El nuevo Reglamento General de Protección de Datos (RGPD) establece dos niveles de seguridad: el análisis de riesgo y la evaluación de impacto de protección de datos (EIPD). En síntesis, puede decirse que uno de los principales objetivos de la nueva normativa es que la gestión de riesgos sea una prioridad para las empresas. Para ello es necesario que estas realicen un seguimiento continuado y regular de los potenciales riesgos asociados a la información que manejan, a través de las herramientas y procesos destinados a tal efecto.
El análisis de riesgo está vinculado a la protección de la información, mientras que la evaluación de impacto está enfocada en el cumplimiento de las necesidades regulatorias que tienen que ver con los potenciales afectados (normalmente, los clientes). Así, el análisis de riesgo se centra en tres aspectos relacionados con el buen uso de los datos personales (la alteración o modificación de los datos), la confidencialidad (el acceso sin autorización a los datos) y la disponibilidad (borrado o pérdida de los datos).
En definitiva, el principal objetivo del encargado de realizar un análisis de riesgos (que seguramente será el Delegado de Protección de Datos) debe ser velar por la seguridad y el control de las libertades y derechos de los ciudadanos, estableciendo las medidas pertinentes. Este análisis vendría a cubrir la capa más superficial de la protección de datos, y comenzaría, según apunta la Agencia Española de Protección de Datos (AEPD), con una correcta descripción de las actividades que una empresa realiza y que impliquen un tratamiento directo de la información de terceros. Para ello, es necesario realizar una monitorización permanente de los procesos y una evaluación de riesgos con cierta periodicidad.
En cuanto a la evaluación de impacto, el artículo 35 del RGPD indica que será necesario llevarlo a cabo si el tratamiento de datos «entraña un alto riesgo para los derechos y libertades de las personas físicas». La nueva normativa establece ciertas categorías especiales, entre las que cabe destacar los datos relacionados con la salud, las tendencias políticas y religiosas o la información biométrica.
Según la AEPD, una de las máximas de toda EIPD (un nivel más profundo en cuanto a la gestión de potenciales riesgos) ha de ser buscar la objetividad, para lo cual es preciso contar con procesos automatizados. Para ello, es necesario estipular de antemano una metodología estandarizada que asegure que los procesos de EIPD respondan en el tiempo a cierta homogeneidad.