Contacto
Otra de las grandes novedades del RGPD es la incorporación del “enfoque de riesgo”. En este sentido, señala que las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y las finalidades del tratamiento, así como el riesgo para los derechos y libertades de las personas.
De acuerdo con este enfoque, algunas de las medidas que el RGPD establece sólo deben aplicarse cuando haya un alto riesgo para los derechos y las libertades, mientras que otras deben modularse de acuerdo con el nivel y tipos de riesgo que presenten los tratamientos.
Por tanto, la aplicación de las medidas previstas por el RGPD debe adaptarse a las características de las organizaciones. Lo que puede ser adecuado para una organización que trata datos de millones de personas interesadas, en tratamientos complejos que involucran información personal sensible o volúmenes importantes de datos sobre cada persona afectada, no es estrictamente necesario para una pequeña entidad que realiza un volumen limitado de tratamientos de datos no sensibles. También será necesario que revises y actualices las medidas cuando sea necesario.
En este contexto, el art. 28.2 de la Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales, enumera, de forma no exhaustiva, una serie de supuestos que pueden generar un riesgo superior.