¿No pudiste asistir al último webinar sobre la Nueva Guía de Riesgos y evaluación de impacto de la Agencia Española de Protección de Datos? No te preocupes, en este post te resumimos las claves de este webinar y los aspectos que abordamos.
Elias Vallejo Grande, Consultor Senior en Protección de datos y Compliance Penal nos ha acompañado durante este interesante evento, del que destacamos las siguientes conclusiones:
- Es el momento de olvidar guías anteriores sobre la misma temática y comenzar a trabajar con esta nueva herramienta, ya que incorpora importantes novedades.
- La gestión del riesgo no debe enfocarse como un listado de cumplimiento normativo, sino que se debe analizar el riesgo en función del tratamiento, las circunstancias propias del mismo y su afectación a los derechos y libertades de las personas interesadas.
- En la evaluación del riesgo, hay que evaluar qué impacto puede tener para el individuo y la sociedad, ya que hay brechas cuyo impacto social hace más difícil minimizar los riesgos.
- El impacto sobre los derechos y libertades fundamentales no debemos ceñirlo a la protección de datos y a la intimidad, sino a otros derechos fundamentales, como el de asociación, reunión, vida, igualdad, etc.
- El responsable no puede ni debe limitarse a tratar los factores de riesgo identificados explícitamente en la normativa. En las gestión del riesgo se ha de ir más allá y, durante la fase de análisis, identificar y evaluar también aquellos factores de riesgo que derivan del tratamiento concreto, tanto en función de su naturaleza, ámbito o extensión o los fines que persigue, como en aquellas otras que se deriven del contexto, por ejemplo, el contexto presente y futuro del tratamiento y el contexto interno y externo de la organización.
- Desaparece la opción de transferir el riesgo. La obligación de garantizar los derechos y libertades descansa en el responsable del tratamiento, por lo que esta opción de trasladar el riesgo es imposible.
- En los riesgos relacionados con las brechas de seguridad, a las cinco dimensiones tradicionales, se agregan tres nuevas: fallos en las garantías de privacidad, resiliencia y errores en las operaciones técnicas.
- Se fusionan los factores de riesgo con los supuestos donde es necesario realizar una EIPD. En la lista positiva se menciona que, como norma general, con que se den dos supuestos hay que realizar EIPD. En esta nueva Guía, con un solo elemento ya se exige hacer EIPD.
- Se establece en la mayoría de las amenazas un riesgo definido previamente, sin cuantificar probabilidad por impacto.
Si te gustó este webinar, síguenos en Linkedin y mantente informado de todos nuestros eventos. Además, te recomendamos que te suscribas a nuestra newsletter, para no perderte ninguno de nuestros interesantes post.