Gestión del riesgo y evaluación de impacto en tratamientos de datos personales

Manuel Castilleja Toscano 03/11/2021

Privacy Driver ha elaborado un resumen de la guía publicada por la AEPD el 29/06/2021 “Gestión del riesgo y evaluación de impacto en tratamientos de datos personales” como documento de consulta rápida de la misma sin pretender sustituirla en ningún caso.

Se han mantenido los títulos y apartados con el mismo nombre de la guía, para que el lector pueda localizar y consultar el contenido original, que se puede descargar en:
https://www.aepd.es/es/documento/gestion-riesgo-y-evaluacion-impacto-en-tratamientos-datos-personales.pdf

ÍNDICE:

SECCIÓN 1. FUNDAMENTOS DE LA GESTIÓN DE RIESGOS PARA LOS DERECHOS Y LIBERTADES

2. Conceptos asociados a la gestión del riesgo
3. El proceso de gestión del riesgo para los derechos y libertades
4. La gobernanza de los riesgos para los derechos y libertades

SECCIÓN 2. METODOLOGÍA BÁSICA PARA LA APLICACIÓN DE LA GESTIÓN DEL RIESGO PARA LOS DERECHOS Y LIBERTADES

5. Descripción y contextualización del tratamiento
6. Identificación y análisis de factores de riesgo
7. Evaluación del nivel de riesgo del tratamiento
8. Controles para disminuir el riesgo
9. Valoración del riesgo residual y revisión

SECCIÓN 3. EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS

10. La evaluación de impacto relativa a la protección de datos
11. Análisis de la obligación de llevar a cabo la EIPD
12. Análisis de la necesidad de realizar una EIPD
13. Evaluación de la necesidad y proporcionalidad del tratamiento
14. Obligación de documentación
15. Recabar la opinión de los interesados o de sus representantes
16. Consulta previa a la autoridad de control

SECCIÓN 1. FUNDAMENTOS DE LA GESTIÓN DE RIESGOS PARA LOS DERECHOS Y LIBERTADES

2. CONCEPTOS ASOCIADOS A LA GESTIÓN DEL RIESGO

La gestión de riesgo está formada por un conjunto de acciones ordenadas y sistematizadas con el propósito de controlar las posibles (probabilidad) consecuencias (impactos) que una actividad puede tener sobre un conjunto de bienes o elementos (activos) que han de ser protegidos.

El RGPD demanda la identificación, evaluación y mitigación, realizadas de una forma objetiva, del riesgo (gestión del riesgo) para los derechos y libertades de las personas en los tratamientos de datos personales. La mitigación ha de realizarse mediante la adopción de medidas técnicas y organizativas que garanticen y, además, permitan demostrar la protección de dichos derechos. Estás deberán determinarse con referencia a la naturaleza, el alcance, el contexto y los fines del tratamiento. Además, dichas medidas se revisarán y actualizarán cuando sea necesario.

En cumplimiento del principio de responsabilidad proactiva, responsabilidad demostrable o “accountability”, la gestión del riesgo ha de estar documentada. La gestión del riesgo no es un documento sino un proceso que se traduce en hechos y que se acredita documentalmente.

A. La gestión del riesgo

La gestión del riesgo debe de entenderse como una metodología general que integra distintos objetivos de gestión (riesgo financiero, legal, laboral, social, etc.)

Ejemplos de distintas perspectivas de la gestión del riesgo
El tratamiento en sí mismo	Riesgo financiero Riesgo de proyecto Riesgo de fraude Riesgos de seguridad para las personas (laborales) Coste/beneficio Riesgo de fiabilidad técnica Riesgos de continuidad de negocio en S.I., etc.
El tratamiento en el contexto interno de la organización	Impacto en otros tratamientos de la misma organización de forma directa o indirecta Coste de oportunidad, etc.
El tratamiento en el contexto externo normativo, social y económico	Riesgo legal y de cumplimiento Riesgos de responsabilidad civil o penal Riesgo medioambiental Impacto social Riesgo para los derechos y libertades, etc.

Tabla 1. Ejemplos de distintas perspectivas de la gestión del riesgo

B. La gestión del riesgo en el RGPD

El RGPD hace referencia al término “riesgo” en innumerables ocasiones y de forma específica en el artículo 24.1: “Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario”.

El RGPD no exige ningún requisito explícito de formalidad a la hora de ejecutar la gestión del riesgo, sin perjuicio de las obligaciones de “accountability”. La “aproximación basada en el riesgo” se desarrolla en el “Statement on the role of a risk-based approach in data protection legal frameworks WP218” del Grupo de Trabajo del Artículo 29 (en adelante la Declaración WP218). Sin embargo, para tratamientos que impliquen un alto riesgo, sí establece unos requisitos mínimos (artículos 35 y 36). En este sentido, el Comité Europeo de Protección de Datos (CEPD) ha desarrollado el documento “Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo” a efectos del Reglamento (UE) 2016/679 (WP248). En estas directrices, un “riesgo” es un escenario que describe un acontecimiento y sus consecuencias estimado en términos de gravedad y probabilidad; la “gestión de riesgos” puede definirse como las actividades coordinadas para dirigir y controlar una organización respecto al riesgo.

C. Riesgo para los derechos y libertades

El Considerando 75 desarrolla el concepto de riesgo para los derechos y libertades como cualquier efecto o consecuencia no deseados sobre los interesados o no previsto en el propio tratamiento de datos personales, capaz de generar daños o perjuicios sobre sus derechos y libertades, particularizando, entre otros: los daños y perjuicios físicos, materiales o inmateriales, problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización, perjuicios económicos o sociales, privación a los interesados de sus derechos y libertades, que se les impida ejercer el control sobre sus datos personales, etc.

Las Directrices WP248 interpretan que la protección debe extenderse a otros derechos fundamentales y ha de realizarse evaluando tanto el impacto que tienen sobre las personas afectadas como el impacto social general que puede ocasionar, es decir tanto para el interesado, como para todos aquellos individuos o colectivos de afectados.

D. La gestión del riesgo de cumplimiento vs. riesgo para los derechos y libertades

La gestión del riesgo de cumplimiento normativo está orientada a la protección de los intereses de la entidad para evitar incurrir en sanciones legales o administrativas, pérdidas financieras o de reputación etc. La gestión del riesgo para los derechos y libertades está orientada a la protección del interesado. Por tanto, el incumplimiento normativo no es objeto de una gestión del riesgo que para los derechos y libertades puede ocasionar un tratamiento a los interesados.

La Declaración WP218, interpreta que los derechos y principios fundamentales establecidos en el RGPD que han de cumplir los responsables deben estar garantizados, independientemente de las características del tratamiento y del proceso de gestión del riesgo para los derechos y libertades.

Figura 1. Cumplimiento como requisito previo a la gestión del riesgo

La gestión del riesgo para los derechos y libertades no se puede resolver mediante el uso de garantías legales que se basen en un desvío de la responsabilidad hacia terceros. Los responsables o encargados del tratamiento no pueden eludir su responsabilidad cubriendo los riesgos con pólizas de seguros.

El balance coste/beneficio, en términos económicos o financieros, derivado de la falta de cumplimiento normativo no debe interpretarse, en ningún caso, como una gestión del riesgo para los derechos y libertades, sino que, incluso, podría ser considerado por la Autoridad de control como un posible beneficio obtenido de la propia infracción y un posible factor agravante.

Garantía jurídica	Gestión del riesgo para los derechos y libertades
Contrato con el encargado de tratamiento cumpliendo los requisitos del artículo 28 del RGPD.	Es una obligación de cumplimiento normativo, no una gestión del riesgo.
Póliza de seguros para cubrir la responsabilidad de la organización ante una posible infracción del RGPD.	Supone una gestión del riesgo de cumplimiento, pero no del riesgo para los derechos y libertades.
La firma de un acuerdo de confidencialidad por parte de personal que tratan determinados datos.	Puede ser una medida de gestión del riesgo para los derechos y libertades, en la medida que no relaja las obligaciones del responsable, sino que busca garantizar el compromiso del personal que trata los datos.

Tabla 2. Ejemplos de garantías jurídicas y su relación con la gestión del riesgo

La gestión del riesgo para los derechos y libertades tiene por objetivo el estudio del impacto y la probabilidad de causar daño a las personas, a nivel individual o social, como consecuencia de un tratamiento de datos personales.

La gestión de riesgo de cumplimiento normativo tiene por objetivo verificar el grado de cumplimiento de las obligaciones y preceptos exigidos legalmente de la entidad con relación a una actividad de tratamiento.

Por tanto, previamente al proceso de gestión de riesgos y como condición sine qua non para emprender una actividad de tratamiento, es preciso sistematizar la verificación de cumplimiento normativo a lo largo de todo el ciclo de vida del tratamiento.

La AEPD pone a disposición de los responsables y encargados un documento que contiene un Listado de cumplimiento normativo y una Hoja de ruta para garantizar la conformidad con la normativa de protección de datos que puede ser de utilidad a la hora de analizar el grado de conformidad con la normativa de protección de datos.

E. La gestión del riesgo en todos los tratamientos

El concepto de “riesgo cero” no existe cuando hablamos de gestión del riesgo. Siempre existirá un riesgo inherente o inicial implícito en cualquier tratamiento y, una vez que se hayan aplicado medidas y garantías que lo minimicen, seguirá existiendo un riesgo residual.

La gestión del riesgo debe ajustarse al posible impacto de la actividad de tratamiento sobre los interesados y a la propia dificultad del tratamiento. En ningún caso debe someterse al tamaño de la entidad, o la disponibilidad de recursos o, a la especialidad o sector de la misma. Si una entidad pretende abordar un tratamiento sin la capacidad suficiente para gestionar el riesgo, deberá buscar ayuda externa especializada (consultoría de privacidad, DPD, etc.).

F. La gestión proactiva en la gestión del riesgo

La gestión del riesgo ha de incluir el enfoque preventivo y requiere realizar una evaluación a largo plazo, especialmente en aquellos escenarios cuyo impacto pudiera derivar en un perjuicio muy elevado sobre los interesados o sobre la sociedad.

G. La gestión de riesgo como proceso

La gestión del riesgo debe abordarse como un proceso transversal que afecta toda la organización y conectarlo con el resto de los procesos existentes de cara a lograr un marco de gestión del riesgo global, integral, eficaz y eficiente que abarque a la organización en su conjunto y en todas sus dimensiones.

La gestión de riesgos, tal y como lo entiende la norma ISO 31000, es un proceso formado por un conjunto de actividades y tareas que permiten controlar la incertidumbre relativa a una amenaza, mediante una secuencia de iniciativas o acciones.

Las aplicaciones, guías o checklist dirigidos a la gestión del riesgo pueden ser herramientas muy útiles de soporte, pero hay que tener presente que el análisis final, la toma de decisiones y la ejecución del plan de acción, son competencia exclusiva de la dirección y de los posibles ejecutores del plan, siendo dichas herramientas meros instrumentos de ayuda y apoyo a las tareas de gestión.

Figura 2. Soporte a la decisión y toma de decisiones

Una vez estructurado el tratamiento y analizado los requisitos de cumplimiento normativo, iniciaremos el proceso de gestión del riesgo mediante las siguientes etapas:

Descripción del tratamiento, tanto en lo que respecta a su naturaleza, como al ámbito, contexto y fines del mismo.
Identificación y análisis de los riesgos en el tratamiento.
Evaluación del nivel de riesgo y determinación de si procede o es necesario realizar una EIPD (evaluación de impacto relativa a protección de datos).
Tratamiento del riesgo.
Seguimiento y verificación de la eficacia de las medidas adoptadas y decisión sobre cuándo es necesario realizar un proceso de revisión y reevaluación de las medidas.

Al ser un proceso, este debe plasmarse en las políticas de la organización y tendrá que estar documentado.

Figura 3. Esquema básico del proceso de gestión del riesgo

H. La integración en la gestión de la organización

La norma ISO 31000 manifiesta que la gestión del riesgo ha de estar integrada con el resto de los procesos de la entidad, en particular en la política, planificación y revisión del tratamiento, para que sea relevante, eficaz y eficiente. Es decir, la gestión del riesgo no puede realizarse de forma aislada, independientemente o después del diseño y/o implementación de un tratamiento.

Entre los procesos con los que debe integrarse están todos aquellos relativos a la gestión del riesgo desde otras perspectivas: financiera, fraude, coste de oportunidad, continuidad de procesos, imagen, suplantación, de negocio, ambiental, seguridad de las personas, etc., que deben entenderse de forma integral.

Figura 4. Integración de la gestión del riesgo para los derechos y libertades en el resto de procesos de gestión de riesgos de la organización

Un caso particular de esta gestión integral lo representan las obligaciones del responsable respecto de la notificación de las brechas de seguridad. En este caso, la evaluación del riesgo que sobre los derechos y libertades de los interesados pueda representar la brecha no debería ser, en ningún caso, inferior a la evaluación que se hubiera hecho en el marco del análisis de riesgo del tratamiento. Como se ha señalado, gestión del riesgo y gestión de brechas, son dos tareas que deben ser gestionadas de manera conjunta con el fin de evitar incongruencias que pudieran repercutir negativamente en el proceso de gestión de un tratamiento de datos personales o en los propios afectados.

Figura 5. Evaluación del riesgo del tratamiento y de una brecha de datos

I. Papel de encargados, desarrolladores y suministradores

El RGPD establece en el artículo 28, apartados 3.c, f y h, así como en el considerando 83, la obligación del encargado de asistir al responsable en la gestión del riesgo, teniendo en cuenta la naturaleza del tratamiento y la información puesta a su disposición. Para ello, el encargado debe gestionar el riesgo dentro de los límites del objeto del encargo.

Por otro lado, un desarrollador o suministrador de un producto o servicio con el que varios responsables van a realizar distintos tratamientos de datos debe llevar a cabo una gestión del riesgo propia, que se incorporará al proceso de gestión del riesgo que realiza el responsable. Este proceso debería ampararse en las garantías contractuales correspondientes a la adquisición del producto o servicio. En cualquier caso, el responsable seguirá manteniendo la obligación de realizar su propia gestión del riesgo.

J. La gestión del riesgo para los derechos y libertades y la EIPD

Cuando sea probable que un tipo de tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará una evaluación del impacto.

1. Definición de EIPD como proceso que obliga a actuar

En las Directrices WP248, la EIPD se define como “... un proceso concebido para describir el tratamiento, evaluar su necesidad y proporcionalidad y ayudar a gestionar los riesgos para los derechos y libertades de las personas físicas derivados del tratamiento de datos personales evaluándolos y determinando las medidas para abordarlos.”

La EIPD es un proceso de análisis de un tratamiento que se extiende en el tiempo, a lo largo de todo el ciclo de vida de un tratamiento de datos personales, y que debe revisarse de forma continua, “al menos cuando exista un cambio del riesgo que representen las operaciones de tratamiento” (art. 35.11). Por tanto, la EIPD debe:

Evaluar los riesgos “determinando las medidas para abordarlos”.
Estar documentada, como soporte para la realización del proceso.
Obligar al responsable a actuar.

La EIPD tiene una dimensión mayor que un mero formalismo plasmado en un documento sobre el que se puedan realizar cambios mínimos para adaptarlo a cualquier tratamiento. Reducir la EIPD a una actividad puntual y aislada en el tiempo es incompatible con el concepto de proceso que interpreta las Directrices WP248.

2. Integración de la EIPD y la gestión del riesgo

La EIPD forma parte del proceso de gestión de riesgos. No es posible ejecutar una EIPD si previamente no existe una gestión de riesgos para los derechos y libertades y no se realiza en el marco de la misma.

Figura 6. Integración de la EIPD en la gestión del riesgo para los derechos y libertades

Figura 7. Esquema básico del proceso de gestión del riesgo incluyendo la EIPD

3. La EIPD amplía los requisitos de la gestión del riesgo

Las características que incorpora la EIPD con relación a la gestión general del riesgo:

Es exigible cuando hay un alto riesgo para los derechos y libertades.
Es una obligación específica del responsable.
Exige un análisis de necesidad y proporcionalidad del tratamiento con relación a sus fines.
Exige su realización antes del inicio de las actividades de tratamiento.
Exige el asesoramiento del DPD, si este está nombrado.
Requiere recabar la opinión de los interesados, o sus representantes, cuando proceda, en el proceso de gestión del riesgo, justificando en su caso la no procedencia o la limitación en la comunicación de información.
Tendrá en cuenta el cumplimiento de los códigos de conducta y de las certificaciones.
Su resultado se debe tener en cuenta para evaluar la viabilidad o no del tratamiento.
En caso necesario, en función del nivel de riesgo residual, obliga al responsable a realizar una Consulta Previa (art. 36) a la Autoridad de control.

Figura 8. Qué añade la EIPD al proceso de gestión del riesgo.

4. La EIPD como herramienta para demostrar cumplimiento

Una de las posibles medidas de “accountability” o de demostrar cumplimiento es la realización de una EIPD, cuando esta no sea obligatoria.

3. EL PROCESO DE GESTIÓN DEL RIESGO PARA LOS DERECHOS Y LIBERTADES

A. Determinación precisa de las finalidades del tratamiento

Para llevar a cabo una correcta gestión del riesgo es necesario identificar y caracterizar de forma precisa los fines del tratamiento. Los fines y la legitimación del tratamiento deben fijarse antes de iniciar la gestión del riesgo. Los fines deben cumplir con las siguientes propiedades:

Últimos	Han de determinarse cuál es el fin último del tratamiento y no confundirlo con objetivos intermedios, medios instrumentales u operaciones de tratamiento que tengan lugar en alguna fase del tratamiento o que pueden ser dependientes con la forma de implementar el tratamiento.
Específicos	Suficientemente precisos y concretos, especificando las carencias, demandas, exigencias, obligaciones u oportunidades objetivas y finales que el fin del tratamiento viene a resolver o a dar respuesta.
Medibles	Han de definir un estado futuro deseable en términos cualitativos.
Alcanzables y realistas	Se determinan garantías para conseguir los fines del tratamiento en la medida que es posible “demostrar” que el fin último se va a conseguir.
Acotados	Se han de conseguir en un periodo de tiempo y en el marco de una determinada etapa del ciclo de vida del tratamiento.

Tabla 3. Propiedades que han de cumplir unos fines del tratamiento bien definidos

En algunos casos, se podrían confundir los fines del tratamiento con alguna de las medidas que se podrían adoptar para conseguirlos. Por ejemplo, en tratamientos que tienen como fin la seguridad de las personas, se pueden utilizar métodos técnicos, como la videovigilancia, como medidas para conseguir dicho fin. La videovigilancia es un instrumento para la consecución del fin, no el fin último del tratamiento.

Los fines del tratamiento han de describirse de forma clara, precisa y entendible, pero no simplificadora.

B. Descripción del tratamiento

Para gestionar los riesgos de un tratamiento es necesario analizarlo. Analizar supone examinar detalladamente, separando y considerando de forma independiente cada una de sus partes, para conocer sus características, cualidades, restricciones y limitaciones, y así poder extraer conclusiones.

DESCRIPCIÓN DEL TRATAMIENTO
Su propósito	Su naturaleza	Su ámbito/alcance	Su contexto
Fines últimos Fines instrumentales Fines secundarios	Las etapas en las que se implementa. El flujo de datos personales. Las operaciones de tratamiento que precisa (manuales y automatizadas). Los activos/ elementos sobre los que se implementa. Los roles que acceden a los datos. Las características tecnologías relevantes. La participación de encargados en distintas operaciones.	La extensión en la cantidad de datos. La extensión en la cantidad de sujetos afectados. La extensión en los tipos y categorías de datos. La extensión geográfica. La extensión en el tiempo del tratamiento. La extensión en el tiempo de la conservación. La frecuencia de recogida. La granularidad.	El mercado o sector en el que se desenvuelve. El entorno social en el que despliega. El entorno normativo. La interacción con otros tratamientos de la entidad. Las cesiones de datos que son necesarias. Las transferencias internacionales que implica. Las brechas de seguridad o incidentes que se producen en tratamientos relacionados. Los efectos colaterales en la sociedad

Tabla 4. Ejemplo de la información que describe el tratamiento que es útil para la gestión del riesgo

La descripción del tratamiento puede ir más allá de las obligaciones normativas establecidas de elaborar y mantener un Registro de Actividades de Tratamiento con el contenido mínimo que exige el artículo 30 del RGPD y el artículo 31 de la LOPDGDD.

El responsable debe conocer las tecnologías que pretende utilizar, así como sus riesgos asociados, ya que forma parte de su deber de diligencia con relación al cumplimiento de las previsiones del RGPD. En ningún caso, el desconocimiento del contexto tecnológico puede entenderse como un eximente de las obligaciones del responsable.

C. La evaluación del nivel de riesgo del tratamiento para los derechos y libertades de las personas físicas

La evaluación del nivel de riesgo tiene dos objetivos:

Optimizar los esfuerzos para mitigar y gestionar los riesgos de forma proporcional.
Determinar si el nivel de riesgo exige cumplir con lo previsto en los artículos 35 y 36 del RGPD (supuestos de alto riesgo).

1. Proceso de evaluación del riesgo

El proceso de evaluación del nivel de riesgo es una disciplina con una metodología consolidada y común a cualquier proceso de gestión del riesgo. Para la evaluación del nivel de riesgo asociado a un tratamiento hay que realizar las siguientes tareas:

Identificar los factores de riesgo o amenazas para los derechos y libertades.
Analizar los mismos, en su impacto (gravedad) y probabilidad.
Evaluar el nivel global del riesgo del tratamiento para los derechos y libertades.

Podemos definir un factor de riesgo o amenaza como una causa potencial de la que se puede derivar un perjuicio para los derechos y libertades de las personas físicas.

2. Riesgo inherente y riesgo residual

El riesgo inherente es el resultante de evaluar el nivel de riesgo previo a la implantación de medidas y garantías destinadas a reducir el riesgo derivado de cada uno de los factores de riesgo.

Todos los posibles factores de riesgo deben evaluarse de forma conjunta, teniendo en cuenta su acción acumulativa y su efecto combinado.

El riesgo residual es el resultante de evaluar el nivel de riesgo después de tomar las medidas y garantías destinadas a reducir el riesgo derivado de cada una de las fuentes de riesgo. El objetivo es que se reduzca a un nivel de riesgo aceptable.

Figura 9: Evaluación del riesgo inherente y riesgo residual

3. Identificación de los factores de riesgo

Identificar un factor riesgo consiste en detectar la fuente que puede propiciar un evento capaz de ocasionar impacto en los derechos y libertades de los interesados. El RGPD requiere que:

La evaluación del nivel de riesgo sea una tarea del responsable que debe orientarse hacia las operaciones de tratamiento que realiza y no hacia el posible contenido de un fichero de datos.
La evaluación del nivel de riesgo tenga en cuenta todos los aspectos del tratamiento, que se derivan de la naturaleza, ámbito, el contexto y los fines del tratamiento.
Las medidas y garantías a adoptar no se limiten a medidas de seguridad, sino que, además, impliquen medidas sobre la concepción del tratamiento, gobernanza y políticas de protección de datos, medidas de protección de datos desde el diseño (de desvinculación, transparencia y control), gestión de brechas de datos personales y, en su caso, la realización de una EIPD.

4. Identificación de factores de riesgo de un tratamiento de datos personales en la normativa

El RGPD y su normativa de desarrollo identifican los factores de riesgo que hay que gestionar, algunos de alto impacto y probabilidad total, y otros en los que hay que estimar el impacto que podrían producir y/o la probabilidad de que se materialicen. Estos son:

Los casos del artículo 35.3 del RGPD.
La normativa especial que exige una EIPD para el tratamiento o identifica factores de riesgo.
Los casos y ejemplos de las Directrices WP248.
Los casos de la lista aprobada por la AEPD en base al artículo 35.4 del RGPD.
Los casos del artículo 28.2.b de la LOPDGDD.
Los casos del artículo 32.2 del RGPD.
Los riesgos identificados en el Considerando 75 RGPD.
Los casos y condiciones específicas descritos en las directrices publicadas por el CEPD para tratamientos específicos.
Los casos y condiciones específicas descritos en los códigos de conducta de acuerdo con el artículo 40 y mecanismos de certificación de acuerdo con el artículo 42 del RGPD.

5. Riesgos de impacto muy elevado

Para establecer un nivel de medidas y garantías adecuado ante un factor de riesgo hay que tener en cuenta la probabilidad de su materialización y la intensidad del impacto. Si el impacto es muy alto, aunque la probabilidad de que se materialice sea muy bajo o despreciable, es necesario gestionar adecuadamente dicho factor de riesgo.

Se deberán analizar aquellos tratamientos que por su extensión o intrusión pudieran ser de muy alto riesgo. También los tratamientos masivos, especialmente de categorías especiales, extendidos en el tiempo y con consecuencias sobre los derechos y libertades (tratamientos de las AA.PP., grandes entidades de telecomunicaciones, grandes entidades financieras, aseguradoras, servicios sanitarios, grandes servicios de Internet, etc.).

También se deben analizar los escenarios de baja probabilidad, pero que pueden comprometer garantías básicas.

D. El tratamiento del riesgo

La gestión del riesgo, con independencia de que se trate de un tratamiento de alto riesgo o no, supone ejecutar acciones para reducir, eliminar o asumir de forma controlada los riesgos identificados disminuyendo, bien la probabilidad de que estos se materialicen, bien el impacto que representan.

El “tratamiento del riesgo” es la selección de medidas y garantías para reducir, eliminar o asumir de forma controlada los riesgos identificados. Dichas medidas y garantías se denominan “controles”.

La gestión de los factores de riesgo es un proceso repetitivo que precisa aplicar controles tantas veces como sea necesario para reducir la probabilidad o el impacto hasta alcanzar un nivel de riesgo aceptable.

Las medidas de control deben considerarse de forma independiente para cada riesgo identificado, aunque más tarde se evalúe su efecto combinado.

1. Clasificación de las medidas y garantías

Las medidas para mitigar el riesgo se pueden clasificar en base a distintos criterios:

Gestión del Riesgo para los Derechos y Libertades
Criterios	Medidas	Observaciones
Medidas destinadas a prevenir el riesgo o respuesta a un riesgo materializado	Proactivas/preventivas
	De detección
	Reactivas/correctivas
Medidas atendiendo a la naturaleza del riesgo	Legales	Garantías jurídicas necesarias como las cláusulas de confidencialidad
	Técnicas	Medidas de protección desde el diseño, de seguridad, auditorías, etc.
	Organizativas	Asociadas a los procedimientos, organización y/o gobierno de la entidad

Medidas orientadas a afrontar el riesgo

Reducir/mitigar el riesgo

Disminuir el nivel de probabilidad/impacto asociado al riesgo inherente

Evitar/eliminar el riesgo

Si el riesgo es muy elevado y no se quiere asumir:

abandonar el tratamiento.
modificar su naturaleza, alcance, contexto, fin, etc.

Aceptar/asumir el riesgo

Siempre que el riesgo inherente sea aceptable y se de forma continua

Tabla 5. Clasificación de medidas y garantías para la gestión del riesgo

En base el modelo de responsabilidad proactiva del RGPD, las medidas y garantías que se pueden adoptar para mitigar los riesgos de protección de datos se pueden clasificar en:

Medidas y garantías en base al RGPD
Criterios	Observaciones
Medidas sobre el concepto y diseño del tratamiento
Medidas de gobernanza y políticas
Medidas de protección de datos por defecto y desde el diseño	Las medidas de protección de datos por defecto se han de implementar por defecto, es decir, en cualquier caso e independientemente del riesgo
Medidas de prevención y gestión de brechas de datos personales/ medidas de seguridad

Tabla 6. Medidas y garantías para la gestión del riesgo en base al RGPD

A cada uno de los factores de riesgo identificados hay que asociar las medidas de control adoptadas. Es muy importante asegurarse de que la asignación de los controles es adecuada y acorde al riesgo, además de que los riesgos se gestionen de forma conjunta y teniendo en cuenta la interrelación entre ellos, con el claro objetivo de poder mitigar los niveles de riesgo del tratamiento como un todo.

2. Transparencia y derechos como medidas para disminuir el riesgo

Las obligaciones de transparencia e información determinan un conjunto de derechos que el responsable ha de proporcionar a los interesados de manera que garanticen un tratamiento leal y transparente. Estas obligaciones no son medidas para disminuir el riesgo del tratamiento, sino que forman parte del cumplimiento normativo al que debe someterse el responsable.

Sin embargo, pueden considerarse medidas para disminuir el riesgo, por ejemplo, publicar información que resulte relevante sobre la EIPD o atender los derechos de los interesados garantizando una diligencia más allá de lo establecido en el Reglamento.

D. Brechas de datos personales y seguridad en los tratamientos

Es obligatorio determinar el riesgo que puede suponer el que se materialice una brecha de seguridad, es decir, un tratamiento no autorizado o accidental sobre los datos.

Figura 10. La gestión de la seguridad como una parte de la gestión del riesgo

Abordar los riesgos no puede limitarse a aplicar exclusivamente medidas de seguridad. La gestión de los riesgos de seguridad es una más de las actividades para la gestión de los riesgos y se tiene que supeditar a esta última.

Las medidas de mitigación deben orientarse a reducir el impacto y la probabilidad de que afecten al interesado.

Figura 11. Las medidas de seguridad en la gestión del riesgo

1. La seguridad por defecto

Las Directrices sobre el artículo 25 Protección de datos desde el diseño y por defecto del Comité Europeo de Protección de Datos, en su párrafo 47, manifiesta que las medidas de seguridad siempre se han de incluir por defecto. O sea, aunque el riesgo del tratamiento para los derechos y libertades sea escaso, el responsable o encargado:

Ha de implementar medidas de seguridad.
La selección de medidas de seguridad a implementar debe guiarse por un análisis de riesgos.
En tratamientos con un riesgo por encima del aceptable, las medidas de seguridad deben emplearse para reducir el nivel de riesgo.

2. Ámbito de las medidas de seguridad

El artículo 32 está dedicado a las medidas de carácter preventivo que han de garantizar la seguridad del tratamiento y los artículos 33 y 34 a medidas correctivas de contingencia en caso de que se produzca una brecha de datos personales.

Se deberá evaluar el impacto para los derechos y libertades que puede tener un incidente que afecte al sistema de información, tanto con relación a la materialización de ataques, intrusiones o cualquier tipo de proceso no autorizado. Lo mismo en caso de incidentes accidentales, tanto tecnológicos como humanos o asociados a eventos naturales.

Además, se deberán gestionar los posibles errores o fallos que pudieran derivarse de las distintas medidas técnicas y organizativas que implementan estrategias de protección de datos por defecto, desde el diseño u otras garantías como:

En la seudonimización y el cifrado de datos personales.
Sobre los procesos de anonimización.
En los procesos de desvinculación de datos.
En la ejecución de la eliminación de datos.
En la implementación de tratamientos federados.
En la implementación de medidas de protección de datos por defecto.
Etc.

También será necesario gestionar los errores técnicos derivados de la implementación automatizada de tratamientos que se pudieran derivar de, por ejemplo:

Sistemas de decisión automática.
Sistemas de ayuda a la decisión.
Tratamiento biométrico.
Errores en la sincronización de sistemas transaccionales.
Errores en la separación de entornos virtuales.
Etc.

Los fallos y errores anteriores pueden derivar en problemas específicos de confidencialidad, integridad, disponibilidad, trazabilidad o autenticación, pero también otros más específicos como de calidad de datos, discriminación, etc.

Figura 12. Fuentes de brechas de datos personales

3. Estimación del nivel de riesgo de una brecha de datos personales

Para estimar el impacto que pudiera tener una brecha de datos personales hay que plantearse las consecuencias que se derivarían de la materialización de la brecha. Una forma de hacerlo es:

plantearse los posibles escenarios de materialización de una brecha
determinar sus consecuencias
evaluar cómo afecta a los derechos y libertades de los interesados, sobre todo si se trata de consecuencias irreversibles.

Ante esas consecuencias, hay que determinar medidas para disminuir la probabilidad de que suceda la brecha. Dado que la posibilidad de materialización de la brecha siempre existe, también hay que considerar medidas para eliminar, disminuir o revertir las consecuencias de la misma sobre el interesado.

Un ejemplo: consideremos el marco de aplicaciones de domótica o de control de consumo que podrían recoger la actividad doméstica de personas físicas. Se pueden plantear varios escenarios de brecha, uno de los cuales, podría ser el siguiente:

Escenarios
Brecha materializada	Confidencialidad: se accede a los registros de actividad de los usuarios de los sistemas domóticos que se almacenan en un servidor central.
Datos comprometidos	Datos básicos, datos de contacto, datos detallados sobre eventos del sistema, uso o consumo por minuto durante un largo periodo de tiempo.
Perjuicios al interesado	Se conoce la dirección y detalles de identificación del usuario. Se podría inferir cuándo el hogar está vacío. Se podría inferir los horarios de entrada y salida del hogar. Se podría inferir si el individuo vive solo o acompañado. Se podría inferir cuándo se va a dormir. Se pueden inferir aspectos muy personales, e incluso categorías especiales de datos.
Evaluación del impacto sobre el interesado	Puede tener un impacto muy significativo, al afectar a los derechos y libertades fundamentales de forma irreversible.
Medidas para reducir el impacto	Reducir la precisión temporal en la recogida de datos, y en lugar de hacerlo por minuto, hacerlo por horas, días o semanas (reducir la granularidad) Agrupar datos de diversos individuos (aumentar la agregación). Reducir el conjunto de datos recogidos (minimización de datos). Eliminar la información recogida individualmente en muy breve espacio de tiempo, casi tiempo real (conservación de datos). Disponer de un procedimiento de comunicación a los afectados muy rápido (comunicación de brechas de datos).
Medidas para reducir la probabilidad	Medida de identificación para el acceso al sistema. Sistemas de control de acceso a los datos. Cifrar la información en tránsito y reposo.

Tabla 7. Ejemplo de escenario de brechas de datos personales

De este ejemplo podemos concluir:

Los escenarios han de plantearse para casos de pérdida de confidencialidad, disponibilidad, integridad, autenticación, trazabilidad, resiliencia, fallos en las garantías (como reidentificación en datos anónimos o seudónimos), errores en el tratamiento o cualquier otro que se considere oportuno.
Además de medidas que reduzcan la probabilidad, es necesario implementar medidas que reduzcan el impacto, ya que la probabilidad nunca es cero.
Las medidas que reducen el impacto son, en muchos casos, medidas de privacidad desde el diseño y/o por defecto.
Existen medidas preventivas (por ej. aplicar políticas de agregación de datos) y reactivas (por ej. tener preparada una gestión de brechas que permita la comunicación ágil a los afectados).
Hay que evaluar qué impacto puede tener para el individuo y la sociedad, ya que hay brechas cuyo impacto social hace más difícil minimizar los riesgos (por ej. si la brecha afecta a un único individuo se pueden poner en marcha mecanismos reactivos que son inviables si afectan a miles de usuarios).
Por tanto, la adopción de medidas de seguridad debe realizarse bajo una visión de la gestión de los riesgos para los derechos y libertades que va más allá del ámbito estricto de la organización. Es decir, el análisis no puede centrarse solo en el impacto producido al interesado, ya que se podrían dar situaciones como, por ejemplo:
- Una pérdida de confidencialidad en la Entidad-A puede suponer la usurpación de identidad de un sujeto. Esa suplantación se puede utilizar sobre la Entidad-B para acceder a los datos del interesado.
- La alteración de la integridad de los datos de una persona en una Entidad-A puede impedir que dicha persona acceda a servicios proporcionados por una Entidad-B.

4. La probabilidad de una brecha de datos personales

No existen sistemas 100% seguros. Por tanto, no se pueden plantear tratamientos bajo el supuesto de que la seguridad nunca va a ser violada. Más aún, cuando el periodo de tiempo en el que el tratamiento estará activo (ciclo de vida del tratamiento) tiende a infinito, el que se produzca una brecha de datos personales es sólo cuestión de tiempo. Por tanto, a la hora de evaluar la probabilidad, hay que tener en cuenta el plazo de tiempo que se pretender tener activo el tratamiento.

Figura 13. Evolución de la probabilidad de una brecha en el tiempo

5. Resiliencia

La resiliencia es la capacidad que tiene un sistema de continuar dando servicio ante un imprevisto, aunque sea con pérdida de eficacia o eficiencia. O sea, que se refiere a la capacidad de adaptación de un organismo, organización, sistema o sociedad a los cambios sin que sus características básicas estructurales y funcionales se vean alteradas. Estas, han de adaptarse sin alcanzar el punto de ruptura, parálisis o crisis.

Tras esa adaptación, la entidad puede volver a su estado original o incluso haber mejorado su adecuación al entorno. Esto significa la capacidad de asumir, con flexibilidad, situaciones límites y sobreponerse a ellas.

La resiliencia organizativa persigue anticiparse, prepararse, responder y adaptarse a los cambios o eventos que se puedan producir. Estos pueden ser cambios en el contexto económico, político, legal, social, ambiental, etc.; así como daños en la infraestructura, actos de terrorismo, cibercrimen, etc.

La resiliencia es inherente, relativa y ninguna organización, red o sistema puede ser totalmente resiliente. El grado de resiliencia dependerá de:

Capacitación de las personas	El personal, tanto del nivel más alto al más bajo, ha de tener la capacidad de detectar los cambios, la capacidad de comunicarlos, la capacidad de entenderlos, la capacidad de innovar ante ellos, la capacidad de actuar y la voluntad de actuar de forma proactiva, en tiempo real.
Flujo adecuado de información	Ha de ser ágil, específico, mínimo, completo y desde y hacia las personas adecuadas.
Liderazgo	Han de existir puntos claros de toma de decisión con responsabilidades bien definidas.
Adaptabilidad estratégica	Las estructuras físicas, tecnológicas y organizativas han de poder evolucionar en tiempo real hacia nuevos objetivos o formas de actuar.

Tabla 8. Factores que determinan el grado de resiliencia de una organización

A su vez, resiliencia y sostenibilidad son conceptos relacionados. La resiliencia está vinculada al grado de preparación para la reacción de la organización ante un contexto variable. La sostenibilidad está relacionada con las acciones para evitar o mitigar sus impactos en el interior y exterior a la empresa, en su entorno, asegurando su propia viabilidad a largo plazo, y de contribuir, a su vez, a la del entorno.

6. Integración de los requisitos de gestión del riesgo para los derechos y libertades en el SGSI

La gestión de la seguridad de la información es una disciplina muy madura, con modelos de gestión (SGSI o Sistema de Gestión de la Seguridad de la Información) y directrices (normas ISO 27000 o ENS) bien conocidas e implantadas que pueden considerarse estándares de seguridad.

Los sistemas de información son una proyección de los tratamientos de la entidad, en tanto que son los medios que le dan soporte y, por ello, las políticas de los sistemas de información deberían ser una proyección de las políticas de información de la entidad. A su vez, las políticas de seguridad son un subconjunto de las políticas de información de la entidad.

El modelo de responsabilidad proctiva se basa en la toma de decisiones de abajo a arriba, o sea, desde el diseño de los tratamientos y con una visión holística. Los administradores de los sistemas de información deben implementar los requisitos de seguridad que proporcione el responsable de seguridad con una visión integral de la organización, pero no deben tomar decisiones con relación a la seguridad más allá de las cuestiones técnicas y operativas relacionadas con la propia administración de los sistemas.

En particular, el conjunto de requisitos de seguridad, con relación a los derechos y libertades, ha de ser una de las entradas al proceso de análisis de riesgos general de los sistemas de información que ha de llegar al departamento TIC.

Los requisitos no funcionales de seguridad pueden provenir de distintos objetivos de la entidad en general y de los tratamientos de datos que se realizan, en particular: seguridad de las personas, robo, fraude, etc. A su vez, será necesario tener en cuenta otros requisitos funcionales y no funcionales, además de los que se deriven de normativas, obligaciones contractuales, certificaciones, etc.

La forma de implementar dichos requisitos ha de balancearse entre los distintos objetivos. Por ejemplo, si con objeto de proteger la seguridad de las personas se plantea una solución basada en identificación biométrica, ha de valorarse que puede colisionar con protección de datos o con la imagen que la empresa quiere proporcionar.

Figura 14. Integración de los requisitos de seguridad para la protección de los derechos y libertades

7. Medidas de gestión brechas de datos personales

La gestión de brechas es una obligación del responsable, que debe incluir el establecimiento de medidas preventivas y reactivas en función del riesgo y que repercute en el ciclo de gestión del riesgo del tratamiento.

La normativa establece una serie de obligaciones ante una brecha de seguridad que no dependen de la realización de un análisis de riesgos como, por ejemplo, la obligación del encargado del tratamiento de notificar, sin dilación indebida, al responsable del tratamiento las brechas de datos personales que afecten a los tratamientos encargados (art.33.2 RGPD).

Lo que sí depende de la gestión del riesgo es la dimensión de las medidas técnicas y organizativas para la gestión de incidentes, como podrían ser:

Utilización de herramientas de gestión de incidentes adaptadas al RGPD.
Procedimientos establecidos de cumplimiento de las obligaciones relativas a los artículos 33 y 34 del RGPD.
Protocolos de identificación de riesgos adicionales generados por la brecha y de reevaluación del nivel de riesgo para los derechos y libertades de los interesados.
Etc.

F. Implementación de los controles, verificación y reevaluación: la gestión del riesgo como un proceso continuo

La verificación de la correcta aplicación de las medidas y garantías, así como la revisión del nivel de riesgo y su gestión, es un proceso que hay que realizar a lo largo de todo el ciclo de vida del tratamiento. Se recomienda realizar un proceso de verificación durante la fase de implantación con el objetivo de garantizar y validar que las medidas de control definidas en el Plan de acción se han puesto en marcha correctamente. Lo ideal es que estas tareas, con carácter general, estén reflejadas en un plan de acción de gestión del tratamiento.

Son varias las referencias del RGPD a esta necesidad de introducir la gestión del riesgo a lo largo de las distintas etapas del ciclo de vida del tratamiento (arts. 24, 25, 32, 35).

La gestión del riesgo es un proceso continuo y cíclico. Dicha gestión ha de realizar su primer ciclo con las primeras fases del tratamiento: antes de determinar los medios del tratamiento (en su concepción, análisis, diseño, prototipado e implementación) y antes de ejecutar el tratamiento (pruebas y preparación/despliegue). Además, la gestión del riesgo ha de repetirse a lo largo del ciclo de vida del tratamiento para evaluar y tratar los cambios que se puedan producir en las fases siguientes (operación, mantenimiento, evolución y retirada.)

Figura 15. La gestión del riesgo en el ciclo de vida del tratamiento

La gestión del riesgo de realizarse, en una primera iteración, en la concepción del tratamiento.
Las acciones derivadas de la gestión del riesgo deberían verificarse, y reevaluarse cuando esta actividad tenga una mayor intensidad, como son las fases de operación, mantenimiento y evolución.
La reevaluación del riesgo puede iniciarse por eventos propios en fases distintas de la fase en la que se encuentre el tratamiento dentro de su ciclo de vida y depender del contexto, es decir, de eventos externos al tratamiento.

La organización debe implementar procedimientos que detecten problemas, cambios o eventos en el tratamiento o en su entorno que sean susceptibles de desencadenar la necesidad de iniciar un ciclo de revisión de la gestión del riesgo. Si no se detectan, será necesario establecer periodos de revisión que podrían estar fijados en el marco de las políticas de protección de datos del responsable.

La iteración de un ciclo de gestión del riesgo no ha de suponer un esfuerzo desproporcionado, sino que ha de ser una actividad eficaz y eficiente. Lo único que exige es reflexionar, aunque sea por un momento, si se sigue teniendo el tratamiento bajo control ante condiciones cambiantes del propio tratamiento y/o del contexto en el que este se desenvuelve. Además, esta reflexión, ha de estar integrada en los procesos de gestión del tratamiento para que sea realmente efectiva.

4. LA GOBERNANZA DE LOS RIESGOS PARA LOS DERECHOS Y LIBERTADES

A. Políticas de protección de datos

Cuando se trata de datos personales, la gobernanza de los datos establecida en la organización debe garantizar el cumplimiento de los derechos y libertades conforme al RGPD. Para ello, los tratamientos de datos personales deben estar respaldados por la implementación efectiva de los principios relativos al tratamiento (art.5 RGPD), tomando las medidas adecuadas y ofreciendo garantías suficientes.

En virtud del principio de responsabilidad proactiva, las políticas han de ser compromisos establecidos a nivel de la dirección de la organización. Las políticas de protección de datos son el conjunto de directrices que rigen un modo de actuar de la organización ante los tratamientos de datos personales a lo largo de todo su ciclo de vida.

Figura 16. Las políticas de protección de datos

La aplicación práctica del RGPD precisa integrar directrices específicas en la documentación de los procedimientos aprobados por la entidad. Dependiendo de la complejidad de la organización, es recomendable que no se creen políticas nuevas, sino que la protección de datos se integre con las políticas corporativas ya existentes para disminuir la carga administrativa y de gestión.

En organizaciones complejas, se recomienda disponer de un documento marco, siempre que se emplee como guía para la adopción de las directrices señaladas en procedimientos específicos, como, por ejemplo, los procedimientos de recursos humanos, teletrabajo, contratación de productos y servicios, desarrollo de aplicaciones, etc. En cualquier caso, deberá garantizar la eficacia en la protección de datos y no deberá limitarse a una pura declaración formal en un documento desvinculado de la realidad de los procedimientos de la entidad.

Figura 17. Relación entre gobernanza, políticas y procedimientos

Como establece el artículo 24, la implementación de dichas políticas y gobierno de los datos dependerá de la estructura orgánica de cada entidad. De igual forma, tendrán que adoptarse dichas políticas en las organizaciones que pudieran actuar como encargadas del tratamiento con la finalidad de abordar una gestión y control eficaces que garanticen al responsable el cumplimiento del RGPD.

Las políticas de protección de datos se deberán verificar, revisar, actualizar y mejorar de forma continua, de acuerdo con los criterios y métodos implantados en la organización.

Figura 18. Marco de la ejecución de las políticas de protección de datos

B. Documentación

La obligación de documentar el proceso de gestión del riesgo está relacionada con el cumplimiento de la obligación de “accountability”. La documentación tiene dos objetivos generales:

Dar soporte a la ejecución eficaz y eficiente de la gestión del riesgo para los derechos y libertades.
Permitir demostrar que así se ha realizado.

Por tanto, la documentación de la gestión del riesgo:

Es una herramienta de trabajo	Ha de ser útil para la ejecución de la gestión del riesgo de forma eficaz.
Ha de ser eficiente	Ha de suponer una carga mínima en la gestión del tratamiento.
Ha de ser completa	Ha de recoger las decisiones tomadas en la gestión del riesgo, así como la justificación de dichas decisiones basadas en evidencias objetivas.
Ha de ser dinámica	Se ha de mantener y hacer evolucionar en la medida en que se produzcan cambios en el tratamiento, en su contexto o incidencias que le afecten.
Ha de ser trazable	Permitirá realizar el seguimiento y la evolución en el tiempo del proceso de gestión del riesgo.
Ha de comunicarse	Ha de llegar a los órganos adecuados de toma de decisión, de ejecución de las decisiones y de control.
Ha de transmitir información	Ha de tener el formato, lenguaje y el contenido necesario para que se puedan ejecutar dichas acciones con eficacia y eficiencia
No es monolítica	Ha de estar formada por distintos documentos, adaptados a los distintos destinatarios de la información.
Ha de estar integrada en la gestión de la organización	En línea de lo manifestado con relación a las políticas de protección de datos, ha de estar integrada con el resto de documentación asociada a la gestión del tratamiento en otros aspectos.

Tabla 9. Características de la documentación para la gestión del riesgo

La documentación no es la gestión del riesgo, aunque la gestión de riesgo ha de estar documentada. A su vez, la documentación no exige escribir un único documento compacto, sino tener un sistema de registro de los análisis, decisiones y seguimiento de las acciones.

La complejidad de este sistema, como interpreta la Declaración WP218, se deberá adaptar a la complejidad y el impacto del tratamiento, y podría tomar diferentes formas, desde una hoja de cálculo hasta una base de datos o, incluso, un sistema de gestión documental.

La documentación de la gestión del riesgo tampoco es un informe jurídico. En la medida que la documentación adquiera un volumen engorroso que no permita la gestión eficaz y eficiente del riesgo, no será adecuada. De esta forma, ha de recogerse toda la información necesaria para una gestión eficiente y solo dicha información.

Figura 19. La documentación del proceso de gestión del riesgo

La documentación de la gestión del riesgo tendrá que contener estos elementos mínimos:

Quién lo realiza.

Quién lo aprueba.

La descripción del tratamiento.

Metodologías y guías empleadas en el proceso de gestión.

La identificación y análisis de riesgos para los derechos y libertades.

La evaluación del nivel de riesgo para los derechos y libertades.

La decisión de realizar o no una EIPD (análisis de obligación y análisis de necesidad de EIPD).

Las medidas seleccionadas y un plan de implementación y seguimiento.

Los criterios para reevaluar el plan y los plazos de revisión

Incidencias detectadas

Fecha de realización o revisión.

Tabla 10. Contenido mínimo de la documentación de gestión del riesgo

Esta información podría ser un documento aislado o estar integrado en la documentación de gestión de los tratamientos de la organización. A su vez, la descripción del tratamiento tendrá que ser congruente con la información registrada en las herramientas sobre las que se ha implementado el RAT.

Adicionalmente, con relación a la documentación sobre las metodologías seguidas, se podría documentar:

La decisión de elegir una determinada metodología.
La identificación de la escala cualitativa o cuantitativa utilizada para describir la magnitud potencial del riesgo.
La identificación del impacto que una amenaza puede tener sobre el tratamiento y los propios interesados si llegara a materializarse.
La identificación de la probabilidad de materialización de una amenaza teniendo en cuenta sus vulnerabilidades. Con carácter general, a mayor número de vulnerabilidades, mayor probabilidad de que una amenaza se materialice.
Los criterios utilizados para la evaluación del riesgo y objetivos de nivel de riesgo considerados aceptables.

En cuanto al grado de trasparencia a aplicar a la documentación, las Directrices WP248 estipulan que no hay obligación de publicar esta información, pero que podría fomentar la confianza publicar un resumen, y que, en caso de consulta previa, se deberá comunicar la EIPD completa a la Autoridad de control.

Por tanto, la publicación o no, puede depender de las políticas de transparencia de la entidad. Habrá que valorar si la transparencia puede ayudar a la gestión de los riesgos para los derechos y libertades. No obstante, no es justificable ni recomendable la publicación si se detallan elementos concretos de las medidas para la gestión del riesgo que pudieran aumentar dicho riesgo.

SECCIÓN 2. METODOLOGÍA BÁSICA PARA LA APLICACIÓN DE LA GESTIÓN DEL RIESGO PARA LOS DERECHOS Y LIBERTADES

5. DESCRIPCIÓN Y CONTEXTUALIZACIÓN DEL TRATAMIENTO

Una correcta gestión del riesgo para los derechos y libertades exige conocer los detalles del tratamiento. Los requisitos para que la descripción de los tratamientos sea adecuada, son:

Debe incluir la información establecida en el artículo 30 del RGPD, sobre los mínimos exigibles en los RAT.
Debe contener suficiente información para realizar una eficaz gestión del riesgo para los derechos y libertades de las personas físicas.

La granularidad que se debe alcanzar en la descripción del tratamiento ha de ser la suficiente para que sea posible realizar dicha gestión. En este sentido se podría estudiar el tratamiento hasta en tres niveles de detalle:

Estudio a alto nivel del tratamiento.
Análisis de la estructura del tratamiento, o descomposición del tratamiento en fases para realizar el estudio individual de las mismas.
Análisis del ciclo de vida de los datos.

La profundidad en el estudio dependerá del posible nivel de riesgo y de la complejidad del tratamiento.

Figura 20: Niveles en la descripción del tratamiento

Cuando existan dudas sobre la profundidad del estudio que se debería realizar, se recomienda llevar a cabo el análisis estructurado, como mínimo. En cualquier caso, cualquier aproximación que se adopte para la descripción del tratamiento ha de tener como objetivo disponer de un instrumento útil para “garantizar y poder demostrar”, de forma eficiente, la gestión del riesgo para los derechos y libertades.

A. Estudio a alto nivel del tratamiento

Un estudio a alto nivel del tratamiento aborda a este como un elemento monolítico, sin divisiones ni partes. Este estudio debe permitir realizar un análisis del riesgo con la formalidad que sea necesaria, y también puede servir para conseguir la información suficiente que permita cumplir con las obligaciones del art. 30 del RGPD y 31 de la LOPDGDD (RAT e Inventario). Dicho análisis debería poder proporcionar, al menos, la siguiente información:

TRATAMIENTO
Nombre o descripción
Responsable/s	En caso de corresponsabilidad, determinar dichas corresponsabilidades y sus límites.
FINES DE TRATAMIENTO
Finalidad del tratamiento
Fines intermedios y secundarios	Con frecuencia no es posible determinar totalmente los fines de investigación científica en el momento de su recogida. Por consiguiente, debe permitirse a los interesados dar su consentimiento, en la medida en que lo permita la finalidad, para determinados ámbitos de investigación científica que respeten las normas éticas reconocidas para la investigación científica.
ALCANCE Y ÁMBITO DEL TRATAMIENTO
Datos personales
Datos personales tratados	Agrupados por categorías.
Precisión de los datos	Incluyendo, al menos: La frecuencia de recogida. La granularidad.
Ciclo de vida de los datos	Una descripción breve de su ciclo de vida, incluyendo: Condiciones de supresión de los datos. Tiempo máximo y mínimo de permanencia de los datos en el tratamiento.
Sujetos interesados
Categorías de sujetos afectados	Establecer las posibles categorías de interesados para las que se pretende diseñar el tratamiento (menores, personas en riesgo de exclusión social, pacientes, alumnos, etc.). Se recomienda analizar posibles desequilibrios de poder entre los interesados y el responsable del tratamiento (Directrices WP248).
Volumen de sujetos	Cantidad de sujetos afectados.
Extensión geográfica	Local, regional, nacional o internacional. Especificando dicha extensión.
Duración del tratamiento
Extensión en el tiempo del tratamiento	Tanto desde la puesta en producción hasta la propuesta de retirada del tratamiento. Descripción de circunstancias que podrían motivar la retirada del tratamiento.
NATURALEZA
Implementación del tratamiento
Operaciones ejecutadas en el tratamiento	Por ejemplo: recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
Casos de uso
Inventario de activos que implementan el tratamiento	Bienes o recursos que pueden ser necesarios para implantar y mantener una operación de tratamiento en cualquier etapa de su ciclo de vida, desde su concepción y diseño hasta la retirada del tratamiento: Humanos. Organizativos. Materiales. Técnicos/Sistemas de información.
Recogida y generación de datos
Origen de los datos	Externos al tratamiento (otros tratamientos, responsables, o entidades) o internos al tratamiento.
Datos inferidos o generados	Categorías de datos inferidos con relación a los fines del tratamiento.
Acceso a los datos
Categorías de intervinientes en el tratamiento	Con relación a las fases del tratamiento, definir las categorías de intervinientes que participan en las operaciones.
Intervinientes externos y sus roles	Encargados, subencargados, desarrolladores, etc. Fases o etapas del tratamiento en las que intervienen y operaciones de tratamiento que tienen encomendadas por el responsable, así como el vínculo jurídico con el responsable del tratamiento.
Roles de acceso a los datos de los intervinientes	Para cada interviniente, definir sus roles con relación a las operaciones de tratamiento identificadas.
Flujos de información con otros tratamientos del responsable	Es necesario tener en cuenta los procesos de la organización relacionados con el tratamiento (gestión de calidad, inteligencia de negocio, directorios, agendas, etc.) a fin de identificar la relación de los procesos con los tratamientos de la organización en un único mapa de procesos/tratamientos.
Comunicaciones de datos	Identificación de las entidades a las que se transfieren datos, con sus localizaciones geográficas, habilitaciones legales y garantías establecidas para esa comunicación, así como cualquier otra información que sea relevante para la gestión del riesgo.
Debilidades
Características/limitaciones y factores de riesgo relevantes de las tecnologías intervinientes
Vulnerabilidades	Derivadas de los elementos técnicos, pero también humanos u organizativos, que pueden provocar accesos no autorizados o pérdida de calidad de datos, exactitud, disponibilidad, resiliencia, etc.
Medidas y garantías implementadas
Políticas de protección de datos
Medidas y garantías de privacidad y seguridad por defecto y desde el diseño del tratamiento	Conjunto de garantías jurídicas, organizativas y técnicas incorporadas al tratamiento con independencia del nivel de riesgo que pudiera asociarse al tratamiento.
Medidas y garantías de privacidad y seguridad adoptadas en función del riesgo.	Conjunto de garantías jurídicas, organizativas y técnicas que se adoptan en función del riesgo. Este apartado, podría estar vacío en la primera iteración del ciclo de gestión del riesgo. En función de que se vayan abordando los riesgos con distintas medidas, este apartado se iría completando.
Garantías en las transferencias internacionales	Cláusulas contractuales, BCR’s u otras.

CONTEXTO
Sector de actividad
Mercado o sector económico
Marco normativo
Marco normativo de aplicación	Se tendrán en cuenta, además de las normativas de protección de datos, las normativas sectoriales que fueran de aplicación al tratamiento.
Estándares, certificación, códigos de conducta aplicables al tratamiento
Posibles efectos colaterales/no deseados del tratamiento
Derivados del alcance y ámbito
Derivados de la naturaleza de los datos
Derivados del mercado o sector
Otros efectos colaterales del tratamiento
Brechas de seguridad
Incidentes conocidos ocurridos en tratamientos similares	Por incidentes conocidos deben entenderse tanto incidentes de la propia organización como incidentes de otras organizaciones con similares o idénticos medios técnicos, organizativos, humanos, etc. En este contexto, puede resultar de ayuda la consulta del microsite de brechas de seguridad de la AEPD.
Potenciales amenazas	Derivadas de los elementos técnicos, humanos u organizativos, así como de situaciones o contextos sociales determinados (crisis económica, pandemia, inestabilidad política o social, etc.) que aprovechando una vulnerabilidad de uno de los activos identificados pudieran dar lugar a brechas con consecuencias no deseadas para los derechos y libertades.

Tabla 11. Información derivada de un análisis a alto nivel del tratamiento

B. Análisis estructurado del tratamiento

Para realizar un análisis estructurado del tratamiento, se precisa identificar las distintas operaciones que lo forman y la relación que existe entre ellas:

Figura 21. Elementos que describen una fase del tratamiento

Las operaciones de tratamiento están definidas, de forma no exhaustiva, en los artículos 4.2, 4.4 y 4.5 del RGPD; aunque el tratamiento “típico” incluirá, de forma general, las siguientes fases: captura, clasificación y almacenamiento, uso y explotación, cesiones y transferencias de a terceros, bloqueo y/o supresión.

Figura 22. Estructuración en fases de un tratamiento genérico

Esta es una aproximación simplista pero que podría ser un punto de inicio para realizar el análisis estructurado del tratamiento, el cuál podría ser más complejo e incluir varios casos de uso. Por ejemplo:

Figura 23. Ejemplo simplificado de una actividad de tratamiento relativa a la selección de personal.

En este ejemplo, se detallan las operaciones realizadas para cada fase. En sombreado, las fases que no tratarían datos de carácter personal.

El grado de descripción de cada fase tendría que ser acorde al impacto en el riesgo de dicha fase. Como orientación, con el objeto de gestionar el riesgo, se podrían identificar los siguientes elementos para cada fase:

Nombre de la fase
Fases anteriores
Fases posteriores
Operación u operaciones realizadas	En una misma fase podrían ejecutarse varias operaciones.
Activos que implementan la operación	Entendiendo activos tal y como se han definido en el apartado anterior.
Características relevantes de la implementación de la fase	La implementación se puede realizar con medidas organizativas y/o elementos técnicos. Las medidas organizativas pueden incluir aspectos como la distribución física de las instalaciones (por ejemplo, el aislamiento de zonas de entrevista) o la generación y destrucción de informes físicos. Por otro lado, en el caso de componentes técnicos, se podrían identificar tecnologías disruptivas o uso novedoso de determinadas técnicas, entre otros.
Datos tratados
Datos inferidos o generados
Origen de los datos	Externos al tratamiento (otros tratamientos, responsables, o entidades) o internos al tratamiento.
Destino de los datos	Externos al tratamiento (otros tratamientos, responsables, o entidades) o internos al tratamiento.
Intervinientes externos, sus roles y funciones	Encargados, subencargados, desarrolladores, etc. y con distintas funciones: editor, soporte web, administrador, análisis, BBDD, marketing, etc.
Incidentes conocidos de fases implementadas con características similares, propios o ajenos
Vulnerabilidades y amenazas	Derivadas de los elementos técnicos, pero también humanos u organizativos, que pueden provocar accesos no autorizados o pérdida de calidad de datos, exactitud, disponibilidad, resiliencia, etc.
Medidas y garantías de privacidad y seguridad por defecto	Conjunto de garantías jurídicas, organizativas y técnicas ya adoptadas.
Medidas y garantías de privacidad y seguridad adoptadas en función del riesgo	Conjunto de garantías jurídicas, organizativas y técnicas que se adoptan en función del riesgo. Este apartado, podría estar vacío o tener una primera aproximación, en la primera iteración del ciclo de gestión del riesgo. En función de que se vayan abordando los riesgos con distintas medidas, este apartado se iría completando.

Tabla 12. Descripción de una fase del tratamiento

C. Descripción del ciclo de vida de los datos

El ciclo de vida de los datos es un análisis complementario al análisis estructurado del tratamiento. Por tanto, este estudio podría limitarse a una categoría de datos, por ejemplo, datos biométricos procesados en un tratamiento, o extenderse a todas las categorías de datos, en función del ejercicio de la responsabilidad proactiva en la gestión del riesgo.

Figura 24: Ciclo de vida básico de los datos.

Recogida/Generación: proceso de obtención de datos para su tratamiento, mediante diversas técnicas: formularios web o en papel, toma de muestras y realización de encuestas, grabaciones de audio y video, información recogida por sensores, etc. Pero también se pueden generar nuevos datos en el tratamiento como ocurre en la elaboración de perfiles, la inferencia de nueva información personal o la toma de decisiones automatizadas.
Registro: establecer categorías y asignarlas a los datos para su almacenamiento, organización, estructuración, conservación o adaptación en los sistemas o archivos y bases de datos.
Uso: operaciones realizadas sobre datos personales con relación a su modificación, extracción, consulta o utilización
Comunicación a un tercero: traspaso o comunicación de datos a un tercero por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión. Cabe la posibilidad que implique una transferencia internacional de datos.
Finalización: procesos de limitación, incluyendo el bloqueo de datos según lo exigido en el artículo 32.2 de la LOPDGDD, supresión o destrucción de datos.

A continuación, se muestra un posible modelo con el que documentar el ciclo de vida de una categoría de datos:

Figura 25: Ejemplo de ciclo de vida de los datos

En el ejemplo mostrado en el gráfico anterior se ha incluido información adicional como referencia a las fases que intervienen, encargados, terceros, tecnologías u otra que pudiera ser relevante para la descripción y gestión del riesgo.

D. Inventario de activos

Activo se define como todo bien o recurso que puede ser necesario para implantar y mantener una operación de tratamiento en cualquier etapa de su ciclo de vida, desde su concepción y diseño hasta la retirada del tratamiento.

La gestión de riesgos para los derechos y libertades debería integrar un inventario de activos debidamente organizados y actualizados. Este inventario no es sólo pertinente desde el punto de vista de protección de datos, sino que tiene aplicación en otras funciones básicas para la gestión de la entidad: contabilidad, amortización, mantenimiento, asignación de recursos, seguridad, etc. de modo que su existencia recomienda en aquellas organizaciones que tienen implementados modelos de calidad.

El nivel de detalle a incluir en el inventario de activos debería ser el necesario para identificar y gestionar el riesgo de manera eficiente y, al mismo tiempo, poder demostrar dicha gestión. Un correcto inventario de activos a nivel de organización, no solo circunscrito a las actividades de tratamiento, permitirá identificar relaciones o efectos colaterales entre distintos tratamientos.

Es habitual que varios tratamientos compartan activos para acceder a datos comunes (recogida de datos, procesamiento, comunicación, etc.). También suele pasar que compartan componentes estándar de terceros para un uso común de acceso a servicios de proceso de datos (por ejemplo, la implementación de apps en sistemas móviles).

Figura 26. En este caso, los tratamientos 1 y 2 incluyen fases de conservación de datos personales, que se implementan en los servicios de bases de datos de la entidad, mientras que los tratamientos 2 y 3 incluyen fases de recogida de datos implementadas sobre las mismas librerías de captura de datos (por ejemplo, una API en Android).

Con relación a cada activo, sería posible documentar los mismos atendiendo al siguiente modelo:

Activo	Un identificador del activo
Tecnologías involucradas
Tratamientos y fases en las que se emplea	Puede utilizarse el mismo activo en distintos tratamientos
Operaciones de tratamiento en las que es necesario
Datos que son tratados
Datos que son generados
Roles con acceso al activo y su nivel de privilegio
Vulnerabilidades (inherentes al activo)
Amenazas (internas y externas) asociadas al activo

Tabla 13. Modelo para documentar los activos

E. Casos de uso

En la descripción del tratamiento en sus distintos niveles de detalle, se deberá identificar a qué caso de uso se refiere y marcar sus diferencias. La identificación de casos de uso, con ejemplos, se ha tratado en la Guía de Protección de Datos por Defecto.

6 IDENTIFICACIÓN Y ANÁLISIS DE FACTORES DE RIESGO

La identificación y el análisis de los factores de riesgo para los derechos y libertades de las personas físicas es el paso previo a la evaluación del nivel de riesgo del tratamiento.

En el contexto de la “accountability”, la identificación y análisis de factores de riesgo estará siempre documentado y justificado a fin de demostrar que, las decisiones tomadas en cada momento con relación a la gestión del riesgo han sido las más adecuadas en función de la información de la que se disponía

A. Identificación factores de riesgo

El responsable no puede ni debe limitarse a tratar los factores de riesgo identificados explícitamente en la normativa, sino que también debe identificar y evaluar los que derivan del tratamiento concreto en función de su naturaleza, ámbito o extensión o los fines que persigue, sin olvidar, tampoco, los que se derivan del contexto presente (interno y externo a la organización) y futuro del tratamiento.

B. El análisis de los factores de riesgo

Para cada uno de los factores de riesgo identificados, se deberá determinar el impacto inherente, o sea, el que resulta de no considerar las medidas y garantías para los derechos y libertades. El impacto dependerá del daño que se pueda ocasionar a los interesados en particular y a la sociedad en su conjunto.

A su vez, también será necesario determinar la probabilidad de que el riesgo identificado se materialice.

Como aproximación general para alcanzar un equilibrio entre la facilidad y la eficacia del proceso de gestión del riesgo, se propone establecer cuatro niveles de impacto del riesgo (muy significativo, significativo, limitado y muy limitado) así como cuatro niveles de probabilidad de ocurrencia (muy alta, alta, baja e improbable), de modo que sus valores combinados permiten establecer los siguientes niveles de riesgo: muy alto, alto, medio y bajo.

Como propuesta, para determinar el nivel de un riesgo específico en función de su impacto y probabilidad se puede establecer el siguiente mapa de calor:

Probabilidad	Muy alta	Medio	Alto	Muy alto	Muy alto
	Alta	Bajo	Alto	Muy alto	Muy alto
	Baja	Bajo	Medio	Alto	Muy alto
	Improbable	Bajo	Bajo	Medio	Muy alto
		Muy limitado	Limitado	Significativo	Muy significativo
		Impacto

Tabla 14. Matriz Probabilidad x Impacto para determinar el nivel de riesgo

Nivel de Impacto	Descripción	Derechos fundamentales
Muy significativo	Afecta al ejercicio de derechos y libertades establecidos en la Constitución española, y sus consecuencias son irreversibles. Las consecuencias están relacionadas con categorías especiales de datos o relativos a infracciones penales, y es irreversible. Causa un daño social significativo, como la discriminación, y es irreversible. Afecta a colectivos vulnerables, en particular niños, y de forma irreversible. Causa pérdidas morales o materiales significativas e irreversibles.	Igualdad No discriminación Vida Integridad física Libertad religiosa Libertad personal Intimidad personal y familiar Propia imagen Expresión Información Cátedra Reunión Asociación Libre acceso a cargos y funciones públicas en condiciones de igualdad Tutela judicial efectiva Legalidad penal Educación Libertad de sindicación Derecho de petición
Significativo	Los anteriores con efectos reversibles. Pérdida de control del interesado sobre sus datos personales, cuando la extensión de los datos sea alta con relación a las categorías de datos o al número de sujetos. Se produce o puede producirse usurpación de la identidad de los interesados. Pueden producirse pérdidas financieras significativas a los interesados. Pérdida de confidencialidad de datos sujetos al deber de secreto profesional o vulneración del deber de confidencialidad. Existe un perjuicio social para los interesados o determinados colectivos de interesados.
Limitado	Pérdida muy limitada del control de algún dato personal y a interesados puntuales, que no sea categoría especial o relativos a infracciones o condenas penales de carácter irreversible. Pérdidas financieras insignificantes e irreversibles. Perdida de confidencialidad de datos sujetos al secreto profesional que no sean categorías especiales o sobre infracción penales.
Muy limitado	En el caso anterior, cuando todos los efectos son reversibles.

Tabla 15. Criterios para determinar el nivel de impacto

Cuando existan dos o más factores de riesgo que apunten a un determinado nivel de impacto, podríamos hablar de un coeficiente de impacto acumulado dando lugar a un nivel de impacto mayor al inicialmente estimado.

Para la determinación de la probabilidad, se podrían utilizar los siguientes criterios.

Probabilidad	Criterios
Muy alta	Si el factor de riesgo está materializado y no depende de la probabilidad, p.ej. porque la Directrices wp248 identifican el uso de una tecnología como un riesgo y está presente en el tratamiento. Si hay constancia de diversas materializaciones de dicho riesgo en el último año en distintas entidades. Si hay constancia de una materialización de dicho riesgo en el último año en la misma entidad. Existen auditorías/estudios que identifican importantes vulnerabilidades en los procedimientos organizativos o medios técnicos vinculados con dicho riesgo.
Alta	Si hay constancia de una materialización de dicho riesgo en el último año en alguna entidad. Existen estudios que determinan que la probabilidad podría ser alta. Existen auditorías/estudios que identifican posibles vulnerabilidades en los procedimientos organizativos o medios técnicos vinculados con dicho riesgo. Los elementos vinculados con los factores de riesgo se han implementado con tecnologías o procedimientos organizativos no maduros, sin seguir normas de calidad, sin estar certificados por terceros independientes.
Baja	Si hay constancia de una materialización de dicho riesgo en los últimos 10 años en alguna entidad.
Improbable	Si no hay constancia de materialización de dicho riesgo en ningún caso.

Tabla 16. Criterios para determinar la probabilidad de materialización de un factor de riesgo

Para evaluar correctamente la tabla anterior es importante:

Justificar que se conoce el estado de los elementos que implementan el tratamiento.
Tener acceso a los catálogos actualizados de vulnerabilidades existentes en el mercado.
Consultar históricos de incidentes (p. ej. los informes publicados por la AEPD en el microsite brechas de datos personales).

Cuando existan dos o más indicios que apunten a un determinado nivel de probabilidad, hablaremos de un coeficiente de probabilidad acumulado, dando lugar a una tasa de probabilidad mayor a la inicialmente estimada.

C. Lista de factores de riesgo identificados en la normativa

En esta lista se realiza una compilación de los factores de riesgo identificados, agrupados por categorías, determinando un nivel de riesgo mínimo para cada una de ellas, las categorías son las siguientes:

Categorías	Factores de riesgo
Operaciones relacionadas con los fines de tratamiento	Derivados del fin declarado del tratamiento y otros fines vinculados al propósito principal.
Tipos de datos utilizados	Relacionados con el ámbito del tratamiento que se derivan de los datos recogidos, procesados o inferidos en el tratamiento.
Extensión y alcance del tratamiento	Relacionados con el ámbito del tratamiento relativos al número de sujetos afectados, la diversidad de datos o aspectos tratados, la duración en el tiempo, el volumen de datos, la extensión geográfica, la exhaustividad sobre la persona, la frecuencia de recogida, etc.
Categorías de interesados	Relacionados con el ámbito del tratamiento relativos a la categoría de interesados, como empleados, menores, mayores, personas en situación de vulnerabilidad, víctimas, discapacitados, etc.
Factores técnicos del tratamiento	Derivados de la naturaleza del tratamiento al implementarse con determinadas características técnicas o tecnologías.
Recogida y generación de datos	Derivados de la naturaleza del tratamiento al recogerse o generarse datos de forma específica.
Efectos colaterales del tratamiento	Derivados del contexto del tratamiento al poder generarse consecuencias no contempladas en los propósitos originales previstos del tratamiento.
Categoría del responsable/encargado	Derivados del contexto específico del sector de actividad, modelo de negocio o tipo de entidad.
Comunicaciones de datos	Derivados del contexto en el que se realizan las comunicaciones de datos a terceros en el marco del tratamiento.
Brechas de seguridad	Derivados de la posible materialización de brechas de seguridad sobre los datos personales.

Tabla 17. Categorías de factores de riesgo identificados en el RGPD o en su desarrollo

El nivel de riesgo, determinado para cada factor de riesgo de forma aislada, agrupado por categorías, es el siguiente:

1. Operaciones relacionadas con los fines de tratamiento

Factor de riesgo	Ejemplos	Nivel de riesgo
Perfilado	Creación de perfiles Uso de perfiles Clasificación de individuos Orientación de productos/servicios a individuos o grupos Análisis comportamental (evaluación y calificación de emociones, estados de ánimo, hábitos, preferencias, etc.)	Alto
Evaluación de sujetos	Valoración Puntuación	Alto
Predicción	Inferencia de nuevos datos personales	Alto
Control del empleado	Evaluación del empleado Observación del puesto de trabajo Monitorización del puesto de trabajo Grabación de imágenes en ámbito laboral Grabación de audio en ámbito laboral Monitorización por medio de imágenes en ámbito laboral Monitorización por medio de sonido en ámbito laboral Geolocalización de trabajadores en ruta Tiempo invertido en realizar tareas Monitorización y control de correo electrónico Monitorización y control de la navegación en Internet en el puesto de trabajo Control de uso de aplicaciones/servicios informáticos en el puesto de trabajo Control de uso de teléfono	Medio
Control del acceso a de Internet	Análisis o evaluación de tiempos de uso de Internet Análisis o evaluación de la actividad de navegación en Internet Análisis o evaluación de alarmas sobre navegación a sitios específicos en Internet Análisis o evaluación de alarmas sobre navegación a contenidos específicos en Internet	Medio
Observación	Vigilancia mediante imágenes Vigilancia mediante sonidos Vigilancia de comunicaciones Vigilancia de emisiones de calor u otras Vigilancia de transmisiones Vigilancia de Internet	Alto
Monitorización	Gestión mediante IoT Control mediante imágenes Control mediante sonidos Control de comunicaciones Control de emisiones de calor u otras Control de transmisiones Control de Internet Control mediante geolocalización	Alto
Supervisión	Control Análisis mediante imágenes Análisis mediante sonidos Análisis de comunicaciones Análisis de emisiones de calor u otras Análisis de transmisiones Análisis de Internet Análisis mediante geolocalización Control de tráfico rodado	Alto
Rastreo de contactos		Muy alto
Control físico de acceso	Control de acceso al centro de trabajo Control de acceso a local comercial Control de acceso a eventos Control de acceso a instalaciones deportivas Control de acceso a edificios (públicos/privados)	Bajo
Localización	Geolocalización Perfilado de desplazamientos Determinación de lugares habituales Determinación de lugares frecuentes de acceso Datos sobre la persona inferidos de la geolocalización	Medio
Identificación unívoca		Bajo
Decisiones automatizadas sin intervención humana		Alto
Tratamiento automatizado para soporte a la toma de decisiones	DSS Inteligencia de negocio que exceda datos meramente estadísticos Minería de datos	Medio
Decidir sobre o impedir el ejercicio de derechos fundamentales	Derecho a la igualdad Derecho a la no discriminación Derecho a la vida y a la integridad física Derecho a la libertad religiosa Derecho a la libertad personal Derecho a la intimidad personal y familiar Derecho a la propia imagen Derecho a la libertad de expresión e información Derecho a la libertad de cátedra Derecho a la libertad de reunión Derecho a la libertad de asociación Derecho al libre acceso a cargos y funciones públicas en condiciones de igualdad Derecho a la tutela judicial efectiva Derecho a la legalidad penal Derecho a la educación Derecho a la libertad sindical Derecho el derecho de petición Otros derechos o libertades	Muy Alto
Decidir sobre el control del interesado de sus datos personales	Derecho de acceso. Derecho de rectificación Derecho de oposición Derecho de supresión Derecho de limitación del tratamiento Derecho de no ser sometido a decisiones automatizadas sin intervención humana. Derecho a la portabilidad	Alto
Decidir sobre el acceso a un servicio		Alto
Decidir sobre la realización o ejecución de un contrato		Alto
Decidir sobre el acceso a servicios financieros		Alto
Efectos jurídicos sobre las personas		Alto
Evaluación y/o predicción de posibilidad de enfermedad/salud genéticamente.		Muy Alto
Conservación con fines de archivo		Medio

Tabla 18. Factores de riesgo asociados a las operaciones relacionadas con los fines del tratamiento.

2. Tipos de datos utilizados

Factor de riesgo	Ejemplos	Nivel de riesgo
Documentos personales	Correos electrónicos Cartas personales Diarios Notas de lectores de libros electrónicos	Medio
Información de aplicaciones de registro de actividades vitales		Alto
Aspectos personales	Personas o grupos con los que se relaciona Temperamento Carácter Inteligencia Roles sociales Capacidad de adaptación Tolerancia al riesgo Gustos/preferencias de contenidos audiovisuales (televisión interactiva, plataformas de contenidos, redes sociales, …) Cuidado de salud Culturales (lectura, música, arte, …) Pertenencia y actividades en asociaciones sociales y culturales	Medio
Preferencias de consumo, hábitos, gustos, necesidades, etc. que no permitan inferir informaciones relacionadas con categorías especiales de datos	Preferencias de consumo: categoría de comercio, tipo de establecimiento; tipo de productos; etc. Hábitos de consumo (tarjetas de fidelización de clientes, actividad web, …) Preferencias de contenidos audiovisuales en diferentes medios (televisión interactiva, plataformas de contenidos, redes sociales, …) Preferencias de ocio (deportes, restaurantes, museos, teatros, música, etc.)	Medio
Rendimiento laboral	Control de acceso al lugar de trabajo Grabación de imágenes del puesto de trabajo Grabación de audio en el puesto de trabajo Evaluación del trabajador por medio de imágenes capturadas de los dispositivos y pantallas del trabajador Evaluación del trabajador por medio de sonido Grabación de imágenes en zonas de acceso o en oficinas Grabación de audio en zonas de acceso o en oficinas. Monitorización de los equipos de los empleados Inferencia del rendimiento a través de indicadores (Productividad y calidad del trabajo, Eficiencia, Formación adquirida, objetivos conseguidos)	Medio
Situación económica	Renta personal Ingresos mensuales Patrimonio (bienes muebles/inmuebles) Situación laboral	Medio
Estado financiero	Solvencia financiera Capacidad de endeudamiento Nivel de deuda (Préstamos personales, hipotecas) Listas de solvencia Impagos Activos (fondos de inversión, rendimientos generados, acciones, cuentas a cobrar, rentas percibidas, etc.) Pasivos (gastos en alimentación, vivienda, educación, salud, impuestos, pagos de créditos, tarjetas de crédito o gastos personales, etc.; o deudas u obligaciones	Medio
Datos de medios de pago	Tarjetas de crédito Información de acceso a servicios de monedas virtuales.	Alto
Datos de comportamiento	Fiabilidad de la persona Hábitos y valores que facilitan la convivencia Hábitos y valores que facilitan el trabajo y el estudio Hábitos y valores que influyen en el bienestar personal, laboral y familiar Hábitos y valores que influyen en el compromiso con las personas y con la sociedad Estabilidad laboral Quejas sobre la persona	Medio
Datos de localización	Registro de desplazamientos Registro de lugares habituales Registro de rutinas en base a localización Registro de lugares habituales	Medio
Datos muy personales no recogidos en clasificaciones anteriores*	* Wp248: incluye las categorías especiales de datos personales (art. 9) y datos personales relativos a condenas e infracciones penales (art. 10). Por ejemplo, un hospital general que guarda historiales médicos de pacientes o un investigador privado que guarda datos de delincuentes. También puede considerarse que algunas categorías de datos aumentan el posible riesgo para los derechos y libertades de las personas porque están vinculados a hogares y actividades privadas (como comunicaciones electrónicas cuya confidencialidad debe ser protegida), porque afectan al ejercicio de un derecho fundamental (como datos de localización cuya recogida compromete la libertad de circulación) o porque su violación implica claramente graves repercusiones en la vida cotidiana del interesado (como datos financieros que podrían usarse para cometer fraude en los pagos). En este sentido, puede resultar relevante que los datos ya se hayan hecho públicos por el interesado o por terceras personas. El hecho de que los datos personales sean de acceso público puede considerarse un factor en la evaluación si estaba previsto que estos se usaran para ciertos fines. Este criterio también puede incluir datos tales como documentos personales, correos electrónicos, diarios, notas de lectores de libros electrónicos equipados con opciones para tomar notas e información muy personal incluida en aplicaciones de registro de actividades vitales.	Alto
Datos sanitarios	Historia clínica Informes de salud Informes de baja laboral por motivos de salud para el Servicio de Prevención de Riesgos Laborales Recetas médicas Datos relativos a salud física Datos relativos a salud mental Datos relativos a prestación de servicios de atención sanitaria Datos de salud de aplicaciones de eHealth Documentos relativos a procesos asistenciales del paciente (incluida identificación de médicos y demás profesionales que han intervenido Cualquier información que se considere trascendental para el conocimiento veraz y actualizado del estado de salud del paciente	Muy Alto
Datos biométricos	Huella dactilar Facciones rostro Iris Venas de la palma de la mano Voz Oreja Gestos Modo de andar Descriptores corporales de cualquier índole	Alto
Datos genéticos		Muy Alto
Categorías especiales de datos o que permitan inferirlos	Origen étnico Origen racial Opiniones políticas Convicciones religiosas Convicciones filosóficas Afiliación sindical Datos relativos a la salud Datos relativos a la vida sexual Datos relativos a las orientaciones sexuales	Muy Alto
Categorías especiales de datos seudonimizados		Alto
Datos personales relativos a condenas e infracciones penales		Muy Alto
Metadatos	Datos de tráfico de las comunicaciones electrónicas Identificación de emisor y/o receptor en las comunicaciones Datos en conexiones a internet: localización; características software y hardware del dispositivo con el que se conecta; redes sociales o páginas en general en las que se ha logado, conexión (IP, proveedor de servicios, velocidad de descarga), …	Medio
Identificadores únicos	Dirección IP Dirección MAC IMSI IMEI ID de un dispositivo N. teléfono DNI, NIE, N. Pasaporte o equivalente N. de la Seguridad social Matrícula de vehículo Número de tarjeta de crédito. UID (identificadores únicos de registro de usuarios en sitios web) Identificadores únicos derivados de las características del dispositivo (p. e. acceso a la información de la batería de un dispositivo, id publicitario del dispositivo) Identificadores únicos añadidos a archivos (p. e. metadatos de fotografías subidas a redes sociales)	Medio
Datos y metadatos de las comunicaciones electrónicas y datos inferidos de las comunicaciones electrónicas	Correos electrónicos Mensajes instantáneos Llamadas de teléfonos Video llamadas	Medio
Datos de navegación web	Registro de páginas visitadas (p. e. historial de navegación, logs de servidores web, …) Registro del tiempo que se está en cada página Registro del momento de la visita a la página Registro del número de conexiones Registro de actividad del ratón por las diferentes partes de la página web Navegador utilizado	Medio

Tabla 19. Factores de riesgo asociados a los tipos de datos utilizados en el tratamiento.

3. Extensión y alcance del tratamiento

Relativos al número de sujetos afectados, la diversidad de datos o aspectos tratados, la duración en el tiempo, el volumen de datos, la extensión geográfica, la exhaustividad sobre la persona, la frecuencia de recogida, etc.

Factor de riesgo	Ejemplos	Nivel de riesgo
Sistemático	Se produce de acuerdo con un sistema Es preestablecido, organizado o metódico Tiene lugar como parte de un plan general de recogida de datos Es llevado a cabo como parte de una estrategia	Alto
Exhaustivo sobre las personas	Se recogen y tratan gran variedad de elementos distintos Múltiples ámbitos de su vida Se cubren distintos aspectos de la personalidad	Alto
Involucra a gran número de sujetos	El número de interesados afectado es elevado en números absolutos El número de interesados afectado es elevado en relación con la población correspondiente El número de interesados es relevante en relación con la extensión geográfica	Muy Alto
El volumen de datos tratados es muy elevado		Muy Alto
La duración del tratamiento es elevada	La permanencia del tratamiento es elevada	Medio
La actividad de tratamiento tiene un gran alcance geográfico	Nivel regional, nacional o supranacional	Medio
Tratamiento a gran escala	Tratamiento de datos de pacientes en el desarrollo normal de la actividad de un hospital Tratamiento de datos de desplazamiento de personas físicas que utilizan el sistema de transporte público de una ciudad (p. ej. seguimiento a través de tarjetas de transporte) Tratamiento de datos de geolocalización en tiempo real de clientes de una cadena de comida rápida internacional con fines estadísticos por parte de un encargado del tratamiento especializado en la prestación de estos servicios Tratamiento de datos de clientes en el desarrollo normal de la actividad de una empresa de seguros o un banco Tratamiento de datos personales para publicidad basada en el comportamiento por parte de un motor de búsqueda Tratamiento de datos (contenido, tráfico, ubicación) por parte de proveedores de telefonía o de servicios de Internet	Alto
Recopilación excesiva de datos con relación al fin del tratamiento		Alto

Tabla 20. Factores de riesgo asociados a la extensión y alcance del tratamiento

4. Categorías de interesados

Factor de riesgo	Nivel de riesgo
Menores de 14 años	Muy Alto
Víctimas de violencia de género	Muy Alto
Menores dependientes de sujetos vulnerables	Muy Alto
Personas bajo guardia y custodia de víctimas de violencia de género	Muy Alto
Mayores con algún grado de discapacidad	Alto
Personas mayores	Medio
Personas con enfermedades mentales	Muy Alto
Discapacitados	Alto
Personas que acceden a servicios sociales	Medio
Sujetos en riesgo de exclusión social	Alto
Empleados	Bajo
Solicitantes de asilo	Alto
Pacientes	Alto
Sujetos vulnerables En situación de especial vulnerabilidad Existe un desequilibrio entre la posición del interesado y del responsable	Muy Alto

Tabla 21. Factores de riesgo asociados a la categoría de interesados

5. Factores técnicos del tratamiento

Factor de riesgo	Nivel de riesgo
Sistema de información hospitalaria	Alto
TV interactiva	Medio
Servicios web	Medio
Aplicaciones móviles	Medio
Sistemas de registro de localización	Alto
Reconocimiento facial	Alto
Huella dactilar	Alto
Internet de las cosas (IoT)	Muy Alto
Uso innovador o nuevas soluciones organizativas	Alto
Uso innovador de tecnologías consolidadas, por ejemplo: Tecnologías en las que no se ha evaluado el impacto en la privacidad Tecnologías utilizadas a una nueva escala	Alto
	Alto
Tecnologías combinadas con otras	Medio
Nuevas tecnologías, por ejemplo: Tecnologías inmaduras Tecnologías emergentes	Alto
Alto grado de fragmentación de los actores que intervienen en el desarrollo e implementación de los productos/servicios que implementan el tratamiento	Alto
Tratamientos automatizados, por ejemplo: Tratamiento realizado mediante un proceso automático sin intervención humana	Medio
Sistema Inteligente	Medio
Videovigilancia	Alto

Tabla 22. Factores de riesgo asociados a los factores técnicos del tratamiento

6. Recogida y generación de datos

Factor de riesgo	Nivel de riesgo
Acceso a base de datos de referencia de crédito	Medio
Acceso a base de datos sobre fraudes	Medio
Acceso a base de datos sobre blanqueo de capitales o financiación del terrorismo	Alto
Datos personales obtenidos en zonas de acceso público, por ejemplo: Autovía Centro comercial Calle Estación Mercado Biblioteca	Medio
Recogida de datos de los medios sociales públicos	Bajo
Recogida de datos de redes de comunicaciones.	Medio
Recogida de datos de aplicaciones	Medio
Datos procedentes de dos o más tratamientos con finalidades diferentes	Medio
Datos procedentes de dos o más responsables distintos	Medio
Asociación de conjuntos de datos	Medio
Combinación de conjuntos de datos, por ejemplo: Cruce de bases de datos Fusión de datos de sensores	Alto
Enlace de registros de bases de datos de dos o más tratamientos con finalidades o responsables diferentes	Medio
Recogida de datos por un responsable distinto al que trata y aplica excepción de información 14.5 (b, c, d)	Medio
Falta de transparencia del momento preciso de la recogida de datos, por ejemplo: Sistemas móviles IoT Asistentes domésticos Coches conectados	Alto
Nuevas formas de recogida de datos con riesgos para los derechos y libertades	Alto

Tabla 23. Factores de riesgo asociados a la recogida y generación de datos

7. Efectos colaterales del tratamiento

El responsable tendrá que evaluar la probabilidad de que estas amenazas se materialicen en su tratamiento, por lo que se deja la columna “Probabilidad” vacía. Una vez completada, podrá determinar el nivel de riesgo empleando, por ejemplo, la matriz de riesgo “probabilidad x impacto”.

Factor de Riesgo	Impacto	Probabilidad
Excede las expectativas del interesado, por ejemplo: Exposición excesiva del interesado Segmentación que excede expectativas razonables Inferencia de intereses o de otras características en base a datos no evidentes y que derivan en un perfilado del sujeto	Medio
Posible reversión no autorizada de la seudonimización	Muy Alto
Posible pérdida de control por el responsable de los datos procesados por el encargado del tratamiento	Alto
Podría determinar la situación financiera	Medio
Podría determinar la solvencia patrimonial	Medio
Podría deducir información relacionada con categorías especiales de datos	Alto
Pudiera privar a los afectados de sus derechos y libertades	Muy Alto
Pudiera impedir el control sobre sus datos personales	Muy Alto
Puede provocar exclusión	Alto
Puede provocar discriminación	Muy Alto
Posible usurpación de identidad	Muy Alto
Posible fraude	Muy Alto
Posible daño reputacional	Muy Alto
Posible perjuicio económico significativo	Muy Alto
Posible perjuicio moral significativo	Muy Alto
Posible perjuicio social significativo	Muy Alto
Posible pérdida de confidencialidad de datos sujetos al secreto profesional	Muy Alto
Podría impedir el ejercicio de un derecho	Alto
Podría impedir el acceso a un servicio	Alto
Podría impedir el acceso a un contrato	Alto
Podría recoger datos personales distintos de los usuarios de servicio, por ejemplo: IoT doméstico Altavoces inteligentes Coches conectados	Alto
Posible manipulación de las personas, por ejemplo: Influir en el comportamiento y decisiones de los individuos Socavar su autonomía y libertad individual Generar desinformación Focalización que afecta al acceso a información plural Filtros burbuja Sobrecarga de información	Alto
Posibilidad de autocensura	Alto
Posibilidad de provocar un cambio cultural para claudicar derechos y libertades	Alto
Usos imprevistos o no deseados que pudieran afectar a derechos fundamentales	Alto

Tabla 24. Factores de riesgo asociados a los efectos colaterales del tratamiento

8. Categoría del responsable/encargado

Factores de riesgo que se derivan del contexto específico del sector de actividad, modelo de negocio o tipo de entidad.

Factor de riesgo	Nivel de riesgo
Sociedad de la Información	Medio
Empresa de biotecnología	Alto
Empresa de mercadotecnia	Medio
Hospitales	Alto
Investigadores privados	Medio
Entidad de evaluación de información crediticia	Medio
Entidad de evaluación de fraude	Medio
Entidad financiera	Medio
Empleador	Bajo
Proyectos de investigación	Bajo
Ensayos clínicos	Alto

Tabla 25. Factores de riesgo asociados a categoría de responsable/encargado

9. Comunicaciones de datos

Factor de riesgo	Nivel de riesgo
Transferencia habitual a estados u organizaciones en otros países sin un adecuado nivel de protección	Muy Alto
Falta de trasparencia de los actores involucrados en el tratamiento, por ejemplo: Algunos tipos de redes sociales Tipos de redes de marketing digital Tipos de tratamientos basados en blockchain Tipos de IA de aprendizaje continuo remoto	Medio
Difusión libre de identificadores únicos, por ejemplo: Tags RFID SSIDs MACs Claves públicas	Alto

Tabla 26. Factores de riesgo asociados a las comunicaciones de datos

D. Riesgo derivado de brechas de datos personales

En la práctica, el proceso de evaluación del nivel de riesgo no puede llevarse a cabo sin tener en cuenta las posibles consecuencias de las brechas de datos personales sobre los interesados.

En la identificación y análisis de factores de riesgo, es necesario determinar los perjuicios que puede tener la materialización de brechas de datos personales en sus distintas dimensiones.

1. Análisis básico

Un análisis básico para determinar el nivel de riesgo sería considerar el tratamiento a alto nivel, sin entrar en el detalle de los activos que implementan el tratamiento de la información y, a partir de ahí, evaluar el impacto que produciría una brecha de datos personales en cada una de las siguientes dimensiones:

Confidencialidad
Integridad
Disponibilidad
Autenticación
Trazabilidad
Resiliencia
Fallos en las garantías de privacidad
Errores en las operaciones técnicas del tratamiento

Para realizar el análisis, se pueden plantear los distintos escenarios de materialización de una brecha de datos personales de cara a determinar que impactos se podrían producir en los interesados. Para ello, y en cada uno de los escenarios, se podría completar la siguiente tabla:

Tratamiento
Escenario
Brecha materializada	Descripción del tipo de brecha
Datos comprometidos	Relación de datos comprometidos en la brecha
Perjuicios al interesado	Detallar que perjuicios se podrían producir al interesado en sus derechos y libertades, y en general a sus intereses También definiendo la extensión en personas afectadas.

Tabla 27. Descripción de un escenario de brechas de datos personales

A partir de los perjuicios que se provocan a los interesados, es posible determinar el impacto. Por ejemplo, si estimamos que una brecha de confidencialidad afecta de forma irreversible a derechos constitucionales, determinaríamos que el impacto es máximo.

Dimensión de la brecha	Impacto para los derechos y libertades
Confidencialidad	? Máximo ? Alto ? Medio ? Bajo
Integridad	O Máximo O Alto O Medio O Bajo
Disponibilidad	O Máximo O Alto O Medio O Bajo
Trazabilidad	O Máximo O Alto O Medio O Bajo
Autenticidad/Identidad	O Máximo O Alto O Medio O Bajo
Resiliencia	O Máximo O Alto O Medio O Bajo
Brechas en medidas y garantías técnicas y organizativas de protección de datos	O Máximo O Alto O Medio O Bajo
Errores en las operaciones técnicas de tratamiento de datos	O Máximo O Alto O Medio O Bajo

Tabla 28. Recopilación de nivel de impacto para casos de brechas de datos personales

A su vez, es necesario determinar la probabilidad de que dichas brechas se materialicen y obtener el siguiente resultado para cada dimensión:

Dimensión de la brecha	Probabilidad de materialización
Confidencialidad	O Máximo O Alto O Medio O Improbable
Integridad	O Máximo O Alto O Medio O Improbable
Disponibilidad	O Máximo O Alto O Medio O Improbable
Trazabilidad	O Máximo O Alto O Medio O Improbable
Autenticidad/Identidad	O Máximo O Alto O Medio O Improbable
Resiliencia	Máximo O Alto O Medio O Improbable
Brechas en medidas y garantías técnicas y organizativas de protección de datos	O Máximo O Alto O Medio O Improbable
Errores en los sistemas de tratamiento de datos	O Máximo O Alto O Medio O Improbable

Tabla 29. Recopilación de probabilidad de materialización de brechas de datos personales

En el análisis de probabilidad habrá que considerar si el tratamiento tiene una expectativa de operatividad a corto, medio o largo plazo, pues hay que ser consciente, como ya se ha indicado, que la probabilidad de materialización aumentará con el tiempo. Por ejemplo:

Probabilidad Hoy	Evolución de la Probabilidad
Máxima	Máxima	Máxima	Máxima
Alta	Alta	Máxima	Máxima
Media	Media	Alta	Máxima
Baja	Baja	Media	Alta
	Corto plazo < 1 año	Medio Plazo < 5 años	Largo Plazo > 5 años

Tabla 30. Evolución de la probabilidad de materialización de una brecha en el tiempo

El nivel de riesgo para cada dimensión de la brecha se evaluaría con la siguiente tabla para cada dimensión:

Dimensión (Confidencialidad, Integridad, Disponibilidad, Autenticación, Trazabilidad, Resiliencia, Fallos en las garantías de privacidad, Errores en las operaciones técnicas del tratamiento)
Probabilidad	Muy alta	Medio	Alto	Muy alto	Muy alto
	Alta	Bajo	Alto	Muy alto	Muy alto
	Baja	Bajo	Medio	Alto	Muy alto
	Improbable	Bajo	Bajo	Medio	Muy alto
		Muy limitado	Limitado	Significativo	Muy significativo
		Impacto

Tabla 31. Matriz Probabilidad x Impacto para determinar el nivel de riesgo de una brecha de datos personales

2. Tratamiento de grandes conjuntos de datos

Será necesario analizar el impacto y las probabilidades de que las amenazas se materialicen sobre distintos conjuntos de datos de diferentes formas:

Sobre un conjunto pequeño de datos, o incluso de un único individuo.
Sobre un volumen masivo, o incluso el conjunto total, de los datos.

A priori, parecería menos probable una brecha que afecte a una gran extensión de datos e interesados que una brecha que afecte a pocos datos o pocos interesados.

Brecha de poca extensión	< Impacto	> Probabilidad
Brecha de gran extensión	> Impacto	< Probabilidad

Tabla 32. Posible relación entre impacto y probabilidad en brechas en función del volumen de datos

Pero dicha presunción debería ser confirmada mediante un análisis basado en evidencias y determinar si las variaciones son del mismo orden de magnitud, de forma que un incremento en el impacto se compensaría con la disminución en el mismo grado de la probabilidad.

3. Análisis de los activos identificados en el tratamiento

Se debería realizar una tabla para cada dimensión y se incluiría el conjunto de activos identificados en la descripción del tratamiento. A partir de ahí, se determinaría, para cada activo, si es posible la ocurrencia de una brecha en la dimensión.

Dimensión	Confidencialidad, Integridad, Disponibilidad, Autenticación, Trazabilidad, Resiliencia, Fallos en las garantías de privacidad, Errores en las operaciones técnicas del tratamiento
Activos	Probabilidad	Impacto
Activo 1	Probabilidad de materialización	Nivel de impacto en función de cómo una pérdida total o parcial del activo en la dimensión pudiera afectar a los derechos y libertades de los interesados
…	…	…
Activo N	…	…

Tabla 33. Análisis de los activos implicados en el tratamiento

El nivel de riesgo para cada dimensión se podría determinar por el peor caso de los pares (Impacto, Probabilidad). Además, este tipo de análisis permitiría identificar sobre qué activos realizar el mayor esfuerzo en implementación de medidas y garantías para reducir ese nivel de riesgo.

E. Factores de riesgo no explícitos en la normativa

Los factores de riesgo identificados en el apartado “C” de este capítulo son, exclusivamente, aquellos identificados explícitamente en el RGPD y en su desarrollo.

A continuación, se muestra una lista de otros posibles factores de riesgo, sin intención de ser exhaustiva, sino como ejemplo de que podrían existir otros factores en tratamientos específicos. El propósito de esta lista es de servir de ayuda para la reflexión de responsables y encargados:

Factor de riesgo	Impacto	Probabilidad
Contexto interno de la organización
Falta de madurez en la gobernanza y procesos de la organización
Crisis interna de la organización
Existencia de otros tratamientos de alto riesgo en la organización
Actuar como encargado de numerosos (cientos o miles) de responsables
Operaciones relacionadas con los fines
Se produce un contacto frecuente y reiterado con los afectados de manera que pueda resultar intrusivo para la intimidad del interesado
Exista una probabilidad real de que, en el futuro, se vayan a tratar los datos para finalidades distintas de las que se previeron en el momento de recabarlos, en particular, si estas finalidades son más intrusivas o exceden las expectativas de los afectados
Moldeado o presentación de la realidad digital en función de un perfilado
Nudging o refuerzo positivo para influir en el comportamiento, explotando sesgos cognitivos o debilidades psicológicas
Extensión y alcance del tratamiento
El tratamiento involucra a un elevado número de intervinientes y/u organizaciones pudiendo representar un riesgo de pérdida de control de los datos personales
Factores técnicos del tratamiento
Plataformas educativas
Internet de los cuerpos/Wearables
Interfaces neurológicos
Inteligencia Artificial
Blockchain
Categoría de responsable/encargado (con relación, generalmente, a los procesos que no sean de soporte)
Organismos públicos y Administraciones Públicas
Centros docentes y de educación
Entidad aseguradora
Recogida y generación de datos
Tasas de falsos positivos
Tasas de falsos negativos
Efectos colaterales
Posible inferencia de categorías especiales de datos a partir de la información acumulada del usuario
Afecta o puede afectar al interés superior del menor
Discriminación en la oferta de opciones, productos o servicios a causa del perfilado del usuario
Limitación de la libertad de autonomía
Sesgos en la toma de decisiones
Discriminación algorítmica
Aspectos culturales que afectan a la percepción de intrusión o a la interpretación de los datos
Comunicaciones de datos
Transferencia puntual a estados u organizaciones en otros países sin un adecuado nivel de protección
Otros
Previstos en códigos de conducta a los que la entidad está adherida
Previstos en los esquemas de certificación
Cualquier otro factor de riesgo

Tabla 34. Ejemplos de otros posibles factores de riesgo

F. Análisis de un alto impacto

Se debería realizar un análisis de alto impacto en los casos en los que haya tratamientos masivos de datos de la población.

Algunos tratamientos con dichas características se podrían encontrar, por ejemplo, en:

Las AA.PP.
Entidades de telecomunicaciones
Entidades financieras
Entidades aseguradoras
Grandes sistemas de servicios sanitarios
Proveedores de servicios de Internet o Cloud
Otros de la misma relevancia

En esos supuestos, sería necesario evaluar el riesgo relativo asociado a la materialización de los siguientes eventos:

Factor de riesgo	Nivel de Riesgo
Quiebras del Estado de Derecho
Alteración radical de las garantías jurídicas
Cambios geoestratégicos
Avances tecnológicos disruptivos
Situaciones de emergencia nacional
Otros

Tabla 35. Ejemplos de casos de alto impacto

Se espera que la probabilidad de materialización de estos eventos sea mínima, pero nunca se puede considerar de nivel cero o imposible, por lo que es preciso determinar el nivel de riesgo para este tipo de situaciones.

7. EVALUACIÓN DEL NIVEL DE RIESGO DEL TRATAMIENTO

La evaluación del nivel de riesgo total de un tratamiento se obtiene a partir de los niveles de riesgo de cada uno de los factores de riesgo identificados. La interdependencia de los distintos factores de riesgo podría elevar el nivel de riesgo por encima del peor caso de cada factor de riesgo tomado individualmente.

El objetivo es tanto para determinar la obligatoriedad/necesidad de realizar una EIPD como para determinar el nivel concreto de riesgo del tratamiento de cara a implementar las medidas y garantías que resulten adecuadas.

Cuando hay distintos factores de riesgo, es necesario interpretar cómo dichos factores, considerados de forma independiente, podrían interactuar entre sí para incrementar el nivel de riesgo del tratamiento (factor de riesgo acumulado), mediante el análisis de sus dependencias y efectos combinados o las interacciones mutuas que existan entre ellos.

Se pueden utilizar distintas metodologías. En cuanto a la metodología concreta para determinar el nivel de riesgo del tratamiento para los derechos y libertades de los individuos, se recomienda que esté integrada dentro de la metodología general de la organización.

Por definición, en cualquier metodología, el nivel de riesgo del tratamiento no será inferior al nivel del riesgo de mayor valor que haya alcanzado un factor de riesgo identificado en ese tratamiento de forma individual.

A. Aproximación simplificada

Se establece una formula sencilla para evaluar la acumulación de factores de riesgos:

El valor del nivel, para cada riesgo identificado, se cuantifica de la siguiente forma:
- Bajo: 0,2
- Medio: 0,5
- Alto: 0,7
- Muy Alto: 0,9
Si para un conjunto de factores riesgos identificados (FR1, FR2, FR3… FRn) se han evaluado los siguientes niveles de riesgo (NR1, NR2, NR3… NRn), el nivel de riesgo del tratamiento, NRT del tratamiento se podría calcular como:
- NRTa = (NR1 + NR2) – (NR1 * NR2)
- NRTb = (NRTa+ NR3) – (NRTa * NR3)
- …
- NRT = (NRTn + NRn) – (NRTn * NRn)

Figura 27. Una forma simplificada de calcular el riesgo del tratamiento

El resultado final del Nivel de riesgo se podría interpretar de la siguiente forma:

Bajo: menor de 0,4
Medio: de 0,4 a menor de 0,6
Alto: de 0,6 a menor de 0,9
Muy Alto: mayor o igual 0,9

B. Aproximación mediante análisis de dependencias

Los factores de riesgo pueden tener relaciones entre sí, tanto con otros factores de riesgo dentro del tratamiento como con otros tratamientos que se ejecutan en la misma entidad, que tengan efectos aditivos, multiplicativos o incluso exponenciales.

El análisis de dichas dependencias se utiliza en el análisis de riesgo de seguridad con relación a los activos y está estudiada de forma restringida a este campo, aunque se puede ampliar a todos los factores de riesgo en protección de datos.

En este caso, los activos son, con frecuencia, recursos compartidos entre varios tratamientos o procesos de la organización, por lo que podríamos hablar del factor del riesgo repercutido como el riesgo heredado por unos activos de aquellos otros activos de los que dependen, en particular, el resultado de acumular el riesgo heredado entre activos en términos de probabilidad e impacto. En este sentido, será necesario, cuando proceda, llevar a cabo el análisis de dependencias de los activos y asignar el valor del riesgo repercutido al activo de superior nivel en función de los riesgos de los activos de un nivel inferior de los que depende.

8. CONTROLES PARA DISMINUIR EL RIESGO

A continuación, se describe un listado no exhaustivo ni obligatorio de medidas y garantías, denominadas controles, que podrían adoptarse para gestionar el riesgo para los derechos y libertades de los interesados en las siguientes dimensiones:

El concepto y diseño del tratamiento
La gobernanza y las políticas de protección de datos
La protección de datos desde el diseño
La seguridad en los tratamientos

El responsable o encargado han de gestionar el riesgo afrontando las peculiaridades concretas de su tratamiento.

A. Medidas sobre el concepto y diseño del tratamiento

Medidas sobre la esencia del tratamiento tal y como está concebido y diseñado. Entre las posibles medidas o garantías que se podrían adoptar estarían:

En cuanto a la naturaleza

Cambiar, reordenar o reorganizar las fases del tratamiento.

Eliminar alguna fase del tratamiento.

Aislar y segregar fases del tratamiento entre sí para que traten datos de una forma más limitada.

Por ejemplo, haciendo que algunas fases no traten datos personales (anonimizados) o recurriendo a su seudonimización.

Revisar los procedimientos de tratamiento de datos.

Cambio de las elecciones técnicas para implementar las operaciones del tratamiento por tecnologías menos invasivas y/o más maduras.

Cambio, en el sentido anterior, por tecnologías con mayor fiabilidad desde el punto de vista de protección de datos recurriendo, por ejemplo, al empleo de PETs (Privacy Enhanced Technologies).

Reemplazar tratamientos automatizados por tratamientos manuales que incorporen procedimientos de supervisión y control.

Llevar a cabo la supervisión humana de las decisiones automatizadas.

Utilizar personal especialmente cualificado en determinadas fases del tratamiento, especialmente en su supervisión.

Rediseñar los procedimientos de recogida, enriquecimiento o generación de datos personales.

Reorganizar los espacios físicos donde se ejecuta el tratamiento.

Rediseñar la orientación del trabajo en local, online o teletrabajo.

Verificar la posibilidad de implementar medios alternativos de tratamiento: automático/manual, opciones de automatización, …

Limitar el acceso a los datos personales que es necesario que estén bajo la gestión de encargados.

En cuanto al ámbito

Orientar el tratamiento a un número menor de sujetos.

Orientar el tratamiento a cubrir un menor número de ámbitos de la vida de los sujetos.

Orientar el tratamiento a una extensión geográfica limitada.

Limitar el número de intervinientes o participantes.

Limitar, en la concepción del tratamiento, el tiempo en el que se tratan datos de los mismos interesados.

Limitar el grado interacción o vinculación del tratamiento con otros tratamientos de la misma entidad.

Limitar de la extensión del tratamiento a sujetos considerados vulnerables (ancianos, menores, personas con discapacidad, etc.)

Definir, dentro del tratamiento, casos de uso concretos con ámbitos disjuntos.

En cuanto al contexto

Delimitar los contextos sociales o económicos en los que se aplicará el tratamiento.

Definir casos de uso restrictivos orientados a sectores específicos.

Seleccionar los encargados de tratamiento para minimizar riesgos legales, sociales o políticos.

Limitar vínculos o relaciones con tratamientos de otros responsables.

Por ejemplo, cuando los tratamientos de seguimiento de clientes en centros comerciales son soportados por un mismo servicio que da soporte a distintos responsables con una tecnología que permite vincular la actividad de una misma persona.

En cuanto a los fines

Limitar o redefinir los fines del tratamiento.

Eliminar fines secundarios en el tratamiento.

Definir, dentro del tratamiento, casos de uso concretos con fines independientes.

Tabla 36. Ejemplos de posibles medidas sobre el concepto del tratamiento

B. Medidas de gobernanza y las políticas de protección de datos

Estos controles están a caballo entre medidas específicas diseñadas para el tratamiento y las medidas establecidas como parte de la gobernanza de la organización.

En cuanto al marco de gobernanza

Existe un mandato y compromiso concreto de la dirección de la organización con relación a la gestión del riesgo para los derechos y libertades.

Está integrada la gestión del riesgo para los derechos y libertades de los interesados en los procesos de gestión de la organización.

Existe una referencia explícita a la política de gestión del riesgo para los derechos y libertades en el marco de gestión del riesgo de la organización.

Están diferenciadas las medidas que implementan las políticas de gestión de riesgos para los derechos y libertades de las políticas de gestión del riesgo de cumplimiento, legal o del riesgo de responsabilidad civil y penal.

Están definidos los roles y asignación de responsabilidades y recursos necesarios para garantizar la protección de datos en la organización.

Existen los recursos necesarios para garantizar la protección de datos.

Está procedimentado el ciclo de mejora continua que permita garantizar la efectividad y adecuación de las políticas de protección de datos a la naturaleza, el contexto, el alcance y los objetivos de los distintos tratamientos a lo largo de su ciclo de vida.

Existen indicadores tangibles sobre la implementación efectiva de las políticas de protección de datos.

En cuanto a la asesoría en materia de protección de datos

Se ha realizado el nombramiento del DPD o la definición del órgano colegiado que ejercerá las funciones del DPD en la organización (artículos 37, 38 y 39 RGPD) aun no siendo obligatorio.

Cuando el nombramiento de un DPD es obligatorio, este nombramiento no está sujeto al resultado o la necesidad derivada de la gestión del riesgo.

Está establecida la implicación del DPD en los procedimientos de decisión y definición de los tratamientos.

Están definidos los canales internos para la comunicación con el DPD, la asesoría en protección de datos y/o los responsables de la gestión de los riesgos para los derechos y libertades.

Se han implementado acciones para que los integrantes de la organización conozcan el rol del DPD, la asesoría en protección de datos y/o el responsable de la gestión de los riesgos para los derechos y libertades sus funciones y los canales para comunicarse con él.

Las obligaciones de asesoría y supervisión (art. 39.1.a y b) del DPD o de la asesoría en protección de datos se extienden al desarrollo, mantenimiento y supervisión de las políticas de protección de datos.

En cuanto a las políticas de protección de datos integradas en los procedimientos

Están incluidas, en los procedimientos de concepción, diseño e implementación de nuevos tratamientos, estrategias de responsabilidad activa para la protección de datos: la gestión del riesgo para los derechos y libertades, la protección de datos desde el diseño y por defecto, la transparencia del tratamiento y la seguridad desde el diseño y por defecto.

Están incluidas en los procedimientos de adquisición de productos, sistemas o servicios que van a implementar operaciones dentro de la actividad de tratamiento el requerir información y garantías* para asegurar y poder demostrar que dicho tratamiento cumple con el RGPD.

* Las garantías pueden ser de diverso tipo: auditorias independientes, certificaciones u otras; tanto a nivel técnico, cumplimiento, procedimiento u otros.

Están designados los puntos de contacto dentro de la organización para cada tratamiento de datos personales.

Los canales de denuncia implementan la gestión de abusos en temas de protección de datos.

La protección de datos está integrada en los procedimientos de trabajo en local, remoto y teletrabajo.

Existe una política BYOD en la que se integran los requisitos de protección de datos.

En la política del tratamiento se establecen condiciones para verificación y tratamiento de la gestión del riesgo para los derechos y libertades.

En la política de gestión del tratamiento se establecen cláusulas de caducidad en las condiciones del tratamiento.

Con relación a la atención a los interesados*

* Los interesados no son solo los clientes, sino también los empleados, otras personas físicas con las que la entidad tiene relación y cualquier otra persona afectada indirectamente por el tratamiento.

En la medida que puedan resultar en una disminución del riesgo, ofrecer procedimientos para la atención de derechos que vayan más allá de los mínimos establecidos en el Capítulo III del RGPD.

En la medida que puedan resultar en una disminución del riesgo, disponer de políticas de transparencia que vayan más allá de los mínimos establecidos en el Capítulo III del RGPD y que deberán concretarse en cada tratamiento como estrategias de protección de datos desde el diseño.

Disponer de canales de comunicación con los interesados con relación a la protección de su privacidad.

Existen procedimientos de consulta a los interesados con relación a la protección de sus derechos.

Con relación a la seguridad (tanto de la organización como de la información)

Una referencia a la gestión del riesgo para los derechos y libertades en la política de la seguridad aplicable a los tratamientos de datos personales, así como en la política general de seguridad que fuera aplicable a la organización.

Una integración de la protección de los derechos y libertades en el SGSI.

Una correcta diferenciación de roles entre el DPD y los responsables TIC o de seguridad de la información.

Una implementación de la necesaria coordinación entre el DPD y el responsable de seguridad de la organización, del sistema de información y otros en función de la entidad.

Una clara definición del alcance de la participación del DPD en los comités de seguridad.

Respecto de las garantías jurídicas

Están establecidos compromisos de confidencialidad para aquellos que tengan acceso a datos personales.

Establecimiento de garantías a los encargados que vayan más allá de lo establecido en el artículo 28 del RGPD.

Están establecidos compromisos para no llevar a cabo esfuerzos que pudieran dar lugar a la reidentificación de las personas en conjuntos de datos disociados.

Están habilitados instrumentos con validez jurídica que protejan los derechos y libertades de los interesados en caso de materialización de riesgos específicos.

Están habilitados instrumentos con validez jurídica que compensen equilibradamente a los interesados (no al responsable) de los daños a sus derechos y libertades en caso de materialización de riesgos específicos.

En relación con la formación y preparación del personal con relación a la protección de datos

Están establecidas medidas de concienciación y formación del personal implicado en la definición o concepción de nuevos tratamientos

Establecimiento de medidas de concienciación y formación del personal implicado en las operaciones de tratamiento de datos personales.

En las guías para trabajadores, según sus roles específicos, está incluida información con relación a las obligaciones relativas a la protección de datos.

En las guías para trabajadores, según sus roles específicos, está incluida información con relación a cómo actuar ante reclamaciones de derechos.

En las guías para trabajadores, según sus roles específicos, está incluida información con relación a cómo actuar ante una brecha de datos personales.

En las guías para trabajadores, según sus roles específicos, está incluida información con relación a sus derechos y canales de denuncia de privacidad.

Respecto a la relación responsable-encargado

Está incluida en los modelos de contratos la referencia a las cláusulas contractuales (CC) aplicables en las relaciones responsable-encargado.

En los procedimientos de contratación de encargados están incluidas las obligaciones del artículo 28 del RGPD.

En los procedimientos de contratación de encargados están detallados procedimientos de evaluación del encargado que garantizarán que se elegirá únicamente al que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas en función del riesgo del tratamiento.

Las CC se extenderán más allá de los requisitos del artículo 28 del RGPD para la adecuada gestión del riesgo del tratamiento.

Las CC incluyen elementos que pueden ayudar al encargado a comprender los riesgos para los derechos y libertades de los datos derivados del tratamiento.

Las CC contemplan las medidas de seguridad aplicables al tratamiento.

Las CC contemplan la obligación del encargado de tener autorización del responsable antes de realizar cualquier cambio en las medidas de seguridad.

Las CC contemplan la obligación del responsable de revisar dichas medidas periódicamente en función del riesgo.

Están incluidos en los procedimientos de contratación diligencias adicionales para garantizar el cumplimiento de la normativa de datos personales.

El responsable realiza auditorías a los encargados con relación al tratamiento.

Terceros independientes auditan al encargado con relación al tratamiento.

En cuanto a las comunicaciones de datos

Existen mecanismos para tener trazabilidad de las comunicaciones de datos personales realizadas por el responsable y encargado a encargados, subencargados y terceros.

Está procedimentado la definición de mecanismos, garantías y límites aplicables a las transferencias internacionales de datos para cada tratamiento.

Está procedimentado la referencia a las normas corporativas vinculantes que se aplicasen a la organización, con el detalle de aquellos ámbitos y tratamientos específicos aplicables, así como sus límites.

Dentro de la política de gestión documental

Existe una definición de documentos que permiten al responsable demostrar el cumplimiento

Está incluida la gestión del riesgo para los derechos y libertades.

Existe trazabilidad y control de versiones de la documentación de gestión del riesgo para los derechos y libertades que se vaya generando.

En relación con los procedimientos para la gestión de brechas de datos personales e incidentes en el tratamiento

Están definidos procedimientos para detectar brechas, incidentes o errores en los tratamientos de datos personales.

El papel del DPD está claramente definido en los procedimientos relativos a la gestión de brechas de datos personales, garantizando, al menos, que cumple con 39.1.

Existen procedimientos definidos para reaccionar ágilmente, a nivel de organización, ante brechas, incidentes o errores en los tratamientos de datos personales.

Están definidos canales de comunicación, información y consulta sobre brechas de datos e incidentes con las partes implicadas en los tratamientos de datos personales.

Están definidas medidas para identificar, en las comunicaciones de los propios interesados al responsable/encargado, información sobre brechas, incidencias o errores.

Existen procedimientos para la notificación de brechas de datos personales a la Autoridad de control.

Existen procedimientos para la comunicación a los interesados de brechas de datos personales.

Se han planteado escenarios concretos de potenciales brechas, errores o incidentes de especial gravedad, y se ha definido la forma de gestionarlos, específicamente, para proteger los derechos y libertades de los interesados.

Existe conexión entre los procedimientos para la gestión de brechas e incidentes en el tratamiento y el proceso de gestión riesgos, incluyendo la gestión de los controles asociados.

En cuanto a la profundidad de la gestión del riesgo

Realizar una EIPD aun no siendo esta obligatoria.

Existen procedimientos internos que hacen necesaria la EIPD con independencia de que exista o no obligación legal de llevarla a cabo.

Respecto a las actividades de seguimiento y verificación de las medidas de gobernanza

Están implementados planes de auditorías internas o externas que evalúen el cumplimento de las políticas de protección de datos.

Están establecidas políticas de certificación en protección de datos.

Están identificados, en su caso, los mecanismos de adhesión a códigos de conducta.

Están implantados mecanismos, normas y procedimientos, para detectar cambios en la naturaleza, ámbito, contexto o fines del tratamiento.

Están implementados mecanismos de decisión para que, en función de los cambios anteriores o incidencias detectadas, se realice un nuevo ciclo de revisión del riesgo.

Tabla 37. Ejemplos de posibles medidas de gobernanza y políticas de protección de datos

C. Medidas de protección de datos desde el diseño

Los objetivos de protección de datos personales desde el diseño que deben ser tenidos en cuenta para productos, aplicaciones y servicios que se desarrollen son seis. Por un lado, están los tres orientados a proteger la seguridad de la información: confidencialidad, integridad y disponibilidad. Por otro lado, están los específicos de desvinculación, transparencia y control.

OBJETIVOS DE LA PROTECCIÓN DE LA PRIVACIDAD
DESVINCULACIÓN	TRANPARENCIA	CONTROL
Minimización de datos Limitación del plazo de conservación Integridad y confidencialidad	Licitud, lealtad y transparencia Limitación de la finalidad	Limitación de la finalidad Exactitud Integridad y confidencialidad Responsabilidad proactiva

Tabla 38. Objetivos de protección de la privacidad desde el diseño

La Guía de Privacidad desde el Diseño contiene un desarrollo de los seis objetivos. A continuación, se expone un breve resumen que condensa la información de los relacionados con desvinculación, transparencia y control.

ESTRATEGIAS ORIENTADAS A DATOS
Estrategias	Tácticas		Controles y patrones de diseño
MINIMIZAR Evitar el tratamiento de datos personales innecesarios	Seleccionar: elegir únicamente la muestra de individuos relevante y los atributos necesarios. Excluir: excluir de antemano los sujetos y atributos que resulten irrelevantes para el tratamiento realizado. Podar: eliminar parcialmente los datos personales tan pronto dejen de ser necesarios. Eliminar: suprimir por completo los datos personales tan pronto dejen de ser relevantes.		Anonimización Seudonimización Bloqueo de correlación en sistemas de gestión de identidad federada Depuración de entrada de datos y metadatos
OCULTAR Limitar la exposición de los datos personales para garantizar la protección de los objetivos de confidencialidad y desvinculación	Restringir: gestionar de forma restrictiva el acceso a los datos personales. Ofuscar: hacer que los datos personales sean ininteligibles para aquellos que no estén autorizados a su consulta. Disociar: eliminar la vinculación entre conjuntos de datos que se han de mantener independientes, así como los atributos identificativos de los registros de datos para evitar correlaciones entre ellos. Agregar: agrupar la información relativa a varios sujetos utilizando técnicas de generalización y supresión.		Control de accesos Anonimización selectiva en el acceso a grupos de datos personales Cifrado Cifrado homomórfico Redes de mezcla Atributos basados en credenciales Modelos de conocimiento cero (ZKP)
SEPARAR Mantener separados los conjuntos de datos personales utilizándolos en tratamientos independientes	Aislar: recoger y almacenar los datos personales en diferentes bases de datos o aplicaciones que sean independientes desde el punto de vista lógico o incluso que se ejecuten sobre sistemas físicos distintos, adoptando medidas adicionales para garantizar esa desvinculación. Otra forma de aislar en el tiempo es la renovación periódica de los identificadores únicos que señalan a un individuo. Distribuir: diseminar la recogida y el tratamiento de los diferentes subconjuntos de datos personales correspondientes a diferentes tipos de tratamiento sobre unidades de tramitación y gestión que, dentro de la organización, sean físicamente independientes y utilicen sistemas y aplicaciones distintos, intentando implementar arquitecturas descentralizadas y distribuidas con procesamiento local de la información siempre que sea posible en lugar de soluciones centralizadas con accesos unificados y que dependan de una misma unidad de control.		Listas negras anónimas Separación física y lógica Técnicas de desvinculación de datos
ABSTRAER Limitar al máximo el nivel de detalle utilizado en los tratamientos de datos personales	Sumarizar: generalizar los valores de los atributos utilizando intervalos o rangos de valores, en lugar de utilizar el valor concreto del campo. Agrupar: agregar la información de un grupo de registros en categorías en lugar de utilizar la información detallada de cada uno de los sujetos que pertenecen al grupo, trabajando con los valores medios o generales. Perturbar: utilizar valores aproximados o modificar el dato real mediante el empleo de algún tipo de ruido aleatorio en lugar de trabajar con el valor exacto del dato personal		Agregación en el tiempo K-anonimidad Ofuscación de medidas mediante agregación de ruido Granularidad dinámica Privacidad diferencial
ESTRATEGIAS ORIENTADAS A PROCESOS
INFORMAR Proporcionar información extendida del tratamiento cuando los mecanismos adicionales implementados permitan disminuir los riesgos	Facilitar: proporcionar a los interesados detalles adicionales en relación con el tratamiento. Explicar: facilitar la información relativa a los tratamientos de forma concisa, transparente, inteligible y de fácil acceso utilizando un lenguaje claro y sencillo. Notificar: comunicar a los interesados particularidades, incidencias o cambios en la naturaleza, ámbito, contexto, fines del tratamiento o en sus riesgos, más allá de las obligaciones establecidas en el RGPD.	Iconos de privacidad. Alertas de tratamiento Publicar información sobre el rendimiento del tratamiento Publicar detalles sobre las limitaciones y consecuencias del tratamiento Publicar información relativa a los análisis de riesgos

CONTROLAR

Proporcionar a los interesados un control extendido sobre sus datos personales permitiéndoles gestionar el riesgo

Consentir: mecanismos más garantistas para la recogida y retirada del consentimiento.
Alertar: permitir al usuario determinar alertas relativas al tratamiento de sus datos personales.
Elegir: proporcionar el control al usuario de la funcionalidad granulada] de aplicaciones y servicios.
Actualizar: implementar mecanismos más ágiles que faciliten a los usuarios la revisión, actualización y rectificación de los datos.
Retirar: proporcionar mecanismos para que los usuarios puedan suprimir o solicitar el borrado de los datos personales de manera más ágil.

PIMS (personal information management systems)
Paneles de preferencias de privacidad
Transmisión activa de presencia
Selección de credenciales

CUMPLIR

Aplicación de las garantías procedimentales, de las políticas y las medidas de gobernanza como parte del tratamiento concreto

Definir: especificar políticas de protección de datos en la entidad previamente al diseño de los tratamientos y determinar cuáles son aplicables a los mismos.
Mantener: revisar la efectividad de las políticas implementadas.
Defender: implementar mecanismos en los tratamientos que garanticen la aplicación de las políticas.

Aplicar políticas de protección de datos al ciclo de vida del tratamiento

DEMOSTRAR

Poder demostrar que los tratamientos se han desarrollado de acuerdo con las políticas de la entidad

Registrar: documentar todas y cada una de las decisiones tomadas en el tiempo con relación al concepto, diseño e implementación del tratamiento aun cuando hayan resultado contradictorias, identificando quién las tomó, cuándo y la justificación para hacerlo. El registro debe apoyarse en mecanismos de autenticidad como la firma electrónica o sellos de tiempo.
Auditar: revisar de forma sistemática, independiente y documentada el grado de cumplimiento de las políticas de protección de datos en el tratamiento.
Informar: poner dicha información a disposición de la Autoridad de control, los interesados o posibles terceros como, por ejemplo, la entidad de supervisión de un código de conducta, en la medida en que proceda y que tenga por objeto la posible reducción de los riesgos.

Auditoría del tratamiento
Registro y control documental del tratamiento

Tabla 39. Estrategias, descripción, tácticas, controles y patrones de protección de datos desde el diseño

D. Medidas de seguridad para la protección de los derechos y libertades

Las medidas de seguridad para la protección de los derechos y libertades han de entenderse en sentido amplio. Es decir, no solo cubriendo aspectos relativos, por ejemplo, a accesos no autorizados, sino otras posibles amenazas, por ejemplo, las causas naturales, los accidentes, los errores humanos y posibles errores en el funcionamiento de los tratamientos automatizados, en particular aquellos que se derivan de sistemas que infieren nuevos datos personales o toman decisiones automatizadas sobre los individuos.

1. Tratamientos sometidos al ENS

En el caso de tratamientos sometidos al Esquema Nacional de Seguridad (ENS) se podría realizar la siguiente correspondencia en función del nivel de riesgo para los derechos y libertades determinado en el tratamiento:

Nivel de riesgo para los derechos y libertades	Categoría ENS
Muy Alto	Alto
Alto	Alto
Medio	Medio
Bajo	Bajo

Tabla 40. Correspondencia entre el nivel de riesgo para los derechos y libertades y la categoría ENS

El responsable es quien, en última instancia, siempre tiene la obligación de aplicar las medidas necesarias para garantizar los derechos y libertades atendiendo a la naturaleza, el ámbito o alcance, el contexto y la finalidad de los tratamientos.

2. Aproximación básica a la implementación de medidas de seguridad

En el caso de tratamientos no sometidos al cumplimiento del ENS, se tendrán que implementar las medidas necesarias para gestionar el nivel de riesgo de los activos que dan soporte al tratamiento. Guías que enumeran posibles medidas se pueden encontrar en distintos estándares internaciones, como la ISO-27002 o en la extensión para temas de protección de datos en la ISO-27701.

Como orientación, se recomienda no implementar un nivel menor de seguridad que el criterio establecido en el Anexo II del Esquema Nacional de Seguridad, y que se traslada aquí, de forma íntegra, con las siguientes claves:

Dimensión	C: Confidencialidad D: Disponibilidad I: Integridad T: Trazabilidad A: Autenticidad
Nivel	B: Básico M: Medio A: Alto
aplica	Indica que una determinada medida de seguridad se debe aplicar a una o varias dimensiones de seguridad
n.a.	Significa “no aplica”
=	Indica que las exigencias de un nivel son iguales a las del nivel inferior
+ ++	Indican un incremento de las exigencias, graduado en función del nivel inferior de la dimensión de seguridad
Colores	Verde: indica que una medida se aplica en sistemas de categoría básica o superior Amarillo: las medidas que empiezan a aplicarse en categoría media o superior Rojo: las medidas que sólo se aplican en categoría alta
Medidas	Se ha marcado en rojo la variación respecto al listado original del ENS para reflejar la obligación marcada en los artículos 33 y 34 del RGPD de gestionar y documentar brechas de datos personales

Dimensión	Nivel			MEDIDAS DE SEGURIDAD
Dimensión	B	M	A	MEDIDAS DE SEGURIDAD
				org	Marco organizativo
Todas	aplica	=	=	[org.1]	Política de seguridad
Todas	aplica	=	=	[org.2]	Normativa de seguridad
Todas	aplica	=	=	[org.3]	Procedimientos de seguridad
Todas	aplica	=	=	[org.4]	Proceso de autorización
				op	Marco operacional
				[op.pl]	Planificación
Todas	aplica	+	++	[op.pl.1]	Análisis de riesgos
Todas	aplica	+	++	[op.pl.2]	Arquitectura de seguridad
Todas	aplica	=	=	[op.pl.3]	Adquisición de nuevos componentes
D	n.a.	aplica	=	[op.pl.4]	Dimensionamiento / Gestión de capacidades
Todas	n.a.	n.a.	aplica	[op.pl.5]	Componentes certificados
				[op.acc]	Control de acceso
A T	aplica	=	=	[op.acc.1]	Identificación
I C A T	aplica	=	=	[op.acc.2]	Requisitos de acceso
I C A T	n.a.	aplica	=	[op.acc.3]	Segregación de funciones y tareas
I C A T	aplica	=	=	[op.acc.4]	Proceso de gestión de derechos de acceso
I C A T	aplica	+	++	[op.acc.5]	Mecanismo de autenticación
I C A T	aplica	+	++	[op.acc.6]	Acceso local (local login)
I C A T	aplica	+	=	[op.acc.7]	Acceso remoto (remote login)
				[op.exp]	Explotación
Todas	aplica	=	=	[op.exp.1]	Inventario de activos
Todas	aplica	=	=	[op.exp.2]	Configuración de seguridad
Todas	n.a.	aplica	=	[op.exp.3]	Gestión de la configuración
Todas	aplica	=	=	[op.exp.4]	Mantenimiento
Todas	n.a.	aplica	=	[op.exp.5]	Gestión de cambios
Todas	aplica	=	=	[op.exp.6]	Protección frente a código dañino
Todas	aplica	=	=	[op.exp.7]	Gestión de incidentes
T	aplica	+	++	[op.exp.8]	Registro de la actividad de los usuarios
Todas	aplica	=	=	[op.exp.9]	Registro de la gestión de incidentes
T	n.a.	n.a.	aplica	[op.exp.10]	Protección de los registros de actividad
Todas	aplica	+	=	[op.exp.11]	Protección de claves criptográficas
				[op.ext]	Servicios externos
Todas	n.a.	aplica	=	[op.ext.1]	Contratación y acuerdos de nivel de servicio
Todas	n.a.	aplica	=	[op.ext.2]	Gestión diaria
D	n.a.	n.a.	aplica	[op.ext.9]	Medios alternativos
				[op.cont]	Continuidad del servicio
D	n.a.	aplica	=	[op.cont.1]	Análisis de impacto
D	n.a.	n.a.	aplica	[op.cont.2]	Plan de continuidad
D	n.a.	n.a.	aplica	[op.cont.3]	Pruebas periódicas
				[op.mon]	Monitorización del sistema
Todas	n.a.	aplica	=	[op.mon.1]	Detección de intrusión
Todas	aplica	+	++	[op.mon.2]	Sistema de métricas
				mp	Medidas de protección
				[mp.if]	Protección de las instalaciones e infraestructuras
Todas	aplica	=	=	[mp.if.1]	Áreas separadas y con control de acceso
Todas	aplica	=	=	[mp.if.2]	Identificación de las personas
Todas	aplica	=	=	[mp.if.3]	Acondicionamiento de los locales
D	aplica	+	=	[mp.if.4]	Energía eléctrica
D	aplica	=	=	[mp.if.5]	Protección frente a incendios
D	n.a.	aplica	=	[mp.if.6]	Protección frente a inundaciones
Todas	aplica	=	=	[mp.if.7]	Registro de entrada y salida de equipamiento
D	n.a.	n.a.	aplica	[mp.if.9]	Instalaciones alternativas
				[mp.per]	Gestión del personal
Todas	aplica	=	=	[mp.per.1]	Caracterización del puesto de trabajo
Todas	aplica	=	=	[mp.per.2]	Deberes y obligaciones
Todas	aplica	=	=	[mp.per.3]	Concienciación
Todas	aplica	=	=	[mp.per.4]	Formación
D	n.a.	n.a.	aplica	[mp.per.9]	Personal alternativo
				[mp.eq]	Protección de los equipos
Todas	aplica	+	=	[mp.eq.1]	Puesto de trabajo despejado
A	n.a.	aplica	+	[mp.eq.2]	Bloqueo de puesto de trabajo
Todas	aplica	=	+	[mp.eq.3]	Protección de equipos portátiles
D	n.a.	aplica	=	[mp.eq.9]	Medios alternativos
				[mp.com]	Protección de las comunicaciones
Todas	aplica	=	+	[mp.com.1]	Perímetro seguro
C	n.a.	aplica	+	[mp.com.2]	Protección de la confidencialidad
I A	aplica	+	++	[mp.com.3]	Protección de la autenticidad y de la integridad
Todas	n.a.	n.a.	aplica	[mp.com.4]	Segregación de redes
D	n.a.	n.a.	aplica	[mp.com.9]	Medios alternativos
				[mp.si]	Protección de los soportes de información
C	aplica	=	=	[mp.si.1]	Etiquetado
I C	n.a.	aplica	+	[mp.si.2]	Criptografía
Todas	aplica	=	=	[mp.si.3]	Custodia
Todas	aplica	=	=	[mp.si.4]	Transporte
C	aplica	+	=	[mp.si.5]	Borrado y destrucción
				[mp.sw]	Protección de las aplicaciones informáticas
Todas	n.a.	aplica	=	[mp.sw.1]	Desarrollo
Todas	aplica	+	++	[mp.sw.2]	Aceptación y puesta en servicio
				[mp.info]	Protección de la información
Todas	aplica	=	=	[mp.info.1]	Datos de carácter personal
C	aplica	+	=	[mp.info.2]	Calificación de la información
C	n.a.	n.a.	aplica	[mp.info.3]	Cifrado
I A	aplica	+	++	[mp.info.4]	Firma electrónica
T	n.a.	n.a.	aplica	[mp.info.5]	Sellos de tiempo
C	aplica	=	=	[mp.info.6]	Limpieza de documentos
D	aplica	=	=	[mp.info.9]	Copias de seguridad (backup)
				[mp.s]	Protección de los servicios
Todas	aplica	=	=	[mp.s.1]	Protección del correo electrónico
Todas	aplica	=	+	[mp.s.2]	Protección de servicios y aplicaciones web
D	n.a.	aplica	+	[mp.s.8]	Protección frente a la denegación de servicio
D	n.a.	n.a.	aplica	[mp.s.9]	Medios alternativos

Tabla 41. Selección de medidas de seguridad.

3. Gestión de brechas de datos personales.

Entre los controles específicos orientados a garantizar una correcta detección y gestión de la brecha podrían considerarse:

Controles específicos en la gestión de brechas de datos personales

Planes de contingencia ante una brecha de datos personales.

Establecimiento de medios técnicos para la detección automática de brechas de datos personales.

Herramientas de gestión de incidentes adaptadas a los requisitos del RGPD.

Protocolos para la identificación de potenciales brechas en las quejas o comunicaciones de los usuarios o interesados.

Capacidad de evaluar la gravedad de la brecha.

Procedimientos para describir con precisión el impacto de una brecha para los derechos y libertades.

Canales internos ágiles para la comunicación de la brecha al DPD, si este está nombrado.

Canales ágiles de comunicación responsable-encargado con relación a las brechas.

Procedimiento de decisión sobre cómo actuar con relación a la protección de los derechos y libertades ante la brecha.

Procedimientos de notificación a la Autoridad de control para poder cumplir con los requisitos del artículo 33.

Procedimientos de comunicación a los interesados para poder cumplir con los requisitos del artículo 34.

Tabla 42. Controles específicos en la gestión de brechas de datos personales

4. Resiliencia

Entre los controles específicos orientados a implementar un adecuado grado de resiliencia de los datos personales y los sistemas que los soportan, podrían considerarse los siguientes:

Objetivo	Controles
Capacitación de las personas	Capacidad de detectar los cambios Capacidad de comunicarlos Capacidad de entenderlos Capacidad de innovar ante ellos Capacidad de actuar en tiempo real Voluntad de actuar de forma proactiva
Flujo adecuado de información	Ágil Específico Mínimo Completo Desde y hacia las personas adecuadas
Liderazgo	Puntos claros de toma de decisión Responsabilidades bien definidas
Adaptabilidad estratégica	Las estructuras físicas, tecnológicas y organizativas han de poder evolucionar en tiempo real hacia nuevos objetivos o formas de actuar

Tabla 43. Controles relativos a la resiliencia

5. Fallos en las garantías técnicas de protección de datos y errores en las aplicaciones

Las medidas para el caso de brechas en las garantías técnicas de protección de datos, como en seudonimización, así como posibles errores en las aplicaciones, se pueden proyectar en las siguientes medidas de la siguiente forma:

Dimensión	Nivel			MEDIDAS DE SEGURIDAD
Dimensión	B	M	A	MEDIDAS DE SEGURIDAD
				org	Marco organizativo
F,E	aplica	=	=	[org.4]	Proceso de autorización
				op	Marco operacional
				[op.pl]	Planificación
F,E	aplica	+	++	[op.pl.1]	Análisis de riesgos
F,E	n.a.	aplica	++	[op.pl.5]	Componentes certificados
				[op.exp]	Explotación
F,E	n.a.	aplica	=	[op.exp.3]	Gestión de la configuración
F,E	aplica	=	=	[op.exp.4]	Mantenimiento
F,E	n.a.	aplica	=	[op.exp.5]	Gestión de cambios
F,E	aplica	=	=	[op.exp.7]	Gestión de incidentes
F,E	aplica	=	=	[op.exp.9]	Registro de la gestión de incidentes
				[op.ext]	Servicios externos
F,E	n.a.	aplica	=	[op.ext.1]	Contratación y acuerdos de nivel de servicio
F,E	n.a.	aplica	=	[op.ext.2]	Gestión diaria
				[mp.per]	Gestión del personal
F,E	aplica	+	++	[mp.per.3]	Concienciación
F,E	aplica	+	++	[mp.per.4]	Formación
				[mp.sw]	Protección de las aplicaciones informáticas
F,E	aplica	+	++	[mp.sw.1]	Desarrollo
F,E	aplica	+	++	[mp.sw.2]	Aceptación y puesta en servicio

Tabla 44. Controles relativos a fallos en las garantías técnicas de protección de datos y errores en las aplicaciones

6. Aproximación avanzada a la implementación de medidas de seguridad

Se podría realizar una gestión más detallada del riesgo de seguridad partiendo de un análisis completo de todos los activos identificados en el tratamiento. En ese caso, se deberían analizar todas las dimensiones de seguridad que les afecten aplicando los controles más apropiados para cada uno de los activos, atendiendo a su nivel de riesgo y la categoría en que se haya enmarcado.

A partir de la categoría establecida para cada activo, se procedería a implementar medidas concretas de seguridad. Para cada amenaza identificada debe establecerse uno o varios controles teniendo en cuenta las características del activo a proteger, así como el coste de los controles que se pretenden implementar. En este caso, se recomienda aplicar los criterios seguidos para el sistema de gestión de los sistemas de información de la entidad.

9. VALORACIÓN DEL RIESGO RESIDUAL Y REVISIÓN

A. Valorar el riesgo residual

Se han de implementar las medidas y calcular el riesgo residual hasta que este alcance unos niveles aceptables. De igual forma, si la naturaleza, ámbito, contexto o fines del tratamiento se alteran, será necesario realizar de nuevo la evaluación.

Figura 28. Ciclo de evaluación del riesgo

Para cada uno de los controles se deberá valorar, en primer lugar, la efectividad de forma individual y seguidamente, de forma agregada. Estos pueden influir en la probabilidad y/o en el impacto de una posible amenaza y su eficacia puede valorarse de acuerdo con la experiencia propia o ajena.

El valor de la efectividad (efectividad agregada) deberá determinarse por cada factor de riesgo identificado, clasificándose en los siguientes niveles:

Efectividad despreciable o limitada	La probabilidad e impacto de la amenaza no se verán afectados por la implementación de los controles, se mantienen prácticamente en el mismo nivel o sufren pequeñas variaciones. El nivel de riesgo de dicho factor de riesgo no se reducirá.
Efectividad significativa	La probabilidad e impacto de la amenaza se reducen significativamente. En ese caso, se estimará el nuevo nivel de riesgo.
Efectividad máxima	La probabilidad y/o el impacto de la amenaza se reducen drásticamente hasta valores despreciables o próximos a estos. El nivel de riesgo de dicho factor de riesgo se reducirá a bajo.

Como resultado de la efectividad de los controles identificados se obtendrá una valoración del nivel de riesgo residual.

Factor de riesgo	Nivel de riesgo intrínseco	Controles y sus características	Nivel de riesgo residual
Factor 1	Nivel intrínseco 1	Control 1	Nivel residual 1
		Control 2
		…
..
Factor N	Nivel intrínseco N	Control M	Nivel residual N
		Control M+1
		…
	Nivel de riesgo intrínseco del tratamiento		Nivel de riesgo residual del tratamiento

Tabla 45. Evaluación del riesgo residual vs riesgo intrínseco

B. Riesgos asumibles

Hay que tomar una decisión de cuándo un nivel de riesgo es asumible.

Se podrían considerar como niveles de riesgo residual asumibles aquellos de valor bajo y medio que exigirán esfuerzos de gestión proporcionales a lo largo del ciclo de vida del tratamiento.

Si el responsable determina que tiene un nivel de riesgo residual de valor superior a medio, tendrá que adoptar nuevas medidas y garantías para gestionar los riesgos identificados. En un proceso iterativo, se reevaluará el nivel de riesgo y se repetirá el proceso hasta que el nivel de riesgo residual resulte asumible.

Tal como se expresa en las Directrices WP248: “Un ejemplo de riesgo residual elevado inaceptable incluye casos en los que los interesados pueden encontrarse con consecuencias importantes, o incluso irreversibles, de las que no puedan recuperarse (p. ej.: un acceso ilegítimo a datos que suponga una amenaza para la vida de los interesados, un despido, un peligro financiero) o cuando parezca obvio que existirá un riesgo (p. ej.: por no poder reducir el número de personas que acceden a los datos debido a sus modos de intercambio, uso o distribución, o cuando no se corrige una vulnerabilidad conocida).”

C. Revisión del nivel de riesgo

Antes que fijar marcos temporales, hay que identificar aquellas circunstancias que hay que utilizar como disparadores para realizar dicha revisión.

Estos eventos serán cambios en la naturaleza, ámbito, contexto o fines del tratamiento.

Elementos que activan un ciclo de revisión en la gestión del riesgo
Naturaleza	Cambios en la identidad del responsable. Cambios en la implementación del tratamiento. Cambios o actualización de elementos tecnológicos. Sustitución de elementos humanos por elementos técnicos. Cambios sustanciales en los elementos organizativos. Cambios sustanciales en los encargos de tratamiento. Detección de falta de eficacia en las medidas y garantías incluidas en el tratamiento.
Ámbito	Cambio en la extensión del tratamiento. Modificación en las categorías de los datos recogidos. Cambio en el volumen de los datos recogidos. Cambio en la frecuencia de la recogida de datos. Modificación del alcance (temporal o espacial).
Contexto	Cambios importantes en los objetivos de la organización, sus modelos de gobernanza o su cultura. Cambio en las situaciones que justificaron el tratamiento. Ocurrencia de incidencias y brechas que se han producido en el tratamiento o tratamientos similares. Evolución del modelo de amenazas, las incidencias, las brechas o las tecnologías aplicables. Cambios en el volumen o tipología de solicitudes en el ejercicio de los derechos de los interesados. Cambios en los marcos o garantías jurídicas. Cambios en el marco normativo de aplicación. Cambios sociales, políticos, económicos o estratégicos.
Fines	Cambio o ampliación de los fines principales o secundarios del tratamiento.

Tabla 46. Elementos que activan un ciclo de revisión en la gestión del riesgo

Estos cambios pueden suponer tanto que disminuya el nivel de riesgo como que aumente, llegando incluso a ser obligatoria la realización de una EIPD.

SECCIÓN 3. EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS

10. LA EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS

La EIPD y la gestión del riesgo son actividades integradas. La EIPD forma parte indivisible de la gestión de riesgos para los derechos y libertades y se ha de ejecutar en el marco de la misma.

Figura 29. Características básicas de la EIPD

A. Quién realiza la EIPD

Puede llevar a cabo una EIPD cualquier persona, de dentro o fuera de la organización, pero el responsable del tratamiento sigue respondiendo en última instancia por la tarea (art. 35.1 RGPD/WP 248). Los encargados del tratamiento tienen como obligación ayudar al responsable en la gestión del riesgo y en la realización de la EIPD.

B. En qué momento se realiza la EIPD

Debe realizarse la EIPD antes que se vean afectados los derechos y libertades de los ciudadanos, o sea previamente a que el tratamiento se ejecute de forma efectiva.

La EIPD debe percibirse como un instrumento de ayuda en la toma de decisiones relativas al tratamiento, por lo es recomendable realizarla en las fases de concepción y diseño del tratamiento por dos razones:

Para cumplir con los principios de protección de datos desde el diseño.
Para proteger la inversión realizada por el responsable en el tratamiento.

C. Excepciones para realizar la EIPD antes del inicio de las actividades de tratamiento

La EIPD debe entenderse como un proceso y no como un estado. Por lo tanto, si bien la EIPD se ha de realizar antes de la implementación del tratamiento, su revisión y adaptación se extiende a todas las etapas del ciclo de vida de este.

En los tratamientos ya en curso, el responsable tiene la obligación de realizar una revisión del nivel de riesgo de cara a determinar, en su caso, el momento oportuno para realizar la EIPD.

En lo referente a los tratamientos que estaban ya en curso antes de la entrada en vigor del RGPD, las Directrices WP248 establecen: (…) incluso si el 25 de mayo de 2018 no se requiere una EIPD, será necesario, en el momento oportuno, que el responsable del tratamiento lleve a cabo una evaluación de este tipo como parte de sus obligaciones generales de responsabilidad proactiva. Por lo tanto, es obligación del responsable realizar una revisión del nivel de riesgo en los tratamientos ya en curso de cara a determinar el momento oportuno para realizar la EIPD.

Figura 30. La EIPD en el proceso de gestión del riesgo

11. ANÁLISIS DE LA OBLIGACIÓN DE LLEVAR A CABO LA EIPD

El análisis de la obligación de realizar una EIPD forma parte del proceso de evaluación del riesgo para los derechos y libertades.

A. Cuando no es obligado realizar una EIPD

Cuando no sea probable que el tratamiento entrañe un alto riesgo.
Cuando el tratamiento entra dentro de lo establecido en la lista orientativa de tipos de tratamientos que no requieren una evaluación de impacto relativa a la protección de datos.
Cuando la naturaleza, el alcance/ámbito, el contexto y los fines del tratamiento sean muy similares al tratamiento para el que se ha realizado una EIPD previa.
Cuando una actividad de tratamiento, de conformidad con el artículo 6.1, c) o e) RGPD, tenga una base jurídica en el Derecho de la Unión o en el Derecho del Estado miembro, cuando tal Derecho regule la operación específica de tratamiento y cuando ya se haya realizado una EIPD en el contexto de la adopción de dicha base jurídica.
Cuando las actividades de tratamiento hayan sido comprobadas por la Autoridad de control antes de mayo de 2018 en condiciones específicas que no hayan cambiado.

B. Cuando es obligatorio realizar una EIPD

OBLIGACIÓN DE REALIZAR LA EIPD

Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas (art. 35.1 del RGPD y Cdo. 76)

Está dentro de alguno de los supuestos establecidos en el artículo 35.3 del RGPD

Existe una norma especial que exige una EIPD para el tratamiento.

Cuando el tratamiento corresponde con alguno de los ejemplos de obligación enumerados en las Directrices WP248.

Cuando el tratamiento cumple al menos dos de las condiciones de las enumeradas en las Directrices WP248 para realizar una EIPD.

Cuando el tratamiento cumpla con dos o más criterios de las Listas de tipos de tratamientos de datos que requieren evaluación de impacto relativa a protección de datos (art 35.4) publicada por la AEPD.

Cuando se haya apreciado un alto riesgo teniendo en cuenta los supuestos enumerados en el artículo 28.2 de la LOPDGDD.

Cuando en alguna de las directrices publicadas por el CEPD, el tratamiento esté identificado como obligado a realizar una EIPD.

El tratamiento se encuentre sujeto a un código de conducta o a un mecanismo de certificación que exijan al responsable la realización de una evaluación de impacto.

Tabla 47. Obligación de realizar la EIPD

La evaluación de estas condiciones hay que realizarla a partir de la descripción del tratamiento y los factores de riesgo identificados en el proceso de análisis de riesgo para los derechos y libertades.

12. ANÁLISIS DE LA NECESIDAD DE REALIZAR UNA EIPD

Con independencia de que se trate de un tratamiento obligado o no a la realización de una EIPD, el responsable puede tomar la decisión de efectuarla, a veces sugerido por CISO o DPD con el fin de llevar a cabo un análisis más detallado del tratamiento de datos personales en aras de una mayor diligencia a la hora de implementar la responsabilidad proactiva.

También son motivos válidos mejorar la calidad de sus productos y servicios, fomentar la cultura de protección de datos en su organización o bien como simple mecanismo para garantizar la confianza de sus clientes.

13. EVALUACIÓN DE LA NECESIDAD Y PROPORCIONALIDAD DEL TRATAMIENTO

Esta exigencia se traduce en realizar una ponderación atendiendo a tres criterios:

Juicio de idoneidad

Hay que determinar si el tratamiento es adecuado para el fin que persigue.

El tratamiento da respuesta a determinadas carencias, demandas, exigencias, obligaciones u oportunidades objetivas y puede conseguir los objetivos propuestos con la eficacia suficiente.

Juicio de necesidad

Hay que determinar si la finalidad perseguida no puede alcanzarse de otro modo menos lesivo o invasivo, es decir, no existe un tratamiento alternativo que sea igualmente eficaz para el logro de la finalidad perseguida.

Juicio de proporcionalidad en sentido estricto

La gravedad del riesgo para los derechos y libertades del tratamiento, y su intromisión en la privacidad, ha de ser adecuada al objetivo perseguido y proporcionada a la urgencia y gravedad de esta.

Hay que ponderar el beneficio que el tratamiento, desde el punto de vista de la protección de datos, proporciona a la sociedad manteniendo un equilibrio con el impacto que representa sobre otros derechos fundamentales (Cdo. 4 RGPD).

Sin embargo, aunque pueda ceder parcialmente, en ningún caso, se puede asumir la negación absoluta del derecho a la protección de datos y vaciarle de su contenido esencial.

Tabla 48. Juicio de idoneidad, necesidad y proporcionalidad en sentido estricto

La evaluación de estos juicios ha de concluir con una decisión de llevar o no a cabo el tratamiento, o en su caso, modificarlo para que los cumpla.

Durante el proceso de evaluación se pueden identificar elementos que, incluidos en el tratamiento, lo modifiquen y lo hagan ser conforme al principio de proporcionalidad, por lo que este proceso de evaluación y adecuación debe ser entendido como un proceso de mejora que puede y debe realizarse en varias iteraciones hasta conseguir un diseño del tratamiento adecuado.

Antes de abordar esta evaluación desde cero es imprescindible consultar los análisis de necesidad y proporcionalidad que se hayan podido realizar previamente sobre tratamientos similares, consultar las directrices del CEPD, las resoluciones o informes jurídicos de la AEPD, o la jurisprudencia, donde pueden existir evaluaciones de tratamientos que guarden similitud en función de la naturaleza, ámbito, contexto o fines del tratamiento y que permitan identificar los límites a los que el tratamiento en cuestión ha de sujetarse. Las conclusiones de estas evaluaciones han de ser tenidas en cuenta a lo largo de la EIPD.

En ningún caso se recomienda continuar con la EIPD cuando el tratamiento no supera la evaluación de la necesidad y/o la proporcionalidad. Se trata de requisitos de cumplimiento que exige el RGPD; requisitos que no pueden abordarse con medidas alternativas al propio cumplimiento como, por ejemplo, medidas técnicas y organizativas. El único requisito es que se realice un análisis completo de las tres dimensiones indicadas.

Entre las medidas que el responsable tiene la obligación de revisar y actualizar (artículo 24.1) se incluirá la evaluación del juicio de idoneidad, necesidad y proporcionalidad.

Figura 31. Proceso de evaluación de la necesidad y proporcionalidad

A. Equívocos habituales con relación a la evaluación de la necesidad y proporcionalidad del tratamiento

La EIPD no tiene como objeto determinar la legitimación del tratamiento o sus bases jurídicas.
No debe confundirse la evaluación de necesidad y proporcionalidad con:
- el análisis de la necesidad de realizar una EIPD, que estará en función del nivel de riesgo del tratamiento que se haya identificado; o
- la obligación del responsable de utilizar únicamente los datos que fueran adecuados, pertinentes y limitados para la finalidad del tratamiento (artículo 5.1.b y artículo 25.2 RGPD).

B. Juicio de idoneidad

La eficacia, necesariamente, deberá ser demostrada de forma objetiva por el responsable del tratamiento, para lo cual se deberá:

Definir del umbral de efectividad del tratamiento

Establecer de forma objetiva, cualitativa y basada en evidencias, cuál es el umbral de efectividad que se debería alcanzar para cumplir con los fines del tratamiento.

(ejemplos: un margen de error del 5% en un valor resultado, una detección de un 95% de casos o una posibilidad de fraude por debajo del 1%)

Evaluar la efectividad de la propuesta de tratamiento

Evaluar de forma objetiva, cualitativa y basada en evidencias, la efectividad del tratamiento, tal y como se ha planteado, verificando si da respuesta a las necesidades planteadas y con qué extensión.

(determinar si genuinamente resuelve dichas carencias)

C. Juicio de necesidad

Para llevar a cabo el juicio de necesidad hay que seguir los siguientes pasos:

Determinación de la relevancia de los fines del tratamiento	Evaluar que los fines del tratamiento tienen la importancia suficiente para ser abordados con un tratamiento de alto riesgo (previo a un juicio de proporcionalidad).
Verificación de la adecuación de las operaciones del tratamiento	Verificación de que cada una de las operaciones concretas del tratamiento está orientada a cumplir con los fines del tratamiento de una forma objetivamente demostrable.
Justificación de la configuración actual del tratamiento	Evaluar que no existen otros tratamientos, que ya están en curso o que se podrían plantear, que resuelven los fines declarados sin incurrir en un alto riesgo, incluso aunque sea necesario introducir alguna modificación para cumplir los fines perseguidos.

En la práctica, no suele existir una única forma de conseguir los fines a los que está orientado un tratamiento. En función de cómo se implemente este se pueden plantear diferentes escenarios de riesgo. A la hora de considerar esos otros posibles tratamientos alternativos hay que identificar aquellos que, empleando medios menos intrusivos, alcancen, al menos, igual eficacia. Es decir, se debe evaluar si la finalidad perseguida se puede conseguir por otros medios.

1. Cláusulas de caducidad

Las llamadas cláusulas de caducidad del tratamiento son aquellas circunstancias que puedan acaecer y hacer que el tratamiento devenga innecesario en función de su naturaleza, ámbito, contexto y fines.

El responsable ha de incorporar medidas para monitorizar la vigencia real de las circunstancias que justificaron el tratamiento. En el caso de que estas desaparezcan, se ha de reevaluar la idoneidad y licitud del tratamiento (artículo 6 RGPD).

Un aspecto muy importante que se deriva del análisis de necesidad es que hay que determinar si la justificación del tratamiento se basa en la exigencia de responder a una situación concreta de urgencia (por ejemplo, en caso de un interés público esencial como podrían ser temas de seguridad o sanitarios, en cuyo caso tendría que estar recogido en una norma con rango legal). En ese caso, es imprescindible identificar si existe un alto riesgo para el responsable, el Estado o la ciudadanía (riesgo distinto de aquel sobre los derechos y libertades de los interesados) y, en particular, sobre aquellos colectivos de ciudadanos que pudieran considerarse en situación de especial vulnerabilidad.

D. Juicio de proporcionalidad en sentido estricto

Una vez acreditada la idoneidad y necesidad del tratamiento de forma objetiva y justificada, es preciso llevar a cabo la:

Identificación del grado de impacto del tratamiento en los derechos y libertades	Expresar, de forma detallada, las limitaciones o intrusiones a los derechos y libertades que puede suponer para el interesado. Esta evaluación es una tarea previa que ya se ha debido realizar en la determinación de los factores y niveles de riesgo analizados previamente, exponiendo, en este punto de la evaluación, sus conclusiones
Identificación y descripción de medidas compensatorias	Detallar los controles establecidos en el diseño del tratamiento para disminuir dicho impacto
Identificación de los beneficios del tratamiento	Determinar las ventajas y beneficios que, de forma objetiva y con evidencias, tiene el tratamiento para los interesados, considerados de forma individual y como colectivo. Es decir, el beneficio social.
Confirmación de existencia de identidad en la calidad de la información utilizada	Hay que evaluar si existe simetría en la información analizada para el juicio de ponderación, es decir, si el nivel de análisis con relación al impacto es igual al nivel alcanzado en base a la información proporcionada respecto de las ventajas
Análisis BDB (Balance Daño-Beneficio)	Evaluar si los beneficios para los interesados y la sociedad, previamente determinados, compensan y justifican el impacto para los derechos y libertades identificados en el punto 1 de este juicio de proporcionalidad en sentido estricto

Un aspecto que permite determinar que la EIPD está incompleta es si hay una asimetría entre la información proporcionada con relación a las limitaciones que supone el tratamiento y la información proporcionada respecto a las ventajas que aporta.

E. Caso particular de tratamiento: necesidad y proporcionalidad en el desarrollo normativo

En el caso de que la EIPD se realice sobre una iniciativa legislativa que plantee una limitación de derechos (artículo 35.10 RGPD), el análisis realizado para evaluar la necesidad y proporcionalidad del tratamiento en base a los juicios descritos, en especial los de idoneidad y necesidad, cobra mayor importancia habida cuenta del alcance y el grado de afectación que supone el tratamiento.

F. Decisión final y documentación de la evaluación de la necesidad y proporcionalidad

Cuando no sea posible demostrar la necesidad y la proporcionalidad de un tratamiento de alto riesgo o de las operaciones de tratamiento que pudieran formar parte de este, no se recomienda avanzar en la evaluación de impacto o siquiera plantear la consulta previa a la que refiere el artículo 36 del RGPD.

En el caso de que se concluya que el tratamiento no es necesario o no es proporcional, hay que señalar los aspectos que conducen a esa conclusión y, si es posible, realizar las modificaciones necesarias para adecuar el tratamiento a los criterios adecuados de necesidad, idoneidad y proporcionalidad.

En el proceso de realizar la evaluación de la necesidad y la proporcionalidad hay que proporcionar las evidencias adecuadas, registrar y guardar toda la información relevante para realizar este análisis y plasmar en un informe todo el proceso de la evaluación realizada con sus oportunas conclusiones.

La forma de presentación dependerá de cómo la documentación pueda organizarse de la forma más eficiente posible dentro de la organización, constatando, como mejor proceda, que se ha realizado dicho análisis y que el responsable del posible tratamiento lo conoce, lo respalda y se obliga, desde el punto de vista normativo, hasta sus últimas consecuencias.

En cualquier caso, la información que ha de encontrarse en la documentación es la siguiente:

Determinación precisa de las finalidades del tratamiento	Últimos, específicos, medibles, alcanzables y acotados.
Juicio de idoneidad
Definición del umbral de efectividad del tratamiento	Establecer de forma objetiva, cualitativa y basada en evidencias, cuál es el umbral de efectividad que se debería alcanzar para cumplir con los fines del tratamiento.
Evaluación de la efectividad de la propuesta de tratamiento	Evaluar de forma objetiva, cualitativa y basada en evidencias, la efectividad del tratamiento, tal y como se ha planteado, verificando si da respuesta a las necesidades planteadas y con qué extensión.
Juicio de necesidad
Determinación de la relevancia de los fines del tratamiento	Evaluar que los fines del tratamiento tienen la importancia suficiente para ser abordados con un tratamiento de alto riesgo.
Verificación de la adecuación de las operaciones del tratamiento	Verificación de que cada una de las operaciones concretas del tratamiento está orientada a cumplir con los fines del tratamiento de una forma objetivamente demostrable.
Justificación de la configuración actual del tratamiento	Evaluar que no existen otros tratamientos, que ya están en curso o que se podrían plantear, que resuelven los fines declarados sin incurrir en un alto riesgo, incluso aunque sea necesario introducir alguna modificación para cumplir los fines perseguidos.
Cláusulas de caducidad previstas en el tratamiento	Por su naturaleza.
	Por su ámbito.
	Por su contexto.
	Por sus fines.
Juicio de proporcionalidad en sentido estricto
Identificación del grado de impacto del tratamiento en los derechos y libertades	Expresar, de forma detallada, las limitaciones o intrusiones a los derechos y libertades que puede suponer el tratamiento para el interesado. Esta evaluación es una tarea previa que ya se ha debido realizar en la determinación de los factores y niveles de riesgo analizados previamente, exponiendo en este punto de la evaluación sus conclusiones.
Identificación y descripción de medidas compensatorias	Detallar los controles establecidos en el diseño del tratamiento para disminuir dicho impacto.
Identificación de los beneficios del tratamiento	Determinar las ventajas y beneficios que, de forma objetiva y con evidencias, tiene el tratamiento para los interesados, considerados de forma individual y como colectivo. Es decir, también ha de considerarse el beneficio social.
Confirmación de existencia de identidad en la calidad de la información	Hay que evaluar si existe simetría en la información analizada para el juicio de ponderación, es decir, si el nivel de análisis con relación al impacto es igual al nivel alcanzado en base a la información proporcionada respecto a las ventajas.
Análisis BDB (Balance Daño-Beneficio)	Evaluar de si los beneficios para los interesados y la sociedad, previamente determinados, compensan y justifican el impacto para los derechos y libertades identificados en el punto 1 de este juicio de proporcionalidad en sentido estricto.

Tabla 49. Información mínima requerida en la evaluación de la necesidad y proporcionalidad del tratamiento.

14. OBLIGACIÓN DE DOCUMENTACIÓN

La EIPD es un proceso que es necesario documentar, tanto en sus conclusiones como en su proceso de desarrollo. Aunque una operación de tratamiento se corresponda con casos de alto riesgo en los que se ha llevado a cabo una EIPD, puede que un responsable no considere que dicho tratamiento «entraña probablemente un alto riesgo». En estos casos, el responsable debe justificar y documentar los motivos por los que no se realiza una EIPD e incluir/registrar las opiniones del DPD.

No documentar adecuada y motivadamente las decisiones del responsable, impedirá a este demostrar el cumplimiento de sus obligaciones y podría dar lugar al inicio de un procedimiento de infracción por la Autoridad de control.

A. Acceso de la autoridad de control a la EIPD

Toda la documentación relativa a la EIPD debe estar disponible para la Autoridad de control en dos casos:

Presentación de una consulta previa (artículo 36 RGPD).

Solicitud por parte de la Autoridad de control en el ámbito de los poderes que le otorga el artículo 58 RGPD.

Cuando se cumplan las condiciones de obligación, el no remitir a la Autoridad de control una EIPD o hacerlo de forma incompleta podría considerarse información inexacta y, por lo tanto, constituir una infracción.

B. Transparencia de la EIPD

No existe la obligación de hacer pública toda la documentación relativa a una EIPD, ni siquiera se considera recomendable. Sin embargo, la publicación de aquellos elementos que pudieran resultar en una acción de transparencia y fomentar la confianza de los interesados es una práctica aconsejable. En este caso, el responsable ha de evitar publicar detalles innecesarios que no añadan valor a dicha transparencia o que no resultasen proporcionales con relación a nuevos riesgos que la publicidad de los mismos podría crear.

15. RECABAR LA OPINIÓN DE LOS INTERESADOS O DE SUS REPRESENTANTES

Uno de los requisitos a los que obliga la EIPD a la hora de realizar la gestión de riesgos (art. 35.9 RGPD) es que, cuando proceda, el responsable recabará la opinión de los interesados o de sus representantes en relación con el tratamiento previsto, sin perjuicio de la protección de intereses públicos o comerciales o de la seguridad de las operaciones de tratamiento.

Esta consulta tiene por objeto hacer conscientes a los interesados, o sus presentantes, de que el tratamiento es de alto riesgo, detallando los factores de riesgo, los potenciales impactos de las brechas de datos y la intrusión a sus derechos y libertades que este supone.

Además, la consulta ha de concienciar a los interesados que dichos riesgos se están corriendo en aras de un bien mayor que los compensa, identificándolo de forma precisa. En todo caso, la consulta ha de ofrecer y recoger de los interesados alternativas para cumplir los mismos objetivos de forma menos intrusiva para sus intereses colectivos.

La consulta no se puede reducir a una encuesta de satisfacción.

16. CONSULTA PREVIA A LA AUTORIDAD DE CONTROL

El artículo 36 del RGPD establece las obligaciones que ha de cumplir directamente el responsable del tratamiento, e indirectamente el encargado, en caso de que se haya realizado una EIPD y, como resultado de esta, se haya concluido que el riesgo residual de dicho tratamiento podría poner en peligro los derechos y libertades.

La consulta previa no es una acción aislada, sino que ha de integrarse en la estrategia de gestión del riesgo para los derechos y libertades a la que obliga el RGPD. Implica colaboración activa, seguimiento del proceso y facilitar a la Autoridad de control toda aquella información adicional que precise durante el proceso de evaluación de la consulta y de la que se podrían derivar acciones por parte del responsable.

A. Objeto de la consulta previa

Presentar ante la Autoridad de control un tratamiento que sea conforme con el RGPD, que tenga obligación o se haya valorado la conveniencia, de realizar una EIPD, pero que entrañe un nivel de riesgo residual inaceptable.

B. La obligación de realizar una consulta previa

Se deberá realizar una consulta previa cuando una EIPD muestra que, en ausencia de garantías, medidas de seguridad y mecanismos destinados a mitigar los riesgos, dicho tratamiento entrañaría un alto riesgo para los derechos y libertades de las personas físicas, y el responsable del tratamiento considera que el riesgo no puede mitigarse por medios razonables en cuanto a tecnología disponible y costes de aplicación.

Además, los responsables del tratamiento deberán consultar a la Autoridad de control siempre que el Derecho de los Estados miembros les obligue a consultar a dicha autoridad o a recabar su autorización previa.

En el artículo 28 de la LOPDGDD también se establece la consulta previa entre las obligaciones generales de responsables y encargados.

El encargado del tratamiento ha de ser consciente de que está sujeto a ciertas obligaciones con relación a la consulta previa, tal y como se establece en el artículo 36.2 RGPD, cuando trata del papel de la Autoridad de control: “…asesorar por escrito al responsable, y en su caso al encargado, …”. También, en el considerando 95 RGPD, se describe cómo parte de las obligaciones del encargado la de asistir al responsable tanto durante la realización de la EIPD como durante la consulta previa a la Autoridad de control.

C. Requisitos para remitir una consulta previa

Existen una serie de requisitos básicos que han de cumplirse para remitir una consulta previa a la Autoridad de control. El siguiente checklist identifica dichos requisitos:

El responsable del tratamiento presenta la consulta previa

Si existe DPD u obligación de nombrarlo, este ha asesorado acerca de la evaluación de impacto relativa a la protección de datos y ha, o está, supervisando su aplicación.

Si existe DPD u obligación de nombrarlo, este actúa como punto de contacto con la Autoridad de control.

Si la consulta previa tiene carácter previo a la puesta en marcha del tratamiento.

Si los fines del tratamiento están objetivamente determinados.

Si existe una descripción sistemática de las operaciones de tratamiento.

Si está realizada la evaluación de que el tratamiento es conforme con el RGPD en el cumplimiento de principios y derechos.

Si está documentada y realizada una gestión de los riesgos para los derechos y libertades de los interesados de forma sistemática.

Si el tratamiento tiene en cuenta medidas sobre el concepto del tratamiento, de gobernanza y políticas, de protección de datos desde el diseño, por defecto y de seguridad acordes para la gestión del riesgo para los derechos y libertades de los interesados.

Si está realizado el análisis de la obligación de llevar a cabo la EIPD o, en su caso, de la necesidad.

Si el tratamiento supera el análisis de necesidad y proporcionalidad con relación a los fines.

Si todas las acciones anteriores están formalmente documentadas.

Tabla 50. Requisitos mínimos para la presentación de una consulta previa.

D. Obligación de consulta previa en caso de misiones en interés público

La segunda excepción a la condición de que exista un alto riesgo residual para que sea obligatorio realizar la consulta previa se establece en el artículo 36.5 RGPD, donde se da la posibilidad a cada Estado miembro de desarrollar normativamente la obligación de consulta y autorización previa para determinados tipos de tratamiento, específicamente, aquellos relativos al ejercicio de una misión realizada en interés público.

Hasta el momento, no se han desarrollado estas obligaciones en el ámbito nacional.

E. Requisitos temporales adicionales para la presentación de la consulta previa

Antes se ha descrito que el RGPD establecía como único requisito temporal para realizar la consulta previa que esta se realizase antes de ejecutar el tratamiento. La AEPD podría, mediante circulares, establecer condiciones adicionales.

F. Cómo se materializa una consulta previa

1. Documentación

El artículo 36.3 RGPD establece la documentación que es obligatoria remitir a la Autoridad de control para realizar una consulta previa. En él se dispone que el responsable ha de adjuntar a la consulta previa, además de la EIPD, una información adicional descrita en las letras a), b), c) y d) del artículo 35.3 RGPD; información que tendría más sentido que estuviese integrada en la propia documentación que forma parte de la EIPD. Esta información tiene carácter de mínimos y ha de cumplimentarse de forma efectiva.

2. Remisión de la consulta previa

Las remisiones a la AEPD de la consulta previa relativas al artículo 36 RGPD deberán realizarse a través de su sede electrónica. Esta ofrece un apartado específico para la presentación de consultas previas bajo el epígrafe “Consulta previa al inicio de tratamientos de alto riesgo (art. 36 RGPD)”.

G. Respuesta de la Autoridad de control

1. Solicitud de información adicional por parte de la Autoridad de control

2. Plazos de respuesta

Los plazos de respuesta de la Autoridad de control a una consulta previa se establecen en ocho semanas, pero se podría extender a un total de catorce semanas.

La extensión del plazo de consulta ha de ser motivada sobre lo problemático que pudiera resultar el análisis del tratamiento. La fundamentación de la complejidad del estudio se podría establecer, por ejemplo, en función de la innovación tecnológica que represente el tratamiento propuesto.

De todos modos, estos plazos podrán suspenderse en caso de que la Autoridad de control haya solicitado información adicional con fines de consulta.

3. Extensión del Asesoramiento

En el artículo 57.1.l se establece que incumbirá a cada Autoridad de control, en su territorio, el ofrecer asesoramiento sobre el tratamiento sobre el cual se está realizando la consulta previa.

El responsable no ha de esperar como respuesta de la Autoridad de control un informe con la extensión que se derivaría de un proceso de auditoría. Tampoco es objeto de respuesta proporcionar al responsable un conjunto de soluciones concretas para el tratamiento que correspondería al resultado de un proceso de consultoría. Menos aún, el objeto del asesoramiento es obtener respuesta a una nueva consulta previa por parte del responsable con el fin de que la Autoridad de control lleve a cabo la validación/revisión/aprobación/seguimiento de las medidas aplicadas en reacción a una consulta previa.

4. Ejercicio de los poderes establecidos en el artículo 58 del RGPD

En caso de una consulta previa, la acción de la Autoridad de control no está limitada a su capacidad de asesoramiento, que se establece en el artículo 58.3.a, sino que puede extender su acción a la totalidad de los poderes establecidos en el artículo 58, esto es, los poderes de investigación establecidos en el artículo 58.1 y los poderes correctivos del artículo 58.2.

H. Transparencia y confidencialidad de las consultas previas

1. Transparencia

En cuanto a determinar si a la información remitida a la Autoridad de control en el marco de una consulta previa, prevista en el artículo 36 del RGPD, le resulta de aplicación la Ley 19/2013 de Transparencia, Acceso a la Información Pública y Buen Gobierno (LTAIBG), cabe señalar que, por una parte, dicha información estaría excluida del ámbito de la publicidad activa, por cuanto que no se encuadraría en ninguno de los supuestos contemplados en los artículos 7 y 8 de la LTAIBG.

Por otra parte, dicha información tampoco sería en principio objeto del derecho de acceso a la información pública. Aunque sea información pública, ésta se vería afectada por los límites al derecho de acceso establecidos en el artículo 14, en la medida que su difusión supusiera un perjuicio para:

la prevención, investigación y sanción de los ilícitos penales, administrativos o disciplinarios.
las funciones administrativas de vigilancia, inspección y control.
los intereses económicos y comerciales.
la política económica y monetaria, o (v) el secreto profesional y la propiedad intelectual e industrial.

2. Confidencialidad

Con relación a la confidencialidad de la información remitida a la Autoridad de control, el RGPD establece en el párrafo 2 del artículo 54 que la información confidencial obtenida en el cumplimiento de sus funciones está protegida por el deber de secreto al que están sometido los miembros y el personal la Autoridad de control.

De igual forma, en las Directrices WP248 se estipula que la Autoridad de control no pondrá en peligro los secretos comerciales ni divulgará vulnerabilidades de seguridad, lo que obliga a su vez, no solo al deber de secreto de su personal, sino a implementar las medidas de seguridad necesarias que garanticen la consecución de dicho objetivo.

I. Normativa relacionada

En la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, que traspone la Directiva (UE) 2016/680. En su artículo 35 establece las condiciones para que sea obligatoria la realización de la EIPD y su artículo 36, extiende la obligación de la consulta previa

A su vez, en la propuesta de Reglamento del Parlamento Europeo y del Consejo sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas y por el que se deroga la Directiva 2002/58/CE, en el artículo 6 sobre el “Tratamiento autorizado de datos de comunicaciones electrónicas”, y el proveedor haya consultado a la Autoridad de control siendo aplicable el artículo 36, puntos 2 y 3, del Reglamento (UE) 2016/679 a la consulta previa.