RGPD
Evaluación de riesgos de conformidad con el RGPD
Las empresas deben llevar a cabo una evaluación de riesgos de conformidad con el RGPD antes de iniciar un nuevo tratamiento de datos personales, introducir nuevos sistemas informáticos o planificar nuevas tecnologías que procesen datos personales.
Evaluación de riesgos: Partiendo de la perspectiva de los interesados
Al llevar a cabo una evaluación de riesgos, la empresa debe tener en cuenta el riesgo del tratamiento para los interesados, no los riesgos para la empresa. En otras palabras, comience desde la perspectiva de los interesados.
Por ejemplo, el tratamiento de datos personales puede dar lugar a discriminación para los interesados o a pérdidas financieras para los interesados.
¿Cuándo deben las empresas llevar a cabo una evaluación de riesgos de conformidad con el RGPD?
Se debe realizar una evaluación de riesgos ante la empresa, entre otras cosas:
- Iniciar un nuevo tratamiento de datos personales.
- Introducir nuevos sistemas informáticos.
- Planes para utilizar nuevas tecnologías.
Tenga en cuenta que las empresas también deben realizar una evaluación de riesgos cuando observen deficiencias en sus garantías en caso de violaciones de datos personales u otras discrepancias.
Pasos en una evaluación de riesgos de acuerdo con RGPD
Tipos de datos personales
La evaluación de riesgos incluirá los tipos y categorías de datos personales a los que se refiere el tratamiento. Por ejemplo, si se trata de datos personales sensibles u otros datos personales sensibles a la privacidad, el alcance del procesamiento, la ubicación de almacenamiento, el período de almacenamiento, etc.
Riesgos identificados
El segundo paso es identificar los posibles riesgos del procesamiento. Por ejemplo, qué consecuencias pueden surgir para los interesados si cualquier persona no autorizada obtiene acceso a los datos personales.
Probabilidad
A continuación, la empresa analizará la probabilidad de que se produzcan los riesgos identificados. A menudo esto se hace a través de una matriz de riesgos, donde la empresa clasifica los riesgos como bajos, medios o altos.
Salvaguardias
Con el fin de minimizar los riesgos y las consecuencias del tratamiento de datos personales, la empresa aplicará las garantías adecuadas, tanto técnicas como organizativas. Por ejemplo, encriptación de datos personales, autenticación en dos pasos, capacitación para empleados, etc.
Documentación
La evaluación de riesgos debe documentarse por escrito, de modo que la empresa pueda demostrar que cumple con el RGPD en la práctica, que es un requisito en virtud del principio de rendición de cuentas en virtud del artículo 5, apartado 2, del RGPD. La evaluación de riesgos documentada incluirá, entre otras cosas, el método utilizado por la empresa, los riesgos implicados en el tratamiento, si la empresa ha decidido llevar a cabo una evaluación de impacto completa o no, etc.
Es bueno revisar las evaluaciones de riesgos regularmente
La empresa debe establecer un sistema para revisar periódicamente las evaluaciones de riesgos realizadas. Por ejemplo, asignando esta tarea a un empleado específico y que programe la tarea en su calendario. Los riesgos pueden cambiar con el tiempo dependiendo de varios factores y, por lo tanto, es bueno garantizar que las evaluaciones de riesgos se mantengan actualizadas a lo largo del tiempo.
APRENDE MÁS
Evaluación del interés legítimo
Las empresas deben realizar una evaluación de interés legítimo (LIA) para determinar si tienen un interés legítimo en una operación de procesamiento en particular o no. El interés legítimo es una de las seis (6) bases legales del RGPD. Los interesados tienen derecho a oponerse al tratamiento sobre la base de un interés legítimo de conformidad con el artículo 6, apartado 1, letra f), del RGPD. Sin embargo, esto no significa automáticamente que la empresa deba detener el procesamiento. En cambio, la empresa debe realizar una nueva evaluación después de que el interesado haya formulado una objeción, pero la empresa puede concluir que existe un interés legítimo y, por lo tanto, continuar el procesamiento.