El Análisis de Riesgo
en Protección de Datos

Máster en Protección de Datos por la AEPD y UNED

Contenidos

Vivimos en un mundo donde casi todos los sectores estamos expuestos a riesgos en nuestra vida. Para poder prevenir riesgos primero de todo debemos analizarlos y tener estrategias con medidas para que en caso de producirse una afectación ésta sea la menor posible, es aquí donde entra en juego el análisis de riesgo en protección de datos.

 

Te doy las gracias por estar en nuestro blog en Legal Box Plus, donde abordamos todos los temas de protección de datos, privacidad y comercio electrónico de los cuales te mantendremos informado.

 

El análisis de riesgo en protección de datos puede subdividirse en la gestión del riesgo en mapas de riesgos y mapas de salvaguardas o controles. En definitiva, no es más que una estrategia para poder abordar el enfoque de riesgo en protección de datos, dando respuesta tanto a los riesgos de las tecnologías de la información y las comunicaciones como a los posibles riesgos de un tratamiento de datos personales para aquellas personas cuyos datos son tratados, riesgos para sus derechos y libertades.

 

Aunque las matemáticas nunca han sido mi fuerte, en esta pequeña fracción puedes identificar la esencia del Análisis de Riesgo.

RIESGO= INCERTIDUMBRE EN LOS OBJETIVOS DE UNA ORGANIZACIÓN

¿Qué es un Análisis de Riesgo RGPD?

Con el RGPD el Análisis de Riesgo ha tomado otra dimensión. El Análisis de Riesgo RGPD tiene como uno de sus objetivos fundamentales garantizar los derechos y libertades de las personas, teniendo siempre en cuenta que los riesgos para los derechos y libertades de las personas no son idénticos para todas las personas.´


El Análisis de Riesgo está muy vinculado a la probabilidad de que un hecho se produzca y el impacto que en caso de producirse pudiera tener, así como las consecuencias derivadas de ello.


Para que lo veas mejor te lo resumo en esta fórmula:

PROBABILIDAD= POSIBILIDAD DE QUE ALGÚN HECHO TENGA LUGAR
RIESGO= IMPACTO X PROBABILIDAD

Es vital que tengas presente que el análisis de riesgo en protección de datos tiene como una de sus últimas finalidades determinar el nivel de riesgos en el marco de una actividad (por ejemplo, en el marco de un tratamiento de datos personales, que posteriormente facilite su gestión). De nada serviría llevar a cabo la identificación y cuantificación de los riesgos si no llevamos a cabo una posterior gestión de los mismos, es decir, si no realizamos un tratamiento de los riesgos. Para esta finalidad es necesario fijar una política de riesgos en una organización estableciendo el nivel de riesgo mínimo que estamos dispuestos a aceptar. 

 

Es importante que tengas en cuenta que en materia de protección de datos el riesgo que aceptamos no es un riesgo que pueda afectar directamente a nuestra organización, sino un riesgo que afecta a los propios interesados cuyos datos estamos tratando. Esta es una de las peculiaridades del enfoque de riesgos en materia de protección de datos personales. Tú como responsable, acompañado del encargado de tratamiento, valoras el umbral de riesgos aceptable, pero se trata de riesgos para terceros y no de riesgos que directamente te afecte como responsable o alguno de tus encargados de tratamiento.

¿Es obligatorio un Análisis de Riesgo en Protección de Datos?

La respuesta es . Con la entrega en vigor del RGPD el 25 de mayo de 2018, todas las organizaciones tanto privadas como públicas están obligadas a realizar un análisis de riesgo RGPD.


El RGPD regula que “es obligatorio el cumplimiento de los requerimientos y obligaciones para el responsable y el encargado de tratamiento que este incluye, entre las que destaca la necesidad de llevar a cabo un análisis de riesgos con el fin de establecer medidas de seguridad y control para garantizar los derechos y libertades de las personas, medidas enfocadas siempre en la gestión continua de los riesgos potenciales asociados al tratamiento desde su diseño.”


¿Y qué significa desde su diseño? Pues se refiere a que se deben analizar los tratamientos de datos antes de que se vayan a realizar e identificar los posibles riesgos que pueden tener para los derechos y libertades de los clientes o personas usuarias, de los cuales tratamos su información personal.

¿Quién debe realizar el análisis de riesgo?

Para llevar con éxito a la práctica el análisis y la gestión de riesgo en materia de protección de datos es necesario contar con el apoyo de la dirección de la organización, quien a su vez deberá apoyar la implantación de un marco de trabajo, que no es otra cosa que el propio compromiso de la dirección para la puesta en marcha de una política de análisis de riesgo.
Aunque no quiero hablar en terminología jurídica, me gustaría que supieras que en el artículo 24 del RGPD se establece que el responsable es quien tiene la obligación de garantizar la adopción de medidas para gestionar el riesgo para los derechos y libertades de los interesados.

¿Cuándo es necesario un análisis de riesgo RGPD?

La gestión del riesgo es uno de los pilares de la dirección de cualquier organización.
Toda entidad, cuando pretende iniciar con garantías un nuevo producto o servicio, debe gestionar los elementos de incertidumbre que se derivan de su naturaleza, ámbito, contexto y fines.

 

 

Cuando una organización se enfrenta al desarrollo de una nueva actividad, que se hará efectiva en la forma de un tratamiento, surgen elementos de incertidumbre. Las incertidumbres se manifiestan desde diferentes perspectivas. Por ejemplo, toda entidad ha de ser capaz de garantizar que dispondrá del capital necesario para realizar la nueva iniciativa, es decir, ha de gestionar el riesgo financiero. Para poner en marcha un proyecto no sólo es necesario el capital, sino disponer de los recursos necesarios, humanos y materiales, en tiempo, lugar y forma, que están sujetos a problemas de disponibilidad, adecuación, etc., lo que implica gestionar el riesgo de ejecución del mismo proyecto. En la implementación de éste se utilizarán técnicas y tecnologías novedosas que generan incertidumbres en su desempeño, lo que implica una gestión del riesgo de la fiabilidad técnica.

 

 

Cuando se trata de datos personales, la gobernanza de los datos establecida en la organización ha de garantizar el cumplimiento de los derechos y libertades conforme al RGPD. Para ello, los tratamientos de datos personales deben estar respaldados por la implementación efectiva de los principios relativos al tratamiento (art.5 RGPD), tomando las medidas adecuadas y ofreciendo garantías suficientes. En virtud del principio de responsabilidad proactiva, las políticas han de ser compromisos establecidos a nivel de la dirección de la organización.

Ejemplos de riesgo en protección de datos

Un ejemplo que se puede apreciar sobre el análisis de riesgo sería relativo a las amenazas, como la vulneración del deber de secreto por parte de algún trabajador, que podría ocurrir de manera consciente o inconsciente por parte de cualquier persona implicada en el tratamiento, y con independencia de lo que pudiera sobrevenir por una posible vía penal o administrativa con relación a la posible culpabilidad de esta persona, el responsable o el encargado. Estaríamos hablando de una amenaza en materia de protección de datos, amenaza que es preciso tratar y tener en cuenta.


Otro ejemplo sería que cualquier tratamiento de datos personales debe tener una base jurídica que lo permita. Si se realiza un tratamiento sin esa base jurídica el riesgo que asume el responsable del tratamiento es demasiado importante e incluso sería mejor que optase por no realizarlo.


Para terminar con los ejemplos, también tendríamos los tratamientos de datos de contacto y facturación de clientes o proveedores y los tratamientos de datos de los empleados en el ámbito de la relación laboral.

Los Datos Personales de tus trabajadores, usuarios, clientes o proveedores pueden estar comprometidos

La AEPD en el análisis de riesgo RGPD establece interrogantes que debes tener presente en tu empresa u organización para afrontar de manera efectiva el análisis de riesgo en protección de datos.

¿Cómo realizar un Análisis de Riesgo en Protección de Datos?

Todas las actividades de tratamiento de datos personales implican un riesgo para las personas cuyos datos son tratados y, en particular, para sus derechos y libertades.
Incluso en aquellos casos en los que el responsable, ya sea por la tipología del dato o por el tipo de actividad de la organización, pudiera asumir la existencia de un riesgo escaso para los interesados o incluso la inexistencia de riesgo.

 

Por lo tanto, el concepto de “riesgo cero” no existe cuando hablamos de gestión del riesgo, y en particular, cuando hablamos de los riesgos que pueden derivar de los tratamientos de datos personales. Siempre existirá un riesgo inherente o inicial implícito en cualquier tratamiento y, una vez que se hayan aplicado medidas y garantías que lo minimicen, seguirá existiendo un riesgo residual.

 

La AEPD ha estipulado un listado de cumplimientos que debe ser tenido en cuenta por las empresas para ejecutar el análisis de riesgo en protección de datos.


Es esencial para la ejecución de un profundo análisis de los riesgos rgpd  en tu empresa que:

 

 

  • Identifiques el origen de los riesgos.
  • Realices un análisis de las situaciones que pueden provocar riesgos.
  • Hagas una valoración de los riesgos y la posibilidad de que se puedan producir.
  • Trates los riesgos; el objetivo es disminuir su nivel de exposición con medidas de control que permitan reducir la probabilidad de que estos se materialicen y/o su potencial impacto.

⛔¿Estás libre de recibir una Sanción RGPD?

Eso depende de ti.

 

Si no haces las cosas bien e incumples lo establecido por el RGPD y demás normas de protección de datos;

 

Si no proteges los datos de tus clientes;

 

Si no actúas de una forma proactiva, analizando y previendo los riesgos a los tratamientos de datos que realizas y la información personal que manejas de tu comunidad;

 

Si existe una ausencia en tu negocio de medidas organizativas, de control desde el diseño y por defecto en tu organización;

 

…te informo que NO estás libre de recibir una sanción RGPD, sino todo lo contrario. 

 

En cualquier momento alguno de tus clientes te puede denunciar, al percatarse que no cumples con la protección de datos, ni proteges su información personal.

Análisis de Riesgo de Protección de Datos con Legal Box Plus

Con nuestra herramienta Legal Box no solo tendrás legal tu página web y tienda online, sino que también tu empresa y organización.

 

Con la herramienta podrás realizar un análisis de riesgo en protección de datos por cada tratamiento de tu empresa , y además un análisis general de tu empresa. De esta forma podrás detectar cuál es el nivel de riesgo que tienes con los datos personales que manejas. El informe de riesgo que genera la herramienta Legal Box, después de hacerte preguntas sobre tu organización, hará que cuentes con las medidas necesarias a implementar en tu negocio y que estés completamente legal y libre de sanciones.

herramienta legal box

Si quieres descargarte la guía (GRATIS), sólo tienes que rellenar este formulario

Responsable: Ocean Legaltech, S.L.(Legal Box Plus)
Finalidad: Gestionar y enviar información de boletines y promociones a través de correo electrónico.
Legitimación: Consentimiento del interesado.
Destinatarios: No se cederán a terceros salvo obligación legal.
Derechos: Puedes ejercitar en cualquier momento tus derechos de acceso, rectificación, supresión, limitación, oposición y demás derechos legalmente establecidos a través del siguiente e-mail: info@legalbox.plus.
Información adicional: Puedes consultar la información adicional y detallada sobre protección de datos aquí.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *


El periodo de verificación de reCAPTCHA ha caducado. Por favor, recarga la página.


Responsable: Ocean Legaltech, S.L.(Legal Box Plus)
Finalidad: Moderar y responder comentarios de usuarios.
Legitimación: Consentimiento del interesado.
Destinatarios: No se cederán a terceros salvo obligación legal.
Derechos: Puedes ejercitar en cualquier momento tus derechos de acceso, rectificación, supresión, limitación, oposición y demás derechos legalmente establecidos a través del siguiente e-mail: info@legalbox.plus.
Información adicional: Puedes consultar la información adicional y detallada obre Protección de Datos aquí: política de privacidad.

Carrito de compra

Acceso exclusivo a nuestra plataforma

Estamos trabajando para tener lista nuestra Demo GRATUITA cuanto antes. Completa el formulario con tus datos para ser de los primeros en tener acceso privado a nuestra plataforma de protección de datos y consigue de forma gratuita 12 Modelos de Leyendas Legales redactadas por nuestros expertos en RGPD y LOPD.

Responsable: Ocean Legaltech, S.L.(Legal Box Plus)
Finalidad: Usaremos tus datos para proporcionarte acceso a la demo gratuita y enviarte información de interés
Legitimación: Consentimiento del interesado. Destinatarios: No se cederán a terceros salvo obligación legal.
Derechos: Puedes ejercitar en cualquier momento tus derechos de acceso, rectificación, supresión, limitación, oposición y demás derechos legalmente establecidos a través del siguiente e-mail: info@legalbox.plus .
Información adicional: Puedes consultar la información adicional y detallada sobre protección de datos aquí.

 

Ayuda

CLASSIC

BASIC

BUSINESS

Cuenta

 

 

 

 

Dominios incluidos

Incluye licencia para web. Se incluyen las políticas y leyendas legales para los consentimientos.

1

1

Venta online

Incluye licencia para módulo de venta online por tipo de ecommerce. Se modifican las políticas y se generan las condiciones de contratación con política de devolución y entrega.

1

Usuarios

Licencia por usuario. Genera acuerdos de confidencialidad y manuales de seguridad. Se considera usuario a toda persona dentro de la organización, tanto asalariado como freelance, que trata datos de carácter personal.

3

10

25

Web

Ayuda

CLASSIC

BASIC

BUSINESS

Política de Privacidad

Generación personalizada de la política de privacidad de la web

ok

ok

Aviso Legal

Generación personalizada del aviso legal de la web

ok

ok

Política de Cookies

Generación personalizada de la política de cookies de la web

ok

ok

Actualizaciones de las políticas

Nuestro equipo jurídico monitorea constantemente las legislaciones en privacidad y realiza actualizaciones para mantener las políticas.

ok

ok

Políticas dinámicas

La herramienta genera URLs dinámicas por cada política de privacidad, permitiendo que los textos legales estén siempre actualizados.

ok

ok

Políticas HTML

Puedes incrustar políticas estáticas en tu web usando HTML

ok

ok

Leyendas legales

Para la primera capa informativa según el tipo de sistema de captación.

ok

ok

Banner Cookies

Texto a incorporar en los pop ups e cookies

ok

ok

Guía Webmaster

Guía completa para el desarrollador web sobre los mecanismos y elementos informativos a incorporar en una web.

ok

ok

Quitar logotipo de Legal Box

Elimina la marca Legal Box Plus de tus políticas

ok

RGPD

Ayuda

CLASSIC

BASIC

BUSINESS

Política PD

Documento sobre el protocolo de los principales elementos para cumplir con el RGPD

ok

Acuerdos confidencialidad

Contratos de confidencialidad con empleados, socios y colaboradores

3

5

10

Acuerdos con terceros

Contratos de encargado de tratamiento con prestadores de productos/servicios que tratan datos de carácter personal del responsable

3

5

10

Acuerdo de cesión

Contrato de cesión de datos de carácter personal dependiendo del tratamiento de datos.

3

5

10

Consentimiento de cesión

Documento de consentimiento de los afectados para la cesión de datos.

3

5

10

Otros acuerdos

Como es el caso del acuerdo de autorización de recuperación de datos por tercero.

3

5

10

Registro de tratamientos

Documento corporativo sobre todos los tratamientos de datos que realiza el responsable.

ok

Manuales Usuarios

Manuales de seguridad para usuarios por perfiles.

3

5

10

Cláusulas informativas

Generación de las cláusulas informativas de documentos a usuarios, de empleados, de formularios físicos, etc.

3

5

10

Análisis de riesgos

Gestión, auditoría y seguimiento de los riesgos inherentes al tratamiento de datos.

Protocolos

Diversas guías para actuar con procedimientos claros y concisos. Protocolo de ejercicio de derechos, protocolo de brechas de seguridad, de conservación de los datos, etc.

1

ok

ok

Avisos

Diversos tipos de avisos sobre protección de datos como el aviso de videovigilancia

1

ok

ok

Cláusula servicios

Cláusula a incorporar en los contratos de servicios

ok

Gestión

Ayuda

CLASSIC

BASIC

BUSINESS

Peticiones

Gestión de derechos. Peticiones por cada derecho.

ok

ok

ok

Nombramiento DPD

Gestión del nombramiento del delegado de protección de datos

Registros

De entrada y salida de soportes de tratamiento de datos

ok

ok

ok

Derechos

Gestión de derechos, registros de derechos atendidos

ok

ok

ok

Incidencias

Registro y control de incidencias y brechas de seguridad

ok

Auditorias

Sistema de auditoría de los distintos tratamiento de datos

Marketing

Ayuda

CLASSIC

BASIC

BUSINESS

Acuerdo Imagen

Contrato de cesión de derechos de imagen

ok

Leyenda emails

Cláusula a incorporar en la firma de las cuentas de correo electrónico

ok

ok

Campañas

Cláusula a incorporar en las newsletter y en los boletines electrónicos

ok

ok

Grabaciones

Acuerdo de consentimiento de grabaciones sesiones de retransmisión

ok

ok

Ayuda CLASSIC WEB ECOMMERCE
Cuenta  
Dominios incluidos Incluye licencia para web. Se incluyen las políticas y leyendas legales para los consentimientos. 1 1
Venta online Incluye licencia para módulo de venta online por tipo de ecommerce. Se modifican las políticas y se generan las condiciones de contratación con política de devolución y entrega. 1
Usuarios actividad Licencia por usuario. Genera acuerdos de confidencialidad y manuales de seguridad. Se considera usuario a toda persona dentro de la organización, tanto asalariado como freelance, que trata datos de carácter personal. 3
Web Ayuda CLASSIC WEB ECOMMERCE
Política de Privacidad Generación personalizada de la política de privacidad de la web ok ok
Aviso Legal Generación personalizada del aviso legal de la web ok ok
Política de Cookies Generación personalizada de la política de cookies de la web ok ok
Actualizaciones de las políticas Nuestro equipo jurídico monitorea constantemente las legislaciones en privacidad y realiza actualizaciones para mantener las políticas. ok ok
Políticas dinámicas La herramienta genera URLs dinámicas por cada política de privacidad, permitiendo que los textos legales estén siempre actualizados. ok ok
Políticas HTML Puedes incrustar políticas estáticas en tu web usando HTML ok ok
Leyendas legales Para la primera capa informativa según el tipo de sistema de captación. ok ok
Banner Cookies Texto a incorporar en los pop ups e cookies ok ok
Guía Webmaster Guía completa para el desarrollador web sobre los mecanismos y elementos informativos a incorporar en una web. ok ok
Quitar logotipo de Legal Box Elimina la marca Legal Box Plus de tus políticas ok
RGPD Ayuda CLASSIC WEB ECOMMERCE
Política PD Documento sobre el protocolo de los principales elementos para cumplir con el RGPD ok
Acuerdos confidencialidad Contratos de confidencialidad con empleados, socios y colaboradores 3
Acuerdos con terceros Contratos de encargado de tratamiento con prestadores de productos/servicios que tratan datos de carácter personal del responsable 3
Acuerdo de cesión Contrato de cesión de datos de carácter personal dependiendo del tratamiento de datos. 3
Consentimiento de cesión Documento de consentimiento de los afectados para la cesión de datos. 3
Otros acuerdos Como es el caso del acuerdo de autorización de recuperación de datos por terceros. 3
Registro de tratamientos Documento corporativo sobre todos los tratamientos de datos que realiza el responsable. ok
Manuales Usuarios Manuales de seguridad para usuarios por perfiles. 3
Cláusulas informativas Generación de las cláusulas informativas de documentos a usuarios, de empleados, de formularios físicos, etc. 3
Análisis de riesgos Gestión, auditoría y seguimiento de los riesgos inherentes al tratamiento de datos.
Protocolos Diversas guías para actuar con procedimientos claros y concisos. Protocolo de ejercicio de derechos, protocolo de brechas de seguridad, de conservación de los datos, etc. ok
Avisos Diversos tipos de avisos sobre protección de datos como el aviso de videovigilancia ok
Cláusula servicios Cláusula a incorporar en los contratos de servicios ok
Gestión Ayuda CLASSIC WEB ECOMMERCE
Peticiones Gestión de derechos. Peticiones por cada derecho. ok
Nombramiento DPD Gestión del nombramiento del delegado de protección de datos
Registros De entrada y salida de soportes de tratamiento de datos ok
Derechos Gestión de derechos, registros de derechos atendidos ok
Incidencias Registro y control de incidencias y brechas de seguridad
Auditorias Sistema de auditoría de los distintos tratamiento de datos
Marketing Ayuda CLASSIC WEB ECOMMERCE
Acuerdo Imagen Contrato de cesión de derechos de imagen ok ok
Leyenda emails Cláusula a incorporar en la firma de las cuentas de correo electrónico ok ok
Campañas Cláusula a incorporar en las newsletter y en los boletines electrónicos ok ok
Grabaciones Acuerdo de consentimiento de grabaciones sesiones de retransmisión ok ok