Niveles de riesgo

Con el RGPD desaparecen los niveles de seguridad, pero la actuación debe enmarcarse en función de los niveles de riesgos que entrañe el tratamiento de datos efectuados sobre los derechos y libertades de los interesados.

En este sentido el RGPD enumera a modo de ejemplo en su considerando 75 una serie de tratamientos que pueden considerarse de riesgo para los derechos y libertades de los interesados.

Tratamiento que puede dar lugar problemas de discriminación,

usurpación de identidad o fraude,

pérdidas financieras,

daño para la reputación,

pérdida de confidencialidad de datos sujetos al secreto profesional,

reversión no autorizada de la seudonimización o

cualquier otro perjuicio económico o social significativo

Tratamiento que pueda privar a los interesados de sus derechos y libertades o impedirles ejercer el control sobre sus datos personales;

Tratamiento de datos personales sensibles que revelen origen étnico o racial,

Las opiniones políticas,

la religión o creencias filosóficas,

la militancia en sindicatos,

el tratamiento de datos genéticos,

datos relativos a la salud o

datos sobre la vida sexual, o

las condenas e infracciones penales o

medidas de seguridad conexas;

Tratamiento en la elaboración de perfiles, en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo,

situación económica,

salud,

preferencias o intereses personales,

fiabilidad o comportamiento,

situación o movimientos,

con el fin de crear o utilizar perfiles personales;

Tratamiento de datos personales de personas físicas vulnerables, en particular de niños;

Tratamiento que implica una gran cantidad de datos personales y que afecta a un gran número de  Interesados.

 

Por otro lado, y según el considerando 76, dicho riesgo deberá ponderarse en algunos casos y evaluarse de forma objetiva en otros para determinar si existe un "riesgo" o un "riesgo alto".

 

 

Por tanto y a diferencia de nuestra actual normativa, el enfoque de aproximación al riesgo supone que las medidas y políticas de protección de datos a implantar no serán iguales para todos los responsables y encargados, si no que en función del riesgo que se produzca en el tratamiento de datos para los derechos y libertades de los afectados y su ponderación se aplicarán unas u otras.

 

Esté análisis basado en el riesgo supone que desde ahora el cumplimiento de las obligaciones derivadas de la nueva norma ya no se puede hacer "en automático", con modelos estándar, sino que el consultor debe implicarse, evaluar, ponderar y  personalizar en cada caso concreto.