Con carácter general, y con el ánimo de garantizar el cumplimiento normativo en materia de protección de datos personales por parte de toda organización, se debe analizar de forma continuada y periódica el impacto y la probabilidad de que, a raíz del tratamiento de datos personales que se realizan, se puedan producir perjuicios sobre los derechos y libertades de las personas.
Diversos artículos del Reglamento (UE) 2016/679, General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), apuntan en este sentido, desde la perspectiva del cumplimiento de las obligaciones generales del Responsable del Tratamiento de los datos, pasando por las obligaciones relativas a cuestiones de seguridad de los datos o en relación a las competencias del Delegado de Protección de Datos, entre otras.
El enfoque basado en el riesgo, y por tanto la obligación de su gestión, se aplica independientemente del tamaño de la organización, de su carácter o naturaleza, pública o privada, de los recursos disponibles o del sector de actividad y debe centrarse en conocer el posible impacto que las diversas actividades de tratamiento de datos realizadas, puedan tener sobre los derechos y libertades de las personas. Ahondando en esta gestión del riesgo, en el caso de que se detecte un nivel alto de riesgo (art. 35 RGPD y 28.2 LOPGDD), también deberá procederse a la realización de la pertinente Evaluación de Impacto de Protección de Datos Personales.
A este respecto, el pasado 29 de junio, la Agencia Española de Protección de Datos (AEPD) presentó una nueva guía de Gestión del riesgo y evaluación de impacto en protección de datos personales. Esta guía supone una actualización de las ya publicadas en relación con la misma materia, con el objetivo de colaborar y ayudar tanto a Responsables como a Encargados, así como a Coordinadores y/o Delegados de Protección de Datos.
Si bien la AEPD propone diversas herramientas para la gestión interna del riesgo en tratamientos considerados, a priori, de bajo riesgo, para aquellos casos en los que el tratamiento se pueda considerar de medio o alto riesgo y/o la organización no cuente con los medios o capacidad necesaria para llevarlo a cabo, se obliga a las organizaciones a la contratación de asesoramiento experto externo; tal y como menciona la propia guía, “si una entidad pretende abordar un tratamiento y no tiene la capacidad para hacer la necesaria gestión del riesgo, estará obligada a buscar algún tipo de ayuda, como recurrir a la consultoría externa, para realizarlo de la forma apropiada.”
No dude en contactar con nosotros para conocer la mejor manera de cumplir con la obligación de gestionar el riesgo de las diversas actividades del tratamiento de datos personales que lleva a cabo en su organización.