28/11/2021
Diccionario jurídico: gestión de riesgos

¿Qué es la gestión de riesgos en materia de protección de datos?

1.- Definición de la gestión de riesgos para los derechos y libertades

La gestión de riesgos para los derechos y las libertades de los interesados en materia de protección de datos o simplemente análisis de riesgos, es el proceso de identificación de los posibles riesgos que afecten a los derechos y las libertades de las personas y que pueden materializarse como consecuencia del tratamiento de datos personales. Incluye la adopción de los controles y medidas oportunas para reducir al máximo tales riesgos.

La gestión de riesgos en materia de protección de datos es el proceso de identificación de los riesgos que pueden materializarse como consecuencia de un tratamiento de datos personales, así como la adopción de los controles oportunos que los reduzcan hasta un nivel aceptable.

La gestión de riesgos incluye concretamente: 

  • La identificación de los riesgos derivados del tratamiento y el cálculo del valor total de riesgo (este valor recibe el nombre de riesgo inherente). Se obtiene a partir del análisis de dos variables:
    1. La probabilidad de que ocurra el riesgo. 
    2. El impacto que tendría en caso de materializarse.

PROBABILIDAD X IMPACTO = RIESGO INHERENTE

  • El control del riesgo, mediante la aplicación de medidas y garantías para paliarlo. 
  • La identificación del valor de riesgo tras la aplicación de las medidas adoptadas (este valor recibe el nombre de riesgo residual), que debería quedar dentro del margen de un riesgo aceptable. 
  • La constante revisión y actualización de los riesgos y las medidas aplicadas. 

Fuente: Agencia Española de Protección de Datos

Dentro del proceso de gestión de riesgos, se incluye también lo que recibe el nombre de evaluación de impacto en protección de datos (EIPD o PIA, por sus siglas en inglés). Se trata de un proceso de control similar al de la gestión de riesgos, pero al que se añaden nuevos requisitos de profundidad y exhaustividad, derivados del alto riesgo que supone un determinado tratamiento de datos personales.

Fuente: Agencia Española de Protección de Datos

 

2.- Fases de la gestión de riesgos

Las fases de las que se compone el proceso de gestión de riesgos son las siguientes: 

  1. Determinación precisa de las finalidades del tratamiento: Los fines del tratamiento y su legitimación han de estar fijados antes de iniciar el proceso de gestión del riesgo. Deberá detallarse cómo el responsable se ha asegurado de la correcta identificación de los riesgos. 
  2. Descripción del tratamiento, es decir, su propósito, naturaleza, alcance o ámbito y contexto. 
  3. Evaluación del nivel de riesgo del tratamiento para los derechos y libertades de las personas físicas: Análisis de los factores, su impacto y probabilidad + evaluación del nivel global de riesgo de cada tratamiento. 
  4. El tratamiento del riesgo:  Tomar medidas técnicas y/o organizativas e implementar garantías que disminuyan específicamente el nivel de riesgo para los derechos y libertades. 
  5. Implementación de los controles, verificación y reevaluación: 
    • Procedimientos que detecten problemas, cambios o eventos imprevistos en el tratamiento o en su entorno que sean susceptible de desencadenar la necesidad de iniciar un ciclo de revisión de la gestión del riesgo. 
    • Si no se detectan, será necesario igualmente establecer periodos de revisión períodico que podrían estar fijados en el marco de las políticas de protección de datos. 

Fuente: Agencia Española de Protección de Datos

 

3.- Base jurídica de la gestión de riesgos para los derechos y libertades

La gestión de riesgos es un concepto de enorme importancia en materia de protección de datos. A pesar de ello, ni el Reglamento General de Protección de Datos (RGPD), ni la Ley Orgánica de Protección de Datos y de Garantía de los Derechos Digitales (LOPDGDD) contienen una definición de lo que debe entenderse por tal. 

En cambio, la gestión del riesgo sí ha sido definida de forma expresa por el Comité Europeo de Protección de Datos (CEPD) en sus Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del Reglamento (UE) 2016/679. Esta definición ha sido posteriormente reproducida por la Agencia Española de Protección de Datos (AEPD) en su Guía sobre la gestión del riesgo y evaluación de impacto en tratamientos de datos personales, de junio de 2021. 

El CEPD define tanto la gestión de riesgos como el concepto de riesgo. Considera que el riesgo es “un escenario que describe un acontecimiento y sus consecuencias estimado en términos de gravedad y probabilidad” y que la gestión de riesgos es el conjunto de “actividades coordinadas para dirigir y controlar una organización respecto al riesgo”. 

 

4.- La gestión de riesgos como obligación

¿Quién es el obligado a llevar a cabo la gestión de riesgos? En aplicación del artículo 24 del RGPD y del artículo 28 de la LOPDGDD podemos concluir que el obligado es el responsable del tratamiento.

El responsable del tratamiento es la persona que determina los fines y medios del tratamiento. Puede ser una persona física, jurídica, una autoridad pública u otro organismo (artículo 4.7) del RGPD).

Ahora bien, atendiendo al artículo 28, apartados 3.c, f y h del RGPD, y al artículo 28 de la LOPDGDD, el encargado del tratamiento está obligado a ayudar al responsable y a poner a su disposición todas las herramientas e información de que disponga para demostrar el cumplimiento de la normativa de protección de datos. 

El encargado del tratamiento, por su parte, es la persona física o jurídica, autoridad pública, servicio u otro organismo que, por cuenta del responsable del tratamiento, trate los datos (artículo 4.8) del RGPD).

Si ya te ha quedado claro qué son los datos personales no hace falta que sigas leyendo.

Pero si quieres profundizar más, continua leyendo 👇

 

5.-La Agencia Española de Protección de Datos (AEPD) sobre la gestión de riesgos

  • La AEPD ha publicado una guía en la que analiza los fundamentos y el proceso de gestión de riesgos para los derechos y libertades de los interesados aplicable a cualquier tratamiento de datos. Además, y para los casos de tratamientos de alto riesgo, incorpora las orientaciones necesarias para realizar la evaluación de impacto para la protección de datos (EIPD). Se trata de una guía que recoge en un solo documento las anteriores guías prácticas relativas al análisis de riesgos y a la evaluación de impacto publicadas por la propia la AEPD.
  • La AEPD ha creado una serie de herramientas de acceso gratuito que pretenden servir de ayuda a las empresas cuando inician un proceso de gestión de riesgos, en las que pueden ver y consultar unas bases mínimas que deberán posteriormente desarrollar y adaptar al caso y tratamiento concreto. Estas herramientas de la AEPD son las siguientes: 
    • FACILITA-RGPD, pretende ayudar a las empresas a realizar un tratamiento de datos personales de bajo riesgo. 
    • EVALÚA_RIESGO RGPD, persigue ayudar a identificar los factores de riesgo para los interesados mediante una primera evaluación de riesgo intrínseco, la evaluación de necesidad de EIPD, así como mediante la estimación del riesgo residual. 
    • GESTIONA-EIPD, asistente que proporciona una base inicial para una gestión adecuada de los riesgos. 
Redactado y revisado por el equipo de protección de datos y privacidad de la firma Algoritmo Legal.

¿Buscas abogado especialista en Protección de datos personales?

Te recomendamos la firma de abogados española Algoritmo Legal donde encontrarás al abogado especializado en Protección de datos personales y con experiencia contrastada que necesitas. Formúlales tu consulta directamente desde aquí (los campos con * son obligatorios):


    ¿Cual es tu nombre?(*)
    ¿Cual es tu correo electrónico?(*)
    ¿En qué ciudad te ubicas?(*)
    ¿A qué teléfono podemos llamarte?

     

    Escribe tu mensaje o formula tu consulta:(*)

    Introduzca los caracteres que ves a continuación (para descartar bots):captcha

    He leído y acepto la Política de Privacidad y de Cookies del portal.

    Lenguaje Jurídico

    Lenguaje Jurídico promueve la utilización del lenguaje jurídico claro y el legal design con el fin de poner el Derecho al alcance de todos. Creadores del primer diccionario jurídico del ciudadano hispanohablante de a pie. Proyecto digital promovido por Algoritmo Legal.

    Ver todas las entradas de Lenguaje Jurídico →
    Translate »