¡Pide presupuesto en 2 min! ✓
GlosarioLOPDGDD & RGPD

Análisis de Riesgos en la Protección de Datos

El análisis de riesgos en la protección de datos es una de las principales obligaciones que contempla el RGPD de cara a realizar cualquier tratamiento de datos personales. A lo largo de este artículo explicaremos en qué consiste el análisis de riesgos según el RGPD y cómo debe llevarse a cabo.

¿Qué es un análisis de riesgos en protección de datos?

Debido a la constante evolución tecnológica y, por lo tanto, la transformación digital que sufren los tratamientos de datos personales se hace necesario que se adopte una actitud dinámica, enfocada a la gestión de riesgos potenciales asociados.

Por lo tanto, el análisis de riesgos en la protección de datos, es el análisis previo que se debe de dar a todo nuevo tratamiento de datos personales con la principal finalidad de establecer los controles y medidas de seguridad adecuadas que garanticen las libertades y los derechos de las personas afectadas.

Para una adecuada gestión de riesgos es necesario llevar a cabo un profundo proceso de identificación, evaluación y tratamiento de aquellos riesgos derivados de cualquier actividad de tratamiento.

Por último hay que destacar que para evaluar un riesgo es necesario considerar todos los posibles escenarios con los que el riesgo se haría efectivo. Incluidos aquellos que impliquen un mal uso o abuso de los datos y las alteraciones técnicas o del entorno.

Con el término «riesgo» nos referimos, en este contexto, a la combinación de la posibilidad de que se materialice una amenaza y el impacto negativo que tendría para los derechos y libertades de los individuos.

El nivel del riesgo se mide según su probabilidad de materializarse y el impacto que tendría en caso de hacerlo.

Por ejemplo, perder un disco duro externo en el que se almacenan datos personales de la plantilla es una amenaza, que podría ocasionar la filtración de dichos datos, provocando el riesgo de que se vulneren los derechos y libertades de los trabajadores, que podría tener como consecuencia (impacto) un posible daño físico o material sobre ellos.

Normativa aplicable al análisis de riesgos en la protección de datos

Ni en el RGPD ni en la nueva Ley Orgánica de Protección de Datos contiene un artículo expreso denominado Análisis de Riesgos.

No obstante, la necesidad de la realización de dicho análisis lo podemos deducir de los siguientes artículos:

Apartado 1 del artículo 25 del RGPD:

«Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados».

Apartado 2 del artículo 25 del RGPD:

«El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento».

Apartado 2 del artículo 32 del RGPD, relacionado con la seguridad del tratamiento:

«Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos».

Ejemplos de riesgos para la protección de datos

Son ejemplos de riesgos para la protección de datos personales:

  • La creación de un nuevo tratamiento de datos personales, como puede ser el formulario de contacto o suscripción de una página web.
  • Usar una base de datos en la nube para el almacenamiento de datos personales.
  • Utilizar un sistema de videovigilancia.
  • Ceder datos a otra entidad.
  • Incidentes imprevistos, como un incendio o un corte de suministro eléctrico que destruyan los equipos o soportes en los que se almacenan los datos.

tarifas proteccion datos

Principios aplicables del RGPD al análisis de riesgos

El RGPD define claramente una serie de principios que se deben aplicar durante el tratamiento y que facilitan los análisis de riesgos en la protección de datos. Entre estos principios está la privacidad desde el diseño y por defecto.

  • Privacy by Design o Privacidad desde el diseño: Este principio implica que a la hora de diseñar nuevos tratamientos, siempre debe tenerse en cuenta la protección de datos. No solo aplicable a las actividades de tratamiento, sino a cualquier tecnología que implique el tratamiento de datos personales. Siempre debe aplicarse antes de iniciarse el tratamiento, en el mismo momento de su concepción. Por lo tanto, el análisis de riesgos, que debe hacerse antes de iniciar ninguna actividad de tratamiento, es parte de este principio.
  • Sobre las actividades de tratamiento: El artículo 5 del RGPD establece los principios que se han de tener en cuenta a la hora de realizar el tratamiento de los datos personales, con el fin de evitar riesgos en la medida de lo posible:
    • Transparencia, licitud y lealtad: los datos del interesado han de ser tratados de forma transparente, lícita y leal.
    • Limitación de la finalidad del tratamiento: los datos se han de recoger con unos fines concretos y no podrán ser tratados con otros objetivos distintos a los definidos en un principio.
    • Principio de minimización: los datos recogidos han de ser adecuados, pertinentes y estar limitados a los fines para los que son tratados.
    • Exactitud: los datos han de ser exactos, verídicos y estar actualizados. Si fuera necesario, se tomarán todas las medidas pertinentes para eliminar los datos que no cumplan con este requisito.
    • Plazo de conservación: los datos no serán almacenados durante más tiempo del necesario para el cumplimiento del fin para el que fueron obtenidos.
    • Confidencialidad e integridad: se han de establecer las medidas de control necesarias para garantizar la confidencialidad de los datos y asegurar su integridad.

Cómo realizar un análisis de riesgos RGPD

De forma general, hablamos de 7 fases diferentes o pasos a la hora de realizar un análisis de riesgos en protección de datos. Si bien, cualquier modelo para realizar el análisis de riesgos debe ser flexible y capaz de adaptarse a las diferentes estructuras de las entidades.

Cómo realizar un analisis riesgos proteccion datos rgpd

1. Necesidad del análisis

El primer paso es establecer las razones por las que debemos ejecutar un análisis de los riesgos de un tratamiento de datos personales. Si la entidad cuenta con un Delegado de Protección de Datos (DPO), será este quien se encargue de determinar dichas razones. En caso de no contar con esta figura, la mejor forma de dar con estas razones es haciendo las siguientes preguntas sobre los tratamientos de datos que se vayan a hacer:

  • ¿Los datos recabados son de carácter personal?
  • ¿Se comunicarán datos personales a terceros?
  • ¿Se emplea tecnología invasiva para la privacidad en el tratamiento?
  • ¿Se tratan datos de categorías especiales?
  • ¿Los datos personales recabados se utilizarán de forma masiva para realizar acciones de marketing?

En caso de que la respuesta a alguna de esas preguntas sea afirmativa, se deberá hacer un análisis de riesgos del tratamiento de datos personales.

2. Descripción de los flujos de información

El segundo paso es conocer todo aquello relacionado con el tratamiento de los datos personales, es decir:

  • Cómo se van a recabar
  • Para qué se van a utilizar
  • Con qué finalidad
  • Qué personas tendrán acceso a la información
  • Durante cuánto tiempo se almacenarán

3. Identificar los riesgos que afecten a la privacidad

En el tercer paso ya se deben identificar los riesgos que puedan darse al tratar los datos personales.

Pueden ser de tres tipos:

  • Sobre los afectados como:
    • Invasión en su vida privada
    • Comunicar datos a terceros cuando no sea necesario
    • No haber realizado un procedimiento adecuado de anonimización
    • Mantener los datos más tiempo que el estrictamente necesario para la finalidad que se recogieron
  • Riesgos corporativos como:
  • Legales como:
    • No cumplir con la legislación de protección de datos
    • No cumplir con la normativa sobre servicios de la sociedad de la información.

En resumen, los riesgos para los datos personales se pueden dividir en tres categorías:

  • Acceso ilegítimo a los datos personales o riesgos para la confidencialidad
  • Modificación no autorizada de los datos, o riesgos para la integridad
  • Eliminación no autorizada de datos o riesgos para la disponibilidad

4. Establecer soluciones que garanticen la privacidad

Ya identificados cada uno de los riesgos, a continuación se deberán desarrollar las soluciones o medidas correspondientes para mitigar y/o eliminar los riesgos detectados.

Hay que destacar que si bien lo ideal es la eliminación de los riesgos, en ciertos casos no será necesario, permitiendo la normativa reducirlos a un nivel aceptable que permita a la empresa tratar con seguridad los datos personales.

La realización de un análisis de riesgos no tiene por qué eliminar completamente los riesgos para la privacidad de los afectados, sino reducirlos a un nivel aceptable que permita para la organización la implementación del producto, servicio o tratamiento de datos personales.

Asimismo, se debe valorar el coste y beneficio de implementar estas soluciones. Teniendo en cuenta que en algunos casos, existirá un coste económico, por lo que habrá que realizar una comparativa entre costes y beneficios (por ejemplo, sobre las medidas de seguridad que pueden evitar una fuga de datos personales y consecuentemente, una pérdida de reputación para la empresa).

5. Implementar soluciones

Una vez que ya se han establecido las soluciones que se pueden adoptar para reducir o eliminar el riesgo detectado, se debe decidir cuáles de ellas se van a implementar.

Como se ha comentado con anterioridad, no es necesario que se apliquen todas las soluciones, sino que se apliquen las medidas para los riesgos que sean inaceptables para la entidad.

Hay que destacar también que además de implementar las soluciones, es importante registrar cada uno de los riesgos y las soluciones adoptadas. Así como quién es el responsable de ponerlas en funcionamiento.

Todo ello deberá incluirse en un informe final del análisis de riesgos. Como buena práctica es recomendable que sea publicado con el fin de dar una mayor transparencia y que los afectados sepan cómo afecta el producto, servicio o tratamiento, a su privacidad.

6. Participación de los agentes implicados

Es necesaria que en todas las fases anteriormente descritas la información entre los diferentes departamentos y agentes implicados fluya, para conseguir, mediante dicha colaboración, un análisis total y absoluto de los tratamientos de datos de carácter personal.

7. Integración del análisis de riesgos en la gestión

Por último, pero no menos importante, es intentar, en la medida de lo posible, que el análisis de riesgos forme parte de  la propia gestión de la empresa u organización. Ya que es la forma más segura de garantizar la privacidad de productos y servicios.

¿Quién debe realizar el análisis de riesgos en protección de datos?

¿Quién se encarga de realizar el análisis de riesgo de un tratamiento de datos personales? Aunque el responsable del tratamiento es el encargado de establecer las medidas de seguridad técnicas y organizativas para la protección de datos, esto no implica que deba ocuparse también de llevar a cabo el análisis de riesgos.

De acuerdo al RGPD, el análisis de riesgos lo llevará a cabo el DPO en aquellas entidades que estén obligadas a tenerlo designado. En caso de no tener esta obligación, la entidad deberá designar un encargado para realizar esta tarea, que podrá llevar a cabo de manera coordinada con otro personal de la entidad, como por ejemplo, con el personal del departamento TIC. En cualquier caso, tener conocimientos en materia de protección de datos y seguridad de la información es necesario.

¿Es lo mismo un análisis de riesgos que una evaluación de impacto?

No, el análisis de riesgos y la evaluación de impacto en protección de datos no son lo mismo, puesto que son dos procedimientos diferentes, aunque complementarios.

El análisis de riesgos tiene que ver con la determinación de la pérdida potencial por causa de una amenaza y el costo de la medida de protección hacia los datos personales manejados en la organización.

Es decir, cuánto gastar en prevención y protección. Para ello, se necesita saber primero cuáles son esos procesos y recursos críticos.

En cambio, en la evaluación de impacto se busca principalmente:

  • Determinar el impacto que tendría un evento disruptivo en los datos personales de la organización.
  • Identificar los recursos —personas, infraestructura física, tecnológica, información, y terceros— de los que dependen.

Por otra parte, en el análisis de riesgos, se identifican las amenazas de interrupción más probables. Y se analizan las vulnerabilidades relacionadas con dichas amenazas:

  • Evaluando los controles de seguridad física, lógica y ambiental.
  • Revisando su efectividad para contener las amenazas identificadas.

Mientras que en la evaluación de impacto se analizan los riesgos que un sistema, producto o servicio puede suponer para los derechos y libertades de las personas y, tras haber realizado ese análisis, se gestionan esos peligros antes de que se materialicen.

¿Cuándo se debe hacer una evaluación de impacto?

El artículo 35.1 del RGPD señala que será necesario realizar una evaluación de impacto cuando el tratamiento se realiza empleando nuevas tecnologías que, por su naturaleza, alcance, contexto o fines, entrañe un riesgo para los derechos y libertades de los individuos.

Asimismo, los artículos 35.3, 35.4 y 35.5 del RGPD recogen otras situaciones en las que será obligatorio realizar una EIPD o evaluación de impacto que complemente al análisis de riesgos en la protección de datos.

  • Cuando se realice una evaluación sistemática y exhaustiva de aspectos personales del interesado, tales como la elaboración de perfiles, y que puedan producir efectos jurídicos o les puedan afectar de modo similar.
  • En los casos en que se realice un tratamiento a gran escala de categorías especiales de datos o de datos relativos a condenas o infracciones penales.
  • Si se efectúa una observación sistemática de datos a gran escala en zonas de acceso público.

Guía para el Análisis de Riesgos de la Agencia Española de Protección de Datos

Una de las principales funciones de la AEPD es promover una cultura del cumplimiento en la protección de datos.

Es por ello que elaboró la presente guía para la realización de Análisis de Riesgos de las actividades de tratamiento, con el objetivo de establecer una hoja de ruta para afrontar un enfoque orientado a riesgos.

La guía sobre análisis de riesgos AEPD persigue ofrecer directrices y orientaciones para establecer una hoja de ruta que permita contemplar la privacidad desde el inicio, mediante un enfoque de análisis de riesgos, facilitando el cumplimiento del RGPD.

Ejemplo de análisis de riesgos según el RGPD

En su guía, la AEPD también propone una plantilla a modo de ejemplo de análisis de riesgos RGPD, para documentar un análisis básico de riesgos.

Por otro lado, a través de la herramienta Facilita RGPD una entidad puede determinar si el tratamiento de datos personales que va a realizar necesita llevar a cabo un análisis de riesgos o una evaluación de impacto, en función del nivel de riesgo que se pueda derivar del tratamiento de datos personales. Si Facilita RGPD no cubre las necesidades de la entidad en cuanto a protección de datos, esta debe proceder a realizar una EIPD.

Esperamos haberos ayudado a clarificar qué es un análisis de riesgos en la protección de datos y todo lo que conlleva.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.