1.1 ENFOQUE DE APROXIMACIÓN AL RIESGO

El enfoque de aproximación al Riesgo se recoge en el art. 24 y en los considerandos 75 a 77 del RGPD.

Para el cumplimiento del principio de “Responsabilidad Proactiva” el responsable y encargado de tratamiento deberán previamente realizar un análisis y estudio del cumplimiento en materia de protección de datos basado en el riesgo. Es decir, deberán analizar qué medidas de protección de datos son necesarias implantar para garantizar el cumplimiento del RGPD, en función de naturaleza, alcance, contexto y finalidades del tratamiento de datos que realicen, así como de los riesgos o probabilidades de intromisión en los Derechos y libertades de los interesados.

De esta manera cuanto más probable y grave sea el riesgo del tratamiento, más medidas de protección de datos serán necesarias implantar para contrarrestarlos (nuevamente conviene aclarar que no se trata únicamente de medidas de seguridad técnica). Según el considerando 75:

“Los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variable, pueden deberse a tratamientos de datos que pudiera provocar daños y perjuicios físicos, materiales o inmateriales.”

Con el objeto de poder tener una idea aproximada de lo que debe de ser considerado como riesgo, el considerando 75 del RGPD enumera aquellos tratamientos de datos que pueden ser considerados de riesgo para los derechos y libertades de los interesados:

  • Tratamiento que puede dar lugar problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo;
  • Tratamiento que pueda privar a los interesados de sus derechos y libertades o impedirles ejercer el control sobre sus datos personales;
  • Tratamiento de datos personales sensibles que revelen origen étnico o racial, las opiniones políticas, la religión o creencias filosóficas, la militancia en sindicatos y el tratamiento de datos genéticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas;
  • Tratamiento en la elaboración de perfiles, en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, situación o movimientos, con el fin de crear o utilizar perfiles personales;
  • Tratamiento de datos personales de personas físicas vulnerables, en particular de niños;
  • Tratamiento que implica una gran cantidad de datos personales y que afecta a un gran número de interesados.

Por otro lado, y según el considerando 76, dicho riesgo deberá ponderarse en algunos casos y evaluarse de forma objetiva en otros para determinar si existe un «riesgo» o un «riesgo alto«.

Por último, dado que el RGPD puede introducir situaciones de indeterminación en cuanto al riesgo a considerar en el tratamiento de datos, el considerando 77 establece que podrá proporcionarse más orientación sobre la identificación y evaluación de los riesgos del tratamiento de datos, y sobre la identificación de enfoques de mejores prácticas para mitigar esos riesgos, a través de  códigos de conducta, certificaciones y directrices aprobadas por Comité el Grupo de Trabajo del artículo 29, o  incluso por el propio Delegado de Protección de Datos de la Organización.

Por tanto, podemos comprobar que a diferencia de nuestra actual normativa el enfoque de aproximación al riesgo supone que las medidas y políticas de protección de datos a implantar no serán aplicables por igual por todos los responsables y encargados, si no que se adoptarán en función del riesgo que se produzca en el tratamiento de datos para los derechos y libertades de los afectados.  En este sentido, el enfoque de aproximación al riesgo en la implantación de medidas podrá jugar en un doble sentido:

  • Adopción de medidas. Se aplicarán determinadas medidas en función de si se produce un alto riesgo para los derechos y libertades de los interesados.
  • Ponderación dentro de la propia medida. En otros casos el riesgo funcionará como un factor de ponderación en la propia medida que deba ser implantada, estableciendo determinadas acciones específicas en función del riesgo existente.

El enfoque basado en el riesgo se configura como un factor clave dentro del proceso de adecuación o cumplimiento de la normativa de protección de datos, ya que todo responsable o encargado deberán previamente analizar el nivel de riesgo en el que se encuentra respecto de los tratamientos de datos que realice o asuma.


CONCLUSIONES

  • Los responsables de tratamiento deben de aplicar las medidas de protección de datos en función del enfoque de aproximación al riesgo atendiendo a la naturaleza, alcance, contexto y finalidades del tratamiento de datos, así como de los riesgos o probabilidades de intromisión en los Derechos y libertades.
  • Los tratamientos que pueden ser considerados de riesgo son: aquellos que produzcan perjuicios económicos o sociales, priven del control de los datos a los interesados, traten datos sensibles, elaboren perfiles de comportamiento, afecten a personas vulnerables (niños), e impliquen una gran cantidad de datos o afecten a un gran número de interesados.
  • El enfoque de aproximación al riesgo supone que las medidas y políticas de protección de datos a implantar no serán aplicables por igual por todos los responsables y encargados.