Publicado el 13/07/2021 Más información
La Agencia Española de Protección de Datos ha publicado la Guía para la Gestión del Riesgo y Evaluación de Impacto en Tratamiento de Datos Personales y que actualiza y unifica las presentadas hace más de tres años por la Agencia Española de Protección de Datos.
https://www.aepd.es/es/documento/gestion-riesgo-y-evaluacion-impacto-en-tratamientos-datos-personales.pdf
La Guía consta de tres grandes apartados divididos en capítulos:
- Un primer apartado con una descripción de los fundamentos de la gestión de riesgos para los derechos y libertades.
- Un segundo apartado que incluye un desarrollo metodológico básico.
- Un apartado final, enfocado a los casos en los que sea preciso realizar una Evaluación de Impacto para la Protección de Datos, con unas orientaciones metodológicas específicas al respecto.
El análisis y la gestión de riesgos son procedimientos que permiten a las organizaciones identificar y poder anticiparse a los posibles efectos adversos o no previstos que el tratamiento pueda tener para los derechos y libertades de los interesados. Esta gestión debe permitir que el responsable tome las decisiones y acciones necesarias para conseguir que el tratamiento cumpla los requisitos del RGPD y la LOPDGDD, garantizando y pudiendo demostrar la protección de los derechos de los interesados.
Por su parte, el RGPD establece que cuando sea probable que un tipo de tratamiento entrañe un alto riesgo, el responsable debe realizar una evaluación del impacto, proceso que permite a las organizaciones identificar los riesgos que un sistema, producto o servicio puede implicar para los derechos y libertades de las personas y, tras haber realizado ese análisis, afrontar y gestionar esos peligros antes de que se materialicen.
La gestión del riesgo y la EIPD son procesos que se encuentran estrechamente vinculados, ya que la segunda es una especificidad dentro de la primera. Así, la EIPD no puede existir sin formar parte de la gestión de riesgos, por lo que mientras que la gestión del riesgo es obligatoria para todo tratamiento, las obligaciones concretas que se establecen para la EIPD lo son exclusivamente para tratamientos de alto riesgo.
Equipo Seguridad Información GAI AB
Complejo Hospitalario Universitario de Albacete. Webmaster. Todos los derechos reservados. Nota Legal.