Guía práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD
Autor | Agencia Española de Protección de Datos |
GUIA PRÁCTICA
DE Análisis de
riesgos en los
tratamientos
de datos
personales
sujetos al RGPD
1
Guia Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD
Índice
1. Introducción ..................................................................................................2
2. Consideraciones generales .....................................................................3
Conceptos generales sobre gestión de riesgos .............................................3
Gestión de riesgos, ¿qué implicaciones tiene en la protección
de los datos? .....................................................................................................5
3. Protección de datos desde el diseño y la gestión de riesgos:
¿Cuál debe ser la hoja de ruta a seguir? .................................................6
Denición y diseño de las actividades de tratamiento ................................9
FACILITA: Herramienta para tratamientos de escaso riesgo .......................10
Análisis de la necesidad de realizar una Evaluación de Impacto
Sobre la Protección de los Datos: ¿Cuándo se debe realizar
una EIPD? ..........................................................................................................11
4. Registro de actividades de tratamiento ............................................17
Descripción: ¿Qué es un registro de actividades de tratamiento? ..............17
Estructura: ¿qué debe incluir un registro de actividades de tratamiento? 18
5. Análisis básico de riesgos .........................................................................24
Descripción de las operaciones de actividades de tratamiento ................25
Gestión de riesgos por defecto .......................................................................28
6. Anexos ..............................................................................................................33
6.1. Anexo I: Plantilla de análisis de la necesidad de la realización
de una EIPD ......................................................................................................33
6.2. Anexo II: Plantilla de descripción de las actividades de tratamiento ..36
6.3. Anexo III: Plantilla para documentar el análisis básico de riesgos ......37
6.4. Anexo IV: Plantilla de registro de actividades de tratamiento
(Responsable de tratamiento) ........................................................................38
6.5. Anexo V: Plantilla de registro de actividades de tratamiento .............39
(Encargado de tratamiento) ...........................................................................39
7. Referencias .....................................................................................................40
2
Guia Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD
I Introducción
“Esta guía se ha creado con
el n de establecer medidas
de seguridad y control para
garantizar los derechos y
libertades”
1. Introducción
El 25 de mayo de 2018 se cumplen dos años desde la entrada en vigor del Reglamento 2016/679
del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las
personas físicas en cuanto al tratamiento y la libre circulación de datos personales, en ade-
lante, RGPD. Desde ese momento, será aplicable el RGPD y será obligatorio el cumplimiento de los
requerimientos y obligaciones para el responsable y el encargado de tratamiento que este incluye,
entre las que destaca, la necesidad de llevar a cabo un análisis de riesgos con el n de establecer
medidas de seguridad y control para garantizar los derechos y libertades de las personas.
Ante la constante evolución tecnológica y los procesos de transformación digital que sufren
las actividades de tratamiento de datos personales, la reforma de la regulación de protección
de datos supone un cambio del modelo tradicional para afrontar las medidas que garantizan
la protección de los datos personales hacia un nuevo modelo más dinámico, enfocado en la
gestión continua de los riesgos potenciales asociados al tratamiento desde su diseño.
El diseño adecuado de las actividades de tratamiento es un aspecto clave para poder garantizar
los derechos y libertades de los interesados. La fase de diseño de un tratamiento dene el ujo
de los datos personales, así como todos los elementos que intervendrán a lo largo del mismo.
De igual modo, es el momento idóneo para denir las medidas de control y seguridad para ga-
rantizar los derechos y libertades de los interesados con el objetivo de que un tratamiento nazca
respetando los requerimientos de privacidad asociados al nivel de riesgo a la que está expuesto.
La Agencia Española de Protección de Datos (AEPD) ha elaborado la presente guía para la rea-
lización de análisis de riesgos de las actividades de tratamiento con el objetivo de establecer
una hoja de ruta para afrontar un enfoque orientado a riesgos.
La guía persigue ofrecer directrices y orientaciones para establecer una hoja de ruta que per-
mita contemplar la privacidad desde el inicio, mediante un enfoque de análisis de riesgos, fa-
cilitando el cumplimiento del RGPD.
Para continuar leyendo
Solicita tu prueba