Factores de riesgo que se derivan del fin declarado del tratamiento y otros fines vinculados al propósito principal.
Factores de riesgo relacionados con el ámbito del tratamiento que se derivan de los datos recogidos, procesados o inferidos en el tratamiento.
Factores de riesgo relacionados con el ámbito del tratamiento relativos al número de sujetos afectados, la diversidad de datos o aspectos tratados, la duración en el tiempo, el volumen de datos, la extensión geográfica, la exhaustividad sobre la persona, la frecuencia de recogida, etc.
Factores de riesgo relacionados con el ámbito del tratamiento relativos a la categoría de interesados, como empleados, menores, mayores, personas en situación de vulnerabilidad, víctimas, discapacitados, etc.
Factores de riesgo que se derivan de la naturaleza del tratamiento al implementarse con determinadas características técnicas o tecnologías.
Factores de riesgo que se derivan de la naturaleza del tratamiento al recogerse o generarse datos de forma específica.
Factores de riesgo que se derivan del contexto del tratamiento al poder generarse consecuencias no contempladas en los propósitos originales previstos del tratamiento. En este caso, no se ha evaluado por la AEPD el nivel de riesgo, sino solo el impacto que podría tener. El responsable tendrá que evaluar la probabilidad de que estas amenazas se materialicen en su tratamiento, por lo que se deja la columna “Probabilidad” vacía. Una vez completada, podrá determinar el nivel de riesgo empleando, por ejemplo, la matriz de riesgo “probabilidad x impacto” de la Guía.
Factores de riesgo que se derivan del contexto específico del sector de actividad, modelo de negocio o tipo de entidad. En este caso, entendido generalmente para tratamientos que no forman parte de los procesos de soporte de la entidad.
Factores de riesgo que se derivan del contexto en el que se realizan las comunicaciones de datos a terceros en el marco del tratamiento.
Es necesario estudiar las peculiaridades del tratamiento para identificar factores de riesgo para los derechos y libertades que no estén identificados explícitamente en el RGPD o en su desarrollo. El responsable de llevar a cabo el análisis de riesgos ha de realizar un análisis crítico de su tratamiento para señalar aquellas situaciones singulares que podrían tener afectación desde el punto de vista de los riesgos introducidos. En particular, los identificados en los códigos de conducta a los que se está adherido a los esquemas de certificación.
Factores de riesgo que se derivan de la posible materialización de brechas de seguridad sobre los datos personales.
FECHA
Finalidades | No hay datos |
---|---|
Tipos | No hay datos |
Extensión | No hay datos |
Interesados | No hay datos |
Técnicas | No hay datos |
Recogida | No hay datos |
Efectos | No hay datos |
Responsables | No hay datos |
Comunicaciones | No hay datos |
Otros | No hay datos |
Seguridad | No hay datos |
Este informe tiene carácter de documento de soporte a la realización de la gestión del riesgo, y en ningún caso la sustituye, ni reemplaza a las obligaciones de responsables y encargados. La utilización de herramientas no puede reducir el cumplimiento de la responsabilidad proactiva a una cuestión meramente formal, o una limitación en la capacidad de decisión a la hora de evaluar el riesgo. Ninguna herramienta, en sí misma, toma decisiones que corresponden al responsable sobre los fines y medios del tratamiento, no sustituye las obligaciones y principios que son aplicables a un tratamiento en función de su naturaleza, ámbito, fines y contexto, ni implementa las políticas de protección de datos y las medidas y garantías para la gestión del riesgo para los derechos y libertades.
En todo caso, a la hora de utilizar los resultados de esta herramienta, se aconseja añadir referencias y comentarios (documentos, enlaces, notas, informes, etc.) sobre cada una de las valoraciones de riesgo realizadas.
La herramienta EVALÚA_RIESGO RGPD tiene como objeto servir de ayuda a responsables y encargados a identificar los factores de riesgo para los derechos y libertades de los interesados cuyos datos están presentes en el tratamiento, hacer una primera evaluación del riesgo intrínseco, incluyendo la necesidad de realizar una EIPD, y estimar el riesgo residual si se utilizan medidas y garantías para mitigar los factores de riesgos específicos.
El propósito de esta herramienta es dar soporte a responsables y encargados en su proceso de gestión del riesgo para los derechos y libertades y, en su caso, la realización de la EIPD, en línea con la guía de "Gestión del riesgo y evaluación de impacto en tratamientos de datos personales" publicada por la AEPD en julio de 2021, por tanto, se requiere el conocimiento previo de dicha guía a fin de poder utilizar correctamente esta herramienta.
Los factores de riesgo desplegados en esta herramienta no tienen carácter exhaustivo, sino de mínimos, y el responsable deberá identificar aquellos que sean específicos para el tratamiento e incluirlos en su evaluación atendiendo a la naturaleza, el ámbito o alcance, el contexto y los fines específicos del tratamiento de datos personales.
La valoración del nivel de riesgo para cada factor que efectúa la herramienta, así como el cálculo final de nivel de riesgo, tiene carácter general y supone una evaluación mínima que, en su caso, tendrá que ser ajustada por el responsable para determinar el nivel de riesgo del tratamiento con precisión.
La herramienta se ejecuta en un navegador de internet de manera local (sin conexión a internet).