Desde el 25 de mayo de 2018 que entró en vigor el Reglamento General de Protección de Datos, se ha puesto de manifiesto un importante cambio de ‘modelo’ a la hora de interpretar y aplicar las exigencias normativas al respecto. De esta manera, podemos decir que hemos pasado de un mero cumplimiento material a la proactividad que cada responsable o encargado de tratamiento debe llevar a cabo, presuponiendo entre otras, la evaluación de riesgos y la realización de evaluaciones de impacto del tratamiento de los datos personales.
Bajo esta nueva perspectiva, ya no es suficiente el solo cumplimiento activo de los deberes exigidos en la normativa; sino, que además, se exige una gestión proactiva por parte del Responsable o del Encargado; gestión que se traslada a estos últimos mediante procedimientos como el análisis de los riesgos derivados del propio tratamiento de los datos personales del interesado, la elaboración de una evaluación de impacto cuando de dicho análisis de riesgos se concluye un alto nivel de riesgo, etc.
En todo caso, el objetivo final de estos procedimientos debería ser la identificación, evaluación y gestión de los riesgos a los que están expuestas aquellas actividades de tratamiento que, por el uso de nuevas tecnologías, naturaleza, alcance, contexto o fines, entrañen un alto riesgo para los derechos y libertades de las personas físicas cuyos datos traten.
Está claro que los puntos claves que siempre debemos tener en cuenta cuando hablamos de estos conceptos son fundamentalmente dos, a saber: en primer lugar, el análisis de riesgos así como, en su caso, la PIA (Privacy Impact Assestment), que tienen un carácter claramente proactivo y en consecuencia deben efectuarse antes del inicio del tratamiento, sin que esto exima de la obligación posterior de que estemos atentos a posibles modificaciones futuras del tratamiento que implicarían la necesidad de actualización de dichos procedimientos. En segundo lugar, ambos procedimientos se refieren a la necesidad de proteger los derechos y libertades de las personas físicas. Este último punto es muy importante porque muchas veces mezclamos el ámbito de protección de datos personales con la protección de la información (financiera, de producción, administrativa, etc.) que maneja una entidad en general. Sin duda, en muchos casos este enfoque es útil y aceptable, pero en este caso concreto nos llevaría confundir las respectivas exigencias de la normativa con exigencias de otros sistemas ‘generalistas’ de gestión de información como puede ser un sistema según norma ISO 27001 o, en el sector público, el Esquema Nacional de Seguridad.
En consecuencia, es de vital importancia conocer cómo debemos enfocar los procedimientos de análisis de riesgos y evaluación de impacto para dar cumplimiento con las exigencias respectivas de la normativa vigente de protección de datos, haciendo especial énfasis a las implicaciones de estos procedimientos en la materia de prevención de blanqueo de capitales. Para ello, sin duda, la formación de la mano de expertos en la mantera cobra especial importancia.
Certified Data Privacy Profesional (CDPP).
0 comentarios