• 2021090615265431133

Protección de Datos publica una guía para que los autónomos hagan una evaluación de riesgos

La Agencia de Protección de datos pone a disposición de los autónomos una guía para ayudarles a llevar a cabo una evaluación de riesgos en sus negocios.

La Agencia Española de Protección de Datos (AEPD) ha publicado una listado de verificación para ayudar a los autónomos a realizar de forma correcta una Evaluación de Impacto en la Protección de Datos (EIPD). Este análisis, también llamado ‘evaluación de riesgos’, es un protocolo que permite conocer los riesgos a los que están expuestos los datos personales de los trabajadores, en caso de que sea un profesional empleador, o los de los clientes de un negocio, en función del tratamiento que se les da. En otras palabras, se trata de un análisis que permite al trabajador por cuenta propia saber el grado de protección que tienen los datos que maneja en su negocio.

Lo cierto es que la inmensa mayoría de los negocios están obligados a llevar a cabo este tipo de evaluaciones. Entre ellos se encuentran desde  los comercios por Internet a los abogados, pasando por talleres de reparación o cuantos mantengan un listado de clientes con datos personales.

El Reglamento General de Protección de Datos (RGPD) establece que todas las entidades que tratan datos personales tienen que realizar una gestión del riesgo con el fin de establecer medidas para garantizar los derechos y libertades de las personas. Y además, en aquellos casos en los que los tratamientos impliquen un riesgo alto para la protección de datos, la norma dispone que esas organizaciones están obligadas a realizar una Evaluación de Impacto en Protección de Datos para mitigar esos riesgos.

ste listado recién compartido por la AEPD complementa a la guía de ‘Gestión del riesgo y evaluación de impacto en tratamientos de datos personales’, cuyo objetivo es «facilitar a los profesionales el cumplimiento de las obligaciones de desarrollar y documentar una EIPD y para que, en caso de tener que realizar esa consulta previa a la Agencia, sea más sencillo comprobar que se cumple con los requisitos para su presentación», explicaron fuentes oficiales del organismo.

¿En qué casos debe hacerse una Evaluación de riesgos?

El artículo 35 del Reglamento General de Protección de Datos recoge los casos en los que es necesario realizar una EIPD. Así, será obligatorio siempre y cuando dicho tratamiento cumpla con dos o más criterios de los expuestos a continuación. Cabe recordar que los autónomos o pequeñas empresas que estén obligadas a realizar esta evaluación y no la hagan, podrían  enfrentarse a sanciones de hasta 15.000 euros, debido al peligro al que se verían expuestos trabajadores y clientes.

  1. Tratamientos que cubran varios aspectos de personalidad o sobre hábitos.
  2. Tratamientos que impliquen cualquier tipo de decisión que impida a un interesado el ejercicio de un derecho, el acceso a un bien o un servicio, o formar parte de un contrato.
  3. Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva; incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público.
  4. Tratamientos que impliquen el uso de datos relativos a condenas o infracciones penales datos que permitan determinar la situación financiera o de solvencia patrimonial.
  5. Tratamientos que impliquen el uso de datos biométricos (tecnologías que miden y analizan las características del cuerpo humano) con el propósito de identificar de manera única a una persona física.
  6. Tratamientos que impliquen el uso de datos genéticos para cualquier fin.
  7. Tratamientos que impliquen el uso de datos a gran escala.
  8. Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos con finalidades diferentes o por responsables distintos.
  9. Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social; incluyendo datos de menores de 14 años; mayores con algún grado de discapacidad; personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guardia y custodia.
  10. Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas.
  11. Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato, como por ejemplo tratamientos en los que los datos han sido recopilados por un responsable distinto al que los va a tratar.

La nueva herramienta de la AEPD para autónomos

La lista de verificación que acaba de publicar la Agencia Española de Protección de Datos es una herramienta destinada a ayudar a los trabajadores por cuenta propia a realizar una verificación final sobre qué debe incluir la EIPD. «Los dueños de negocio podrán realizar una comprobación rápida de que si han tenido en cuanta o no todos los aspectos necesarios al realizar y documentar una evaluación de riesgos«, señalaron fuentes oficiales de la entidad.

El proceso para cumplimentar la lista de verificación -descargable en formato Word para que pueda ser modificada- requiere actualizar el valor de la columna ‘check’ ‒un campo de selección marcado por defecto como ‘no’‒, añadiendo las observaciones o conclusiones que sean oportunas y que hagan referencia, y/o redirijan a la documentación de la EIPD. Este análisis preventivo permite  identificar, evaluar y gestionar los riesgos a los que están expuestos los datos con los que se trabaja en un negocio.

A continuación un ejemplo de cómo se presenta este listado para los profesionales que quieran evaluar sus negocios en función a los datos que traten:

Listado-AEPD

Pasos para realizar una EIPD

Una EIPD se debe llevar a cabo bajo la metodología y requerimientos exigidos por el RGPD. En la norma se establece que esta evaluación debe incluir como mínimo: una descripción sistemática de la manera en la que se usan los datos; una evaluación de la necesidad y proporcionalidad del tratamiento respecto a su finalidad; un análisis de los riesgos y las medidas previstas para afrontar dichos riesgos, donde se incluirán las garantías, las medidas de seguridad y los mecanismos que garanticen la protección de datos personales.

Para realizar correctamente una EIPD hay que llevar a cabo tres pasos:

1. Contexto:

  • Describir el ciclo de vida de los datos: descripción detallada del ciclo de vida y del flujo de datos en el tratamiento. Identificación de los datos tratados; intervinientes; terceros; sistemas implicados; y cualquier elemento relevante que participe en la actividad de tratamiento.
  • Analizar la necesidad y proporcionalidad del tratamiento: análisis de la base de legitimación, la finalidad y la necesidad y proporcionalidad del tratamiento que se pretenden llevar a cabo.

2. Gestión de riesgos:

  • Identificar amenazas y riesgos: identificación de las amenazas y riesgos potenciales a los que están expuestos las actividades de tratamiento.
  • Evaluar los riesgos: evaluación de la probabilidad y el impacto de que se materialicen los riesgos a los que está expuesta la organización.
  • Tratar los riesgos: respuesta ante los riesgos identificados con el objetivo de minimizar la probabilidad y el impacto de que estos se materialicen hasta un nivel de riesgo aceptable que permita garantizar los derechos y libertades de las personas físicas.

3. Conclusión y validación:

  • Plan de acción y conclusiones: informe de conclusiones de la EIPD donde se documente el resultado obtenido junto con el plan de acción que incluya las medidas de control a implantar para gestionar los riesgos identificados y poder garantizar los derechos y libertades de las personas físicas . Si procede,  también el resultado de la consulta previa a la autoridad de control a la que se refiere el artículo 36 del RGPDFuente noticia