Ayuda Ley Protección Datos

Análisis de riesgos sobre Protección de Datos

¿Sigue siendo un dolor de cabeza para ti la necesidad de realizar un análisis de riesgos en protección de datos? Si tienes un negocio, estoy segura de que uno de tus principales objetivos es tener una buena seguridad de la información que manejas. Con la entrada en vigor del nuevo Reglamento Europeo de Protección de Datos Personales, los Análisis de riesgos se han convertido en obligatorios para las empresas. Se trata de una herramienta fundamental para evitar problemas legales, entre otros, inconvenientes técnicos u operativos.

¿Qué es un análisis de riesgos en Protección de datos?

De forma resumida, un Análisis de riesgos es una herramienta que va a permitir antes poner en marcha un servicio o producto:

Por ello, un análisis de riesgos en protección de datos se puede definir como el análisis previo que se ha de realizar antes de proceder a un tratamiento de datos personales, a fin de establecer las medidas de control y seguridad necesarias para garantizar los derechos y libertades de todos los interesados.

Ejemplos de análisis de riesgos sobre protección de datos

Algunos ejemplos en los que es conveniente realizar un Análisis de riesgos serían:

Además, el Análisis de riesgos debe realizarse no sólo antes de poner en marcha alguno de los servicios o productos citados, sino también cuando se realice un revisión o mejora de los mismos.

¿Quién debe realizarlo?

Otro punto importante, es determinar quién va a ser la persona dentro de la organización encargado de coordinar el Análisis de riesgos.

En aquellas organizaciones donde esté implantada la figura del Data Protection Officer, éste debe ser el encargado de llevar a cabo este rol.

Donde no exista, lo deseable es que sea un persona con conocimientos en la materia.

No sólo vamos a tener una participación del DPO –donde exista- en la coordinación, sino que también intervendrán, a lo largo de la realización del Análisis de riesgos el personal de la organización que esté involucrado en el producto y servicio, e incluso los potenciales usuarios.

Cómo debe realizarse este Análisis de riesgos

 

Cuando vayamos a realizar un Análisis de riesgos debemos partir de identificar para su estudio siete fases o elementos determinantes, pero siempre tratando de utilizar un modelo flexible que se pueda adecuar al modelo y estructura de la organización.

Estas siete fases o elementos son los siguientes:

1. ¿Es necesario?

Saber las razones por la que debemos realizar un Análisis de riesgos sobre el proyecto, servicio o tratamiento de datos personales. Para ello, podemos utilizar las siguientes preguntas que nos ayudarán a saber si realmente es necesario, sobre todo en aquellos casos en los que no se cuente con un DPO:

2. Describir los flujos de información

Se trata de conocer cómo se van a recabar los datos de carácter personal, para qué se van a utilizar, con qué finalidad, y quién tiene acceso a la misma.

En otras palabras, contestar al “¿Por qué?, ¿Para qué? y ¿Quién?”.

No es más que el proceso que debe realizarse en toda auditoría lopd de medidas de seguridad media y alta, ya que si bien el Reglamento de desarrollo de la LOPD se refiere únicamente a auditar las citadas medidas, estimamos que como condición previa hay que conocer y describir los flujos de datos personales que forman parte del sistema que se quiere auditar.

3. Identificar los riesgos que afecten a la privacidad

Pueden ser de tres tipos:

Además, también deben tenerse en cuenta una serie de preguntas que están relacionados con el cumplimiento de los principios de protección de datos que permitirán identificar estos riesgos, como pueden ser:

Finalidad

Los datos personales serán usados únicamente para la finalidad para la cual han sido recabados, y nunca para una finalidad que sea incompatible.

Así, nos podríamos preguntar si ¿cubre el proyecto o servicio todas las finalidades para la cual han sido recabados los datos personales o existen otras que no han sido contempladas en la recogida de datos?

Calidad de los datos personales

¿Son los datos adecuados para las finalidades para las cuales van a ser utilizados?

¿Se van a recabar datos que no van a ser utilizados?

No mantener los datos personales más allá del tiempo necesario

¿Durante cuánto tiempo se van a almacenar los datos?

Transcurrido el tiempo de almacenamiento, ¿Permite el software que use el producto o servicio el borrado de los datos?

Garantizar los derechos ARCO

¿El producto o servicio hace viable que se puedan ejercitar los derechos ARCO por los interesados dando respuesta a los mismos?

Si el producto o servicio está destinado al marketing ¿Pueden negarse los afectados usando un sistema de opt-out?

Medidas de seguridad

¿Se han instalado las medidas adecuadas para prevenir los riesgos de seguridad?

¿Se ha formado al personal para que trate los datos personales adecuadamente y sin que existan accesos indebidos?

Transferencias internacionales

¿El producto o servicio requiere transferir datos a países que no forman parte del Espacio Económico Europeo?

En caso afirmativo, ¿cómo se garantiza la protección de datos de los interesados en el país receptor?

4. Establecer soluciones para garantizar la privacidad

Una vez que hemos identificado los riesgos para la privacidad, tal y como hemos descrito en el punto anterior, lo más lógico es desarrollar las medidas correspondientes para eliminar o mitigar dichos riesgos.

La realización de un Análisis de riesgos no tiene por qué eliminar completamente los riesgos sobre la privacidad de los afectados, sino reducirlos a un nivel aceptable que permita para la organización la implementación del producto, servicio o tratamiento de datos personales.

En este sentido, y según el riesgo que se haya identificado podemos valorar la posibilidad de desarrollar alguna de las siguientes soluciones:

Asimismo, se debe valorar el coste y beneficio de implementar estas soluciones, teniendo en cuenta que en algunos casos, existirá un coste económico, por lo que habrá que realizar una comparativa entre costes y beneficios (por ejemplo, sobre las medidas de seguridad que pueden evitar una fuga de datos personales y consecuentemente, una pérdida de reputación para la empresa).

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos

5. Implementación de las anteriores las soluciones

Una vez que hemos recogido cuales serían las formas o herramientas necesarias para garantizar la privacidad, hay que decidir cuáles de ellas implementamos, ya que como se ha comentado anteriormente, no necesariamente hay que poner en funcionamiento todas, ya que la empresa puede asumir determinados riesgos, cuando los mismos sean considerados como aceptables.

No obstante, puede ocurrir que existan riesgos que no sólo sean inaceptables sino que, incluso, no se puedan eliminar, por lo que sería necesario estudiar la viabilidad del proyecto, servicio o tratamiento de datos, o no directamente, no llevarlo a cabo.

Además de implementar las soluciones, es importante registrar cada uno de los riesgos y las soluciones adoptadas, así como quien es el responsable de ponerlas en funcionamiento.

Todo ello, se incluirá en el informe final del Análisis de riesgos, el cual se recomienda como buena práctica que se publique para dar una mayor transparencia y que los afectados sepan cómo afecta el producto, servicio o tratamiento, a su privacidad.

Además, esta publicación puede servir como estrategia de marketing de la empresa, organización, o Administración pública.

6. Participación de los agentes implicados

Conocemos que es práctica habitual que cuando se pone en marcha un producto o servicio que afecte a la protección de datos personales, el cumplimiento de esta norma se deja para el final al grito de “¡Nos falta la LOPD!”.

Para evitarlo, al igual que ocurre con la Privacidad por Diseño y por Defecto, se recomienda que en cualquier fase de realización del Análisis de riesgos, que anteriormente hemos descrito, fluya la información tanto a nivel interno como externo de la organización.

Respecto al interno, tenemos la tradicional relación entre los diseñadores del producto, servicio o tratamiento, y el departamento legal de la empresa, que puede ser completado en el caso de que exista un DPO, un departamento de Tecnologías de la Información que ofrecería su ayuda en materia de seguridad, o si se decide contratar a empresas que actúen como encargados del tratamiento, que éstos también participen.

Respecto al externo, permitiría conocer la opinión de los afectados cuyos datos van a ser tratados, así como dar una mayor transparencia. Este tipo de consultas suele ser más frecuente en el sector público, sobre todo en supuestos en que existe una obligación legal al respecto. Otra opción es que exista una participación, por ejemplo, de organizaciones que representen a usuarios y consumidores.

7. Integración del Análisis de riesgos en la gestión

Otro elemento importante es que el Análisis de riesgos forme parte de la propia gestión de la empresa u organización, ya que es la forma más segura de garantizar la privacidad de productos y servicios.

Los Análisis de riesgos en el RGPD

Como ya hemos mencionado al principio de este “post”, una de las novedades que introduce el RGPD es someter determinados tratamientos, con carácter previo a su puesta en funcionamiento, a la realización del citado Privacy Impact Assessment. En concreto, y según el artículo 33:

Cuando las operaciones de tratamiento entrañen riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o fines, el responsable o el encargado del tratamiento que actúe por cuenta del responsable llevarán a cabo una evaluación del impacto de las operaciones de tratamiento previstas en la protección de datos personales

Todas las empresas, sin excepción, deben analizar las vulnerabilidades informáticas y potenciales brechas de seguridad lógica con el fin de seleccionar e implementar las mejores soluciones informáticas destinadas a impedir, bloquear o neutralizar los ataques.

Este análisis, así como la selección de las soluciones, debe realizarse teniendo en cuenta el estado de la técnica (art. 25 RGPD). Es decir, deben implementarse medidas de seguridad avanzadas, nunca obsoletas, que sean capaces de impedir o bloquear los ataques informáticos actuales. Un ejemplo de incumplimiento sería el uso de sistemas de cifrado obsoletos.

El análisis de riesgo debe ser una actividad viva en la empresa. Debido a que la norma exige la actualización constante de las medidas de seguridad y al aumento de los delitos informáticos, la empresa debe establecer un sistema de vigilancia que haga revisiones periódicas y siempre que cambien circunstancias tecnológicas tanto en la empresa como en el sector informático.

Diferencias entre Análisis de riesgos y Evaluación de Impacto en Protección de Datos

El análisis de riesgos tiene que ver con la determinación de la pérdida potencial por causa de una amenaza y el costo de la medida de protección hacia los datos personales manejados en la organización. Es decir, cuánto gastar en prevención y protección.

Para ello, se necesita saber primero cuáles son esos procesos y recursos críticos.

En la evaluación de impacto se busca principalmente:

En el análisis de riesgos, se identifican las amenazas de interrupción más probables y se analizan las vulnerabilidades relacionadas con dichas amenazas, evaluando los controles de seguridad física, lógica y ambiental, revisando su efectividad para contener las amenazas identificadas.

En la Evaluación de Impacto se analizan los riesgos que un sistema, producto o servicio puede suponer para los derechos y libertades de las personas y, tras haber realizado ese análisis, se gestionan esos peligros antes de que se materialicen.

Guía AEPD de Análisis de riesgos en los tratamientos de datos personales

Uno de los aspectos clave para poder garantizar los derechos y libertades de los interesados es el diseño adecuado de las actividades de tratamiento.

La fase de diseño de un tratamiento define el flujo de los datos personales, así como todos los elementos que intervendrán a lo largo del mismo. De igual modo, es el momento idóneo para definir las medidas de control y seguridad para garantizar los derechos y libertades de los interesados con el objetivo de que un tratamiento nazca respetando los requerimientos de privacidad asociados al nivel de riesgo a la que está expuesto.

La Agencia Española de Protección de Datos (AEPD) ha elaborado la presente guía para la realización de análisis de riesgos de las actividades de tratamiento con el objetivo de establecer una hoja de ruta para afrontar un enfoque orientado a riesgos.

La guía persigue ofrecer directrices y orientaciones para establecer una hoja de ruta que permita contemplar la privacidad desde el inicio, mediante un enfoque de análisis de riesgos, facilitando el cumplimiento del RGPD.

Modelo

Puedes descargar aquí el modelo para realizar un análisis de riesgos en tu empresa.

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos