¿Por qué hacer una evaluación de riesgos?

Share on linkedin
Share on email
Share on whatsapp
Share on facebook
Share on twitter

En el nuevo reglamento de protección de datos se establece un nuevo enfoque para la protección de datos personales. La empresas son responsables de forma proactiva. ¿Qué significa eso? Pues que las empresas deben preocuparse para ver cuáles son los riesgos, y en caso de encontrarlos, establecer una serie de medidas para mitigar sus efectos.

Así que todas las empresas a las que se les aplica el régimen del RGPD están obligadas a realizar evaluaciones de riesgos. Ese es el motivo principal por el que van a tener que realizar estos estudios previos, porque sólo si detectan los procesos críticos van a ser capaces de mitigarlos aplicando las medidas apropiadas.

Las empresas están obligadas a realizar evaluaciones de riesgos en relación con la naturaleza, el alcance, el tipo de tratamiento y el tipo de datos que tratan; y en función a las medidas de cumplimiento normativo que se han aplicado e implementado hasta la fecha y en relación con las medidas de seguridad de la información.

Esto significa que han tenido que preocuparse por si han establecido una política de contraseñas, tienen un protocolo de destrucción y re autorización de equipos o si han establecido, por ejemplo,  una política de utilización de los equipos de la empresa cuando los trabajadores están fuera del centro de trabajo.

¿Y de quién es responsabilidad realizar una evaluación de riesgos? Es una obligación del responsable de tratamiento, no de la figura del DPO o otra figura de la empresa.

Evaluaciones de impacto (PIA)

En el caso de que en el marco del RGPD se detecte la existencia de un riesgo extremo, las empresas deberán realizar una evaluación de impacto o PIA (Privacy Impact Assessment). Eso implica que deberemos realizar un estudio muy concreto y resolver punto por punto un cuestionario muy extenso sobre el determinado riesgo. Las evaluaciones de impacto en la protección de datos son una de las novedades que incorpora el nuevo RGPD y nos obligará, de forma constante y recurrente en el tiempo, a preocuparnos por los tratamientos de datos en nuestra empresa u organización.

¿Cuándo se va a tener que realizar una PIA?

  • Cuando la empresa realiza una evaluación sistemática y exhaustiva de aspectos personales (perfiles).
  • Cuando tratemos datos sensibles a gran escala
  • Observación sistemática a gran escala de una zona de acceso público

Además, hay que tener en consideración dos aspectos más en relación con las evaluaciones de impacto. El primero, es que tendremos que estudiar todo el ciclo de vida del tratamiento de datos que contiene ese riesgo extremo. En segundo lugar, habrá que valorar la posibilidad de que el delegado de protección de datos juegue un papel importante en la resolución y gestión de ese riesgo. En determinados casos podemos llegar a consultar a la AEPD para que valide si ese tratamiento que estamos realizando es acorde con la normativa europea.

 

Comparte este artículo

Comparte

Share on linkedin
Share on email
Share on whatsapp
Share on facebook
Share on twitter

Artículo redactado por:

Pedro Simón

Doctor en Derecho con mención internacional, que cuenta con una amplia experiencia docente como profesor en diversas instituciones (UdG, UOC, UNIR, ICAB) y que ha investigado ampliamente sobre el derecho digital, es autor de publicaciones como El régimen constitucional del derecho al olvido digital y El reconocimiento del derecho al olvido digital en España y en la UE: Efectos tras la STJUE de 13 de mayo de 2014.

Artículos relacionados

Newsletter

¿Quieres recibir todas las noticias sobre el RGPD? Suscríbete a nuestro boletín y recibe contenido exclusivo.

Webinars gratuitos

Multas por RGPD

webinar gratuito Multas por RGPD Analizamos las multas de Glovo, Juasapp y Equifax 08/07/2020 16:00h Cualquier organización puede estar expuesta a ser sancionada por incumplir

REGÍSTRATE AHORA »