El riesgo es un concepto importante en el RGPD[1]. La visión presentada de que la protección de datos consiste en corregir el desequilibrio de poder entre el responsable del tratamiento y el interesado aclara también la noción de riesgo.
El principal riesgo es que el tratamiento de datos personales provoque efectivamente un desequilibrio de poder que restrinja los derechos y libertades de los individuos afectados. Desde este punto de vista, queda claro que el riesgo no es que se produzca algún acontecimiento indeseable (como un atentado o una catástrofe natural), sino que el responsable del tratamiento ejerza un poder excesivo sobre los interesados.
Hay que tener en cuenta que esta forma de entender el riesgo es muy diferente a la de la ciberseguridad. En este caso, el responsable del tratamiento suele ser visto como el “bueno” que se defiende de los “ataques” predominantemente externos. En cambio, en la protección de datos, el comportamiento del responsable del tratamiento, es decir, la actividad de tratamiento, es la fuente de riesgo. La probabilidad de que esto ocurra es del 100%. A diferencia de lo que ocurre en la ciberseguridad, los responsables del tratamiento tienen que proteger al interesado más débil del riesgo resultante de su propio tratamiento.Por tanto, los responsables del tratamiento ya no son automáticamente los buenos, sino que tienen que hacer esfuerzos explícitos para no convertirse ellos mismos en los malos.
Para las personas que están más familiarizadas con la ciberseguridad, entender la protección de datos puede requerir un cambio de mentalidad importante. Entender esta diferencia es un requisito previo para poder cumplir con el RGPD. Para más información, recomendamos un artículo[2]sobre ocho tipos diferentes de riesgo.
- Véase, por ejemplo, el art. 24(1), 35(1) y los considerandos 75 y 84. ↑
- Martin Rost, Riesgos en el contexto de la protección de datos, http://www.maroki.de/pub/privacy/Rost_Martin_2019-02_Risk:_8types_v1.pdf (última visita el 8/5/2020). ↑