El pasado 29 de junio la Agencia de Protección de Datos publicó una nueva guía para la gestión del riesgo en el tratamiento de los datos personales.
El objetivo de esta nueva guía es actualizar y unificar las dos guías previas ya existentes sobre análisis de riesgos y evaluación de impago que la Agencia había publicado ya unos años antes.
La guía se divide en tres grandes bloques:
| Primero | Descripción de los fundamentos de la gestión de riesgos para los derechos y libertades |
| Segundo | Desarrollo metodológico básico para la aplicación de la gestión del riesgo para los derechos y libertades, |
| Tercero | Casos en los sea preciso realizar una Evaluación de Impacto para la Protección de Datos, con unas orientaciones metodológicas específicas al respecto |
Recomiendo una lectura completa de la guía para toda aquella persona que se dedique a gestionar riesgos en materia de protección de datos en una organización.
Lo que voy a hacer es repasar algunas cuestiones del primer bloque que me parecen relevantes en esto de la gestión del riesgo de los tratamientos de datos personales.
Descripción de los fundamentos de la gestión de riesgos para los derechos y libertades
Este bloque aborda conceptos asociados a la gestión del riesgo, el proceso de gestión del riesgo y la gobernanza de los riesgos.
Si tuviera que quedarme sólo con una frase de este macro apartado y plantarme aquí, para entender de qué va esto de la gestión de riesgos, sería la siguiente:
«La gestión del riesgo no es un documento sino un proceso que se traduce en hechos y que se acredita documentalmente.»
También es bueno repasar los conceptos de «riesgo» y «gestión del riesgo» descritos en las Directrices WP248:
- Un «riesgo» es un escenario que describe un acontecimiento y sus consecuencias estimado en términos de gravedad y probabilidad.
- Por otra parte, la «gestión de riesgos» puede definirse como las actividades coordinadas para dirigir y controlar una organización respecto al riesgo.
Y repaso los conceptos porque, aquí la guía, hace una aclaración que me parece muy importante a la hora de gestionar el riesgo y es la siguiente:
«Hay que distinguir la gestión del riesgo para los derechos y las libertades, de la gestión del riesgo de cumplimiento normativo.»
Merece la pena este profundizar en este concepto porque no siempre veo que se tenga claro. Diferenciemos muy bien estas dos cuestiones:
- (1) La gestión del riesgo para los derechos y las libertades.
- (2) La gestión del riesgo de cumplimiento normativo.
Con la primera (1) se estudia el impacto y la probabilidad de causar un daño a las personas como consecuencia del tratamiento de sus datos.
Con la segunda (2) se facilita a las organizaciones (responsables del tratamiento) una herramienta para verificar el grado de cumplimiento de las obligaciones y preceptos legalmente exigidos respecto a una actividad de tratamiento.
Y aquí viene la aclaración de la guía fundamental
«Previamente al proceso de gestión de riesgos y como condición sine qua non para emprender una actividad de tratamiento, es preciso sistematizar la verificación de cumplimiento normativo a lo largo de todo el ciclo de vida del tratamiento.»
He visto a muchas organizaciones tratando de empezar la casa por el tejado cuando empezar por el ciclo de vida del dato debe ser siempre el punto de partida.
Una de las cosas que me han gustado mucho de esta guía, y es que los responsables de redactarla, han querido ser didácticos en su explicación y se agradece. Esta tabla que presentan con supuestos para diferenciar garantías jurídicas y gestión del riesgo para los derechos, me ha parecido un ejemplo de ello:
| Garantía jurídica | Gestión del riesgo para los derechos y libertades |
| Contrato con el encargado de tratamiento cumpliendo los requisitos del artículo 28 del RGPD. | Es una obligación de cumplimiento normativo, no una gestión del riesgo. |
| Póliza de seguros para cubrir la responsabilidad de la organización ante una posible infracción del RGPD. | Supone una gestión del riesgo de cumplimiento, pero no del riesgo para los derechos y libertades. |
| La firma de un acuerdo de confidencialidad por parte de personal que tratan determinados datos. | Puede ser una medida de gestión del riesgo para los derechos y libertades, en la medida que no relaja las obligaciones. Busca garantizar el compromiso del personal que trata los datos. |
También se recopilan instrumentos y herramientas previamente publicados y que son de utilidad a la hora de realizar un análisis de riesgos como:
