¡Pide presupuesto en 2 min! ✓
Glosario

Análisis de Riesgos en la Protección de Datos

8 Mins read

Como ya hemos hablado en numerosas ocasiones, el RGPD ha traído consigo una serie de nuevos requerimientos y obligaciones tanto para los responsables de los datos como para los que tratan datos por cuenta de este (Encargados de tratamiento).

Una de las principales novedades es la necesidad de llevar a cabo un Análisis de Riesgos.

¿No sabes lo que es un Análisis de Riesgos en la protección de datos?

No te preocupes, a continuación hemos recopilado todas las preguntas que nos suelen hacer nuestro clientes. Y esperamos que a través de ellas puedas entender lo que es.

¿Qué es un riesgo?

Lógicamente, como primera aproximación debemos tener claro lo que es un riesgo.

Se puede definir como la combinación de la posibilidad de que se materialice una amenaza y sus consecuencias negativas.

Por lo tanto el nivel del riesgo se mide según su probabilidad de materializarse y el impacto que tiene en caso de hacerlo.

¿Qué es un Análisis de Riesgos?

Debido a la constante evolución tecnológica y, por lo tanto, la transformación digital que sufren los tratamiento de datos personales se hace necesario que se adopte una actitud dinámica, enfocada a la gestión de los riesgos potenciales asociados.

Por lo tanto, el Análisis de Riesgoses el análisis previo que se debe de dar a todo nuevo tratamiento de datos personales con la principal finalidad de establecer las controles y medidas de seguridad adecuadas que garanticen las libertades y los derechos de las personas afectadas.

Por último hay que destacar que para evaluar un riesgo es necesario considerar todos los posibles escenarios con los que el riesgo se haría efectivo. Incluidos aquellos que impliquen un mal uso o abuso de los datos y las alteraciones técnicas o del entorno.

Privacy by Design o Privacidad desde el Diseño

Como se ha comentado en el párrafo anterior el momento idóneo para realizar el Análisis de Riesgos es antes del inicio del tratamiento.

Encontramos aquí otra de las principales novedades del RGPD, el principio de Privacidad desde el Diseño. Que no es otra cosa que diseñar los nuevos tratamientos pensando siempre en la protección de datos. No aplicarlo después de haber iniciado el tratamiento, sino desde el mismo momento de su concepción.

Por lo tanto vemos que ambos conceptos se dan la mano y son complementarios.

¿Quien debe realizar el Análisis de Riesgos?

Uno de los principales puntos a tener en cuenta es quién, dentro de la entidad, se va a encargar de realizar el Análisis de Riesgos.

En aquellas empresas que cuente con la figura del Delegado de Protección de Datos, será este el encargado de llevarlo a cabo.

En cambio sí en la empresa no se dispone de esta figura, se deberá designar a un encargado de realizar esta tarea en función de sus conocimientos en la materia.

No obstante hay que destacar que no solo se encargará una persona de llevarlo a cabo. Sino que la persona designada deberá coordinarse con todo el personal de la entidad que pueda estar involucrado en los tratamientos y servicios.

¿Dónde se encuentra regulado?

Ni en el RGPD ni en la nueva Ley Orgánica de Protección de Datos contiene un artículo expreso denominado Análisis de Riesgos.

No obstante, la necesidad de la realización de dicho análisis lo podemos deducir de los siguientes artículos:

Apartado 1 del artículo 25 del RGPD:

Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados”.

Apartado 2 del artículo 25 del RGPD:

El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento”.

Apartado 2 del artículo 32 del RGPD:

“Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”

¿Es lo mismo un Análisis de Riesgos que una Evaluación de Impacto?

No, son dos procedimientos diferentes aunque complementarios.

El Análisis de Riesgos tiene que ver con la determinación de la pérdida potencial por causa de una amenaza y el costo de la medida de protección hacia los datos personales manejados en la organización.

Es decir, cuánto gastar en prevención y protección. Para ello, se necesita saber primero cuáles son esos procesos y recursos críticos.

En cambio en la Evaluación de Impacto se busca principalmente:

  • Determinar el impacto que tendría un evento disruptivo en los datos personales de la organización.
  • Identificar los recursos —personas, infraestructura física, tecnológica, información, y terceros— de los que dependen.

Por otra parte, en el Análisis de Riesgos, se identifican las amenazas de interrupción más probables. Y se analizan las vulnerabilidades relacionadas con dichas amenazas:

  • evaluando los controles de seguridad física, lógica y ambiental,
  • revisando su efectividad para contener las amenazas identificadas.

Mientras que en la Evaluación de Impacto se analizan los riesgos que un sistema, producto o servicio puede suponer para los derechos y libertades de las personas y, tras haber realizado ese análisis, se gestionan esos peligros antes de que se materialicen.

Como realizar un Análisis de Riesgos

Cuando vayamos a realizar un Análisis de Riesgos debemos partir de siete fases claras para poder hacerla con garantías.

No obstante hay que tener en cuenta que se deberá tratar siempre un modelo flexible. Es decir, que se pueda adecuar a las diferentes estructuras de las organizaciones.

Estas siete fases son las siguientes:

1. Necesidad del análisis

Es primordial conocer las razones por las cuales debemos ejecutar un Análisis de los Riesgos de un tratamiento de datos personales.

De buscar estas razones se encargará el DPO. No obstante en el caso de que en la entidad no se cuente con esta figura, es tan fácil como contestar a las siguientes preguntas:

  • ¿Se recaban datos de carácter personal?
  • ¿Estos datos se comunican a terceros?
  • ¿Se usa tecnología invasiva para la privacidad en el tratamiento?
  • ¿Se tratan datos considerados especialmente protegidos?
  • ¿Los datos que han sido recabados se van a utilizar de forma masiva para acciones de marketing?

En el caso de que la respuesta a las mismas sean afirmativas deberemos realizar un Análisis de los Riesgos en el tratamiento de datos personales.

2. Descripción de los flujos de información

El segundo paso es conocer todo aquello relacionado con el tratamiento de los datos personales, es decir:

  • como se van a recabar
  • para que se van a utilizar
  • con que finalidad
  • personas con acceso a la inforación

3. Identificación de los riesgos que afecten a la privacidad

En el tercer paso ya se deben identificar los riesgos que puedan darse al tratar los datos personales.

Pueden ser de tres tipos:

  • sobre los afectados como:
    • invasión en su vida privada,
    • comunicar datos a terceros cuando no sea necesario,
    • no haber realizado un procedimiento adecuado de anonimización o
    • mantener los datos más tiempo que el estrictamente necesario para la finalidad que se recogieron.
  • riesgos corporativos como:
    • pérdida de reputación o
    • multa por brechas de seguridad.
  • legales como:
    • no cumplir con la legislación de protección de datos, o
    • servicios de la sociedad de la información.

4. Establecimiento de soluciones que garanticen la privacidad

Ya identificados cada uno de los riesgos, a continuación se deberán desarrollar las soluciones o medidas correspondientes para mitigar y/o eliminar los riesgos detectados.

Hay que destacar que si bien lo ideal es la eliminación de los riesgos, en ciertos casos no será necesario, permitiendo la normativa reducirlos a un nivel aceptable que permita a la empresa tratar con seguridad los datos personales.

La realización de un Análisis de Riesgos no tiene por qué eliminar completamente los riesgos sobre la privacidad de los afectados. Sino reducirlos a un nivel aceptable que permita para la organización la implementación del producto, servicio o tratamiento de datos personales.

Asimismo, se debe valorar el coste y beneficio de implementar estas soluciones. Teniendo en cuenta que en algunos casos, existirá un coste económico, por lo que habrá que realizar una comparativa entre costes y beneficios (por ejemplo, sobre las medidas de seguridad que pueden evitar una fuga de datos personales y consecuentemente, una pérdida de reputación para la empresa).

5. Implementación de soluciones previamente establecidas

Una vez que ya se han establecido las soluciones que se pueden adoptar para reducir o eliminar el riesgo detectado, se debe decidir cuáles de ellas se van a implementar.

Como se ha comentado con anterioridad, no es necesario que se apliquen todas las soluciones. Sino que se apliquen las medidas para los riesgos que sean inaceptables para la entidad.

Hay que destacar también que además de implementar las soluciones, es importante registrar cada uno de los riesgos y las soluciones adoptadas. Así como quien es el responsable de ponerlas en funcionamiento.

Todo ello deberá incluirse en un informe final de dicho análisis. Como buena práctica es recomendable que sea publicado con el fin de dar una mayor transparencia y que los afectados sepan cómo afecta el producto, servicio o tratamiento, a su privacidad.

6. Participación de los agentes implicados

Es necesaria que en todas las fases anteriormente descritas la información entre los diferentes departamentos y agentes implicados fluya en aras de conseguir mediante dica colaboración un análisis total y absoluto de los tratamientos de datos de carácter personal.

7. Integración del Análisis de Riesgos en la gestión

Por último, pero no menos importante, es intentar, en la medida de lo posible, que el Análisis de Riesgos forme parte de  la propia gestión de la empresa u organización. Ya que es la forma más segura de garantizar la privacidad de productos y servicios.

Guía para el Análisis de Riesgos de la Agencia Española de Protección de Datos

Una de las principales funciones de la AEPD es promover una cultura del cumplimiento en la protección de datos.

Es por ello que ha elaborado la presente una guía para la realización de Análisis de Riesgos de las actividades de tratamiento. Con el objetivo de establecer una hoja de ruta para afrontar un enfoque orientado a riesgos.

La guía persigue ofrecer directrices y orientaciones para establecer una hoja de ruta que permita contemplar la privacidad desde el inicio. Mediante un enfoque de Análisis de Riesgos, facilitando el cumplimiento del RGPD.

Esperamos haberte ayudado a clarificar que es una Análisis de Riesgos en la protección de datos y todo lo que ello conlleva.

No obstante en Grupo Ático34, estaremos encantados de ayudarte si te surge cualquier duda en particular en el tlfno. 91 489 64 19 o en el correo electrónico lopd@atico34.com

 

Related posts
Glosario

¿Cómo puedo proteger mis obras a través de la propiedad intelectual?

13 Mins read
En esta entrada vamos a explicar cómo podemos proteger nuestras obras a través de la propiedad intelectual. En este artículo hablamos de:¿Qué…
Glosario

Cesión de datos a terceros

12 Mins read
Te explicamos con todo detalle cómo afecta la LOPDGDD en el acceso y la cesión de datos de terceros. ✅
Glosario

Publicidad Activa y Pasiva - Ley de Transparencia 19/2013 - ¿Qué es?

6 Mins read
La publicidad activa y el derecho de acceso a la información pública de los ciudadanos son dos conceptos íntimamente relacionados que configuran…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.