Análisis de riesgos: una acción esencial para proteger la información

El Reglamento General de Protección de Datos impone nuevas obligaciones a las compañías que traten información personal. Las empresas que tengan una alta actividad deberán realizar una evaluación de impacto o un análisis de riesgo.

El Reglamento General de Protección de Datos (RGPD), que empezará a aplicarse el próximo 25 de mayo, supone un cambio del sistema tradicional hacia un modelo más dinámico, adaptado a la transformación tecnológica que se está produciendo en el ámbito del tratamiento de la información personal y enfocado en la gestión de los riesgos potenciales asociados al tratamiento.

Con esta finalidad, la nueva normativa incorpora un principio de responsabilidad activa a quienes tratan datos personales, de forma que puedan determinar qué medidas son adecuadas para proteger los datos y los derechos y libertades de las personas.

Por esa razón, el RGPD establece que las organizaciones que traten de manera habitual datos personales deben realizar un análisis de riesgos con el fin de establecer las medidas que sean necesarias para garantizar todos los derechos de las personas. Además, en aquellos casos en los que los tratamientos impliquen un riesgo alto para la protección de datos personales, el reglamento europeo también apunta que esas mismas entidades estarán obligadas a realizar una evaluación de impacto de protección de datos.

Frente a estas dos nuevas obligaciones planteadas por el RGPD, la Agencia Española de Protección de Datos (AEPD) ha elaborado dos documentos -Guía de Análisis de Riesgo y la Guía de Evaluación de Impacto en la Protección de Datos- para facilitar la labor de las compañías que se vean afectadas por la normativa europea. Entre los múltiples asuntos que tratan estos documentos, destacan los siguientes puntos.