02 Jul NUEVA GUÍA AEPD PARA EVALUACIONES DE IMPACTO
Introducción
El pasado martes, día 29 de junio de 2021, la AEPD publicó una nueva guía para la Gestión del riesgo de los tratamientos de los datos personales y realización de evaluaciones de impacto, esta guía incorpora la experiencia acumulada en el ámbito de la protección de datos desde la aplicación del RGPD y añade las interpretaciones de la AEPD, el Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos.
La guía va dirigida a responsables, encargados de tratamientos y delegados de Protección de Datos, ofreciendo una visión unificada de la gestión de riesgos y evaluaciones de impacto, facilitando la integración de la gestión de riesgos en los procesos de gestión y gobernanza de las entidades.
El RGPD establece que las organizaciones que traten datos personales deberán realizar una gestión del riesgo con el fin de establecer las medidas que sean necesarias para garantizar los derechos y libertades de las personas. En aquellos casos en los que la protección de datos corra un riesgo alto, las empresas estarán obligadas a realizar una Evaluación de Impacto.
La guía presentada el pasado martes, es aplicable a cualquier tratamiento, independientemente de su nivel de riesgo. De hecho, para los tratamientos de alto riesgo, incorpora las indicaciones para realizar la Evaluación, y en este caso, la consulta previa a la que se refiere el art. 36 del RGPD.
Esta se divide en tres apartados que serán los siguientes:
- Descripción de los fundamentos de la gestión para los derechos y libertades
- Desarrollo metodológico básico para la aplicación de la gestión del riesgo
- Este está enfocado en los casos en los que sea preciso realizar una Evaluación de Impacto y sus respectivas orientaciones
HERRAMIENTA EVALÚA_RIESGO RGPD
Esta herramienta todavía es un prototipo que ayudará a responsables y encargados a identificar los factores de riesgo para los derechos y libertades de los interesados en el tratamiento.
En esta herramienta, los factores de riesgo desplegados no tienen carácter exhaustivo, por lo que el responsable deberá identificar cuales de estos serán específicos para su tratamiento e incluirlos.
ANÁLISIS, GESTIÓN DE RIESGOS Y Evaluación de Impacto de Protección de Datos.
Para poder identificar y anticiparse a los posibles efectos adversos o no previstos que el tratamiento pueda tener para los derechos y libertades de los interesados, se deben llevar a cabo unos procedimientos de análisis y gestión de riesgos. Esta gestión deberá permitir que los requisitos del RGPD y de la LOPDGDD sean cumplidos por parte del responsable tomando las decisiones y las acciones necesarias.
También el RPGD, indica que cuando un tipo de tratamiento probablemente conlleve un alto riesgo, el responsable realizará una evaluación de impacto.
