Análisis de riesgos y evaluaciones de impacto en protección de datos

El nuevo Reglamento General de Protección de datos (RGPD) exige a responsables y encargados de los tratamientos que se lleven a cabo análisis de riesgos y evaluaciones de impacto para una mejora de la gestión de los riesgos para los derechos y libertades de las personas físicas, también, la AEPD ha publicado una lista de tratamientos de datos personales que necesitan de una evaluación de impacto de acuerdo con el artículo 35.4 del RGPD UE 2016/679.

Esta evaluación de impacto se aclara en el artículo 35 del RGPD que dice:

"Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares."

Según la Agencia Española de Protección de Datos (agpd.es) en su documentación sobre evaluación de riesgos:

"El proceso de gestión de riesgos implica realizar inicialmente dos tareas: identificarlos y evaluarlos. En consecuencia, es muy importante asegurar una correcta identificación de las amenazas a los que está expuesta una actividad de tratamiento teniendo en cuenta que entre los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas se pueden diferenciar dos dimensiones: riesgos asociados a la protección de la información con el foco central en la integridad, disponibilidad y confidencialidad de los datos y riesgos asociados al cumplimiento de los requisitos regulatorios relacionados con los derechos y libertades de los interesados."