(mvc, Málaga, España). Según la Agencia Española de Protección de Datos (AEPD), el Reglamento General de Protección de Datos (RGPD) establece que las organizaciones que tratan datos personales deben realizar un análisis de riesgos para establecer las medidas que sean necesarias para garantizar los derechos y libertades de las personas. Además, cuando de ese análisis se desprenda que existe un riesgo alto para la protección de datos, el RGPD exige a esas organizaciones llevar a cabo una Evaluación de Impacto en la Protección de Datos Personales (EIPD). La AEPD dispone de un listado de tratamientos de datos personales en los que es obligatorio hacer una EIPD, como establece el Reglamento en su artículo 35.4. En esa línea, la AEPD informa de la herramienta Gestiona_EIPD, para precisamente ayudar a realizar análisis de riesgos y evaluaciones de impacto a las empresas y administraciones que lleven a cabo tratamientos de datos de alto riesgo como, por ejemplo, aquellos que impliquen datos de salud o tratamientos masivos. Gestiona_EIPD puede resultar también útil para aquellas pymes que necesitan iniciarse en la realización de Evaluaciones de Impacto en Protección de Datos personales (EIPD).
Esta herramienta gratuita guiará a los responsables y encargados del tratamiento de datos en los aspectos que se deben tener en cuenta en los análisis de riesgos y las evaluaciones de impacto, proporcionando una base inicial para llevar a cabo una adecuada gestión de los mismos, incluyendo los requisitos de cumplimiento normativo aplicables y posibles medidas encaminadas a reducir o mitigar los riesgos. La Agencia recuerda que, en ningún caso, estos requisitos de cumplimiento pueden ser reemplazados por medidas alternativas técnicas u organizativas. Para más información, en la página web de la Agencia puede consultarse el Listado de elementos para el cumplimiento normativo del RGPD. Está diseñada como un cuestionario online donde el responsable debe valorar si desea hacer un análisis de riesgos o una evaluación de impacto en la protección de datos. Los datos que los responsables y encargados aporten –y que la AEPD no conserva ni monitoriza de forma alguna– les permitirán obtener la documentación básica.
Obviamente, esta documentación básica deberá ser completada por el responsable del tratamiento y, en su caso, el encargado para iniciar el análisis de riesgos o de EIPD siguiendo las indicaciones establecidas en la Guía práctica para las evaluaciones de impacto en la protección de datos personales, y analizada periódicamente de manera que en todo momento se pueda demostrar que los tratamientos se llevan a cabo de conformidad con los requisitos que establece la normativa de protección de datos. Con Gestiona_EIPD, la AEPD aporta una nueva herramienta desarrollada para fomentar y ayudar al cumplimiento de la normativa de protección de datos, que se une a otras como Facilita, diseñada para ayudar a aquellas empresas y profesionales que traten datos personales de escaso riesgo y que ya ha sido completada en casi 180.000 ocasiones. Fuente de la información y de la imagen: AEPD.