El Análisis de Riesgo
en Protección de Datos
Contenidos
Vivimos en un mundo donde casi todos los sectores estamos expuestos a riesgos en nuestra vida. Para poder prevenir riesgos primero de todo debemos analizarlos y tener estrategias con medidas para que en caso de producirse una afectación ésta sea la menor posible, es aquí donde entra en juego el análisis de riesgo en protección de datos.
Te doy las gracias por estar en nuestro blog en Legal Box Plus, donde abordamos todos los temas de protección de datos, privacidad y comercio electrónico de los cuales te mantendremos informado.
El análisis de riesgo en protección de datos puede subdividirse en la gestión del riesgo en mapas de riesgos y mapas de salvaguardas o controles. En definitiva, no es más que una estrategia para poder abordar el enfoque de riesgo en protección de datos, dando respuesta tanto a los riesgos de las tecnologías de la información y las comunicaciones como a los posibles riesgos de un tratamiento de datos personales para aquellas personas cuyos datos son tratados, riesgos para sus derechos y libertades.
Aunque las matemáticas nunca han sido mi fuerte, en esta pequeña fracción puedes identificar la esencia del Análisis de Riesgo.
RIESGO= INCERTIDUMBRE EN LOS OBJETIVOS DE UNA ORGANIZACIÓN
¿Qué es un Análisis de Riesgo RGPD?
Con el RGPD el Análisis de Riesgo ha tomado otra dimensión. El Análisis de Riesgo RGPD tiene como uno de sus objetivos fundamentales garantizar los derechos y libertades de las personas, teniendo siempre en cuenta que los riesgos para los derechos y libertades de las personas no son idénticos para todas las personas.´
El Análisis de Riesgo está muy vinculado a la probabilidad de que un hecho se produzca y el impacto que en caso de producirse pudiera tener, así como las consecuencias derivadas de ello.
Para que lo veas mejor te lo resumo en esta fórmula:
Es vital que tengas presente que el análisis de riesgo en protección de datos tiene como una de sus últimas finalidades determinar el nivel de riesgos en el marco de una actividad (por ejemplo, en el marco de un tratamiento de datos personales, que posteriormente facilite su gestión). De nada serviría llevar a cabo la identificación y cuantificación de los riesgos si no llevamos a cabo una posterior gestión de los mismos, es decir, si no realizamos un tratamiento de los riesgos. Para esta finalidad es necesario fijar una política de riesgos en una organización estableciendo el nivel de riesgo mínimo que estamos dispuestos a aceptar.
Es importante que tengas en cuenta que en materia de protección de datos el riesgo que aceptamos no es un riesgo que pueda afectar directamente a nuestra organización, sino un riesgo que afecta a los propios interesados cuyos datos estamos tratando. Esta es una de las peculiaridades del enfoque de riesgos en materia de protección de datos personales. Tú como responsable, acompañado del encargado de tratamiento, valoras el umbral de riesgos aceptable, pero se trata de riesgos para terceros y no de riesgos que directamente te afecte como responsable o alguno de tus encargados de tratamiento.
¿Es obligatorio un Análisis de Riesgo en Protección de Datos?
La respuesta es SÍ. Con la entrega en vigor del RGPD el 25 de mayo de 2018, todas las organizaciones tanto privadas como públicas están obligadas a realizar un análisis de riesgo RGPD.
El RGPD regula que “es obligatorio el cumplimiento de los requerimientos y obligaciones para el responsable y el encargado de tratamiento que este incluye, entre las que destaca la necesidad de llevar a cabo un análisis de riesgos con el fin de establecer medidas de seguridad y control para garantizar los derechos y libertades de las personas, medidas enfocadas siempre en la gestión continua de los riesgos potenciales asociados al tratamiento desde su diseño.”
¿Y qué significa desde su diseño? Pues se refiere a que se deben analizar los tratamientos de datos antes de que se vayan a realizar e identificar los posibles riesgos que pueden tener para los derechos y libertades de los clientes o personas usuarias, de los cuales tratamos su información personal.
¿Quién debe realizar el análisis de riesgo?
Para llevar con éxito a la práctica el análisis y la gestión de riesgo en materia de protección de datos es necesario contar con el apoyo de la dirección de la organización, quien a su vez deberá apoyar la implantación de un marco de trabajo, que no es otra cosa que el propio compromiso de la dirección para la puesta en marcha de una política de análisis de riesgo.
Aunque no quiero hablar en terminología jurídica, me gustaría que supieras que en el artículo 24 del RGPD se establece que el responsable es quien tiene la obligación de garantizar la adopción de medidas para gestionar el riesgo para los derechos y libertades de los interesados.
¿Cuándo es necesario un análisis de riesgo RGPD?
La gestión del riesgo es uno de los pilares de la dirección de cualquier organización.
Toda entidad, cuando pretende iniciar con garantías un nuevo producto o servicio, debe gestionar los elementos de incertidumbre que se derivan de su naturaleza, ámbito, contexto y fines.
Cuando una organización se enfrenta al desarrollo de una nueva actividad, que se hará efectiva en la forma de un tratamiento, surgen elementos de incertidumbre. Las incertidumbres se manifiestan desde diferentes perspectivas. Por ejemplo, toda entidad ha de ser capaz de garantizar que dispondrá del capital necesario para realizar la nueva iniciativa, es decir, ha de gestionar el riesgo financiero. Para poner en marcha un proyecto no sólo es necesario el capital, sino disponer de los recursos necesarios, humanos y materiales, en tiempo, lugar y forma, que están sujetos a problemas de disponibilidad, adecuación, etc., lo que implica gestionar el riesgo de ejecución del mismo proyecto. En la implementación de éste se utilizarán técnicas y tecnologías novedosas que generan incertidumbres en su desempeño, lo que implica una gestión del riesgo de la fiabilidad técnica.
Cuando se trata de datos personales, la gobernanza de los datos establecida en la organización ha de garantizar el cumplimiento de los derechos y libertades conforme al RGPD. Para ello, los tratamientos de datos personales deben estar respaldados por la implementación efectiva de los principios relativos al tratamiento (art.5 RGPD), tomando las medidas adecuadas y ofreciendo garantías suficientes. En virtud del principio de responsabilidad proactiva, las políticas han de ser compromisos establecidos a nivel de la dirección de la organización.
Ejemplos de riesgo en protección de datos
Un ejemplo que se puede apreciar sobre el análisis de riesgo sería relativo a las amenazas, como la vulneración del deber de secreto por parte de algún trabajador, que podría ocurrir de manera consciente o inconsciente por parte de cualquier persona implicada en el tratamiento, y con independencia de lo que pudiera sobrevenir por una posible vía penal o administrativa con relación a la posible culpabilidad de esta persona, el responsable o el encargado. Estaríamos hablando de una amenaza en materia de protección de datos, amenaza que es preciso tratar y tener en cuenta.
Otro ejemplo sería que cualquier tratamiento de datos personales debe tener una base jurídica que lo permita. Si se realiza un tratamiento sin esa base jurídica el riesgo que asume el responsable del tratamiento es demasiado importante e incluso sería mejor que optase por no realizarlo.
Para terminar con los ejemplos, también tendríamos los tratamientos de datos de contacto y facturación de clientes o proveedores y los tratamientos de datos de los empleados en el ámbito de la relación laboral.
Los Datos Personales de tus trabajadores, usuarios, clientes o proveedores pueden estar comprometidos
- ¿Se tratan datos sensibles?
- ¿Se incluyen datos de una gran cantidad de personas?
- ¿Incluye en el tratamiento la elaboración de perfiles?
- ¿Se cruzan los datos obtenidos de los interesados con otros disponibles en otras fuentes?
- ¿Se utilizan tecnologías especialmente invasivas para la privacidad, como las relativas a la geolocalización, videovigilancia a gran escala o ciertas aplicaciones del Internet de las cosas?
¿Cómo realizar un Análisis de Riesgo en Protección de Datos?
Todas las actividades de tratamiento de datos personales implican un riesgo para las personas cuyos datos son tratados y, en particular, para sus derechos y libertades.
Incluso en aquellos casos en los que el responsable, ya sea por la tipología del dato o por el tipo de actividad de la organización, pudiera asumir la existencia de un riesgo escaso para los interesados o incluso la inexistencia de riesgo.
Por lo tanto, el concepto de “riesgo cero” no existe cuando hablamos de gestión del riesgo, y en particular, cuando hablamos de los riesgos que pueden derivar de los tratamientos de datos personales. Siempre existirá un riesgo inherente o inicial implícito en cualquier tratamiento y, una vez que se hayan aplicado medidas y garantías que lo minimicen, seguirá existiendo un riesgo residual.
La AEPD ha estipulado un listado de cumplimientos que debe ser tenido en cuenta por las empresas para ejecutar el análisis de riesgo en protección de datos.
Es esencial para la ejecución de un profundo análisis de los riesgos rgpd en tu empresa que:
- Identifiques el origen de los riesgos.
- Realices un análisis de las situaciones que pueden provocar riesgos.
- Hagas una valoración de los riesgos y la posibilidad de que se puedan producir.
- Trates los riesgos; el objetivo es disminuir su nivel de exposición con medidas de control que permitan reducir la probabilidad de que estos se materialicen y/o su potencial impacto.
⛔¿Estás libre de recibir una Sanción RGPD?
Eso depende de ti.
Si no haces las cosas bien e incumples lo establecido por el RGPD y demás normas de protección de datos;
Si no proteges los datos de tus clientes;
Si no actúas de una forma proactiva, analizando y previendo los riesgos a los tratamientos de datos que realizas y la información personal que manejas de tu comunidad;
Si existe una ausencia en tu negocio de medidas organizativas, de control desde el diseño y por defecto en tu organización;
…te informo que NO estás libre de recibir una sanción RGPD, sino todo lo contrario.
En cualquier momento alguno de tus clientes te puede denunciar, al percatarse que no cumples con la protección de datos, ni proteges su información personal.
Análisis de Riesgo de Protección de Datos con Legal Box Plus
Con nuestra herramienta Legal Box no solo tendrás legal tu página web y tienda online, sino que también tu empresa y organización.
Con la herramienta podrás realizar un análisis de riesgo en protección de datos por cada tratamiento de tu empresa , y además un análisis general de tu empresa. De esta forma podrás detectar cuál es el nivel de riesgo que tienes con los datos personales que manejas. El informe de riesgo que genera la herramienta Legal Box, después de hacerte preguntas sobre tu organización, hará que cuentes con las medidas necesarias a implementar en tu negocio y que estés completamente legal y libre de sanciones.
EIPD, La Evaluación de Impacto en Protección de Datos
Si quieres descargarte la guía (GRATIS), sólo tienes que rellenar este formulario
Responsable: Luz Soluciones TIC, S.L(Legal Box Plus) Finalidad: Gestionar y enviar información de boletines y promociones a través de correo electrónico. Legitimación: Consentimiento del interesado. Destinatarios: No se cederán a terceros salvo obligación legal. Derechos: Puedes ejercitar en cualquier momento tus derechos de acceso, rectificación, supresión, limitación, oposición y demás derechos legalmente establecidos a través del siguiente e-mail: info@legalbox.plus. Información adicional: Puedes consultar la información adicional y detallada sobre protección de datos aquí en nuestra Política de Privacidad