Continuando con el estudio de las guías que, con el fin de ayudar a las entidades públicas y privadas a adaptarse al nuevo Reglamento Europeo de protección de datos (en adelante, RGPD), ha ido publicando la Agencia Española de Protección de Datos (en adelante, AEPD), en el presente artículo abordaremos el estudio de la Guía Práctica de Análisis de Riesgos (en adelante, la Guía).
La plena exigibilidad del RGPD, a partir del próximo 25 de mayo de 2018, hará que responsables y encargados de tratamiento estén obligados a cumplir con todos aquellos requerimientos que esta normativa recoge, entre ellos la necesidad de llevar a cabo un análisis de riesgos. En aras de poder ofrecer las directrices y orientaciones necesarias que permitan cumplir con esta necesidad, publicó, el pasado 28 de febrero la AEPD la guía que ahora analizamos.
Hemos de partir de la base de que todo tratamiento de datos de carácter personal nace expuesto a determinados riesgos con impacto en la protección de datos. Así, el análisis de riesgos es una herramienta que permite realizar una valoración objetiva de los mismos, y las posibles medidas de seguridad y control que podemos aplicar para mitigar los riesgos resultantes y, en consecuencia, garantizar los derechos y libertades de los interesados.
Tal y como refleja la Guía, la gestión de los riesgos es un procedimiento implementado desde hace tiempo y con eficacia demostrada a la hora de identificar y mitigar los daños o riesgos a los que las entidades están expuestas. Sin embargo, el RGPD otorga un nuevo enfoque a esta gestión, centrando la atención en los riesgos que puede suponer una actividad de tratamiento y hasta qué punto la misma, por sus características y el tipo de datos a los que se refiere, puede tener un impacto negativo en los derechos y libertades de los interesados.
La Guía divide este proceso de gestión de riesgos en tres etapas:
1. Identificar las amenazas y los riesgos inherentes a cada actividad de tratamiento.
2. Evaluar los riesgos considerando todos los posibles escenarios en los cuales los mismos podrían hacerse efectivos y valorar el impacto de la exposición a la amenaza causante de dichos riesgos, junto con la probabilidad de que se materialicen.
3. Tratar los riesgos para disminuir su nivel de exposición mediante la aplicación de medidas de control que permitan reducir la probabilidad de que el riesgo se materialice.
El RGPD, consciente de que la exposición a los riesgos con impacto en la protección de datos se produce desde el inicio o puesta en marcha de los tratamientos y de que esta exposición va evolucionando en función de las variaciones del contexto y de factores o elementos que intervienen en las mismas, introduce el concepto de la “protección de datos desde el diseño y por defecto”, como ya analizamos en su momento en anteriores publicaciones (ver artículo)
Este nuevo concepto, supone que, desde la fase inicial de planificación de un proyecto con repercusión en los derechos y libertades de los interesados, deberá evaluarse el impacto de las operaciones de tratamiento. Todo ello en aras de aplicar las medidas de seguridad más adecuadas al riesgo, en atención a factores como el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, que garanticen el cumplimiento de los principios de protección de los datos.
Asimismo, la Guía dedica dos apartados dedicados al Registro de Actividades de Tratamiento y a la Evaluación de impacto (en adelante EIPD). El primero de ellos, como una fase previa necesaria para llevar a cabo el análisis de riesgos y el segundo, la EIPD, presentada como el siguiente paso a dar, en ocasiones, tras el resultado del análisis de riesgo. Tal como establece la guía, no deberemos olvidar, que la EIPD no se requiere siempre, sino que se debe valorar la necesidad de llevar a cabo la misma en atención a los resultados obtenidos.
Por último, la Guía introduce un anexo con plantillas que las entidades podrán utilizar para poner en práctica las diferentes fases de la gestión de riesgos y que puede resultar ventajoso para afrontar esta necesidad de llevar a cabo un análisis de riesgos.