Información jurídica inteligente
 España | 900 649 672

Gestión del riesgo y evaluación de impacto en tratamientos de datos personales

Document Citado por Relacionados
Vincent
AutorAgencia Española de Protección de Datos
Gestión del riesgo y
evaluación de impacto
en tratamientos de datos
personales
Junio 2021
Esta obra está bajo una
Licencia Creative Commons Atribución-NoComercial-CompartirIgual 4.0
Internacional.
Página: 2 de 160
RESUMEN EJECUTIVO
El presente documento es una guía para la gestión de riesgos para los derechos y
libertades de los interesados aplicable a cualquier tratamiento, independientemente de
su nivel de riesgo. Además, y para los casos de tratamientos de alto riesgo, incorpora
las orientaciones necesarias para realizar la Evaluación de Impacto para la Protección
de Datos (EIPD) y, en su caso, la consulta previa a la que se refiere el artículo 36 del
RGPD.
Esta guía actualiza y unifica las presentadas hace más de tres años por la AEPD: la
“Guía práctica de análisis de riesgo para el tratamiento de datos personales” y la “Guía
práctica para la evaluación de impacto en la protección de datos personales”. El objetivo
de la guía es incorporar las lecciones aprendidas en la aplicación de la gestión del riesgo
en el ámbito de la protección de datos, y los nuevos criterios e interpretaciones, tanto
de la AEPD como del Comité Europeo de Protección de Datos (CEPD) y del Supervisor
Europeo de Protección de Datos (SEPD). Además de recoger la experiencia acumulada,
pretende mejorar los materiales dirigidos a ayudar al cumplimiento por parte de los
responsables, dando una visión unificada de la gestión de riesgos y de la EIPD.
Finalmente, este documento facilitará la necesaria integración de la gestión de riesgos
para los derechos y libertades, y en general el cumplimiento del RGPD, en los procesos
de gestión y gobernanza de las entidades.
La guía consta de tres grandes apartados divididos en capítulos: un primer apartado
con una descripción de los fundamentos de la gestión de riesgos para los derechos y
libertades, un segundo apartado que incluye un desarrollo metodológico básico para la
aplicación de la gestión del riesgo para los derechos y libertades, y un apartado final,
enfocado a los casos en los sea preciso realizar una Evaluación de Impacto para la
Protección de Datos, con unas orientaciones metodológicas específicas al respecto.
Este documento está dirigido, preferentemente, a responsables, encargados de
tratamientos y delegados de protección de datos (DPD).
Palabras clave: protección de datos, responsabilidad proactiva, riesgo, evaluación
de impacto, EIPD, gestión, gobernanza, políticas, impacto, medidas, garantías,
protección de datos desde el diseño, protección de datos por defecto, consulta previa,
DPD, derechos, seguridad.
Página: 3 de 160
ÍNDICE
I. INTRODUCCIÓN 10
II. CONCEPTOS ASOCIADOS A LA GESTIÓN DEL RIESGO 12
A. La gestión del riesgo 12
B. La gestión del riesgo en el RGPD 15
C. El riesgo para los derechos y libertades 16
D. La gestión del riesgo de cumplimiento vs riesgo para los derechos y libertades 17
E. La gestión del riesgo en todos los tratamientos 20
F. La gestión proactiva en la gestión del riesgo 20
G. La gestión del riesgo como proceso 21
H. La integración en la gestión de la organización 23
I. Papel de encargados, desarrolladores y suministradores 24
J. La gestión del riesgo para los derechos y libertades y la EIPD 25
1. Definición de EIPD como proceso que obliga a actuar 25
2. Integración de la EIPD y la gestión del riesgo 26
3. La EIPD amplía los requisitos de la gestión del riesgo 27
4. La EIPD como herramienta para demostrar cumplimiento 28
III. EL PROCESO DE GESTIÓN DEL RIESGO PARA LOS DERECHOS Y LIBERTADES 29
A. Determinación precisa de las finalidades del tratamiento 29
B. Descripción del tratamiento 30
C. La evaluación del nivel de riesgo del tratamiento para los derechos y libertades de las personas
físicas 32
1. Proceso de evaluación del riesgo 32
2. Riesgo inherente y riesgo residual 33
3. Identificación de los factores de riesgo 33
4. Identificación de factores de riesgo de un tratamiento de datos personales en la normativa 34
5. Riesgos de impacto muy elevado 36
D. El tratamiento del riesgo 37
1. Clasificación de las medidas y garantías 37
2. Transparencia y derechos como medidas para disminuir el riesgo 39
E. Brechas de datos personales y seguridad en los tratamientos 40
1. La seguridad por defecto 41
2. Ámbito de las medidas de seguridad 41
3. Estimación del nivel de riesgo de una brecha de datos personales 43
4. La probabilidad de una brecha de datos personales 45
5. Resiliencia 46
6. Integración de los requisitos de gestión del riesgo para los derechos y libertades en el SGSI 47
7. Medidas de gestión brechas de datos personales. 49

Para continuar leyendo

Solicita tu prueba
Índice de navegación

Búsquedas relacionadas:

Otros documentos interesantes:

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR