680 - Definición y forma de llevar a cabo una evaluación de riesgos en el tratamiento de datos personales

El plan de cumplimiento de protección de datos debe atender y respetar, en todo caso, los principios y características principales que lo rigen. Con esta base principal, se procederá al diseño de un boceto de los tratamientos y datos que se van a utilizar en la entidad responsable, así como el principal foco de interesados sobre los que se van a proyectar. Para ello, es necesario conocer con profundidad la actividad de la empresa, así como el modo de trabajo y su estructura, de cara a proceder fielmente con respecto a la imagen de la entidad.

Una vez se ha interiorizado lo anterior, se deben buscar las bases de legitimación de los tratamientos que preliminarmente hemos enunciado, en conjunción con el abanico de derechos del interesado. La idea de ello es que se debe contar con unas garantías adecuadas de, por un lado, voluntad de cumplimiento con las bases de legitimación y, por el otro, de respeto y mecanismos de reacción adecuados a la satisfacción de los derechos del interesado.

Así, como ya recoge el considerando (74) del RGPD, «debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas físicas». 

Por tanto, «la probabilidad y la gravedad del riesgo para los derechos y libertades del interesado debe determinarse con referencia a la naturaleza, el alcance, el contexto y los fines del tratamiento de datos. El riesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto». (considerando 76 del RGPD). 

En función de lo anterior, nace la necesidad de desarrollar un análisis de riesgos. El primer paso es la contextualización del escenario de riesgo, lo cual guarda relación directa con la descripción del ciclo de vida de los datos y la identificación de las amenazas que pueden afectar a la privacidad y que van ligadas al tratamiento de los datos. Dicho análisis nos ayudará a averiguar las medidas más eficaces y necesarias para mitigar o evitar los riesgos asociados a los tratamientos de datos de carácter personal y del mismo se podrá concluir:

• Sí debe realizarse una EIPD: al efectuar el análisis, o durante los pasos previos, se llega a la conclusión de que los tratamientos o alguno de los tratamientos pueden entrañar un riesgo elevado o alto para los derechos y libertades de las personas físicas.
• No es necesaria una EIPD: del análisis de riesgos realizado se entiende que las actividades de tratamiento no están expuestas a riesgos relevantes que motiven la necesidad de realizar una EIPD en profundidad. Tal conclusión debe estar debidamente fundamentada. 

En conclusión, se trata de una fase previa a la EIPD que servirá para identificar las amenazas que se proyectan sobre los datos de los interesados y así poder diseñar e implementar una respuesta adecuada sobre ellos. Es decir, ayudará a encontrar las medidas de seguridad y control que se necesitan para cumplir con lo dispuesto en la normativa y reducir la amenaza a un nivel aceptable para la entidad.

Acudiendo a la Guía Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD de la AEPD, podemos consultar esta tabla orientativa que recoge las operaciones principales en el tratamiento de datos: