La respuesta a esta pregunta la encontramos en la recién publicada LOPDPGDD en su art.73 que regula como infracciones graves, entre otras:
-El tratamiento de los datos personales sin tener en cuenta, los mayores riesgos que podrían producirse, cuando por ejemplo implique evaluación de aspectos personales o los datos sean objeto de transferencia a terceros países sin nivel de protección.
-Falta de adopción de medidas técnicas y organizativas que garanticen que solo se tratarán los datos personales necesarios para los fines específicos.
-No adoptar aquellas medidas que resulten adecuadas para garantizar el nivel adecuado de seguridad, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables.
Para realizar un análisis adecuado de riesgos y así, aplicar las medidas exigidas por la normativa tenemos que identificar todos los activos involucrados en el tratamiento, analizando las amenazas y vulnerabilidades, estimando el impacto que causaría aplicando los factores asociados a riesgos para los derechos y libertades del interesado, evaluando la probabilidad de que se materialicen las amenazas identificadas y decidiendo qué riesgos gestionamos y que medidas aplicamos.
IMPORTANTE
El tratamiento de datos personales sin realizar una previa valoración de los riesgos es una infracción grave, por eso el responsable y encargado deben calcularlo:
Nivel de Riesgo= Probabilidad X Impacto.
