Una de las principales obligaciones de las empresas en materia de protección de datos es tener documentado un análisis de los riesgos para los derechos de sus clientes, usuarios o de sus trabajadores. Todas las empresas deberían realizar uno, aunque sea básico.
Consiste en un análisis de mínimos que tiene como objetivo simplificar el proceso de análisis de riesgos en aquellas actividades de tratamiento con baja exposición al riesgo.
Los datos tienen un ciclo de vida que sirve para comprender su función dentro de la información que se utiliza en una empresa y se puede dividir en 5 principales etapas:
- Captura de datos
- Clasificación/Almacenamiento
- Uso/Tratamiento
- Transmisión a un tercero
- Destrucción
Deberemos analizar los riesgos de los datos en cada una de estas etapas, debiéndose:
- Documentar las actividades de tratamiento y realizar el obligatorio registro de actividades de tratamiento (artículo 30 del Reglamento Europeo de Protección de Datos)
- Describir que acciones realizamos en cada una de esas actividades de tratamiento
Especialmente relevante es el Considerando 76 que nos indica que:
- La probabilidad y la gravedad del riesgo para los derechos y libertades del interesado debe determinarse con referencia a la naturaleza, el alcance, el contexto y los fines del tratamiento de datos y
- El riesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto
Este análisis de riesgos se asimila a otros ya conocidos como la serie ISO 27000, pero introduce una nueva visión donde el foco de atención se centra en los derechos y libertades de los interesados.
Se trata de establecer hasta qué punto una actividad de tratamiento puede causar un daño a los interesados.
