En el nuevo reglamento de protección de datos se establece un nuevo enfoque para la protección de datos personales. La empresas son responsables de forma proactiva. ¿Qué significa eso? Pues que las empresas deben preocuparse para ver cuáles son los riesgos, y en caso de encontrarlos, establecer una serie de medidas para mitigar sus efectos.
Así que todas las empresas a las que se les aplica el régimen del RGPD están obligadas a realizar evaluaciones de riesgos. Ese es el motivo principal por el que van a tener que realizar estos estudios previos, porque sólo si detectan los procesos críticos van a ser capaces de mitigarlos aplicando las medidas apropiadas.
Las empresas están obligadas a realizar evaluaciones de riesgos en relación con la naturaleza, el alcance, el tipo de tratamiento y el tipo de datos que tratan; y en función a las medidas de cumplimiento normativo que se han aplicado e implementado hasta la fecha y en relación con las medidas de seguridad de la información.
Esto significa que han tenido que preocuparse por si han establecido una política de contraseñas, tienen un protocolo de destrucción y re autorización de equipos o si han establecido, por ejemplo, una política de utilización de los equipos de la empresa cuando los trabajadores están fuera del centro de trabajo.
¿Y de quién es responsabilidad realizar una evaluación de riesgos? Es una obligación del responsable de tratamiento, no de la figura del DPO o otra figura de la empresa.
Evaluaciones de impacto (PIA)
En el caso de que en el marco del RGPD se detecte la existencia de un riesgo extremo, las empresas deberán realizar una evaluación de impacto o PIA (Privacy Impact Assessment). Eso implica que deberemos realizar un estudio muy concreto y resolver punto por punto un cuestionario muy extenso sobre el determinado riesgo. Las evaluaciones de impacto en la protección de datos son una de las novedades que incorpora el nuevo RGPD y nos obligará, de forma constante y recurrente en el tiempo, a preocuparnos por los tratamientos de datos en nuestra empresa u organización.
¿Cuándo se va a tener que realizar una PIA?
- Cuando la empresa realiza una evaluación sistemática y exhaustiva de aspectos personales (perfiles).
- Cuando tratemos datos sensibles a gran escala
- Observación sistemática a gran escala de una zona de acceso público
Además, hay que tener en consideración dos aspectos más en relación con las evaluaciones de impacto. El primero, es que tendremos que estudiar todo el ciclo de vida del tratamiento de datos que contiene ese riesgo extremo. En segundo lugar, habrá que valorar la posibilidad de que el delegado de protección de datos juegue un papel importante en la resolución y gestión de ese riesgo. En determinados casos podemos llegar a consultar a la AEPD para que valide si ese tratamiento que estamos realizando es acorde con la normativa europea.
