Gestiona RGPD

Esta herramienta está orientada a los responsables y encargados del tratamiento, así como a los DPD, sobre aspectos básicos que se deben tener en cuenta, previamente a la realización de una adecuada gestión del riesgo para los derechos y libertades con relación a la protección de datos personales.

Gestiona RGPD es una herramienta orientada a PYMES y pequeñas entidades que permite gestionar todo el Registro de Actividades de Tratamiento de una entidad, con hasta 500 tratamientos, de forma integrada. Incluso, permite gestionar el RAT de distintas entidades. A su vez, incorpora las funcionalidades de la herramienta Evalua_Riesgo2 para realizar el análisis de riesgos y la evaluación de la obligación (o conveniencia) de realizar una EIPD.

En el caso de Gestiona RGPD, las funcionalidades se extienden permitiendo gestionar el riesgo con medidas de privacidad sugeridas por la herramienta por cada factor de riesgo específico identificado, medidas para la gestión de brechas de datos personales y seguridad, y medidas organizativas y políticas de protección de datos. A su vez, permite, en el caso de EIPD, documentar las evaluaciones de idoneidad, necesidad y proporcionalidad.

Toda la información de gestión de riesgo queda asociada a cada tratamiento. Además, Gestiona RGPD permite generar informes sobre el RAT, el RAT con la información adicional de gestión del riesgo y también, para el caso de AA.PP., el inventario de obligada publicación. Los informes se pueden generar en formato “doc” y “html”, además de en “csv” para su exportación y uso en otras herramientas.

La gestión del tratamiento se realiza en el propio navegador del usuario, sin transmisión alguna de datos a la AEPD y con total confidencialidad. La información se puede almacenar en un archivo del ordenador del usuario y recuperar después de cada sesión, permitiendo distintas versiones de la información de gestión.

El empleo de esta herramienta se debe realizar sin perjuicio de las indicaciones establecidas en la Guía de Gestión de riesgo y evaluación de impacto en tratamientos de datos personales y la Lista de verificación para determinar la adecuación formal de una EIPD y la presentación de consulta previa.

En ningún caso la utilización de esta herramienta supone la realización de una gestión del riesgo o una EIPD. Gestiona RGPD, en su estado de evolución, es el punto de partida para comenzar la gestión del riesgo.

La mera obtención de los documentos que proporcionan las herramientas de la AEPD no supone, en ningún caso, el cumplimiento automático de las obligaciones que el RGPD y la LOPDGDD establecen para los responsables y encargados de los tratamientos de datos personales, en particular lo referido al principio de responsabilidad activa que el RGPD desarrolla en su Capítulo IV. Se trata de documentos iniciales de ayuda orientados a facilitar la comprensión de dichas obligaciones y abordarlas, inicialmente, de forma adecuada.

Sobre la base de los documentos obtenidos los responsables y encargados de los tratamientos de datos personales deberán llevar a cabo cuantas adaptaciones fueran necesarias de forma particularizada para cada tratamiento de datos personales; teniendo en cuenta los riesgos que para los derechos y libertades de las personas físicas pudieran derivar de dichos tratamientos en función de su naturaleza, su alcance, su contexto y sus finalidades (Considerando 76 y Artículo 35.1 del RGPD).

En ningún caso, esta herramienta puede entenderse como una forma de aplicar las medidas de seguridad que exige el RGPD en su artículo 32, a tal fin, deberán utilizarse estándares de reconocido prestigio ya existentes en el mercado.

Con carácter general, el Reglamento General de Protección de datos (RGPD) exige al personal encargado de la gestión de los tratamientos de datos personales la realización de análisis de riesgos y evaluaciones de impacto con el fin de llevar a cabo una gestión de los riesgos para los derechos y libertades de las personas físicas. Por otra parte, la AEPD ha publicado la lista de tratamientos de datos personales que requieren una evaluación de impacto de acuerdo con lo previsto en el artículo 35.4 del RGPD. Téngase en cuenta, que tanto las listas de tratamientos como el resultado de la herramienta no suponen una limitación para las obligaciones del responsable quien, en aquellos casos en los que no existiera obligación de realizar una EIPD, podrá determinar la necesidad de llevarla a cabo en función de las particularidades de cada tratamiento específico.

GESTIONA_RGPD es una herramienta gratuita que orienta a la persona usuaria a través de los elementos básicos que deben ser tenidos en cuenta previamente a la realización de la gestión del riesgo de los tratamientos y en las evaluaciones de impacto. GESTIONA_RGPD es algo más que una lista cerrada de elementos a tener en cuenta, y aporta a las personas responsables las bases para iniciar las actividades de análisis y gestión de riesgos en el ámbito del RGPD. Tenga en cuenta que, en ningún caso, los requisitos de cumplimiento pueden reemplazarse por medidas alternativas técnicas u organizativas, para más información puede consultar el Listado de elementos para el cumplimiento normativo del RGPD. En este sentido, la EIPD no debe entenderse como una oportunidad para llevar a cabo tratamientos de datos personales que no superen el análisis de proporcionalidad y necesidad o sean contrarios a cualquiera de los principios de protección de datos.

Por tanto, GESTIONA_RGPD es una herramienta de ayuda y soporte a la decisión y cuya utilización genera la documentación básica y, en ningún caso exhaustiva, sobre la cual hay que realizar un análisis y gestión del riesgo por parte de las personas responsables y encargadas para cumplir con lo previsto en el RGPD y la LOPDGDD. Esta documentación básica será un punto de partida que deberá ser completada y analizada por el personal responsable del tratamiento y, en su caso, la persona encargada, siguiendo las indicaciones establecidas en la Guía de Gestión de riesgo y evaluación de impacto en tratamientos de datos personales, con el fin de demostrar en todo momento que los tratamientos se llevan a cabo de conformidad con los requisitos que establece el RGPD y la LOPDGDD.

Enlace a la herramienta