/
Anàlisi de riscos en protecció de dades

Anàlisi de riscos en protecció de dades

Inici | Següent Portal de Suport

El Reglament General de Protecció de Dades (RGPD) estableix que les mesures de compliment per als responsables i encarregats del tractament han d'aplicar-se en funció del risc que els tractaments suposin per als drets i llibertats de les persones interessades.

Per aquest motiu, tant els responsables com els encarregats han de dur a terme una valoració del risc dels tractaments que realitzen per tal de determinar quines mesures aplicar i com fer-ho. Aquest anàlisi de risc variarà en funció de diversos factors, entre els quals s'inclouen:

  • Els tipus de tractament.

  • La naturalesa de les dades.

  • El nombre de persones interessades afectades.

  • La quantitat i varietat de tractaments que realitza una mateixa organització.

 

Metodologies segons la mida de l'organització

En les grans organitzacions, com a regla general, l'anàlisi de risc ha de realitzar-se utilitzant alguna de les metodologies d’anàlisi de risc existents.

En canvi, en ajuntaments de menor mida i amb tractaments de poca complexitat, l'anàlisi serà el resultat d'una reflexió, mínimament documentada, sobre les implicacions dels tractaments en els drets i llibertats de les persones interessades.

 

Aspectes a considerar en l'anàlisi de risc

L'anàlisi de risc ha de respondre a diverses qüestions per determinar el nivell de risc associat a un tractament de dades. A mesura que augmenta el nombre de respostes afirmatives a les següents preguntes, també ho fa el risc derivat del tractament:

  • Es tracten dades sensibles?

  • S'inclouen dades d'un gran nombre de persones?

  • El tractament implica l'elaboració de perfils?

  • Es creuen dades obtingudes dels interessats amb altres disponibles en altres fonts?

  • Es preveu utilitzar les dades recollides per a una finalitat diferent de la inicialment prevista?

  • Es gestionen grans quantitats de dades, incloent-hi tècniques d'anàlisi massiu com el Big Data?

  • S’utilitzen tecnologies especialment invasives per a la privacitat, com la geolocalització, la videovigilància a gran escala o aplicacions de l’Internet de les Coses?

Si la resposta a aquestes preguntes i altres similars és negativa, es pot concloure de manera raonable que l'organització no realitza tractaments que generin un alt nivell de risc i que, per tant, no necessita implementar les mesures previstes per a aquests casos.

L’anàlisi de risc és una eina fonamental per garantir el compliment del RGPD i protegir els drets dels ciutadans en matèria de protecció de dades. Les administracions públiques han d’assegurar-se que aquesta anàlisi es realitza de manera adequada, adaptant-se a les característiques i necessitats de cada organització.