Documentos de Académico
Documentos de Profesional
Documentos de Cultura
DE Análisis de
riesgos en los
tratamientos
de datos
personales
sujetos al RGPD
Índice
1. Introducción ..................................................................................................2
2. Consideraciones generales.....................................................................3
Conceptos generales sobre gestión de riesgos.............................................3
Gestión de riesgos, ¿qué implicaciones tiene en la protección
de los datos? .....................................................................................................5
6. Anexos..............................................................................................................33
6.1. Anexo I: Plantilla de análisis de la necesidad de la realización
de una EIPD ......................................................................................................33
ǛǽǗǽ+"5,ǿ)+1&))!"!"0 /&- &Ń+!")0 1&3&!!"0!"1/1*&"+1,..36
6.3. Anexo III: Plantilla para documentar el análisis básico de riesgos ......37
ǛǽǙǽ+"5,ǿ)+1&))!"/"$&01/,!" 1&3&!!"0!"1/1*&"+1,
(Responsable de tratamiento)........................................................................38
Ǜǽǚǽ+"5,ǿ)+1&))!"/"$&01/,!" 1&3&!!"0!"1/1*&"+1,.............39
(Encargado de tratamiento) ...........................................................................39
7. Referencias.....................................................................................................40
Guia Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD
1
I Introducción
1. Introducción
El 25 de mayo de 20180" 2*-)"+!,0ļ,0!"0!")"+1/!"+3&$,/!")Reglamento 2016/679
del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las
personas físicas en cuanto al tratamiento y la libre circulación de datos personales, en ade-
)+1"Ǿ
ǽ"0!""0"*,*"+1,Ǿ0"/ç-)& )"")
60"/ç,)&$1,/&,") 2*-)&*&"+1,!"),0
/".2"/&*&"+1,06,)&$ &,+"0-/")/"0-,+0)"6")"+ /$!,!"1/1*&"+1,.2""01"&+ )26"Ǿ
entre las que destaca, la necesidad de llevar a cabo un análisis de riesgos ,+")Ɯ+!""01)" "/
*"!&!0!"0"$2/&!!6 ,+1/,)-/$/+1&7/),0!"/" %,06)&"/1!"0!")0-"/0,+0ǽ
Guia Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD
2
II Consideraciones generales
2. Consideraciones generales
Conceptos generales sobre gestión de riesgos
Gestión de riesgos "0") ,+'2+1,!" 1&3&!!"061/"0.2"-"/*&1"+ ,+1/,)/)&+ "/1&-
!2*/"/")1&32+*"+7*"!&+1"2+0" 2"+ &!" 1&3&!!"0.2"&+ )26"+)&!"+1&-
Ɯ &Ń+6"3)2 &Ń+!")/&"0$,Ǿ0ģ ,*,Ǿ)0*"!&!0-/02/"!2 &Ń+,*&1&$ &Ń+ǽ
!"+1&Ɯ /*"+706/&"0$,0
Guia Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD
3
II Consideraciones generales
,!&Ɯ &Ń+ +, 21,/&7! !" ),0 !1,0ǿ ȅ.2ć -"/'2& &, 20/ģ .2" "0123&"/ !ļ!, ,
corrupto? integridad
Guia Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD
4
II Consideraciones generales
ů)1&*#0"!")-/, "0,!"$"01&Ń+!"/&"0$,0"01/1/),0*&0*,0ǽ),'"1&3,!"1/1/),0
riesgos es disminuir su nivel de exposición con medidas de control que permitan reducir la
-/,&)&!!6ȡ,&*- 1,!".2""01,00"*1"/&)& "+ǽ)/&"0$,&+%"/"+1"0"-2"!"1/1/ ,+
"),'"1&3,!"/"!2 &/,*&1&$/")*&0*,Ǿ"+#2+ &Ń+!")*"!&!.2"0"!,-1"Ǿ%010&12/
")/&"0$,/"0&!2)"+2++&3").2"0" ,+0&!"/"/7,+)"ǽ
El RGPD busca aprovechar las ventajas que ofrece la gestión de riesgos, pero introduce
2++2"33&0&Ń+Ǿ!,+!"")#, ,!"1"+ &Ń++,0" "+1/"+)0*"+70.2"0" &"/+"+0,-
/") ,*-ļģǾ "+1/+!,021"+ &Ń+"+)0*"+700,/"),0!"/" %,06)&"/1!"0!"
),0&+1"/"0!,0ǽ"3)2 &Ń+!"),0/&"0$,0!""0"/")/"02)1!,!"2+/"Ɲ"5&Ń+0,/")0
implicaciones que los tratamientos de datos de carácter personal tienen sobre los interesados.
"1/1!""01)" "/%01.2ć-2+1,2+ 1&3&!!!"1/1*&"+1,Ǿ-,/020 / 1"/ģ01& 0Ǿ")
1&-,!"!1,0),0.2"0"/"Ɯ"/",")1&-,!",-"/ &,+"0-2"!" 20/2+!ļ,),0&+1"/"0-
!,0ǽ01""+#,.2"&*-)& "01&*/")!ļ,6)1&-,),$ģ!"!ļ,.2"0"-2"!"-/,!2 &/0,/"
),0&+1"/"0!,0Ǿ-,/"'"*-),Ǿ2+!ļ,*1"/&)!"/&3!,!")32)+"/ &Ń+!"020!"/" %,06
libertades.
Ȋ)
20 -/,3" %/
)03"+1'0.2",#/" ")
gestión de riesgos”
Guia Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD
5
III /,1" &Ń+!"!1,0!"0!"")!&0"ļ,6)$"01&Ń+!"/&"0$,0ǿȅ 2ç)!""0"/)%,'!"/210"$2&/Ȅ
El RGPD, consciente de que un tratamiento nace expuesto a riesgos con impacto en la protección
de los datos, introduce los conceptos de “protección de datos desde el diseño y por defecto”.
“El responsable del tratamiento aplicará las medidas técnicas y organizativas apropia-
!0 ,+*&/0$/+1&7/.2"Ǿ-,/!"#" 1,Ǿ0,),0"+,'"1,!"1/1*&"+1,),0!1,0
-"/0,+)"0.2"0"++" "0/&,0-/ !2+,!"),0Ɯ+"0"0-" ģƜ ,0!")1/1*&"+1,ȋǽ
6
III /,1" &Ń+!"!1,0!"0!"")!&0"ļ,6)$"01&Ń+!"/&"0$,0ǿȅ 2ç)!""0"/)%,'!"/210"$2&/Ȅ
Artículo 32 "$2/&!!!")1/1*&"+1,ǿ
Ȋ)/"0-,+0)"6")
encargado del tratamiento
aplicarán medidas técnicas
6,/$+&71&30-/,-&!0ȋ
Guia Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD
7
III /,1" &Ń+!"!1,0!"0!"")!&0"ļ,6)$"01&Ń+!"/&"0$,0ǿȅ 2ç)!""0"/)%,'!"/210"$2&/Ȅ
Guia Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD
8
III /,1" &Ń+!"!1,0!"0!"")!&0"ļ,6)$"01&Ń+!"/&"0$,0ǿȅ 2ç)!""0"/)%,'!"/210"$2&/Ȅ
,//"0-,+!" ! ,/$+&7 &Ń+Ǿ !" 2"/!, ) -/&+ &-&, !" /"0-,+0&)&!! -/, 1&3
(accountability), decidir el nivel de agregación o segregación para elaborar el registro de
1&3&!!"0!"1/1*&"+1,6!""/ç3),//%01.2ć-2+1,"0$/"$ &Ń+,0"$/"$ &Ń+
,//"0-,+!" ,+#&+)&!!"0Ǿ0"0'2/ģ!& 06$/2-,0!"&+!&3&!2,0!&01&+1,0ǽ
2"!"/"02)1/ů1&))/"0-,+0)"6)"+ /$!,!")1/1*&"+1,Ǿ)%,/!""),//")/"$&0-
1/,!" 1&3&!!"0!"1/1*&"+1,Ǿ3,)3"/)3&01),0Ɯ %"/,0 que la organización hubiera
descrito con anterioridad para comprobar, si todos los tratamientos sobre datos de carácter
-"/0,+).2")"+1&!!/")&7"01ç+/" ,$&!,0"+")),0Ǿ0&")+&3")0"-/ &Ń+,!&3&0&Ń+0&$2"
0&"+!,")!" 2!,,+,6 ,//"0-,+!"0"$/"$/,Ǿ-,/") ,+1//&,Ǿ-/,5&*/Ɯ+)&!!"0"+
2+ů+& 1&3&!!!"1/1*&"+1,-2"01,.2")Ɯ+)&!!"0)*&0*Ǿ ,//"0-,+!"2+
0"'2/ģ!& ů+& 6") ,)" 1&3,!"#" 1!,0"0")*&0*,ǽ
Ȋ&+ )26")
posibilidad de obtener
una copia del contenido
completo de la declaración
!"020Ɯ %"/,0ȋ
Guia Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD
9
III /,1" &Ń+!"!1,0!"0!"")!&0"ļ,6)$"01&Ń+!"/&"0$,0ǿȅ 2ç)!""0"/)%,'!"/210"$2&/Ȅ
& &12!Ǿ)")1!61/+0-/"+ &ǿLos datos personales deben ser tratados de manera líci-
1Ǿ)")61/+0-/"+1""+/") &Ń+ ,+")&+1"/"0!,ǽ
&*&1 &Ń+!")-)7,!" ,+0"/3 &Ń+ǿLos datos deben ser mantenidos de forma que se
-"/*&1)&!"+1&Ɯ &Ń+!"),0&+1"/"0!,0!2/+1"+,*ç01&"*-,!")+" "0/&,-/),0
Ɯ+"0!")1/1*&"+1,!"),0!1,0-"/0,+)"0ǽ
+1"$/&!!6 ,+Ɯ!"+ &)&!!ǿ Los datos deben ser tratados de tal manera que se garanti-
ce una seguridad adecuada mediante la aplicación de medidas de control apropiadas.
Adicionalmente, el artículo 5 del RPGD establece que el responsable del tratamiento deberá
$/+1&7/") 2*-)&*&"+1,!"),0-/&+ &-&,0/")1&3,0)1/1*&"+1,Ǿ0ģ ,*,Ǿ)Ɯ$2//"0-
ponsable de demostrarlo. Por tanto, es fundamental !"Ɯ+&/!" 2!*"+1")0 1&3&!!"0
de tratamiento6!, 2*"+1/),0+ç)&0&0/")&7!,0Ǿ0ģ ,*,Ǿ!"'/1/7&)&!!!"),0*&0-
*,06!")0 ,+ )20&,+"0.2"),00,-,/1+-/-,!"/$/+1&7/)/"0-,+0&)&!!-/, 1&3ǽ
10
III /,1" &Ń+!"!1,0!"0!"")!&0"ļ,6)$"01&Ń+!"/&"0$,0ǿȅ 2ç)!""0"/)%,'!"/210"$2&/Ȅ
-"/0,+06"*-/"00.2"/")&7+1/1*&"+1,0!"!1,0-"/0,+)"0.2"Ǿ-/&,/&Ǿ&*-)& /ģ+
2+"0 0,+&3")!"/&"0$,-/),0!"/" %,06)&"/1!"0!"),0&+1"/"0!,0 26,0!1,01/1+Ǿ
1"+&"+!,"+ 2"+1.2"1,!,1/1*&"+1, ,+))"32+ &"/1,+&3")!"/&"0$,ǽ
Del resultado del análisis sobre la necesidad de realizar una EIPD se puede concluir que:
Guia Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD
11
III /,1" &Ń+!"!1,0!"0!"")!&0"ļ,6)$"01&Ń+!"/&"0$,0ǿȅ 2ç)!""0"/)%,'!"/210"$2&/Ȅ
+ç)&0&0!")0)&010!"1/1*&"+1,0-/"3&01,0"+)/"$2) &Ń+ț/1ǘǚǽǘǾǘǚǽǙǾ6ǘǚǽǚȜ
+ç)&0&0!")+12/)"7Ǿ) + "Ǿ ,+1"51,6Ɯ+"0!"1/1*&"+1,ț/1ǘǚǽǖȜ
La regulación establece supuestos en los cuales es obligatorio realizar la EIPD sin necesidad de
/")&7/2++ç)&0&0!"/&"0$,0Ǿ-,/1+1,Ǿ) ,*-/, &Ń+!")0)&010602-2"01,0&+ )2&!,0"+
)/"$2) &Ń+Ǿ!""0"/")-/&*"/-0,-/!"1"/*&+/)+" "0&!!!"))"3/ ,2+ǽ
Si el tratamiento aparece en la lista de tratamientos que requieren la EIPD (art 35.4), que debe
"),// !21,/&!!!" ,+1/,)63)&!/"),*&1ć2/,-",!"/,1" &Ń+!"!1,0Ǿ0"!"-
berá documentar la casuística concreta en el informe de análisis de la necesidad de realizar la
6-/, "!"/&+& &/)*&0*ǽ
Sobre cada uno de los aspectos, se deben tener en cuenta las siguientes consideraciones:
Guia Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD
12
III /,1" &Ń+!"!1,0!"0!"")!&0"ļ,6)$"01&Ń+!"/&"0$,0ǿȅ 2ç)!""0"/)%,'!"/210"$2&/Ȅ
ȅ"% "2+0"$2&*&"+1,"5%201&3,!")0-"/0,+0Ȅ
ȅ" ,*&++!&#"/"+1"0 ,+'2+1,0!"!1,0Ȅț#2"+1"0!"&+#,/* &Ń+!&#"/"+1"0Ȝ
ȅ,0!1,00"/"Ɯ"/"+-"/0,+0"+0&12 &Ń+!"32)+"/&)&!!Ȅ
) + " !") 1/1*&"+1,ǿ " !""+ 3),// ),0 "#" 1,0 , ,+0" 2"+ &0 !") 1/1*&"+1,Ǿ
&!"+1&Ɯ +!,%01.2ć-2+1,-2"!"))"$/60&ć01"-2"!"02-,+"/2+)1,/&"0$,ǽ,/"'"*-),ǿ
Toma de decisiones
),/ &Ń+!"-"/Ɯ)"0
+ç)&0&0-/"!& 1&3,
/"01 &Ń+!"0"/3& &,0/") &,+!,0 ,+)0)2!
"$2&*&"+1,Ǿ ,+1/,)6,0"/3 &Ń+!"-"/0,+0ț*,+&1,/&7 &Ń+Ȝ
Ȋ"!""3),//")
,+'2+1,!" &/ 2+01+ &0
',)0 2)"00"/")&7/ç+
)0 1&3&!!"0!"
tratamiento”
Guia Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD
13
III /,1" &Ń+!"!1,0!"0!"")!&0"ļ,6)$"01&Ń+!"/&"0$,0ǿȅ 2ç)!""0"/)%,'!"/210"$2&/Ȅ
Derechos y libertades son todos aquellos reconocidos como fundamentales para el ordena-
*&"+1,'2/ģ!& ,Ǿ&+ )2&!,0),0/" ,$&!,0"+)/1!"),0"/" %,0 2+!*"+1)"0!")+&Ń+
2/,-"Ǿ!,+!"0"&+ )26"")!"/" %,)-/,1" &Ń+!"),0!1,0!" /ç 1"/-"/0,+)ǽ
El /1ģ 2),ǘǚǽǘ del RGPD describe los siguientes casos en los cuales se ha considerado que un
1/1*&"+1,-2"!"!"/&3/"+/&"0$,0")"3!,0ǿ
Tratamiento a gran escala de las categorías especiales de datos personales, o datos sobre
condenas e infracciones penales o medidas de seguridad conexas.
Guia Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD
14
III /,1" &Ń+!"!1,0!"0!"")!&0"ļ,6)$"01&Ń+!"/&"0$,0ǿȅ 2ç)!""0"/)%,'!"/210"$2&/Ȅ
El GT29 considera que cuantos más de los criterios mencionados cumplan un tratamiento, u
operaciones concretas del tratamiento, más probable es que suponga un alto riesgo para los
!"/" %,06)0)&"/1!"0!"),0&+1"/"0!,0ǽ&+"*/$,Ǿ")/"0-,+0)"!")1/1*&"+1,-2"-
!" ,+0&!"//.2"Ǿ-,/)+12/)"7!")1/1*&"+1,Ǿ2+.2"),01/1*&"+1,0 2*-)"+3/&,0
!"),0 /&1"/&,0*"+ &,+!,0Ǿ/")*"+1"+,%62+-/,)")1,/&"0$,ǽ+"01" 0,Ǿ%6.2"
!, 2*"+1/6/$2*"+1/!"#,/* )/)0/7,+"0-,/)0.2"+,0"))"3 ,)ǽ
En el otro extremo, para aquellos tratamientos para los cuales no es necesario realizar una
Ǿ")
ǗǞ"01)" "1*&ć+ &"/1,002-2"01,0ǽ0ģ), ,+0&!"/Ǿ-,/"'"*-),Ǿ 2+!,)
+12/)"7Ǿ")) + "Ǿ") ,+1"51,6)0Ɯ+)&!!"0!")1/1*&"+1,0,+*260&*&)/"0)0!"
2+1/1*&"+1,-/").2"60"%%" %,2+"3)2 &Ń+Ǿ, 2+!,")1/1*&"+1,1&"+" ,*,
0"'2/ģ!& ")!"/" %,!")0- &, ,+Ń*& ,2/,-",,!")01!,*&"*/,6)60"
Guia Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD
15
III /,1" &Ń+!"!1,0!"0!"")!&0"ļ,6)$"01&Ń+!"/&"0$,0ǿȅ 2ç)!""0"/)%,'!"/210"$2&/Ȅ
,*+!, "+ ,+0&!"/ &Ń+ ! 2+, !" ),0 0-" 1,0 !"0 /&1,0 6 /")&7+!, 2+ /"3" "3-
)2 &Ń+!"),0*&0*,0Ǿ0"-2"!"!"1"/*&+/0&%6+" "0&!!,+,!"))"3/ ,)ǽ0
&*-/"0 &+!&)""),//2+&+#,/*"!,+!"0"!"0 /&+),0 /&1"/&,00"$2&!,06),0/$2*"+1,0
en los que se basa la conclusión para determinar si es necesario, o no, realizar la EIPD.
Como herramienta soporte para el análisis inicial que permita determinar la necesidad de rea-
)&7/2+Ǿ6023"7-/-,!"/ /"!&1/02/")&7 &Ń+Ǿ0"!'2+1"+")Anexo I2+"'"*-
plo de plantilla con posibles cuestiones a tener en cuenta para analizar la necesidad de realizar
una EIPD.
Ȋ61/1*&"+1,0#2"/
de estos supuestos que
pueden presentar riesgos
")"3!,06-/),0 2)"0"0
necesario realizar una EIPD”
Guia Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD
16
IV "$&01/,!" 1&3&!!"0!"1/1*&"+1,
4. Registro de actividades de
tratamiento
"0 /&- &Ń+ǿȅ2ć"02+/"$&01/,!" 1&3&!!"0!"1/1*&"+1,Ȅ
“Cada tratamiento
incluirá la recogida,
registro, organización,
estructuración, consulta o
utilización de los datos”
Guia Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD
17
IV "$&01/,!" 1&3&!!"0!"1/1*&"+1,
,/1+1,Ǿ"0#2+!*"+1).2"")/"$&01/,!" 1&3&!!"0"01ć-"/*+"+1"*"+1" -
12)&7!,6"+2+#,/*1, )/,6)"$&)".2"# &)&1"02 ,*-/"+0&Ń+-,/-/1"!"1"/-
"/,0ǽ)/"$&01/,!" 1&3&!!"0!"1/1*&"+1,0"!"""+1"+!"/Ǿ+" "0/&*"+1"Ǿ
,*,2+!, 2*"+1,3&3,Ǿ.2"requiere revisión continua 6 12)&7 &Ń+ !3"7
.2"0"-/,!27 2+ *&,/")"3+1""+)$2+ 1&3&!!!"1/1*&"+1,/"$&01/!ǽ
Artículo 30
Guia Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD
18
IV "$&01/,!" 1&3&!!"0!"1/1*&"+1,
Ȋ!"+ /$!,6Ǿ"+02
caso, su representante
))"3/ç2+/"$&01/,
!")0 1&3&!!"0!"
tratamiento efectuadas
',02/"0-,+0&)&!!ȋ
Guia Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD
19