UNIR Revista
Elena Davara, experta en asesoría y formación en protección de datos, analiza la nueva guía de gestión de riesgos y evaluación de impacto de la AEPD.
El riesgo cero no existe y en protección de datos tampoco. Pero eso no quiere decir que no sea un concepto fundamental. A este tema -y a su gestión- le dedicamos este artículo, basándonos en un documento muy reciente y de total interés.
El pasado 29 de junio, la Agencia Española de Protección de Datos (AEPD) publicó una nueva guía titulada ‘Gestión del riesgo y evaluación de impacto en tratamientos de datos personales’ que, sin duda, viene a complementar y actualizar otras guías ya publicadas por la AEPD, de cara a facilitar el cumplimiento tanto del Reglamento Europeo de Protección de Datos como de la LOPDGDD.
En este sentido, y tomando como base la experiencia de estos últimos años, así como los criterios del Comité Europeo de Protección de Datos, del Supervisor Europeo de Protección de Datos y de la propia Agencia, tanto los responsables como los encargados del tratamiento, así como los propios titulares de datos, pueden conocer una de las cuestiones básicas y más novedosas de la normativa: el riesgo y el impacto en el tratamiento de datos personales y, sobre todo, cómo gestionarlo.
Entrando ya de lleno en el documento que brevemente analizamos en este post, lo primero que hay que tener en cuenta es que la guía se compone de tres apartados, a saber: fundamentos, metodología de análisis de riesgos y casos de evaluación de impacto. A modo de resumen, nos limitaremos a destacar las siguientes cuestiones.
- Gestión del riesgo como extensión del principio de accountability. De este modo, la gestión del riesgo no debe ser un documento, sino que ha de componerse de un conjunto de acciones orientadas a controlar las posibles consecuencias derivadas de un tratamiento de datos personales[1]. Vemos que, igual que la responsabilidad proactiva exigida no debe simplificarse ni limitarse a políticas y documentación, sino que debe estar formada por acciones, controles y trazabilidad, tampoco debe hacerlo la gestión y evaluación de los riegos que afecten a los datos personales.
- Aproximación basada en el riesgo. Para ello, la Guía remite en numerosas ocasiones a diferentes normas ISO, al ENS, a las Directrices Wp29 y a la metodología MAGERIT, entre otros. No queremos que el lector se lleve a equívoco, se trata, sin duda, de una guía con marcado carácter técnico jurídico y el jurista ha de conocer en profundidad la normativa complementaria para poder abordar los riesgos en datos personales de la mejor manera.
- Diferencia entre gestión del riesgo de cumplimiento y gestión del riesgo para los derechos y libertades. Centremos el concepto. Mientras el riesgo de cumplimiento se refiere al cumplimiento normativo (por ejemplo: uso de checklist sobre el cumplimiento de los artículos del RGPD o la LOPDGDD), la gestión del riesgo para los derechos y libertades va más allá y no se lleva a cabo con una plantilla de preguntas. De hecho, ha de hacerse de manera personalizada, analizando los impactos y los sujetos afectados y realizando todas las acciones y controles específicos que ese determinado tratamiento -que puede afectar los derechos y libertades de los individuos- requiera. Primero, hemos de cumplir, después, llevamos a cabo la gestión del riego específico.
De las cuestiones que más nos han llamado la atención, destacamos cuatro ideas fundamentales:
- Si bien no prohíbe la contratación de pólizas de seguros que cubran los riesgos en caso de que se produzcan, deja claro que estas pólizas no pueden constituirse como una manera de eludir responsabilidades por parte del responsable, llegando a señalar que “podría ser considerado por la Autoridad de Control como un posible beneficio obtenido de la propia infracción y un posible factor agravante”
- Todos los tratamientos tienen riesgos. Si una entidad, por muy pequeña que sea, no tiene medios para abordar la correcta gestión de estos, ha de contratar a un tercero para que lo realice.
- La gestión del riesgo debe ir más allá de ser una acción reactiva ante una situación. Ha de integrarse con el resto de los procesos de gestión de la organización. No debe ser independiente, sino que se ha de abarcar, con una monitorización continua, y realizando, por tanto, las correspondientes -y, nos atrevemos a decir, frecuentes- reevaluaciones.
- La EIPD añade un mayor grado de dedicación y análisis, pero se ejecuta después de la gestión de riesgos y debe estar integrada en el conjunto de la organización
Por último, hay que señalar que tenemos a nuestra disposición las tablas de la guía para su descarga en formato editable en la web de la Agencia Española de Protección de Datos.
Como conclusión, simplemente hacer hincapié en que la base de la responsabilidad proactiva, del famoso principio de accountability, es la gestión del riesgo
Lo es sea cual sea el tamaño de la organización. Y es que la AEPD nos enfoca -y nos anima- hacia un cumplimiento práctico y real, no solo sobre el papel. Ya lo dice el refrán: “Hechos son amores…”.
