Cuatro claves del Anteproyecto de ley Crea y Crece para los emprendedores
23 agosto, 2021
Estas son las principales novedades en el IVA del e-commerce y marketplaces
6 septiembre, 2021Nuevas herramientas para el tratamiento de datos personales de la AEPD
A finales de junio, la Agencia Española de Protección de Datos (AEPD) presentaba la guía ‘Gestión del riesgo y evaluación de impacto en tratamientos de datos personales’. El documento está dirigido a personas responsables, encargadas de tratamientos y personas delegadas de protección de datos (DPD) cuyo objetivo sería ofrecer una visión unificada de estas tareas, facilitando la integración de la gestión de riesgos en los procesos de gestión y gobernanza de las entidades y empresas que hacen tratamiento de datos personales. Sin embargo, hay dudas de hasta dónde puede llegar su alcance y si sus contenidos son suficientes para que las organizaciones cuenten con la seguridad jurídica necesaria y eviten sanciones de la propia agencia. Si necesitas asesoramiento, cuenta con nuestro equipo de abogados
- Bufete Mas y Calvet en la sección de Top Lawyers. Derecho, tecnología e innovación
- Ley 8/2021: Cómo garantizar la voluntad de las personas mayores con deterioro cognitivo en residencias
- Condenado un trabajador por falsear una baja médica para justificar su ausencia laboral
- La diferente intensidad del control sobre el derecho al recurso: canon del Tribunal Constitucional español frente al estándar europeo de proporcionalidad
- Fraude Man-in-the-Middle y diligencia bancaria: ¿cambio de paradigma?
El Reglamento General de Protección de Datos (RGPD) establece que las organizaciones que tratan datos personales deben realizar una gestión del riesgo con el fin de establecer las medidas que sean necesarias para garantizar los derechos y libertades de las personas. Cuando dichos tratamientos impliquen un riesgo alto para la protección de datos, se establece la obligación de realizar una Evaluación de Impacto en Protección de Datos (EIPD) para mitigarlos.
La propia AEPD señalaba en su web que la guía es aplicable a cualquier tratamiento, con independencia de su nivel de riesgo, ya que incorpora orientaciones necesarias para realizar la EIPD (para riesgos altos) y para realizar, cuando corresponda, la consulta previa a la que se refiere el artículo 36 del RGPD. Dicha consulta se debe plantear a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto siga ofreciendo un riesgo residual alto o muy alto tras haber tomado medidas.
«La nueva Guía de la AEPD sobre ‘Gestión del riesgo y evaluación de impacto en tratamientos de datos personales’ es un documento útil y práctico para la revisión de los diversos tratamientos de datos personales. Su actualización era esperada y destaca la necesidad de un asesoramiento especializado para graduar el riesgo efectivo al que se enfrenta cada entidad«
Efrén Díaz, responsable del área de Tecnología del Bufete Mas y Calvet
En palabras del abogado Efrén Díaz, responsable del área de Tecnología del Bufete Mas y Calvet y Delegado de Protección de Datos (DPD), esta guía «recoge unas pautas relevantes sobre evaluación del riesgo inherente y residual, así como la identificación de riesgos de impacto muy elevado, que conviene tener en cuenta. Destaca la relación de medidas y garantías para disminuir el riesgo, la implementación de controles, verificación y reevaluación al entender la gestión del riesgo como un proceso continuo, además de la nueva gobernanza de los riesgos para los derechos y libertades que nos ayudará a los DPD a asistir mejor a las entidades y empresas que asesoramos».
El asesoramiento personalizado para cada empresa es cada vez más relevante. Con esta guía, la AEPD pone de relieve la necesidad de asesorarse adecuadamente para la correcta evaluación del riesgo, ya que reitera que las pautas generales no son suficientes para alcanzar a los tratamientos y situaciones concretas. «La importancia de concretar los riesgos específicos que pueden afectar a los datos personales implica que la empresa deba orientarse con el necesario asesoramiento a la mitigación de riesgo. Pasar de lo general al caso concreto, lo que conlleva tener en cuenta, también por parte del DPD, la pertinente evaluación de impacto en los tratamientos de datos personales«, explica el abogado Efrén Díaz.
- Lee también: ¿Qué empresas deben contar con un Delegado de Protección de Datos o DPD?
- Lee también: Cómo designar al Delegado de Protección de Datos: perfil y funciones del DPD
- Lee también: Ventajas de Europrivacy, la certificación europea de protección de datos
Tratamiento de datos personales: Evalúa Riesgo RGPD
Otra herramienta que ha presentado la AEPD es EVALÚA_RIESGO RGPD, un prototipo que ayuda a identificar los factores de riesgo para los derechos y libertades de las personas interesadas presentes en el tratamiento; hacer una primera evaluación del riesgo intrínseco, incluyendo necesidad de realizar una EIPD, y estimar el riesgo residual si se utilizan medidas y garantías para mitigar los riesgos. La agencia reconoce que «los factores de riesgo desplegados en esta herramienta no tienen carácter exhaustivo».
Esto quiere decir que cada empresa como responsable del tratamiento deberá identificar los aspectos específicos que le afectan en su actividad particular, en el procesamiento de datos personales que requiera el despliegue de su negocio y, previo asesoramiento, incluirlo en su evaluación. Además, la AEPD deja la responsabilidad en su empresa cuando advierte que la valoración del nivel de riesgo para cada factor que efectúa la herramienta «tiene carácter general y supone una evaluación mínima», por lo que tendrá que ser ajustada con precisión por el responsable para reducir también el riesgo de incumplimiento y consiguientes sanciones.
En definitiva, para casos concretos, especialmente si se trata de diversos tratamientos de datos o de categorías especiales (salud, geolocalización, financieros, de menores, biométricos, etc.), no parece ofrecer la seguridad jurídica necesaria para el tratamiento de datos personales que requiere una empresa u organización normal hoy en día.
Gestión de riesgos y evaluación de impacto
El análisis y la gestión de riesgos son procedimientos que permiten a las organizaciones identificar y anticiparse a los posibles efectos adversos o no previstos que el tratamiento pueda tener para los derechos y libertades de las personas interesadas. Esta gestión debe permitir que el responsable del tratamiento adopte las decisiones y acciones necesarias para cumplir los requisitos del RGPD y la LOPDGDD, garantizando y pudiendo demostrar la protección de los derechos de las personas interesadas.
Por su parte, el RGPD establece que cuando sea probable que un tipo de tratamiento entrañe un alto riesgo, la persona responsable debe realizar una evaluación del impacto, proceso que permite a las organizaciones identificar los riesgos que un sistema, producto o servicio puede implicar para los derechos y libertades de las personas y, tras haber realizado ese análisis, afrontar y gestionar esos peligros antes de que se materialicen.
La gestión del riesgo y la EIPD son procesos que se encuentran estrechamente vinculados, ya que la segunda es una especificidad dentro de la primera. Así, la EIPD no puede existir sin formar parte de la gestión de riesgos, por lo que mientras que la gestión del riesgo es obligatoria para todo tratamiento, las obligaciones concretas que se establecen para la EIPD lo son exclusivamente para tratamientos de alto riesgo.
El Bufete Mas y Calvet ha sido seleccionado y calificado como socio oficial de Europrivacy TM/® por el Centro Europeo de Certificación y Privacidad, lo que nos permite apoyar y preparar mejor a nuestros clientes para, previo análisis de riesgo y evaluación de impacto en la privacidad, certificar la conformidad de sus actividades de tratamiento de datos con Europrivacy y el Reglamento General de Protección de Datos (RGPD).
Específicamente se trata de identificar y reducir los riesgos legales y financieros a través de la auditoría de Europrivacy y el análisis de brechas, mejorar la reputación y el acceso al mercado a través de la certificación RGPD de Europrivacy y, en suma, generar confianza y fiabilidad a través de actualizaciones y monitoreo continuo.
Especialistas en protección de datos
En el Bufete Mas y Calvet contamos con un equipo de abogados especializado asesoramiento en todo lo relacionado con el cumplimiento legal sobre la protección de datos personales y privacidad. Las empresas y organizaciones con las que trabajamos cuentan con servicios de Delegado de Protección de Datos (DPD) externo, evaluaciones de impacto y protocolos europeos de protección de datos personales, como es la certificación Europrivacy. También podemos ejercer la defensa en procedimientos sancionadores de la AEPD, transferencias internacionales de datos, etc. Contacte con nosotros y le ayudaremos en todas sus consultas legales.