LA OBLIGACIÓN
La diferencia con la anterior LOPD es que el RGPD no establece un listado de medidas de seguridad que tengan que aplicarse en función del tipo de datos a tratar, sino que establece que los Responsable y encargados aplicaran las medidas técnicas y organizativas adecuadas al riesgo que comporte el tratamiento. Esto va a suponer realizar una Evaluación de los riesgos relacionados a cada tratamiento y establecer las medidas de seguridad a implementar.
Los responsables del tratamiento estarán obligados a realizar una Evaluación de Impacto sobre Protección de Datos (EIPD), con carácter previo a la puesta en marcha de los tratamientos que tengan un posible alto riesgo para los derechos y libertades de los interesados.
Cuando el análisis de riesgo se realice sobre tratamientos comenzados con anterioridad a la entrada en vigor del RGPD, los responsables deberán realizar una EIPD sobre los mismos para poder adoptar los medios adecuados a lo establecido en el RGPD.
Si al realizar una EIPD se identifica un tratamiento de alto riesgo y según el responsable no se puede reducir por medios razonables en términos de tecnología disponible y costes de aplicación, el responsable consultará con la autoridad de control. Adjuntará la documentación que prevé el RGPD, incluyendo la EIPD. La autoridad de control emitirá recomendaciones o ejercerá los poderes que le confiere el RGPD, como el de prohibir el tratamiento.
IMPORTANTE
La siguiente lista indica, actualmente, lo que se considera un tratamiento con alto riesgo:
- La elaboración de perfiles sobre cuya base se toman decisiones que produzcan efectos jurídicos sobre los interesados o les afecten de modo similar.
- Tratamiento a gran escala de datos sensibles (definición)
- Observación sistemática a gran escala de una zona de acceso público.
Para evaluar si un tratamiento se realiza a gran escala debemos valorar:
- Número de interesados afectados
- El volumen de datos y la variedad de la actividad de los datos tratados
- La duración o permanencia de la actividad del tratamiento
- La extensión geográfica de la actividad de tratamiento
Las autoridades de protección de datos están obligadas a confeccionar listados adicionales que requieran una EIPD. También elaboraran listas de tratamientos en los que no requiera una EIPD.
La elaboración de estos listados no excluyentes que los responsables realicen una análisis de riesgo y si el tratamiento puede suponer un alto riesgo para los derechos y libertades de los usuario, realizará el Responsable una EIPD, aunque el tratamiento no esté incluido en el listado.
Se podrá realizar una única EIPD para varios tratamientos similares que supongan altos riesgos similares.
Podría ser necesario realizar una nueva EIPD si cambian las condiciones del tratamiento o cuando cambien los riesgos asociadas al mismo.