Guia gratuita de Gestión de riesgos y evaluación del impacto en tratamiento de datos personales

Gestiona EIPD

Esta herramienta gratuita es un asistente previo para preparar la gestión del riesgo para los derechos y libertades y evaluaciones de impacto en protección de datos. El empleo de esta herramienta se debe realizar sin perjuicio de las indicaciones establecidas en la Guía de Gestión de riesgo y evaluación de impacto en tratamientos de datos personales y la Lista de verificación para determinar la adecuación formal de una EIPD y la presentación de consulta previa.

Esta herramienta está orientada a los responsables y encargados del tratamiento, así como a los DPD, sobre aspectos básicos que se deben tener en cuenta, previamente a la realización de una adecuada gestión del riesgo para los derechos y libertades con relación a la protección de datos personales.

En ningún caso la utilización de esta herramienta supone la realización de una gestión del riesgo o una EIPD. Gestiona, en su estado de evolución, es el punto de partida para comenzar la gestión del riesgo. La AEPD está elaborando una nueva versión de Gestiona que complete, en mayor medida, los requisitos de gestión del riesgo para los derechos y libertades de las personas físicas.

La mera obtención de los documentos que proporcionan las herramientas de la AEPD no supone, en ningún caso, el cumplimiento automático de las obligaciones que el RGPD y la LOPDGDD establecen para los responsables y encargados de los tratamientos de datos personales, en particular lo referido al principio de responsabilidad activa que el RGPD desarrolla en su Capítulo IV. Se trata de documentos iniciales de ayuda orientados a facilitar la comprensión de dichas obligaciones y abordarlas, inicialmente, de forma adecuada.

Sobre la base de los documentos obtenidos los responsables y encargados de los tratamientos de datos personales deberán llevar a cabo cuantas adaptaciones fueran necesarias de forma particularizada para cada tratamiento de datos personales; teniendo en cuenta los riesgos que para los derechos y libertades de las personas físicas pudieran derivar de dichos tratamientos en función de su naturaleza, su alcance, su contexto y sus finalidades (Considerando 76 y Artículo 35.1 del RGPD).

Esta herramienta no es adecuada para aquellas entidades que dispongan de un marco para la gestión del riesgo en otros ámbitos, donde se deberá llevar a cabo la gestión del riesgo para los derechos y libertades de las personas físicas como un elemento más integrado en los procesos de gestión del riesgo que ya existan en la organización. En particular, esta herramienta será adecuada para los pequeños y medianos responsables de tratamientos que no dispongan en su organización de dicho marco para la gestión del riesgo.

En ningún caso, esta herramienta puede entenderse como una forma de aplicar las medidas de seguridad que exige el RGPD en su artículo 32, a tal fin, deberán utilizarse estándares de reconocido prestigio ya existentes en el mercado.

Con carácter general, el Reglamento General de Protección de datos (RGPD) exige al personal encargado de los tratamientos de datos personales la realización de análisis de riesgos y evaluaciones de impacto con el fin de llevar a cabo una gestión de los riesgos para los derechos y libertades de las personas físicas. Por otra parte, la AEPD ha publicado la lista de tratamientos de datos personales que requieren una evaluación de impacto de acuerdo con lo previsto en el artículo 35.4 del RGPD y la herramienta de ayuda Evalúa-Riesgo RGPD, que permiten a los responsables y encargados de los tratamientos llevar a cabo una evaluación de los factores de riesgo inherente de un tratamiento facilitando la identificación de tratamientos obligados a la realización de la EIPD. Téngase en cuenta, que tanto las listas de tratamientos como el resultado de la herramienta Evalúa-Riesgo RGPD no suponen una limitación para las obligaciones del responsable quien, en aquellos casos en los que no existiera obligación de realizar una EIPD, podrá determinar la necesidad de llevarla a cabo en función de las particularidades de cada tratamiento específico.

GESTIONA_EIPD es una herramienta gratuita que orienta a la persona usuaria a través de los elementos básicos que deben ser tenidos en cuenta previamente a la realización de la gestión del riesgo de los tratamientos y en las evaluaciones de impacto. GESTIONA_EIPD es algo más que una lista cerrada de elementos a tener en cuenta, y aporta a las personas responsables las bases mínimas para iniciar las actividades de análisis y gestión de riesgos en el ámbito del RGPD, incluyendo requisitos de cumplimiento normativo y medidas encaminadas a reducir o mitigar el riesgo del tratamiento. Tenga en cuenta que, en ningún caso, los requisitos de cumplimiento pueden reemplazarse por medidas alternativas técnicas u organizativas, para más información puede consultar el Listado de elementos para el cumplimiento normativo del RGPD. En este sentido, la EIPD no debe entenderse como una oportunidad para llevar a cabo tratamientos de datos personales que no superen el análisis de proporcionalidad y necesidad o sean contrarios a cualquiera de los principios de protección de datos.

Por tanto, GESTIONA_EIPD es una herramienta de ayuda y soporte a la decisión y cuya utilización genera la documentación básica y, en ningún caso exhaustiva, sobre la cual hay que realizar un análisis y gestión del riesgo por parte de las personas responsables y encargadas para cumplir con lo previsto en el RGPD y la LOPDGDD. Esta documentación básica será un punto de partida que deberá ser completada y analizada por el personal responsable del tratamiento y, en su caso, la persona encargada, siguiendo las indicaciones establecidas en la Guía de Gestión de riesgo y evaluación de impacto en tratamientos de datos personales, con el fin de demostrar en todo momento que los tratamientos se llevan a cabo de conformidad con los requisitos que establece el RGPD y la LOPDGDD.

https://www.aepd.es/es/guias-y-herramientas/herramientas/gestiona-eipd

Artículos relacionados