El enfoque de aproximación al Riesgo se recoge en el art. 24 y en los considerandos 75 a 77 del RGPD.
Para el cumplimiento del principio de “Responsabilidad Proactiva” el responsable y encargado de tratamiento deberán previamente realizar un análisis y estudio del cumplimiento en materia de protección de datos basado en el riesgo. Es decir, deberán analizar qué medidas de protección de datos son necesarias implantar para garantizar el cumplimiento del RGPD, en función de naturaleza, alcance, contexto y finalidades del tratamiento de datos que realicen, así como de los riesgos o probabilidades de intromisión en los Derechos y libertades de los interesados.
De esta manera cuanto más probable y grave sea el riesgo del tratamiento, más medidas de protección de datos serán necesarias implantar para contrarrestarlos (nuevamente conviene aclarar que no se trata únicamente de medidas de seguridad técnica). Según el considerando 75:
“Los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variable, pueden deberse a tratamientos de datos que pudiera provocar daños y perjuicios físicos, materiales o inmateriales.”
Con el objeto de poder tener una idea aproximada de lo que debe de ser considerado como riesgo, el considerando 75 del RGPD enumera aquellos tratamientos de datos que pueden ser considerados de riesgo para los derechos y libertades de los interesados:
Por otro lado, y según el considerando 76, dicho riesgo deberá ponderarse en algunos casos y evaluarse de forma objetiva en otros para determinar si existe un «riesgo» o un «riesgo alto«.
Por último, dado que el RGPD puede introducir situaciones de indeterminación en cuanto al riesgo a considerar en el tratamiento de datos, el considerando 77 establece que podrá proporcionarse más orientación sobre la identificación y evaluación de los riesgos del tratamiento de datos, y sobre la identificación de enfoques de mejores prácticas para mitigar esos riesgos, a través de códigos de conducta, certificaciones y directrices aprobadas por Comité el Grupo de Trabajo del artículo 29, o incluso por el propio Delegado de Protección de Datos de la Organización.
Por tanto, podemos comprobar que a diferencia de nuestra actual normativa el enfoque de aproximación al riesgo supone que las medidas y políticas de protección de datos a implantar no serán aplicables por igual por todos los responsables y encargados, si no que se adoptarán en función del riesgo que se produzca en el tratamiento de datos para los derechos y libertades de los afectados. En este sentido, el enfoque de aproximación al riesgo en la implantación de medidas podrá jugar en un doble sentido:
El enfoque basado en el riesgo se configura como un factor clave dentro del proceso de adecuación o cumplimiento de la normativa de protección de datos, ya que todo responsable o encargado deberán previamente analizar el nivel de riesgo en el que se encuentra respecto de los tratamientos de datos que realice o asuma.