversos o no previstos que el tratamiento pueda tener para los derechos y libertades de los interesados».

Respecto a la estructura de la Guía, contiene tres partes principales según la AEPD: en el primero, se ofrece una descripción de los fundamentos de la gestión de riesgo para los derechos y libertades; en el segundo se realiza un desarrollo metodológico destinado a la aplicación de la gestión del riesgo, y en el tercero, en el que nos centramos particularmente, se centra consiste en: el enfoque sobre el caso que precisa una EIPD y las orientaciones para llevarla a cabo.

 

Obligación de realizar una evaluación de impacto

En esta línea, se puede destacar el apartado que dedica a la pertinencia de un análisis de alto impacto en el cual, «el compromiso de las garantías básicas de un Estado de Derecho pudiera verse afectado y tener un impacto de altísima repercusión a nivel social y sobre los derechos y libertades de los ciudadanos». Y señala como ejemplos: a las administraciones públicas, entidades de telecomunicaciones, financieras, aseguradoras, grandes sistemas de servicios sanitarios, o proveedores de servicios de internet o Cloud, entre otros, por tratarse de casos en los que haya tratamientos masivos de datos de la población. En todos ellos, el papel de las profesiones está, a menudo, muy presente en el tratamiento y gestión de estos datos personales, y los colegios profesionales como corporaciones de derecho público también podrían encontrarse en determinados aspectos en el entorno de este tipo de análisis si procede, si bien la guía no hace mención a ellas, expresamente

Uno de los asuntos principales es determinar cuándo es obligatorio realizar una EIPD sobre el tratamiento de los datos personales. De esta manera, el criterio principal establece su necesidad «cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas» conforme se apunta en el artículo 35.1 del RGPD y el Considerando 76. 

 

Mejorar la confianza y la cultura de protección de los datos personales 

No obstante, no existe una lista cerrada o limitación sobre los tratamientos obligados a esta EIPD para el responsable de protección de datos. Cuando no esté suficientemente claro si es preciso realizar este procedimiento, de acuerdo a las Directrices del Comité Europeo de Protección de Datos sobre este asunto, denominadas WP248, se dispone que: «en los casos en los que no esté claro si se requiere una EIPD, el GT29 recomienda realizar una, ya que esta evaluación representa un instrumento práctico para ayudar a los responsables del tratamiento a cumplir la legislación de protección de datos».

En cualquier caso, también aparece de nuevo el concepto de proactividad del responsable a la hora de decidir cuando realizar esta EIPD para minimizar riesgos si así lo considera en los casos en los que no sea obligatoria esta evaluación. Entre los motivos, podría encontrarse lograr una mayor diligencia en el tratamiento detallado de la protección de datos, mejorar la calidad de los bienes y servicios de la entidad, o fomentar la cultura de protección de datos en las organizaciones según la AEPD. Suficientes en todo caso, en una sociedad que cada vez demanda más confianza y protección sobre su información personal en el mundo digital.

 

 


Unión Profesional forma parte del PACTO DIGITAL PARA LA PROTECCIÓN DE LAS PERSONAS, lanzado por la Agencia Española de Protección de Datos el pasado febrero, una iniciativa que tiene como objetivo promover un compromiso firme con la privacidad en las políticas de sostenibilidad y los modelos de negocio de las organizaciones, compatibilizando el derecho fundamental a la protección de datos con la innovación, la ética y la competitividad empresarial.