La AEPD ha presentado hoy la Guía de Análisis de Riesgo y la Guía de Evaluación de Impacto en la Protección de Datos en un acto celebrado con asociaciones empresariales de los sectores de la banca, energía, gran consumo, seguros, publicidad y turismo, entre otros, y representantes de las Administraciones Públicas.
La directora de la AEPD, Mar España, ha recalcado la importancia del momento en el que nos encontramos- a menos de 3 meses para la obligatoriedad del RGPD- y la necesidad de que tanto las empresas como la Administración demuestren que el tratamiento de los datos esté puesto al día. “Pasamos a un modelo proactivo y preventivo”, ha subrayado en su intervención.
Asimismo, ha insistido en que el nuevo Reglamento añade un nuevo factor de seguridad: el riesgo que puede suponer ese tratamiento de datos respecto de terceros, ciudadanos o clientes. “Hablamos no sólo de daños materiales, sino también reputacionales, como la inclusión en un fichero de morosos o vulneraciones del derecho al honor o de la intimidad”.
El Reglamento General de Protección de Datos (RGPD), que comenzará a aplicarse el 25 de mayo, establece que las organizaciones que tratan datos personales deben realizar un análisis de riesgos con el fin de establecer las medidas que sean necesarias para garantizar los derechos y libertades de las personas. En aquellos casos en los que los tratamientos impliquen un riesgo alto para la protección de datos, el RGPD dispone que esas organizaciones están obligadas a realizar una evaluación de impacto.
El RGPD supone un cambio del modelo tradicional hacia un modelo más dinámico, adaptado a la transformación tecnológica que se está produciendo en el ámbito del tratamiento de la información personal y enfocado en la gestión de los riesgos potenciales asociados al tratamiento. En este sentido, “la evaluación de riesgos no puede suponer estático, sino ha de estar continuamente actualizada según la evolución del sector y del contexto tecnológico y social”.
Con esta finalidad, el Reglamento incorpora el principio de responsabilidad activa de quienes tratan datos personales, de forma que puedan determinar qué medidas son adecuadas para proteger los datos y los derechos y libertades de las personas.
Con estas guías, que constituyen una herramienta de ayuda para el cumplimiento, la AEPD complementa los materiales prácticos que las organizaciones tienen a su disposición para facilitar la adaptación al RGPD. Para entidades que tratan datos de escaso riesgo, la Agencia ya ofrece Facilita_RGPD, un cuestionario online gratuito con el que empresas y profesionales pueden obtener los documentos mínimos indispensables para ayudar a cumplir con el Reglamento.
Por último, la directora ha anunciado la puesta en marcha de una “Unidad de Atención al Responsable”, compuesto por 3 personas, y encargado de resolver las dudas de los obligados por el Reglamento a implantar las medidas necesarias. Si bien ha pedido la colaboración de las asociaciones profesionales para establecer un canal de comunicación para agilizar y hacer más eficaz el planteamiento de las dudas.
Análisis de riesgos en la protección de datos
Las organizaciones que no puedan utilizar Facilita_RGPD deben llevar a cabo un análisis de riesgos. En este sentido, la Guía de Análisis de Riesgos recoge una metodología adecuada para evaluar el nivel de riesgo en relación con los tratamientos de datos personales que realizan. Esta guía también incluye plantillas y anexos de gran utilidad para empresas y profesionales.
El análisis y la gestión de riesgos son procedimientos que permiten a las organizaciones hacer un diagnóstico sobre los riesgos para los tratamientos de datos personales y, en ocasiones, aportar información suficiente para decidir si es necesario o no llevar a cabo una Evaluación de Impacto en Protección de Datos.
La Evaluación de Impacto en la protección de datos
La Evaluación de Impacto es un proceso que permite a las organizaciones identificar los riesgos que un sistema, producto o servicio puede implicar para los derechos y libertades de las personas y, tras haber realizado ese análisis, afrontar y gestionar esos peligros antes de que se materialicen. La Guía de Evaluación de Impacto en la Protección de Datos ayudará a las organizaciones a identificar las actividades que conllevan un alto riesgo y a establecer las medidas de control más adecuadas para minimizar el mismo antes de iniciar el tratamiento. Al igual que la Guía de Análisis de Riesgos, ésta también incluye plantillas y anexos que serán útiles para llevar a cabo la evaluación.
En el proceso, la organización debe conocer para qué y cómo se van a utilizar los datos, identificar, evaluar y tratar los riesgos potenciales y elaborar un plan de acción donde se incluyan las medidas de control para garantizar los derechos y libertades de las personas.
Con estas guías, la Agencia busca promover una cultura proactiva de la privacidad, proporcionando una ayuda a las organizaciones que contribuya, a la vez, a fortalecer la protección de los derechos y libertades de las personas.
Por otra parte, la AEPD ha puesto en marcha hoy el servicio INFORMA_RGPD, que pretende servir de canal a través del cual los responsables y encargados de tratamiento o los delegados de protección de datos planteen las dudas y cuestiones que les puedan surgir en la aplicación del Reglamento General.