Análisis de riesgos: una acción esencial para proteger la información
- 18 abril, 2018
- Posted by: Gimeno_Compliance
- Categoría: LOPD
Análisis de riesgos: una acción esencial para proteger la información
17/04/2018
Por V. Moreno
Fuente : Expansión
El Reglamento General de Protección de Datos (RGPD), que empezará a aplicarse el próximo 25 de mayo, supone un cambio del sistema tradicional hacia un modelo más dinámico, adaptado a la transformación tecnológica que se está produciendo en el ámbito del tratamiento de la información personal y enfocado en la gestión de los riesgos potenciales asociados al tratamiento.
Con esta finalidad, la nueva normativa incorpora un principio de responsabilidad activa a quienes tratan datos personales, de forma que puedan determinar qué medidas son adecuadas para proteger los datos y los derechos y libertades de las personas.
Por esa razón, el RGPD establece que las organizaciones que traten de manera habitual datos personales deben realizar un análisis de riesgos con el fin de establecer las medidas que sean necesarias para garantizar todos los derechos de las personas. Además, en aquellos casos en los que los tratamientos impliquen un riesgo alto para la protección de datos personales, el reglamento europeo también apunta que esas mismas entidades estarán obligadas a realizar una evaluación de impacto de protección de datos.
Frente a estas dos nuevas obligaciones planteadas por el RGPD, la Agencia Española de Protección de Datos (AEPD) ha elaborado dos documentos –Guía de Análisis de Riesgo y la Guía de Evaluación de Impacto en la Protección de Datos– para facilitar la labor de las compañías que se vean afectadas por la normativa europea. Entre los múltiples asuntos que tratan estos documentos, destacan los siguientes puntos.
Análisis básico de riesgos
Se trata de un análisis de mínimos que tiene como objetivo simplificar el análisis de riesgos en aquellas actividades de tratamiento con baja exposición. Como punto de partida, explica la AEPD, se deben describir adecuadamente las actividades de tratamiento, proceso que facilitará la documentación del riesgo de este tipo de labores.
Estas actividades se agrupan por procesos comunes expuestos a riesgos similares, lo que facilita el análisis y permite establecer medidas de seguridad por defecto. La autoridad española comenta en este caso que, por ejemplo, todas las operaciones de almacenamiento de datos están asociadas al riesgo de falta de disponibilidad, por lo que la medida mitigadora aplicable puede ser una política diaria de copias de seguridad definida para todas las bases de datos.
Riesgos más importantes
Los principales riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, se pueden diferenciar en dos dimensiones: los que están asociados a la protección de la información y los relacionados con el cumplimiento de los requisitos regulatorios relacionados con los derechos y libertades de los interesados.
En el caso de los primeros, los principales problemas potenciales identificados son los riesgos relacionados con la integridad de los datos personales –modificación o alteración de datos personales no intencionada–; la disponibilidad de los datos personales –pérdida o borrado no intencionado de datos personales–; y la confidencialidad de los datos personales –acceso no autorizado a los datos personales–.
En cuanto a los riesgos asociados al cumplimiento, la AEPD destaca como principales escollos que las empresas no cuenten con los procedimientos adecuados para garantizar el ejercicio de los derechos de los interesados; que exista alguna ausencia de legitimidad para el tratamiento de los datos personales; o que se realice un tratamiento ilícito de los mismos.
Evaluación de impacto
Una evaluación de impacto en la protección de datos (EIPD) se compone de una serie de fases que convergen hacia un único objetivo, explican desde la AEPD, proporcionar una visión detallada de la gestión de los riesgos relativos a la protección de datos que se realiza durante el ciclo de vida de las informaciones asociadas a las actividades de tratamiento para poder garantizar el conjunto de derechos de las personas físicas.
La autoridad de protección de datos española destaca que la búsqueda de objetividad es un principio fundamental en una EIPD. Es necesario disponer de un proceso sistemático a través de una metodología o procedimiento estandarizado de trabajo que permita establecer criterios comunes para garantizar la homogeneidad, repetitividad y comparabilidad en la ejecución de una EIPD.
Aspectos esenciales de una evaluación de impacto
Describir en detalle todas las actividades u operaciones que se llevan a cabo sobre los datos de carácter personal con el objetivo de entender los posibles riesgos a los que se pueden ver expuestos los datos.
Identificar a los intervinientes en el tratamiento y que éstos tengan delimitadas sus funciones y responsabilidades.
Analizar la necesidad y proporcionalidad de las actividades de tratamiento. Para ello, habría que preguntarse qué se va a hacer con los datos y con qué finalidad, así como qué datos se van a tratar, si son necesarios todos ellos y de quién son.
El tratamiento de los datos debe ser lícito y, por tanto, es necesario que se traten de acuerdo con las condiciones recogidas en el RGPD. Por todo esto, es necesario que se cuente con el consentimiento del interesado para los fines específicos del tratamiento; que éste sea necesario para la ejecución de un contrato en el que el interesado es parte o para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.
Ceñirse a la necesidad y proporcionalidad de tratamientos. El principio de “minimización de datos” establecido en el RGPD destaca que los datos personales serán “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que serán tratados”.
Enlace: http://rsocial.expansionpro.orbyt.es/epaper/xml_epaper/Expansión/