Desde la entrada en vigor del RGPD se introduce el principio de Responsabilidad Activa de quienes tratan datos personales. Este principio implica que la propia organización que realiza el tratamiento debe analizarlo (y, cuando el riesgo sea elevado, evaluar el impacto) de manera que sea capaz de determinar las medidas adecuadas para la protección de datos personales y la salvaguarda de los derechos y libertades de los usuarios.
Partiendo de esta base, identificamos dos conceptos que procedemos a explicar y diferenciar:
Por un lado, encontramos el análisis y gestión de los riesgos. Es necesario evaluar el nivel de riesgo en relación con los tratamientos de datos personales que se realizan. “el análisis y la gestión de riesgos son procedimientos que permiten a las organizaciones hacer un diagnóstico sobre los tratamientos de datos personales y, en ocasiones, aportar información suficiente para decidir si es necesario o no llevar a cabo una Evaluación de Impact
o en Protección de Datos.”. Se trata, por tanto, de un procedimiento previo que debemos llevar a cabo cuando tratemos datos personales. Este análisis inicial nos dará la información necesaria para determinar las medidas de seguridad y control adecuadas que eliminen o reduzcan el riesgo analizado.
Para facilitar la elaboración de este análisis, la AEPD (Agencia Española de Protección de Datos) pone a disposición de los usuarios una Guía Práctica de Análisis de Riesgos en los Tratamientos de Datos Personales, así como una herramienta, FACILITA, que contiene un cuestionario online a través del cual obtener los “documentos mínimos indispensables para ayudar a cumplir con el Reglamento”.
Por otra parte, tenemos las evaluaciones de impacto de protección de datos. Este proceso está encaminado a “describir, de manera anticipada y preventiva, un tratamiento de datos personales, evaluar su necesidad y proporcionalidad y gestionar los potenciales riesgos para los derechos y libertades a los que estarán expuestos los datos personales en función de las actividades de tratamiento que se lleven a cabo con los mismos, determinando las medidas necesarias para reducirlos hasta un nivel de riesgo aceptable”.
A efecto de ayudar a los usuarios en su realización, igual que en el caso anterior, la AEPD dispone de una Guía Práctica para las Evaluaciones de Impacto en la Protección de Datos la cual, junto con la herramienta GESTIONA EIPD ayudan a los responsables del tratamiento a cumplir con los mínimos exigidos por la legislación.
Cabe añadir que, tal y como se ha expuesto, no todo tratamiento ha de estar sometido a Evaluación (su necesidad o no dependerá esencialmente del resultado del Análisis previo). Si bien para ayudar a esta clasificación, la AEPD también facilita un Listado de tratamientos en los que es obligatorio realizar una Evaluación de Impacto, así como un Listado de Tratamientos en los que no es obligatorio realizar la Evaluación de Impacto.
Por último, debemos tener en cuenta que, tal y como indica la AEPD en las guías y herramientas anteriormente mencionadas, éstas constituyen unos útiles de ayuda al usuario para cumplir con los mínimos indispensables legales. Son, por tanto, una herramienta de gran apoyo que debemos conocer, sin hacer depender nuestras políticas y medidas de protección de datos exclusivamente de ellas.
