La AEPD ha presentado hoy la “Guía sobre Gestión del Riesgo y Evaluación de Impacto (EIPD) en tratamientos de datos personales” junto a un prototipo de herramienta que ayude a su cumplimiento.
La presentación ha resaltado la necesidad de disponer de sistema de gestión del riesgo adecuado a la protección de datos. Para facilitar esta tarea, la nueva Guía ofrece una serie de criterios basados en las diferentes recomendaciones y guías publicadas por las autoridades europeas. Se trata así de una guía de mínimos que los responsables de tratamiento deberán ampliar a sus necesidades y características de su organización.
Esta nueva Guía de gestión del riesgo se estructura en tres secciones:
- Fundamentos para la gestión del riesgo en materia de protección de los derechos fundamentales.
- Metodología básica orientada a la gestión del riesgo.
- La realización de Evaluación de Impacto en Protección de Datos.
Además de su presentación en el día de hoy, la herramienta de gestión desarrollada por la AEPD se encuentra ya operativa en su web www.gestiona.aepd.es. A través de ella resulta posible definir y analizar el ciclo de vida completo del tratamiento de datos, así como los riesgos derivados de cada una de las fases.
Entre los riesgos definidos en la herramienta de la AEPD podemos encontrar aquellos relacionados con:
- Las finalidades perseguidas: perfilado, evaluación de sujetos, control del empleado, localización, gestión de contactos…
- Tipos de datos utilizados: documentos personales, rendimiento laboral, datos biométricos…
- Extensión: volumen de los datos, alcance geográfico
- Interesados involucrados: menores, pacientes, personas discapacitadas…
- Factores técnicos del tratamiento: servicios web, aplicaciones móviles, SmartTVs, lector de huellas…
- Modo de recogida de datos: acceso de sistemas de información crediticia, datos provenientes de aplicaciones móviles, cookies…
- Efectos que puede tener el tratamiento: daño reputacional, daños morales, daños patrimoniales, generación de algún tipo de discriminación…
- Comunicaciones: posibilidad de realizar transferencias internacionales de datos, cesiones de datos…
- Afectación a las dimensiones de la seguridad de la información: integridad, confidencialidad, disponibilidad, trazabilidad y autenticidad.
Una vez identificados los riesgos, la herramienta permite indicar la probabilidad e impacto de su materialización, así como el nivel de mitigación del que goce la entidad a través de las medidas de seguridad ya implantadas. Finalmente, el resultado de dicho análisis queda debidamente documentado en el informe generado por la herramienta.
Una vez más, la AEPD recuerda así la importancia de analizar los riesgos inherentes en cada una de las actividades de tratamiento realizadas, poniendo a disposición de los ciudadanos esta nueva guía y herramienta que facilite su cumplimiento.