Entradas

La Agencia Española de Protección de Datos (AEPD) acaba de hacer pública una nueva versión de la Guía sobre Gestión de Riesgos y Evaluación de Impacto de Protección de Datos (EIPD).

Como viene siendo costumbre desde que comenzara su labor, y en su afán por orientar a responsables y encargados para lograr el cumplimiento normativo, la AEPD publica guías, informes y respuestas a consultas sobre diversos temas: relaciones laborales, videovigilancia y cookies entre otros.  

En esta ocasión, y con el fin de explicar el contenido y las novedades de la Guía, la AEPD organizó una jornada dedicada a la misma. Así, con este post, nuestro objetivo es el de resumir los aspectos tratados en dicha presentación y, con ello, los fundamentos y novedades esenciales de la nueva guía.

Antecedentes de la nueva Guía

La primera Guía sobre Gestión de Riesgos y EIPD se publicó en 2015 y supuso un hito en el marco europeo de protección de datos. El documento seguía la política de la AEPD de garantizar los derechos y libertades de los interesados y de dar soporte en el cumplimiento a encargados y responsable, para que éste sea eficaz y eficiente.

Aunque el instrumento continúa siendo, a día de hoy, extremadamente útil, lo cierto es que ya han transcurrido más de seis años desde su entrada en vigor, tiempo en el que han tenido lugar numerosos cambios, que han llevado a la necesidad de desarrollar un sistema más moderno y eficiente. A pesar de que la AEPD, constantemente responde a numerosas consultas planteadas por encargados y responsables, desarrollar este instrumento supone una solución más práctica, común y unificada. He ahí la razón de ser de la nueva guía: un recurso adaptado a la realidad actual, que respeta las previsiones del RGPD y la LOPDGDD.

Introducción a la nueva Guía sobre EIPD

Cualquier actividad de tratamiento que se pretenda llevar a cabo requiere, necesariamente, de un previo ejercicio de reflexión, que permita anticipar problemas y tomar decisiones objetivas y razonables. En otras palabras: gestión de riesgos. El riesgo es, precisamente, uno de los conceptos al que hace repetida referencia el RGPD y el objetivo de una correcta gestión de los riesgos y de la elaboración de una EIPD no es otro que el de garantizar los derechos y libertades de los interesados y el de identificar, evaluar y mitigar los riesgos relativos a aquellos. 

A fin de conseguir lo anterior, es fundamental que las organizaciones establezcan medidas técnicas y organizativas, adecuadas al objeto, ámbito y fines del tratamiento; pero no basta con crearlas: las medidas han de ser sometidas a seguimiento y revisadas periódicamente.

Además, una correcta gestión de riesgos exige que los sujetos no solo cumplan con lo anteriormente dispuesto, sino que sean capaces de demostrar este cumplimiento. Así, toda gestión de riesgos debe cumplir dos características fundamentales:

  • Eficiencia: el coste y el impacto de la gestión de riesgos y la correspondiente EIPD debe ser mínimo para la organización, otro de los motivos que ha dado lugar a la necesidad de publicar la nueva Guía.
  • Eficacia: la gestión de riesgos debe entenderse como un proceso vivo y documentado, nunca como un documento formal, estático e invariable.

Estructura de la nueva guía

El documento publicado por la AEPD presenta una estructura detallada y organizada, dentro de la cual podemos diferenciar, claramente, tres partes o secciones:

1. Fundamentos para la gestión de riesgos. Sección destinada a proporcionar la orientación necesaria para la gestión de riesgos y realización de EIPD, en el marco de la protección de datos.

2. Desarrollo metodológico básico. Sección más práctica, con orientaciones sobre cómo poner en marcha dicha gestión en la organización. Un punto fundamental consiste en recordar que la AEPD solo marca unos mínimos a seguir, de forma que corresponde a la organización establecer y desarrollar sus propios procesos.

3. EIPD. Entendiendo a la Evaluación de Impacto como un proceso global, y no como un momento o contenido concreto, que forma parte intrínseca de la gestión de riesgos. De hecho, la nueva guía ha ahondado aún más que la anterior en este concepto, de las siguientes formas:

  • Facilitando a los responsables una check-list que permite que puedan determinar, desde un punto de vista formal, si las consultas remitidas a la AEPD son completas.
  • Ayudando a los responsables en la implementación de procesos de gestión de riesgos.
  • Proporcionando las herramientas para servir de base para el establecimiento de procesos propios de la organización.

Novedades y puntos fuertes de la Guía sobre gestión de riesgos y EIPD

En este apartado, presentaremos y analizaremos algunos de los aspectos clave y de las mejoras que introduce la nueva Guía.

1. Elaboración de un listado de factores de riesgo

La AEPD, como resultado de un profundo ejercicio de síntesis, ha creado una relación de factores de riesgo, a tener en cuenta por los responsables del tratamiento. Esta relación, en cualquier caso, no tiene carácter limitativo, sino que abre la puerta a que cada responsable, desde su responsabilidad proactiva, identifique los factores de riesgo específicos para cada tratamiento llevado a cabo y, a partir de ahí:

  • Implemente medidas de seguridad orientadas a proteger los derechos de los interesados
  • Realice un análisis para prever las consecuencias de posibles brechas de seguridad
  • Analice los fallos en los sistemas de tratamiento de información y estudie las repercusiones en los derechos de los individuos

2. Nuevas recomendaciones para mitigar los riesgos

Además de lo anterior, la AEPD ha llevado a cabo una tarea adicional, consistente en ofrecer una serie de recomendaciones para mitigar dichos riesgos, desde cuatro niveles:

  • Mediante la implementación de cambios en el diseño del tratamiento
  • Con la aplicación de medidas de gobernanza y políticas de protección de datos, a fin de garantizar y proteger los derechos y libertades.
  • A partir de la puesta en marcha de medidas de privacidad desde el diseño
  • Haciendo uso de medidas de seguridad, específicamente orientadas a la protección de los derechos y libertades de los interesados.

3. Introducción de la herramienta “EVALUA_RIESGO RGPD”

Además de la Guía en sí, la AEPD ha aprovechado la ocasión para presentar una herramienta que la guía contempla: Evalúa Riesgo. Es un recurso diseñado para dar soporte a los responsables a la hora de determinar el nivel de riesgo que pueden suponer sus tratamientos.

Su funcionamiento consiste en que la herramienta, como tal, no lleva a cabo la toma de ninguna decisión, sino que asiste al responsable -que es quien debe asumir ese cometido- en dicha tarea.

Para hacer posible lo anterior, la herramienta sintetiza los posibles factores de riesgo atendiendo a:

  1. Los fines del tratamiento
  2. Los tipos de datos tratados
  3. El ámbito y alcance del tratamiento
  4. La tipología de interesados
  5. Los factores técnicos y tecnologías empleados
  6. La existencia de bases de datos específicas
  7. Los efectos colaterales del tratamiento en los interesados
  8. La categoría o sector dónde trata los datos el responsable o encargado
  9. Las comunicaciones de datos llevadas a cabo
  10. El impacto de la potencial pérdida de confidencialidad y seguridad

Cuando el usuario accede a la herramienta, se le presenta un amplio abanico de campos que debe elegir si seleccionar. Por ejemplo: perfilado, geolocalización, control de acceso, sujetos involucrados, tratamiento a gran escala, duración del tratamiento, etc. Así, el usuario selecciona qué campos considera que aplican al tratamiento efectuado y cuáles no, y se le ofrece la opción de indicar, así mismo, si ha aplicado técnicas para mitigar los riesgos, y en qué medida.

Una vez hecho lo anterior, la plataforma desarrolla un informe, que no constituye una EIPD como tal, pero si una base o punto de partida, a partir del cual el responsable no solo podrá demostrar su cumplimiento –accountability– sino que podrá usar de referencia para elaborar la EIPD en sí.

Conclusiones

Hasta aquí, nuestro artículo dedicado a la gestión de riesgos, las EIPD, la guía que regula ambos conceptos y todas las novedades. Pero, ojo, solo por el momento: siguiendo ese criterio de que estos son procesos vivos y cambiantes, la AEPD ya ha adelantado que los instrumentos presentados hoy forman parte de las muchas actuaciones y trabajos futuros que se desarrollarán a partir de ahora.

Todo apunta a que, de aquí en adelante, nos encontraremos con un panorama cambiante, con actualización de los formatos conocidos, prestación de más ayudas a responsables y encargados, introducción de nuevas herramientas y demás. No en vano justo ayer, 30 de junio de 2021 la Autoridad Francesa de Protección de Datos publicó su herramienta de elaboración de EIPDs V.3. Un gran recurso que en conjunto con este presentado por la AEPD nos vendrán muy bien a todos los actores en el ecosistema de privacidad.

Es indispensable recordar que, por mucho que la AEPD facilite la gestión, son los responsables del tratamiento quienes tienen en sus manos la carga de realizarla correctamente, y de estar al tanto de cambios y novedades, a fin de garantizar los derechos y libertades de los interesados, que es lo primordial.

Desde Dataseg, continuamos al pie del cañón para estar al tanto de todas las actualizaciones, novedades y asuntos de interés, a fin de mantenerte informado. Y, si quieres saber más, siempre puedes ponerte en contacto con nosotros.