En este post nos centraremos en el análisis de dos de las medidas de responsabilidad activa para el tratamiento de datos personales más relevantes: el análisis del riesgo y el registro de actividades y operaciones de tratamiento de datos.
El análisis del riesgo en el tratamiento de datos
El riesgo que el tratamiento de datos personales pueda suponer para los derechos y libertades de los interesados condiciona las medidas a adoptar.
Por regla general, las medidas se modularán en función del nivel y tipo de riesgo, salvo en aquellos casos en los que dicho riesgo sea muy elevado, para los cuales hay previstas medidas específicas.
Todos los responsables del tratamiento de datos deberán llevar a cabo un análisis del riesgo, basándose en:
- Los tipos de tratamiento.
- La naturaleza de los datos.
- El número de sujetos interesados.
- El volumen y variedad de tratamientos a realizar.
En cuanto a la metodología de análisis, esta variará en función del tipo de empresa. Así, las grandes organizaciones deberán utilizar uno de los métodos de análisis de riesgo existentes, mientras que las organizaciones más pequeñas y con tratamientos de datos poco complejos, podrán llevar a cabo un análisis basado en una reflexión documentada. Esta reflexión deberá tratar cuestiones como:
- La sensibilidad de los datos.
- El volumen de sujetos interesados.
- La elaboración de perfiles.
- El cruce de datos con otras fuentes de información.
- La finalidad del uso y tratamiento de los datos.
- El volumen de los datos a tratar.
- La utilización de tecnologías invasivas de la privacidad.
Los responsables y encargados del tratamiento de datos deberán aplicar una serie de medidas para garantizar la conformidad de las operaciones de tratamiento con el RGPD, que se modularán en función del nivel y tipo de riesgo.
El registro de las actividades y operaciones de tratamiento de datos
Los responsables y encargados también deben mantener un registro de operaciones de tratamiento de los datos, incluyendo, entre otras cosas:
- El nombre y los datos de contacto del responsable y del Delegado de Protección de Datos (DPD).
- Las finalidades que tiene el tratamiento de los datos.
- Una descripción de las categorías de los interesados y de los datos tratados.
- La información sobre transferencias internacionales de los datos.
Para confeccionar este registro, las empresas pueden optar por hacerlo a partir de los datos transmitidos previamente al Registro General de Protección de Datos, indicando cuáles son las operaciones a realizar sobre cada conjunto de datos estructurados, o bien a partir de operaciones de tratamiento de datos concretas que estén vinculadas a una finalidad básica y común a todas ellas, o bien siguiendo criterios distintos.