Gobernar el riesgo, proteger la dignidad - Entrada 4 — Evaluar el nivel de riesgo: el arte de decidir con criterio


Gobernar el riesgo, proteger la dignidad

“Evaluaciones de Impacto y Gestión del Riesgo en Protección de Datos: una guía práctica desde el Compliance”

Entrada 4 — Evaluar el nivel de riesgo: el arte de decidir con criterio

Identificar factores de riesgo es comprender qué puede fallar. Evaluar el riesgo es decidir cuánto importa que falle.

Este paso es decisivo porque determina:

  • si el tratamiento es aceptable,
  • si se necesitan medidas adicionales,
  • si existe un alto riesgo que obliga a realizar una EIPD,
  • y si la organización puede defender sus decisiones ante una auditoría o una autoridad.

Evaluar el riesgo no es un ejercicio matemático. Es un juicio razonado, estructurado y justificable, que combina técnica, experiencia y sensibilidad hacia los derechos de las personas.

1. Riesgo inherente y riesgo residual: dos momentos, dos verdades

El RGPD exige distinguir entre:

a) Riesgo inherente

Es el riesgo antes de aplicar medidas de mitigación. Refleja la naturaleza del tratamiento tal como está diseñado.

b) Riesgo residual

Es el riesgo después de aplicar medidas. Refleja la capacidad real de la organización para controlar ese riesgo.

Esta distinción es esencial porque:

  • el riesgo inherente determina si debe realizarse una EIPD,
  • el riesgo residual determina si el tratamiento puede ejecutarse.

Confundirlos es uno de los errores más graves en la práctica profesional.

2. Probabilidad e impacto: dos dimensiones inseparables

El riesgo se evalúa combinando dos dimensiones:

a) Probabilidad

¿Qué posibilidades hay de que el daño ocurra?

Depende de:

  • la naturaleza del tratamiento,
  • la exposición de los datos,
  • la complejidad de los sistemas,
  • la intervención humana,
  • la madurez de los procesos.

La probabilidad no se mide en porcentajes, sino en condiciones que favorecen o dificultan el daño. El RGPD no exige precisión matemática, sino razonabilidad contextual.

b) Impacto

¿Qué consecuencias tendría para la persona?

Depende de:

  • la sensibilidad de los datos,
  • la vulnerabilidad del interesado,
  • la escala del tratamiento,
  • la irreversibilidad del daño,
  • la posibilidad de discriminación, exclusión o perjuicio.

El RGPD no se centra en la probabilidad del incidente, sino en la gravedad del daño. El impacto no se mide en euros, sino en dignidad.

Probabilidad e impacto deben leerse juntas: una probabilidad baja no compensa un impacto grave.

3. Cómo valorar la probabilidad: criterios operativos

La probabilidad aumenta cuando el tratamiento es:

  • masivo,
  • continuo,
  • automatizado,
  • distribuido,
  • o difícil de supervisar.

Criterios útiles para evaluarla:

  • número de actores implicados,
  • accesos internos amplios,
  • dependencia de proveedores,
  • procesos manuales,
  • uso de tecnologías opacas,
  • ausencia de controles preventivos,
  • complejidad del tratamiento.

4. Cómo valorar el impacto: la dimensión humana del riesgo

El impacto exige ponerse en el lugar del interesado. No se trata de “qué le ocurre a la organización”, sino de qué le ocurre a la persona.

Preguntas clave:

  • ¿Puede perder control sobre sus datos?
  • ¿Puede sufrir discriminación?
  • ¿Puede verse afectada su reputación?
  • ¿Puede sufrir un perjuicio económico?
  • ¿Puede verse afectada su salud, seguridad o bienestar?
  • ¿Puede ser objeto de decisiones injustas o irreversibles?
  • ¿Pertenece a un colectivo vulnerable?

El impacto es la dimensión ética del riesgo.

5. La matriz de riesgo: una herramienta, no una verdad

La matriz de riesgo (baja, media, alta) es útil para visualizar, pero no sustituye al juicio profesional.

Una matriz no decide: ayuda a decidir.

El profesional debe justificar:

  • por qué asigna una probabilidad,
  • por qué asigna un impacto,
  • por qué el riesgo inherente es el que es,
  • por qué las medidas reducen el riesgo residual.

La matriz es un mapa, no el territorio.

6. El análisis por dependencias: cuando el tratamiento es complejo

En tratamientos avanzados —IA, perfilado, decisiones automatizadas, interoperabilidad de sistemas— la probabilidad y el impacto no pueden evaluarse de forma aislada.

Aquí es necesario un análisis por dependencias:

  • cómo interactúan los sistemas,
  • cómo se combinan los datos,
  • cómo se propagan los errores,
  • cómo se amplifican los sesgos,
  • cómo una decisión afecta a otra.

En estos casos, el riesgo no es la suma de factores: es su interacción. El riesgo emerge del sistema, no de cada elemento por separado.

7. Cuándo un riesgo es “no asumible”

Un riesgo es no asumible cuando:

  • el impacto es grave o muy grave,
  • la probabilidad es media o alta,
  • las medidas no reducen el riesgo residual a un nivel aceptable,
  • o existe un alto riesgo que no puede mitigarse.

En estos casos:

  • debe realizarse una EIPD,
  • deben aplicarse medidas adicionales,
  • y, si el riesgo persiste, debe consultarse a la autoridad.

El RGPD no permite ejecutar tratamientos con riesgos no mitigados.

8. El error más común: justificar el riesgo con medidas que aún no existen

Muchos análisis caen en este error:

“El riesgo es bajo porque aplicaremos X medida”.

No. El riesgo inherente se evalúa antes de aplicar medidas. El residual, después.

Confundirlos invalida todo el análisis.

Cierre de la Entrada 4

Evaluar el riesgo es el momento en el que la organización transforma información en decisión. Es el punto donde el análisis deja de ser descriptivo y se vuelve normativo: ¿qué aceptamos?, ¿qué mitigamos?, ¿qué no podemos permitir?

Es también el momento en que la organización demuestra su madurez institucional: la capacidad de decidir con criterio, proporcionalidad y respeto por la dignidad de las personas.

En la próxima entrada avanzaremos al siguiente paso operativo: seleccionar las medidas que reducen el riesgo y justifican la decisión final.

Comentarios

Publicar un comentario