¡Pide presupuesto en 2 min! ✓
Glosario

Análisis de Riesgos en la Protección de Datos

10 Mins read

Como ya hemos hablado en numerosas ocasiones, el RGPD ha traído consigo una serie de nuevos requerimientos y obligaciones tanto para los responsables como para los encargados del tratamiento. Una de las principales novedades es la necesidad de llevar a cabo un Análisis de Riesgos en la protección de datos. A continuación hemos recopilado todas las preguntas que nos suelen hacer nuestro clientes. Y esperamos que a través de ellas puedas entender lo que es.

¿Qué es un riesgo?

Lógicamente, como primera aproximación debemos tener claro lo que es un riesgo.

Se puede definir como la combinación de la posibilidad de que se materialice una amenaza y sus consecuencias negativas.

Por lo tanto el nivel del riesgo se mide según su probabilidad de materializarse y el impacto que tiene en caso de hacerlo.

¿Qué es un Análisis de Riesgos?

Debido a la constante evolución tecnológica y, por lo tanto, la transformación digital que sufren los tratamiento de datos personales se hace necesario que se adopte una actitud dinámica, enfocada a la gestión de riesgos potenciales asociados.

Por lo tanto, el Análisis de Riesgoses el análisis previo que se debe de dar a todo nuevo tratamiento de datos personales con la principal finalidad de establecer las controles y medidas de seguridad adecuadas que garanticen las libertades y los derechos de las personas afectadas.

Para una adecuada gestión de riesgos es necesario llevar a cabo un profundo proceso de identificación, evaluación y tratamiento de aquellos riegos derivados de cualquier actividad de tratamiento.

Por último hay que destacar que para evaluar un riesgo es necesario considerar todos los posibles escenarios con los que el riesgo se haría efectivo. Incluidos aquellos que impliquen un mal uso o abuso de los datos y las alteraciones técnicas o del entorno.

Principios aplicables a los análisis de riesgos en protección de datos

El RGPD define claramente una serie de principios que se deben aplicar durante el tratamiento y que facilitan los análisis de riesgos en la protección de datos. Entre estos principios está la privacidad desde el diseño y por defecto.

Privacy by Design o Privacidad desde el Diseño

Como se ha comentado en el párrafo anterior el momento idóneo para realizar el Análisis de Riesgos es antes del inicio del tratamiento.

Encontramos aquí otra de las principales novedades del RGPD, el principio de Privacidad desde el Diseño. Que no es otra cosa que diseñar los nuevos tratamientos pensando siempre en la protección de datos. No aplicarlo después de haber iniciado el tratamiento, sino desde el mismo momento de su concepción.

Por lo tanto vemos que ambos conceptos se dan la mano y son complementarios.

Sobre las actividades de tratamiento

El artículo 5 del RGPD establece los principios que se han de tener en cuenta a la hora de realizar el tratamiento de los datos personales, con el fin de evitar riesgos en la medida de lo posible.

  • Transparencia, licitud y lealtad: los datos del interesado han de ser tratados de forma transparente, lícita y leal.
  • Limitación de la finalidad del tratamiento: los datos se han de recoger con unos fines concretos y no podrán ser tratados con otros objetivos distintos a los definidos en un principio.
  • Principio de minimización: los datos recogidos han de ser adecuados, pertinentes y estar limitados a los fines para los que son tratados.
  • Exactitud: los datos han de ser exactos, verídicos y estar actualizados. Si fuera necesario, se tomarán todas las medidas pertinentes para eliminar los datos que no cumplan con este requisito.
  • Plazo de conservación: los datos no serán almacenados durante más del tiempo del necesario para el cumplimiento del fin para el que fueron obtenidos.
  • Confidencialidad e integridad: se han de establecer las medidas de control necesarias para garantizar la confidencialidad de los datos y asegurar su integridad.

¿Quién debe realizar el Análisis de Riesgos?

Uno de los principales puntos a tener en cuenta es quién se encarga de realizar el Análisis de Riesgos.

En aquellas empresas que cuente con la figura del Delegado de Protección de Datos, será este el encargado de llevarlo a cabo.

En cambio sí en la empresa no se dispone de esta figura, se deberá designar a un encargado de realizar esta tarea en función de sus conocimientos en la materia.

No obstante hay que destacar que no solo se encargará una persona de llevarlo a cabo. Sino que la persona designada deberá coordinarse con todo el personal de la entidad que pueda estar involucrado en los tratamientos y servicios.

Normativa sobre análisis de riesgos en la protección de datos

Ni en el RGPD ni en la nueva Ley Orgánica de Protección de Datos contiene un artículo expreso denominado Análisis de Riesgos.

No obstante, la necesidad de la realización de dicho análisis lo podemos deducir de los siguientes artículos:

Apartado 1 del artículo 25 del RGPD:

Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados”.

Apartado 2 del artículo 25 del RGPD:

El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento”.

Apartado 2 del artículo 32 del RGPD, relacionado con la seguridad del tratamiento:

“Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”

¿Es lo mismo un Análisis de Riesgos que una Evaluación de Impacto?

No, son dos procedimientos diferentes aunque complementarios.

El Análisis de Riesgos tiene que ver con la determinación de la pérdida potencial por causa de una amenaza y el costo de la medida de protección hacia los datos personales manejados en la organización.

Es decir, cuánto gastar en prevención y protección. Para ello, se necesita saber primero cuáles son esos procesos y recursos críticos.

En cambio en la Evaluación de Impacto se busca principalmente:

  • Determinar el impacto que tendría un evento disruptivo en los datos personales de la organización.
  • Identificar los recursos —personas, infraestructura física, tecnológica, información, y terceros— de los que dependen.

Por otra parte, en el Análisis de Riesgos, se identifican las amenazas de interrupción más probables. Y se analizan las vulnerabilidades relacionadas con dichas amenazas:

  • evaluando los controles de seguridad física, lógica y ambiental,
  • revisando su efectividad para contener las amenazas identificadas.

Mientras que en la Evaluación de Impacto se analizan los riesgos que un sistema, producto o servicio puede suponer para los derechos y libertades de las personas y, tras haber realizado ese análisis, se gestionan esos peligros antes de que se materialicen.

¿Cuándo se debe hacer una evaluación de impacto?

El artículo 35.1 del RGPD señala que será necesario realizar una evaluación de impacto cuando el tratamiento se realiza empleando nuevas tecnologías que, por su naturaleza, alcance, contexto o fines, entrañe un riesgo para los derechos y libertados de los individuos.

Asimismo, los artículos 35.3, 35.4 y 35.5 del RGPD recogen otras situaciones en las que será obligatorio realizar una EIPD o evaluación de impacto que complemente al análisis de riesgos en la protección de datos.

  • Cuando se realice una evaluación sistemática y exhaustiva de aspectos personales del interesado, tales como la elaboración de perfiles, y que puedan producir efectos jurídicos o les puedan afectar de modo similar.
  • En los casos en que se realice un tratamiento a gran escala de categorías especiales de datos. o de datos relativos a condenas o infracciones penales.
  • Si se efectúa una observación sistemática de datos a gran escala en zonas de acceso público.

Cómo realizar un Análisis de Riesgos

Cuando vayamos a realizar un Análisis de Riesgos debemos partir de siete fases claras para poder hacerla con garantías.

No obstante hay que tener en cuenta que se deberá tratar siempre un modelo flexible. Es decir, que se pueda adecuar a las diferentes estructuras de las organizaciones.

Estas siete fases son las siguientes:

Cómo realizar un analisis riesgos proteccion datos rgpd

1. Necesidad del análisis

Es primordial conocer las razones por las cuales debemos ejecutar un Análisis de los Riesgos de un tratamiento de datos personales.

De buscar estas razones se encargará el DPO. No obstante en el caso de que en la entidad no se cuente con esta figura, es tan fácil como contestar a las siguientes preguntas:

  • ¿Se recaban datos de carácter personal?
  • ¿Estos datos se comunican a terceros?
  • ¿Se usa tecnología invasiva para la privacidad en el tratamiento?
  • ¿Se tratan datos considerados especialmente protegidos?
  • ¿Los datos que han sido recabados se van a utilizar de forma masiva para acciones de marketing?

En el caso de que la respuesta a las mismas sean afirmativas deberemos realizar un Análisis de los Riesgos en el tratamiento de datos personales.

2. Descripción de los flujos de información

El segundo paso es conocer todo aquello relacionado con el tratamiento de los datos personales, es decir:

  • como se van a recabar
  • para que se van a utilizar
  • con que finalidad
  • personas con acceso a la inforación

3. Identificar los riesgos que afecten a la privacidad

En el tercer paso ya se deben identificar los riesgos que puedan darse al tratar los datos personales.

Pueden ser de tres tipos:

  • sobre los afectados como:
    • invasión en su vida privada,
    • comunicar datos a terceros cuando no sea necesario,
    • no haber realizado un procedimiento adecuado de anonimización o
    • mantener los datos más tiempo que el estrictamente necesario para la finalidad que se recogieron.
  • riesgos corporativos como:
  • legales como:
    • no cumplir con la legislación de protección de datos, o
    • servicios de la sociedad de la información.

En resumen, los riesgos para los datos personales se puede dividir en tres categorías:

  • Acceso ilegítimo a los datos personales o riesgos para la confidencialidad.
  • Modificación no autorizada de los datos, o riesgos para la integridad.
  • Eliminación no autorizada de datos o riesgos para la disponibilidad.

4. Establecer soluciones que garanticen la privacidad

Ya identificados cada uno de los riesgos, a continuación se deberán desarrollar las soluciones o medidas correspondientes para mitigar y/o eliminar los riesgos detectados.

Hay que destacar que si bien lo ideal es la eliminación de los riesgos, en ciertos casos no será necesario, permitiendo la normativa reducirlos a un nivel aceptable que permita a la empresa tratar con seguridad los datos personales.

La realización de un Análisis de Riesgos no tiene por qué eliminar completamente los riesgos para la privacidad de los afectados. Sino reducirlos a un nivel aceptable que permita para la organización la implementación del producto, servicio o tratamiento de datos personales.

Asimismo, se debe valorar el coste y beneficio de implementar estas soluciones. Teniendo en cuenta que en algunos casos, existirá un coste económico, por lo que habrá que realizar una comparativa entre costes y beneficios (por ejemplo, sobre las medidas de seguridad que pueden evitar una fuga de datos personales y consecuentemente, una pérdida de reputación para la empresa).

5. Implementar soluciones

Una vez que ya se han establecido las soluciones que se pueden adoptar para reducir o eliminar el riesgo detectado, se debe decidir cuáles de ellas se van a implementar.

Como se ha comentado con anterioridad, no es necesario que se apliquen todas las soluciones. Sino que se apliquen las medidas para los riesgos que sean inaceptables para la entidad.

Hay que destacar también que además de implementar las soluciones, es importante registrar cada uno de los riesgos y las soluciones adoptadas. Así como quien es el responsable de ponerlas en funcionamiento.

Todo ello deberá incluirse en un informe final de dicho análisis. Como buena práctica es recomendable que sea publicado con el fin de dar una mayor transparencia y que los afectados sepan cómo afecta el producto, servicio o tratamiento, a su privacidad.

6. Participación de los agentes implicados

Es necesaria que en todas las fases anteriormente descritas la información entre los diferentes departamentos y agentes implicados fluya en aras de conseguir mediante dica colaboración un análisis total y absoluto de los tratamientos de datos de carácter personal.

7. Integración del Análisis de Riesgos en la gestión

Por último, pero no menos importante, es intentar, en la medida de lo posible, que el Análisis de Riesgos forme parte de  la propia gestión de la empresa u organización. Ya que es la forma más segura de garantizar la privacidad de productos y servicios.

Guía para el Análisis de Riesgos de la Agencia Española de Protección de Datos

Una de las principales funciones de la AEPD es promover una cultura del cumplimiento en la protección de datos.

Es por ello que ha elaborado la presente una guía para la realización de Análisis de Riesgos de las actividades de tratamiento. Con el objetivo de establecer una hoja de ruta para afrontar un enfoque orientado a riesgos.

La guía sobre análisis de riesgos AEPD persigue ofrecer directrices y orientaciones para establecer una hoja de ruta que permita contemplar la privacidad desde el inicio. Mediante un enfoque de Análisis de Riesgos, facilitando el cumplimiento del RGPD.

Ejemplo de análisis de riesgos en la protección de datos

En su guía, la AEPD también propone un modelo de ejemplo sobre os pasos a seguir a la hora de realizar un análisis de riesgos de protección de datos.

El Proceso comienza al realizar un Nuevo Tratamiento > Definición y diseño de las actividades de Tratamiento > Uso de la herramienta Facilita RGPD.

  • Si la herramienta Facilita RGPD se ajusta al tratamiento, no será necesario realizar análisis adicionales.
  • Si la herramienta Facilita RGPD no se ajusta al tratamiento, será necesario realizar un PIA o Privacy Impact Assessment.

En base al PIA se determina si se van a tratar datos de alto riesgo.

  • Si se tratan datos de alto riesgo, se procederá a realizar una EIPD o evaluación de impacto.
  • Si no se tratan datos de alto riesgo, se realizará un análisis básico de riesgos.

Esperamos haberte ayudado a clarificar que es un Análisis de Riesgos en la protección de datos y todo lo que ello conlleva.

No obstante en Grupo Ático34, estaremos encantados de ayudarte si te surge cualquier duda en particular en el tlfno. 91 489 64 19 o en el correo electrónico lopd@atico34.com

Related posts
Glosario

Victimización secundaria. Qué es y consecuencias

7 Mins read
Las víctimas de violencia de género no solo sufren los hechos causantes del delito, sino que se tienen que enfrentar a otro…
Glosario

Skimming o robo de información en cajeros automáticos

6 Mins read
Una de las acepciones del término skimming se refiere al robo de información en tarjetas de crédito. A continuación vemos en qué…
GlosarioInternet

Dirección IP dinámica y estática. Qué son y sus diferencias

5 Mins read
Cualquier de tus dispositivos conectados a Internet, ya sea el router, el móvil, la tablet, el ordenador o tu nevera inteligente, tienen…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.