Gestión de riesgos para los derechos y libertades de las personas físicas

¿Qué es la gestión de riesgos?

La gestión de riesgos para los derechos y libertades tiene por objetivo el estudio del impacto y la probabilidad de causar daño a las personas, a nivel individual o social, como consecuencia de un tratamiento de datos personales. En esta línea, es muy importante que, para iniciar el proceso de la gestión de riesgos, la entidad disponga de una descripción detallada de los tratamientos de los datos que realiza, siendo, además, una de las obligaciones de cumplimiento del RGPD, disponer de un Registro de Actividades del Tratamiento.

¿Cuáles son los factores de riesgo?

El Reglamento General de Protección de Datos, así como la normativa de desarrollo, identifican múltiples factores de riesgo y que detallamos a continuación:

• Operaciones relacionadas con los fines de tratamiento: Factores de riesgo que se derivan del fin declarado del tratamiento y otros fines vinculados al propósito principal.
• Tipos de datos utilizados: Factores de riesgo relacionados con el ámbito del tratamiento que se derivan de los datos recogidos, procesados o inferidos en el tratamiento.
• Extensión y alcance del tratamiento: Factores de riesgo relacionados con el ámbito del tratamiento relativos al número de sujetos afectados, la diversidad de datos o aspectos tratados, la duración en el tiempo, el volumen de datos, la extensión geográfica, la exhaustividad sobre la persona, la frecuencia de recogida, etc.
• Categorías de interesados: Factores de riesgo relacionados con el ámbito del tratamiento relativos a la categoría de interesados, como empleados, menores, mayores, personas en situación de vulnerabilidad, víctimas, discapacitados, etc.
• Factores técnicos del tratamiento: Factores de riesgo que se derivan de la naturaleza del tratamiento al implementarse con determinadas características técnicas o tecnologías.
• Recogida y generación de datos: Factores de riesgo que se derivan de la naturaleza del tratamiento al recogerse o generarse datos de forma específica.
• Efectos colaterales del tratamiento: Factores de riesgo que se derivan del contexto del tratamiento al poder generarse consecuencias no contempladas en los propósitos originales previstos del tratamiento.
• Categoría del responsable/encargado: Factores de riesgo que se derivan del contexto específico del sector de actividad, modelo de negocio o tipo de entidad.
• Comunicaciones de datos: Factores de riesgo que se derivan del contexto en el que se realizan las comunicaciones de datos a terceros en el marco del tratamiento.
• Brechas de seguridad: Factores de riesgo que se derivan de la posible materialización de brechas de seguridad sobre los datos personales.

¿Qué se entiende por derechos y libertades de los interesados?

Cualquier efecto o consecuencia no deseada para los interesados que pudieran provocar daños y perjuicios físicos, materiales o inmateriales en particular cuando el tratamiento pueda dar lugar a:

• Problemas de discriminación
• Usurpación de identidad o fraude
• Pérdidas financieras
• Daño para la reputación
• Pérdida de confidencialidad de datos sujetos al secreto profesional
• Reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo

También, se vulnera los derechos y libertados de los interesados en los siguientes casos:

• En los que se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales;
• En los que los datos personales tratados revelen el origen étnico o racial, las opiniones políticas, la religión o creencias filosóficas, la militancia en sindicatos y el tratamiento de datos genéticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas
• En los que se evalúen aspectos personales, en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, situación o movimientos, con el fin de crear o utilizar perfiles personales;
• En los que se traten datos personales de personas vulnerables, en particular niños; o en los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran número de interesados

¿Quién debe realizar la gestión de riesgos?

La gestión de riesgo, al determinar qué impacto tienen el tratamiento de los datos para los derechos y libertades de las personas, lo deberán realizar tanto el Responsable del Tratamiento como el Encargado del Tratamiento, independientemente del tamaño de la entidad, la disponibilidad de recursos, número de trabajadores.

Por otro lado, el Responsable del Tratamiento tiene la obligación de garantizar la adopción de medidas para gestionar el riesgo para los derechos y libertades de las personas y, el Encargado del Tratamiento tienen la obligación de ayudar al Responsable del Tratamiento y a poner a su disposición las herramientas y la información para demostrar el cumplimiento.

Además, por el principio de accountability o responsabilidad proactiva, la gestión de riesgos tiene que estar documentada para poder demostrar el cumplimiento.

¿Tu entidad ya tiene realizada la gestión de riesgos del tratamiento de los datos? Desde el área de Derecho de Nuevas Tecnologías, Propiedad Intelectual y Marcas de Tarinas te ayudamos. Contacta con nosotros.