El Reglamento General de Protección de Datos (RGPD) establece que la adopción de medidas de responsabilidad activa debe estar condicionada por el nivel de riesgo que los tratamientos de datos puedan suponer para los derechos y libertades de los interesados. Para gestionar este riesgo, el RGPD contempla dos enfoques principales:
Medidas aplicables en casos de alto riesgo: Algunas medidas específicas solo deben implementarse cuando el tratamiento de datos implique un alto riesgo para los derechos y libertades de los interesados. Un ejemplo destacado es la Evaluación de Impacto sobre la Protección de Datos (EIPD), que se requiere en situaciones como la monitorización sistemática a gran escala o el tratamiento de datos sensibles en gran volumen.
Medidas moduladas según el nivel de riesgo: En otros casos, las medidas de protección deben ajustarse según el nivel y tipo de riesgo que implica el tratamiento. Ejemplos incluyen la aplicación del principio de Protección de Datos desde el Diseño y el establecimiento de medidas de seguridad adaptadas al contexto del tratamiento.
Todos los responsables del tratamiento de datos deben llevar a cabo un análisis de riesgos con el objetivo de evaluar el impacto potencial de sus actividades sobre la privacidad y los derechos de los interesados. Este análisis permite determinar qué medidas de seguridad deben implementarse y cómo hacerlo de manera proporcional al riesgo identificado.
El tipo de análisis de riesgo dependerá de diversos factores, entre ellos:
La naturaleza y finalidad de los tratamientos de datos.
El tipo de datos tratados (por ejemplo, datos sensibles como información médica o biométrica).
La cantidad de interesados afectados.
La cantidad y complejidad de los tratamientos realizados por la organización.
El enfoque del análisis de riesgo variará según el tamaño y la naturaleza de la organización:
Grandes organizaciones o aquellas con tratamientos complejos: Se recomienda el uso de metodologías estructuradas, como la metodología EBIOS, ISO 27005 o la Guía de Análisis de Riesgos de la Agencia Española de Protección de Datos (AEPD).
Pequeñas organizaciones con tratamientos menos complejos: Puede bastar con una reflexión documentada sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados.
Para evaluar si un tratamiento conlleva un riesgo elevado, es recomendable responder a las siguientes preguntas. Cuantas más respuestas afirmativas se obtengan, mayor será el nivel de riesgo asociado:
¿Se tratan datos sensibles como información de salud, origen étnico o convicciones políticas?
¿Se procesan datos de un gran número de personas?
¿El tratamiento implica la elaboración de perfiles o toma de decisiones automatizadas?
¿Se combinan datos obtenidos de distintas fuentes para su análisis?
¿Los datos recopilados se reutilizan para fines diferentes a los inicialmente previstos?
¿Se utilizan técnicas de análisis masivo, como big data?
¿Se emplean tecnologías invasivas para la privacidad, como geolocalización, videovigilancia a gran escala o ciertas aplicaciones del Internet de las Cosas (IoT)?
Ejemplo 1: Una empresa de publicidad digital que recopila datos de navegación de millones de usuarios para segmentación de anuncios estaría realizando un tratamiento de alto riesgo, ya que implica elaboración de perfiles y cruce de datos de diversas fuentes.
Ejemplo 2: Un clínica dental que gestiona datos de pacientes sobre su historial de salud también podría estar en un nivel de riesgo alto, debido al tratamiento de datos sensibles.
Si tras este análisis se concluye que la organización no realiza tratamientos que generen un elevado nivel de riesgo, podrá aplicar medidas de seguridad menos estrictas. Sin embargo, si se identifica un riesgo significativo, será necesario implementar medidas adicionales, como el cifrado de datos, auditorías periódicas o la realización de una EIPD.