Análisis de riesgos en el tratamiento de los datos

El Reglamento europeo de protección de datos obliga a la aplicación de medidas siempre que pueda existir un riesgo en los tratamiento de los datos personales de clientes y usuarios para los derechos de los mismos.

Como responsable de los ficheros o del tratamiento, incluso como encargado del mismo, debes evaluar los riesgos que el tratamiento que vas a realizar puede afectar a los derechos de los clientes o usuarios, sobre todo en el ámbito de la protección de sus datos y aplicar medidas técnicas u organizativas necesarias para evitar el riesgo.

Como responsable del fichero o del tratamiento, estarás obligado a realizar una valoración de los riesgos en los tratamientos que realices para establecer cuáles son las medidas correctas. Deberás tener en cuenta:

• los tipos de tratamiento que realizas

• la naturaleza de los datos

• el número de interesados afectados

• el número y variedad de los tratamientos

En estos casos, y si tus tratamientos de datos no son complejos, tu análisis podría ser el resultado de analizar y pensar  qué implicaciones podrían tener tus tratamientos en los derechos de clientes o usuarios, si bien, deberás documentarlo mínimamente.

Para evaluar el riesgo deberás responder a estas preguntas:

• ¿Se tratan datos sensibles?
• ¿Se incluyen datos de una gran cantidad de personas?
• ¿Incluyes en tu tratamiento la elaboración de perfiles personales?
• ¿Cruzas los datos obtenidos de los clientes o usuarios con otros de otras fuentes?
• ¿Vas a utilizar los datos obtenidos para otras finalidades no previstas, ni consentidas?
• ¿Estás tratando muchos datos con técnicas de análisis masivo (big data)?
• ¿Utilizas técnicas que invaden la privacidad de los clientes o usuarios, como la geolocalización, videovigilancia a gran escala o ciertas aplicaciones del Internet de las cosas?

Si las respuestas a estas preguntas fueran negativas, tú o tu empresa, podríais estar dentro de la categoría de aquellas empresas u organizaciones que no tienen un elevado nivel de riesgo y por lo tanto, no estarías obligado a llevar a cabo las medidas concretas aplicables a esos casos.

En los casos de empresas u entidades de cierto tamaño, necesariamente estaréis obligados a realizar la correspondiente evaluación de riesgos de los tratamientos de datos.

El Reglamento General de Protección de Datos  se aplica al tratamiento de datos personales de clientes o usuarios que residan en la Unión por parte de un responsable o encargado no establecido, cuando las actividades de tratamiento estén relacionadas con:

• la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago

• el control de su comportamiento, en la medida en que este tenga lugar en la Unión

En estos casos, el encargado del fichero o tratamiento estará obligado a nombrar un representante en la Unión Europea, salvo que el tratamiento de datos sea ocasional, y no sean datos sensibles, y tampoco cuando el responsable sea una autoridad u organismo público.

En estos casos, podrá la Agencia Española de Protección de datos o algún organismo autonómico al respecto, imponer en España, a tu representante solidariamente contigo,las medidas que sean necesarias.

En ese caso, tu representante estaría habilitado para exigirte a tí esas responsabilidades. Además tú y tu representante seréis responsables de las posibles indemnizaciones que pudiera solicitar un cliente o usuario por algún tipo de infracción a sus derechos.