¿En qué consiste el análisis de riesgo al que se refiere el RGPD?

El RGPD prevé que las medidas de cumplimiento para responsables o encargados del tratamiento deben aplicarse en función del riesgo que los tratamientos que realizan supongan para los derechos y libertades y los intereses de las personas físicas.

Por ello, responsables y encargados deben llevar a cabo una valoración del riesgo de sus tratamientos, con el fin de determinar qué medidas aplicar y cómo hacerlo. Este análisis del riesgo variará en función de al menos:

• La naturaleza del tratamiento, en particular, las tecnologías utilizadas en el diseño del mismo.
• El ámbito o alcance del tratamiento, teniendo en cuenta no únicamente el número de interesados sino el volumen de datos, el número de operaciones de tratamiento, su frecuencia, etc.
• El contexto en el que el tratamiento tiene lugar en un sentido amplio, social, normativo, geopolítico, etc.
• Los fines últimos del tratamiento y los fines intermedios a los que se destina cada operación de tratamiento.

El análisis de riesgos para los derechos y libertades será el resultado de una reflexión, mínimamente documentada, sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados, el resultado de este análisis deberá dar respuesta a cuestiones como las que se exponen en los siguientes ejemplos.

Cuanto mayor sea el número de respuestas afirmativas mayor será el riesgo que podría derivarse del tratamiento. Si la respuesta a estas preguntas y otras del mismo tipo fuera negativa es razonable concluir que la organización no realiza tratamientos que generen un elevado nivel de riesgo y que, por tanto, no debe poner en marcha las medidas previstas para esos casos.

• ¿Incluye el tratamiento la elaboración de perfiles?
• ¿Se cruzan los datos obtenidos de los interesados con otros disponibles en otras fuentes?
• ¿Se tratan datos sensibles?
• ¿Se incluyen datos de una gran cantidad de personas?
• ¿Se pretende utilizar los datos obtenidos para una determinada finalidad para otro tipo de finalidades?
• ¿Se están tratando grandes cantidades de datos, incluso con técnicas de análisis masivo tipo big data?
• ¿Se utilizan tecnologías especialmente invasivas para la privacidad, como las relativas a geolocalización, videovigilancia a gran escala o ciertas aplicaciones del Internet de las Cosas?

La AEPD ha desarrollado materiales para ayudar en el proceso de identificación y evaluación de los riesgos en tratamientos, como la Guía sobre análisis de riesgos y evaluaciones de impacto en tratamientos de datos personales.

Para el proceso de identificación y gestión de riesgos la AEPD pone a su disposición las herramientas Evalúa-Riesgo RGPD o la herramienta Gestiona RGPD.