guiasjuridicas.es - Documento
El documento tardará unos segundos en cargarse. Espere, por favor.
Riesgo y alto riesgo (Protección de D...
Ocultar / Mostrar comentarios

Riesgo y alto riesgo (Protección de Datos)

La aproximación basada en el riesgo (risk-based approach) es clave en el Reglamento (UE) 2016/679, ya que determina algunas de las obligaciones relevantes previstas en el mismo con la finalidad de mitigar el riesgo que implica todo tratamiento de datos personales, tales como la relativa a la evaluación de impacto relativa a la protección de datos.

Proteccion de Datos Personales
Protección de datos
Aproximación basada en el riesgo; risk-based approach

¿Qué se entiende por riesgo en protección de datos?

El Reglamento (UE) 2016/679, de 27 de abril de 2016 (en adelante, RGPD) no define qué se entiende por riesgo, si bien los requisitos exigibles a quienes tratan datos personales se han previsto en virtud de una aproximación basada en el riesgo que implica el tratamiento de datos personales.

En este sentido, a lo largo del articulado del RGPD hay varias referencias relevantes al riesgo. Por ejemplo, en el apartado 1 del artículo 24 del RGPD se indica que teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. De esta referencia, resulta claro que todo tratamiento de datos personales implica un riesgo para los derechos y libertades de las personas físicas a las que se refieren los datos personales.

Al respecto, es necesario atender, como el tratamiento de datos personales implica un riesgo porque puede dar lugar a daños y perjuicios físicos, materiales o inmateriales, de manera que quien trata los datos personales tiene que adoptar medidas técnicas y organizativas apropiadas o adecuadas en función del riesgo o riesgos existentes para gestionarlos.

En cuanto a la aproximación basada en el riesgo, el Comité Europeo de Protección de Datos indicó que no es un concepto nuevo, ya que se encontraba ya en la Directiva 95/46/CE, derogada por el RGPD desde el 24 de mayo de 2018, y que va más allá de una aproximación que se limita a la basada en el daño (harm-based-approach) para considerar todo efecto adverso que el tratamiento de los datos personales pueda tener en los derechos y libertades fundamentales del interesado como consecuencia del tratamiento de sus datos personales.

¿Qué es el riesgo inherente y el riesgo residual?

En las Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento entraña probablemente un alto riesgo a efectos del Reglamento (UE) 2016/679, WP 248 rev.01, adoptadas el 4 de octubre de 2017, el Comité Europeo de Protección de Datos (CEPD), que las adoptó como propias al haber sido publicadas inicialmente por el Grupo de Trabajo del Artículo 29, indica que los responsables deben evaluar continuamente los riesgos creados por sus actividades de tratamiento a fin de identificar cuando es probable que un tipo de tratamiento entrañe «un alto riesgo para los derechos y libertades de las personas físicas».

El CEPD explica en estas directrices que un «riesgo» es un escenario que describe un acontecimiento y sus consecuencias, estimado en términos de gravedad y probabilidad. Por otra parte, la «gestión de riesgos» puede definirse como las actividades coordinadas para dirigir y controlar una organización respecto al riesgo.

Al respecto, la Agencia Española de Protección de Datos (AEPD), en su Guía práctica para las evaluaciones de impacto en la protección de los datos sujetas al RGPD, define dos conceptos relevantes, que son los relativos a riesgo inherente o intrínseco y riesgo residual.

En concreto, por riesgo inherente se entiende el riesgo intrínseco de cada actividad, sin tener en cuenta las medidas de control que mitigan o reducen su nivel de exposición. El riesgo inherente surge de la exposición que se tenga a la operación de tratamiento en particular y de la probabilidad de que la amenaza asociada al riesgo se materialice, y por riesgo residual se entiende el riesgo de cada actividad una vez se hayan aplicado las medidas de control para mitigar y/o reducir su nivel de exposición. A diferencia del riesgo inherente, el riesgo residual contempla las medidas de control definidas sobre la actividad de tratamiento para valorar la probabilidad y/o el impacto asociado al riesgo.

¿Cuándo y cómo se refiere el RGPD al riesgo?

En el Considerando 76 del RGPD se explica que la probabilidad y la gravedad del riesgo para los derechos y libertades del interesado debe determinarse con referencia a la naturaleza, el alcance, el contexto y los fines del tratamiento de datos. El riesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto.

Es así que, además de la referencia ya indicada, el RGPD se refiere de nuevo al riesgo al incluir el principio de protección de datos desde el diseño, ya que en apartado 1 del artículo 25 del RGPD indica que teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas.

También cuando, en el apartado 5 del artículo 30 del RGPD, se refiere a la obligación de responsables y encargados del tratamiento de llevar a cabo un registro de actividades cuando el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, lo que supone una excepción al requisito de 250 empleados para que sea aplicable la obligación de dicho registro de actividades.

También se refiere al riesgo el artículo 32 del RGPD, relativo a la seguridad de los datos personales. El riesgo, para los derechos y libertades fundamentales de los interesados cuyos datos personales son objeto de tratamiento, es también el criterio que se debe considerar cuando se impone a los responsables del tratamiento la obligación de notificar una violación de la seguridad de los datos personales a la autoridad de protección de datos o de control (artículo 33 RGPD). Y el riesgo es también a lo que debe atender el delegado de protección de datos para desempeñar sus funciones, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento, tal como indica el apartado 2 del artículo 39 del RGPD.

A diferencia del riesgo, el RGPD se refiere al alto riesgo que pueda implicar el tratamiento de datos personales para determinar cuándo son aplicables otras obligaciones previstas. En concreto, la evaluación de impacto relativa a la protección de datos tendrá que llevarse a cabo por el responsable del tratamiento cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas (apartado 1 del artículo 35 del RGPD), y si el resultado de la misma muestra que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para para mitigarlo entonces será necesario llevar a cabo, antes de iniciar el tratamiento de los datos personales, una consulta previa a la autoridad competente de protección de datos (art. 36 del RGPD). Y, por último, el alto riesgo es el criterio a considerar, salvo excepciones, para que el responsable considere someter las operaciones de tratamiento a una Evaluación de Impacto.

Sin perjuicio de lo anterior, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) se refiere también al riesgo como uno de los factores o cuestiones a considerar para que, según corresponda, el responsable o el encargado del tratamiento puedan determinar la dedicación a tiempo completo o parcial del delegado de protección de datos.

¿Cómo evaluar el alto riesgo que pueda entrañar el tratamiento de datos?

La evaluación de si el tratamiento entraña un alto riesgo ha sido objeto específico de las directrices del CEPD ya citadas. En primer lugar, el CEPD se refiere a lo ya dispuesto en el apartado 3 del artículo 35 del RGPD, que incluye tres ejemplos de tratamientos de datos personales que es probable que entrañe un alto riesgo y que son los relativos a: a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar, b) tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1 [que son las categorías especiales de datos], o de los datos personales relativos a condenas e infracciones penales a que se refiere elartículo 10 del RGPD, y c) observación sistemática a gran escala de una zona de acceso público.

Y el CEPD añade nueve criterios que, en su caso, podrían tenerse en consideración para determinar si un tratamiento de datos personales entraña probablemente un alto riesgo. Estos criterios son los relativos a:

  • 1) evaluación o puntuación de los interesados, incluida la elaboración de perfiles y la predicción,
  • 2) la toma de decisiones automatizadas con efectos jurídicos significativos o que afecte significativamente de modo similar,
  • 3) la observación sistemática de interesados,
  • 4) los datos sensibles (especialmente protegidos) o muy personales,
  • 5) el tratamiento de datos a gran escala,
  • 6) la asociación o combinación de conjuntos de datos,
  • 7) los datos relativos a interesados vulnerables, tales como niños, empleados o grupos más vulnerables de la población que necesitan una especial protección,
  • 8) el uso innovador o la aplicación de nuevas soluciones tecnológicas u organizativas, y
  • 9) cuando el tratamiento impida a los interesados ejercer un derecho o utilizar un servicio o ejecutar un contrato. Si se cumplen dos de estos criterios, el CEPD indica que el responsable del tratamiento debe considerar realizar una evaluación de impacto relativa a la protección de datos.

En la LOPDGDD, por lo que se refiere a la adopción de medidas tales como el análisis de riesgo o la evaluación de impacto relativa a la protección de datos, se indica que se tendrán en cuenta, en particular, los mayores riesgos que podrían producirse cuando: el tratamiento pudiera generar situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados; el tratamiento pudiese privar a los afectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales; el tratamiento no sea meramente incidental de categorías especiales de datos, datos relativos a la comisión de infracciones penales o de infracciones administrativas; el tratamiento implicase una evaluación de aspectos personales de los afectados con el fin de crear o utilizar perfiles personales de los mismos, en particular mediante el análisis o la predicción de aspectos referidos a su rendimiento en el trabajo, su situación económica, su salud, sus preferencias o intereses personales, su fiabilidad o comportamiento, su solvencia financiera, su localización o sus movimientos; el tratamiento sea de datos de grupos de afectados en situación de especial vulnerabilidad y, en particular, de menores de edad y personas con discapacidad; el tratamiento sea masivo que implique a un gran número de afectados o conlleve la recogida de una gran cantidad de datos personales; los datos personales se transfieran, con carácter habitual, a terceros países u organizaciones internacionales sin nivel adecuado, y otros que a juicio del responsable o del encargado pudieran tener relevancia y en particular aquellos previstos en códigos de conducta y estándares definidos por esquemas de certificación.

Recuerde que...

  • Se entiende que todo tratamiento de datos personales implica un riesgo para los interesados cuyos datos personales son objeto de tratamiento.
  • Se trata de los riesgos para los derechos y libertades de las personas físicas, derivados del tratamiento de los datos personales y que pueden provocar daños y perjuicios físicos, materiales o inmateriales.
  • Si el tratamiento de los datos personales entraña un alto riesgo, habrá que cumplir unas obligaciones específicas, como la evaluación de impacto relativa a la protección de datos, la consulta previa a la autoridad de control o la comunicación de violaciones de la seguridad de los datos personales a los interesados.
Subir