Acorde al RGPD lo primero es desarrollar un correcto Análisis de Riesgos. Manejaremos el riesgo de dos formas:
1. En algunos casos, prevé que determinadas medidas solo deberán aplicarse cuando el tratamiento suponga un alto riesgo para los derechos y libertades (por ejemplo, Evaluaciones de impacto sobre la Protección de Datos). Éstos son los menos pero es importante identificarlos para no tener una “falsa” sensación de cumplimiento de la ley.
2. En otros casos, los más habituales, las medidas deberán modularse en función del nivel y tipo de riesgo que el tratamiento conlleve (por ejemplo, con las medidas de Protección de Datos desde el Diseño, la Ciberseguridad o el Entorno de trabajo). Las medidas de seguridad han de ser acordes a la naturaleza de los datos y ajustadas a la empresa y siempre han de garantizar un espacio “suficientemente seguro”.
Con respecto a las obligaciones que se establecen a los responsables del tratamiento, todos deberán realizar una valoración del riesgo de los tratamientos que realicen, a fin de poder establecer qué medidas deben aplicar y cómo deben hacerlo. El tipo de análisis variará en función de:
1. los tipos de tratamiento,
2. la naturaleza de los datos,
3. el número de interesados afectados,
4. la cantidad y variedad de tratamientos que una misma organización lleve a cabo.
Para las grandes organizaciones: como regla general, el análisis deberá llevarse a cabo utilizando alguna de las metodologías de análisis de riesgo existentes. Éstas son dinámicas y cambiantes y por ello deben ser atendidas por profesionales acreditados.
Para organizaciones de menor tamaño (enorme mayoría de Pymes) y con tratamientos de poca complejidad: el análisis será el resultado de una reflexión, mínimamente documentada, sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados. En este caso podemos acudir a un profesional, Delegado de Protección de Datos, pero no lo veamos con obligatoriedad.
