La nueva guía y herramienta de la aepd para gestionar el riesgo de los tratamientos de datos personales y realizar evaluaciones de impacto

El pasado 29 de junio de 2021 la Agencia Española de Protección de Datos (AEPD) publicó en su web una nueva Guía, denominada ‘Gestión del riesgo y evaluación de impacto en tratamientos de datos personales’, que recoge los últimos criterios e interpretaciones de la AEPD, el Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos, en materia de gestión de riesgos de protección de datos.
La mencionada guía, así como la herramienta que la Agencia pone a disposición de los usuarios, están dirigidos a pequeñas, medianas y grandes empresas, en su calidad de responsables o encargados de tratamientos de datos. Asimismo, se trata de un documento muy útil también para delegados de protección de datos (DPO) al facilitar la integración de la gestión de riesgos en los procesos de gestión y gobernanza de las entidades.
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (RGPD) establece que, antes de empezar cualquier nuevo tratamiento, las entidades tendrán que realizar un análisis de los riesgos con el fin de anticiparse a los posibles efectos adversos o no previstos que el tratamiento pueda tener y establecer las medidas que sean necesarias para mitigar dichos riesgos y garantizar los derechos y libertades de los interesados. Además, en aquellos casos en los que los tratamientos impliquen un riesgo alto para la protección de datos, el RGPD establece que dichas entidades estarán obligadas a realizar una Evaluación de Impacto en Protección de Datos (EIPD), y, en su caso, una consulta previa a la AEPD, según lo dispuesto en el artículo 36 del RGPD.
El estudio y análisis de los riesgos, facilitado por la guía y sobre todo por la nueva herramienta, permiten al responsable tomar las decisiones y acciones necesarias para conseguir que el tratamiento cumpla los requisitos del RGPD y la LOPDGDD, garantizando y pudiendo demostrar la protección de los derechos de los interesados.
La Guía consta de tres apartados: el primero contiene una descripción de los fundamentos de la gestión de riesgos para los derechos y libertades; el segundo incluye un desarrollo metodológico básico para la aplicación de la gestión del riesgo, y el último está enfocado en los casos en los sea preciso realizar una EIPD, con las orientaciones necesarias para llevarla a cabo.
Asimismo, junto con la Guía, la AEPD ha publicado en su web el enlace para acceder a la herramienta EVALÚA_RIESGO RGPD, un instrumento de ayuda para las entidades a la hora de identificar los factores de riesgo presentes en el tratamiento; hacer una primera evaluación del riesgo intrínseco, incluyendo la necesidad de realizar una EIPD, y estimar el riesgo residual si se utilizan medidas y garantías para reducir dichos riesgos.
La AEPD viene a señalar que los factores de riesgo desplegados en la herramienta no tienen carácter exhaustivo, por lo que el responsable deberá identificar aquellos que sean específicos para el tratamiento, objeto de análisis, e incluirlo en su evaluación. Además, la valoración del nivel de riesgo para cada factor que efectúa la herramienta, así como el cálculo final, tiene carácter general y supone una evaluación mínima que tendrá que ser ajustada por el responsable al caso concreto, para determinar con precisión el nivel de riesgo del tratamiento.
Una vez más, la AEPD recuerda la importancia de analizar los riesgos inherentes en cada una de las actividades de tratamiento realizadas, poniendo a disposición de los ciudadanos esta nueva guía y herramienta que facilita su cumplimiento.