[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2017\/11\/28\/analisis-riesgos-proteccion-datos\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2017\/11\/28\/analisis-riesgos-proteccion-datos\/","headline":"An\u00e1lisis de riesgos sobre Protecci\u00f3n de Datos","name":"An\u00e1lisis de riesgos sobre Protecci\u00f3n de Datos","description":"Cu\u00e1ndo y c\u00f3mo debe realizarse un analisis de riesgos en protecci\u00f3n de datos, ejemplos y diferencia con la evaluaci\u00f3n de impacto \u00a1descubre m\u00e1s aqu\u00ed!","datePublished":"2017-11-28","dateModified":"2022-06-21","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/#Person","name":"Ana Gonz\u00e1lez","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2017\/11\/puntos-analisis-riesgos-proteccion-datos.jpg","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2017\/11\/puntos-analisis-riesgos-proteccion-datos.jpg","height":"564","width":"729"},"url":"https:\/\/ayudaleyprotecciondatos.es\/2017\/11\/28\/analisis-riesgos-proteccion-datos\/","about":["LOPDGDD & RGPD"],"wordCount":3010,"articleBody":" if (typeof BingeIframeRan === \"undefined\") { window.addEventListener(\"message\", receiveMessage, false); function receiveMessage(event) { try { var parsed = JSON.parse(event.data) if (parsed.context === \"iframe.resize\") { var iframes = document.getElementsByClassName(\"binge-iframe\"); for (let i = 0; i < iframes.length; ++i) { if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) { iframes[i].height = parsed.height; } iframes[i].style.opacity = 1; } } } catch (error) { } } var BingeIframeRan = true; } \u00bfSigue siendo un dolor de cabeza para ti la necesidad de realizar un an\u00e1lisis de riesgos en protecci\u00f3n de datos? Si tienes un negocio, estoy segura de que uno de tus principales objetivos es tener una buena seguridad de la informaci\u00f3n que manejas. Con la entrada en vigor del nuevo Reglamento Europeo de Protecci\u00f3n de Datos Personales, los An\u00e1lisis de riesgos se han convertido en obligatorios para las empresas. Se trata de una herramienta fundamental para evitar problemas legales, entre otros, inconvenientes t\u00e9cnicos u operativos.\u00bfQu\u00e9 es un an\u00e1lisis de riesgos en Protecci\u00f3n de datos?Ejemplos de an\u00e1lisis de riesgos sobre protecci\u00f3n de datos\u00bfQui\u00e9n debe realizarlo?C\u00f3mo debe realizarse este An\u00e1lisis de riesgos1. \u00bfEs necesario?2. Describir los flujos de informaci\u00f3n3. Identificar los riesgos que afecten a la privacidadFinalidadCalidad de los datos personalesNo mantener los datos personales m\u00e1s all\u00e1 del tiempo necesarioGarantizar los derechos ARCOMedidas de seguridadTransferencias internacionales4. Establecer soluciones para garantizar la privacidad\u00bfNecesitas cumplir el RGPD?5. Implementaci\u00f3n de las anteriores las soluciones6. Participaci\u00f3n de los agentes implicados7. Integraci\u00f3n del An\u00e1lisis de riesgos en la gesti\u00f3nLos An\u00e1lisis de riesgos en el RGPDDiferencias entre An\u00e1lisis de riesgos y Evaluaci\u00f3n de Impacto en Protecci\u00f3n de DatosGu\u00eda AEPD de An\u00e1lisis de riesgos en los tratamientos de datos personalesModelo\u00bfNecesitas cumplir el RGPD?\u00bfQu\u00e9 es un an\u00e1lisis de riesgos en Protecci\u00f3n de datos?De forma resumida, un An\u00e1lisis de riesgos es una herramienta que va a permitir antes poner en marcha un servicio o producto:cumplir con la normativa de protecci\u00f3n de datos y privacidad,identificar los problemas,reducir el coste de la implementaci\u00f3n del cumplimiento de la normativa de protecci\u00f3n de datos, yprevenir problemas futuros que puedan da\u00f1ar la reputaci\u00f3n de la empresa o Administraci\u00f3n p\u00fablica.Por ello, un an\u00e1lisis de riesgos en protecci\u00f3n de datos se puede definir como el an\u00e1lisis previo que se ha de realizar antes de proceder a un tratamiento de datos personales, a fin de establecer las medidas de control y seguridad necesarias para garantizar los derechos y libertades de todos los interesados.Ejemplos de an\u00e1lisis de riesgos sobre protecci\u00f3n de datosAlgunos ejemplos en los que es conveniente realizar un An\u00e1lisis de riesgos ser\u00edan:Supuestos de puesta en funcionamiento de una aplicaci\u00f3n tecnol\u00f3gica que vaya a almacenar y tratar datos de car\u00e1cter personalComunicaci\u00f3n de datos personales entre dos o m\u00e1s organizacionesTratamiento de datos personales que suponga la identificaci\u00f3n de un grupo en relaci\u00f3n al resto de la sociedadSistemas de vigilancia (incluyendo la videovigilancia y monitorizaci\u00f3n de individuos)Adem\u00e1s, el An\u00e1lisis de riesgos debe realizarse no s\u00f3lo antes de poner en marcha alguno de los servicios o productos citados, sino tambi\u00e9n cuando se realice un revisi\u00f3n o mejora de los mismos.\u00bfQui\u00e9n debe realizarlo?Otro punto importante, es determinar qui\u00e9n va a ser la persona dentro de la organizaci\u00f3n encargado de coordinar el An\u00e1lisis de riesgos.En aquellas organizaciones donde est\u00e9 implantada la figura del Data Protection Officer, \u00e9ste debe ser el encargado de llevar a cabo este rol.Donde no exista, lo deseable es que sea un persona con conocimientos en la materia.No s\u00f3lo vamos a tener una participaci\u00f3n del DPO \u2013donde exista- en la coordinaci\u00f3n, sino que tambi\u00e9n intervendr\u00e1n, a lo largo de la realizaci\u00f3n del An\u00e1lisis de riesgos el personal de la organizaci\u00f3n que est\u00e9 involucrado en el producto y servicio, e incluso los potenciales usuarios.C\u00f3mo debe realizarse este An\u00e1lisis de riesgos Cuando vayamos a realizar un An\u00e1lisis de riesgos debemos partir de identificar para su estudio siete fases o elementos determinantes, pero siempre tratando de utilizar un modelo flexible que se pueda adecuar al modelo y estructura de la organizaci\u00f3n.Estas siete fases o elementos son los siguientes:1. \u00bfEs necesario?Saber las razones por la que debemos realizar un An\u00e1lisis de riesgos sobre el proyecto, servicio o tratamiento de datos personales. Para ello, podemos utilizar las siguientes preguntas que nos ayudar\u00e1n a saber si realmente es necesario, sobre todo en aquellos casos en los que no se cuente con un DPO:\u00bfSe van a recabar datos de car\u00e1cter personal?\u00bfSe comunicar\u00e1n datos personales a terceros o a quien no ha tenido acceso a la informaci\u00f3n?\u00bfVa a utilizarse tecnolog\u00eda que puede ser considerada como invasiva para la privacidad?\u00bfEstamos ante alg\u00fan supuesto de \u201cespecial consideraci\u00f3n\u201d de privacidad como podr\u00edan ser los datos de salud?\u00bfSe va a contactar con los titulares de los datos de alguna forma que podr\u00eda ser invasiva?2. Describir los flujos de informaci\u00f3nSe trata de conocer c\u00f3mo se van a recabar los datos de car\u00e1cter personal, para qu\u00e9 se van a utilizar, con qu\u00e9 finalidad, y qui\u00e9n tiene acceso a la misma.En otras palabras, contestar al \u201c\u00bfPor qu\u00e9?, \u00bfPara qu\u00e9? y \u00bfQui\u00e9n?\u201d.No es m\u00e1s que el proceso que debe realizarse en toda auditor\u00eda lopd de medidas de seguridad media y alta, ya que si bien el Reglamento de desarrollo de la LOPD se refiere \u00fanicamente a auditar las citadas medidas, estimamos que como condici\u00f3n previa hay que conocer y describir los flujos de datos personales que forman parte del sistema que se quiere auditar.3. Identificar los riesgos que afecten a la privacidadPueden ser de tres tipos:Sobre los afectados (como la invasi\u00f3n en su vida privada, comunicar datos a terceros cuando no sea necesario, no haber realizado un procedimiento adecuado de anonimizaci\u00f3n, mantener los datos m\u00e1s tiempo que el estrictamente necesario para la finalidad que se recogieron).Riesgos corporativos (como p\u00e9rdida de reputaci\u00f3n o una multa por brechas de seguridad).Riesgos legales (como no cumplir con la legislaci\u00f3n de protecci\u00f3n de datos, o servicios de la sociedad de la informaci\u00f3n).Adem\u00e1s, tambi\u00e9n deben tenerse en cuenta una serie de preguntas que est\u00e1n relacionados con el cumplimiento de los principios de protecci\u00f3n de datos que permitir\u00e1n identificar estos riesgos, como pueden ser:FinalidadLos datos personales ser\u00e1n usados \u00fanicamente para la finalidad para la cual han sido recabados, y nunca para una finalidad que sea incompatible.As\u00ed, nos podr\u00edamos preguntar si \u00bfcubre el proyecto o servicio todas las finalidades para la cual han sido recabados los datos personales o existen otras que no han sido contempladas en la recogida de datos?Calidad de los datos personales\u00bfSon los datos adecuados para las finalidades para las cuales van a ser utilizados?\u00bfSe van a recabar datos que no van a ser utilizados?No mantener los datos personales m\u00e1s all\u00e1 del tiempo necesario\u00bfDurante cu\u00e1nto tiempo se van a\u00a0almacenar los datos?Transcurrido el tiempo de almacenamiento, \u00bfPermite el software que use el producto o servicio el borrado de los datos?Garantizar los derechos ARCO\u00bfEl producto o servicio hace viable que se puedan\u00a0ejercitar los derechos ARCO por los interesados\u00a0dando respuesta a los mismos?Si el producto o servicio est\u00e1 destinado al marketing \u00bfPueden negarse los afectados usando un sistema de opt-out?Medidas de seguridad\u00bfSe han instalado las medidas adecuadas para prevenir los riesgos de seguridad?\u00bfSe ha formado al personal para que trate los datos personales adecuadamente y sin que existan accesos indebidos?Transferencias internacionales\u00bfEl producto o servicio requiere\u00a0transferir datos\u00a0a pa\u00edses que no forman parte del Espacio Econ\u00f3mico Europeo?En caso afirmativo, \u00bfc\u00f3mo se garantiza la protecci\u00f3n de datos de los interesados en el pa\u00eds receptor?4. Establecer soluciones para garantizar la privacidadUna vez que hemos identificado los riesgos para la privacidad, tal y como hemos descrito en el punto anterior, lo m\u00e1s l\u00f3gico es desarrollar las medidas correspondientes para eliminar o mitigar dichos riesgos.La realizaci\u00f3n de un An\u00e1lisis de riesgos no tiene por qu\u00e9 eliminar completamente los riesgos sobre la privacidad de los afectados, sino reducirlos a un nivel aceptable que permita para la organizaci\u00f3n la implementaci\u00f3n del producto, servicio o tratamiento de datos personales.En este sentido, y seg\u00fan el riesgo que se haya identificado podemos valorar la posibilidad de desarrollar alguna de las siguientes soluciones:No recabar o almacenar determinados tipos de datosEstablecer el per\u00edodo m\u00e1ximo de almacenamiento as\u00ed como un procedimiento de destrucci\u00f3n de los datos una vez que se haya cumplido el citado per\u00edodoImplementar las medidas de seguridad y formar al personalDesarrollar y poner en pr\u00e1ctica un procedimiento de anonimizaci\u00f3n de los datosDesarrollar el producto o servicio de forma que se garantice el ejercicio de los derechos ARCOEstablecer protocolos en caso de cesiones de datos personalesAdoptar las medidas necesarias para que los afectados sepan para qu\u00e9 se recaban los datos personales, y que en caso de duda, puedan contactar con la organizaci\u00f3n para, de esta forma, recibir las aclaraciones pertinentesAsimismo, se debe valorar el coste y beneficio de implementar estas soluciones, teniendo en cuenta que en algunos casos, existir\u00e1 un coste econ\u00f3mico, por lo que habr\u00e1 que realizar una comparativa entre costes y beneficios (por ejemplo, sobre las medidas de seguridad que pueden evitar una fuga de datos personales y consecuentemente, una p\u00e9rdida de reputaci\u00f3n para la empresa). \u00bfNecesitas cumplir el RGPD? Solicita varios presupuestos 5. Implementaci\u00f3n de las anteriores las solucionesUna vez que hemos recogido cuales ser\u00edan las formas o herramientas necesarias para garantizar la privacidad, hay que decidir cu\u00e1les de ellas implementamos, ya que como se ha comentado anteriormente, no necesariamente hay que poner en funcionamiento todas, ya que la empresa puede asumir determinados riesgos, cuando los mismos sean considerados como aceptables.No obstante, puede ocurrir que existan riesgos que no s\u00f3lo sean inaceptables sino que, incluso, no se puedan eliminar, por lo que ser\u00eda necesario estudiar la viabilidad del proyecto, servicio o tratamiento de datos, o no directamente, no llevarlo a cabo.Adem\u00e1s de implementar las soluciones, es importante registrar cada uno de los riesgos y las soluciones adoptadas, as\u00ed como quien es el responsable de ponerlas en funcionamiento.Todo ello, se incluir\u00e1 en el informe final del An\u00e1lisis de riesgos, el cual se recomienda como buena pr\u00e1ctica que se publique para dar una mayor transparencia y que los afectados sepan c\u00f3mo afecta el producto, servicio o tratamiento, a su privacidad.Adem\u00e1s, esta publicaci\u00f3n puede servir como estrategia de marketing de la empresa, organizaci\u00f3n, o Administraci\u00f3n p\u00fablica.6. Participaci\u00f3n de los agentes implicadosConocemos que es pr\u00e1ctica habitual que cuando se pone en marcha un producto o servicio que afecte a la protecci\u00f3n de datos personales, el cumplimiento de esta norma se deja para el final al grito de \u201c\u00a1Nos falta la LOPD!\u201d.Para evitarlo, al igual que ocurre con la Privacidad por Dise\u00f1o y por Defecto, se recomienda que en cualquier fase de realizaci\u00f3n del An\u00e1lisis de riesgos, que anteriormente hemos descrito, fluya la informaci\u00f3n tanto a nivel interno como externo de la organizaci\u00f3n.Respecto al interno, tenemos la tradicional relaci\u00f3n entre los dise\u00f1adores del producto, servicio o tratamiento, y el departamento legal de la empresa, que puede ser completado en el caso de que exista un DPO, un departamento de Tecnolog\u00edas de la Informaci\u00f3n que ofrecer\u00eda su ayuda en materia de seguridad, o si se decide contratar a empresas que act\u00faen como encargados del tratamiento, que \u00e9stos tambi\u00e9n participen.Respecto al externo, permitir\u00eda conocer la opini\u00f3n de los afectados cuyos datos van a ser tratados, as\u00ed como dar una mayor transparencia. Este tipo de consultas suele ser m\u00e1s frecuente en el sector p\u00fablico, sobre todo en supuestos en que existe una obligaci\u00f3n legal al respecto. Otra opci\u00f3n es que exista una participaci\u00f3n, por ejemplo, de organizaciones que representen a usuarios y consumidores.7. Integraci\u00f3n del An\u00e1lisis de riesgos en la gesti\u00f3nOtro elemento importante es que el An\u00e1lisis de riesgos forme parte de la propia gesti\u00f3n de la empresa u organizaci\u00f3n, ya que es la forma m\u00e1s segura de garantizar la privacidad de productos y servicios.Los An\u00e1lisis de riesgos en el RGPDComo ya hemos mencionado al principio de este \u201cpost\u201d, una de las novedades que introduce el RGPD es someter determinados tratamientos, con car\u00e1cter previo a su puesta en funcionamiento, a la realizaci\u00f3n del citado Privacy Impact Assessment. En concreto, y seg\u00fan el art\u00edculo 33:Cuando las operaciones de tratamiento entra\u00f1en riesgos espec\u00edficos para los derechos y libertades de los interesados en raz\u00f3n de su naturaleza, alcance o fines, el responsable o el encargado del tratamiento que act\u00fae por cuenta del responsable llevar\u00e1n a cabo una evaluaci\u00f3n del impacto de las operaciones de tratamiento previstas en la protecci\u00f3n de datos personalesTodas las empresas, sin excepci\u00f3n, deben analizar las vulnerabilidades inform\u00e1ticas y potenciales brechas de seguridad l\u00f3gica con el fin de seleccionar e implementar las mejores soluciones inform\u00e1ticas destinadas a impedir, bloquear o neutralizar los ataques.Este an\u00e1lisis, as\u00ed como la selecci\u00f3n de las soluciones, debe realizarse teniendo en cuenta el estado de la t\u00e9cnica (art. 25 RGPD). Es decir, deben implementarse medidas de seguridad avanzadas, nunca obsoletas, que sean capaces de impedir o bloquear los ataques inform\u00e1ticos actuales. Un ejemplo de incumplimiento ser\u00eda el uso de sistemas de cifrado obsoletos.El an\u00e1lisis de riesgo debe ser una actividad viva en la empresa. Debido a que la norma exige la actualizaci\u00f3n constante de las medidas de seguridad y al aumento de los delitos inform\u00e1ticos, la empresa debe establecer un sistema de vigilancia que haga revisiones peri\u00f3dicas y siempre que cambien circunstancias tecnol\u00f3gicas tanto en la empresa como en el sector inform\u00e1tico.Diferencias entre An\u00e1lisis de riesgos y Evaluaci\u00f3n de Impacto en Protecci\u00f3n de DatosEl an\u00e1lisis de riesgos tiene que ver con la determinaci\u00f3n de la p\u00e9rdida potencial por causa de una amenaza y el costo de la medida de protecci\u00f3n hacia los datos personales manejados en la organizaci\u00f3n. Es decir, cu\u00e1nto gastar en prevenci\u00f3n y protecci\u00f3n.Para ello, se necesita saber primero cu\u00e1les son esos procesos y recursos cr\u00edticos.En la evaluaci\u00f3n de impacto se busca principalmente:Determinar el impacto que tendr\u00eda un evento disruptivo en los datos personales de la organizaci\u00f3n.Identificar los recursos \u2014personas, infraestructura f\u00edsica, tecnol\u00f3gica, informaci\u00f3n, y terceros\u2014 de los que dependen.En el an\u00e1lisis de riesgos, se identifican las amenazas de interrupci\u00f3n m\u00e1s probables y se analizan las vulnerabilidades relacionadas con dichas amenazas, evaluando los controles de seguridad f\u00edsica, l\u00f3gica y ambiental, revisando su efectividad para contener las amenazas identificadas.En la Evaluaci\u00f3n de Impacto se analizan los riesgos que\u00a0un sistema, producto o servicio puede suponer para los derechos y libertades de las personas y, tras haber realizado ese an\u00e1lisis, se gestionan esos peligros antes de que se materialicen.Gu\u00eda AEPD de An\u00e1lisis de riesgos en los tratamientos de datos personalesUno de los aspectos clave para poder garantizar los derechos y libertades de los interesados es el dise\u00f1o adecuado de las actividades de tratamiento.La fase de dise\u00f1o de un tratamiento define el flujo de los datos personales, as\u00ed como todos los elementos que intervendr\u00e1n a lo largo del mismo. De igual modo, es el momento id\u00f3neo para definir las medidas de control y seguridad para garantizar los derechos y libertades de los interesados con el objetivo de que un tratamiento nazca respetando los requerimientos de privacidad asociados al nivel de riesgo a la que est\u00e1 expuesto.La Agencia Espa\u00f1ola de Protecci\u00f3n de Datos (AEPD) ha elaborado la presente gu\u00eda para la realizaci\u00f3n de an\u00e1lisis de riesgos de las actividades de tratamiento con el objetivo de establecer una hoja de ruta para afrontar un enfoque orientado a riesgos.La gu\u00eda persigue ofrecer directrices y orientaciones para establecer una hoja de ruta que permita contemplar la privacidad desde el inicio, mediante un enfoque de an\u00e1lisis de riesgos, facilitando el cumplimiento del RGPD.ModeloPuedes descargar aqu\u00ed el modelo para realizar un an\u00e1lisis de riesgos en tu empresa. \u00bfNecesitas cumplir el RGPD? Solicita varios presupuestos "},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2017\/11\/28\/analisis-riesgos-proteccion-datos\/#breadcrumbitem","name":"An\u00e1lisis de riesgos sobre Protecci\u00f3n de Datos"}}]}]