La AEPD edita dos guías voluntarias sobre análisis de riesgos y evaluación de impacto

La Agencia Española de Protección de Datos (AEPD) aclara el camino para cumplir con las obligaciones que introduce el reglamento europeo, que será de obligado cumplimiento a partir del 25 de mayo.

S.Valle. Madrid | 28/02/2018 12:57

Mar España, directora de la Agencia Española de Protección de Datos, y Andrés Calvo, coordinador de la Unidad de Evaluación y Estudios Tecnológicos de la Agencia, durante la presentación de las guías sobre análisis de riesgos y evaluación de impacto. (DM/CF)

El reglamento europeo de protección de datos recoge la obligación para las empresas y administraciones públicas de realizar un análisis de riesgos sobre tratamiento de datos, de cara a la propia organización, y una evaluación del impacto que el manejo de esta información tiene para terceros. Los artículos de la norma europea que contemplan estas medidas son el 32 y el 35. Con el objetivo de facilitar su cumplimiento, la Agencia Española de Protección de Datos (AEPD) ha elaborado dos guías en las que se propone un itinerario para observar la regulación.

La hoja de ruta propuesta por la AEPD en estos documentos no es obligatoria ni supone el cumplimiento automático de la ley. Andrés Calvo, coordinador de la Unidad de Evaluación y Estudios Tecnológicos de la Agencia, lo dejó claro en la presentación de los dos documentos, durante el acto celebrado este miércoles en la sede de la AEPD.

Los artículos de la norma europea que contemplan estas medidas son el 32 y el 35"

"Son una propuesta para afrontar el cumplimiento normativo, pero no son la solución, puede haber otras. Están inspiradas en las normas ISO y no son de obligado cumplimiento, pues las empresas son libres de adoptar otra metodología que esté en el mercado", apunta Calvo.

El deber de realizar el análisis de riesgo y la evaluación del impacto, la norma la condiciona al volumen de información que maneje la empresa, sin fijar una cifra aclaratoria. En este sentido, Calvo recordó que "el grupo de trabajo del artículo 29 ha apuntado que el riesgo no depende solo del volumen de los datos, pues un tratamiento intensivo de información, por ejemplo, también sería de alto riesgo, aunque no fuera masivo". En definitiva, esta redacción de la ley obliga a un estudio de cada caso.

Están inspiradas en las normas ISO y no son de obligado cumplimiento"

La presentación arrancó con la intervención de Mar España, directora de la AEPD, quien anunció la próxima publicación de una tercera guía sobre brechas de seguridad. España tranquilizó a los sectores empresariales presentes en el acto y reiteró la intención de la Agencia de acompañarles en la aplicación del reglamento europeo.

Además, señaló que la Agencia apuesta por "una puesta en marcha flexible de esta norma". Anunció reuniones sectoriales para aclarar interpretaciones y advirtió que aunque el reglamento prevé acudir a la Agencia cuando haya dudas (artículo 36), el grupo dedicado a resolver estas cuestiones estaba formado por cuatro personas.

A la presentación estaban convocadas las asociaciones empresariales, que llenaron las dos salas contiguas que la Agencia había reservado.