¿Sigue siendo un dolor de cabeza para ti la necesidad de realizar un análisis de riesgos en protección de datos? Si tienes un negocio, estoy segura de que uno de tus principales objetivos es tener una buena seguridad de la información que manejas. Con la entrada en vigor del nuevo Reglamento Europeo de Protección de Datos Personales, los Análisis de riesgos se han convertido en obligatorios para las empresas. Se trata de una herramienta fundamental para evitar problemas legales, entre otros, inconvenientes técnicos u operativos.
¿Qué es un análisis de riesgos en Protección de datos?
De forma resumida, un Análisis de riesgos es una herramienta que va a permitir antes poner en marcha un servicio o producto:
- cumplir con la normativa de protección de datos y privacidad,
- identificar los problemas,
- reducir el coste de la implementación del cumplimiento de la normativa de protección de datos, y
- prevenir problemas futuros que puedan dañar la reputación de la empresa o Administración pública.
Por ello, un análisis de riesgos en protección de datos se puede definir como el análisis previo que se ha de realizar antes de proceder a un tratamiento de datos personales, a fin de establecer las medidas de control y seguridad necesarias para garantizar los derechos y libertades de todos los interesados.
Ejemplos de análisis de riesgos sobre protección de datos
Algunos ejemplos en los que es conveniente realizar un Análisis de riesgos serían:
- Supuestos de puesta en funcionamiento de una aplicación tecnológica que vaya a almacenar y tratar datos de carácter personal
- Comunicación de datos personales entre dos o más organizaciones
- Tratamiento de datos personales que suponga la identificación de un grupo en relación al resto de la sociedad
- Sistemas de vigilancia (incluyendo la videovigilancia y monitorización de individuos)
Además, el Análisis de riesgos debe realizarse no sólo antes de poner en marcha alguno de los servicios o productos citados, sino también cuando se realice un revisión o mejora de los mismos.
¿Quién debe realizarlo?
Otro punto importante, es determinar quién va a ser la persona dentro de la organización encargado de coordinar el Análisis de riesgos.
En aquellas organizaciones donde esté implantada la figura del Data Protection Officer, éste debe ser el encargado de llevar a cabo este rol.
Donde no exista, lo deseable es que sea un persona con conocimientos en la materia.
No sólo vamos a tener una participación del DPO –donde exista- en la coordinación, sino que también intervendrán, a lo largo de la realización del Análisis de riesgos el personal de la organización que esté involucrado en el producto y servicio, e incluso los potenciales usuarios.
Cómo debe realizarse este Análisis de riesgos
Cuando vayamos a realizar un Análisis de riesgos debemos partir de identificar para su estudio siete fases o elementos determinantes, pero siempre tratando de utilizar un modelo flexible que se pueda adecuar al modelo y estructura de la organización.
Estas siete fases o elementos son los siguientes:
1. ¿Es necesario?
Saber las razones por la que debemos realizar un Análisis de riesgos sobre el proyecto, servicio o tratamiento de datos personales. Para ello, podemos utilizar las siguientes preguntas que nos ayudarán a saber si realmente es necesario, sobre todo en aquellos casos en los que no se cuente con un DPO:
- ¿Se van a recabar datos de carácter personal?
- ¿Se comunicarán datos personales a terceros o a quien no ha tenido acceso a la información?
- ¿Va a utilizarse tecnología que puede ser considerada como invasiva para la privacidad?
- ¿Estamos ante algún supuesto de “especial consideración” de privacidad como podrían ser los datos de salud?
- ¿Se va a contactar con los titulares de los datos de alguna forma que podría ser invasiva?
2. Describir los flujos de información
Se trata de conocer cómo se van a recabar los datos de carácter personal, para qué se van a utilizar, con qué finalidad, y quién tiene acceso a la misma.
En otras palabras, contestar al “¿Por qué?, ¿Para qué? y ¿Quién?”.
No es más que el proceso que debe realizarse en toda auditoría lopd de medidas de seguridad media y alta, ya que si bien el Reglamento de desarrollo de la LOPD se refiere únicamente a auditar las citadas medidas, estimamos que como condición previa hay que conocer y describir los flujos de datos personales que forman parte del sistema que se quiere auditar.
3. Identificar los riesgos que afecten a la privacidad
Pueden ser de tres tipos:
- Sobre los afectados (como la invasión en su vida privada, comunicar datos a terceros cuando no sea necesario, no haber realizado un procedimiento adecuado de anonimización, mantener los datos más tiempo que el estrictamente necesario para la finalidad que se recogieron).
- Riesgos corporativos (como pérdida de reputación o una multa por brechas de seguridad).
- Riesgos legales (como no cumplir con la legislación de protección de datos, o servicios de la sociedad de la información).
Además, también deben tenerse en cuenta una serie de preguntas que están relacionados con el cumplimiento de los principios de protección de datos que permitirán identificar estos riesgos, como pueden ser:
Finalidad
Los datos personales serán usados únicamente para la finalidad para la cual han sido recabados, y nunca para una finalidad que sea incompatible.
Así, nos podríamos preguntar si ¿cubre el proyecto o servicio todas las finalidades para la cual han sido recabados los datos personales o existen otras que no han sido contempladas en la recogida de datos?
Calidad de los datos personales
¿Son los datos adecuados para las finalidades para las cuales van a ser utilizados?
¿Se van a recabar datos que no van a ser utilizados?
No mantener los datos personales más allá del tiempo necesario
¿Durante cuánto tiempo se van a almacenar los datos?
Transcurrido el tiempo de almacenamiento, ¿Permite el software que use el producto o servicio el borrado de los datos?
Garantizar los derechos ARCO
¿El producto o servicio hace viable que se puedan ejercitar los derechos ARCO por los interesados dando respuesta a los mismos?
Si el producto o servicio está destinado al marketing ¿Pueden negarse los afectados usando un sistema de opt-out?
Medidas de seguridad
¿Se han instalado las medidas adecuadas para prevenir los riesgos de seguridad?
¿Se ha formado al personal para que trate los datos personales adecuadamente y sin que existan accesos indebidos?
Transferencias internacionales
¿El producto o servicio requiere transferir datos a países que no forman parte del Espacio Económico Europeo?
En caso afirmativo, ¿cómo se garantiza la protección de datos de los interesados en el país receptor?
4. Establecer soluciones para garantizar la privacidad
Una vez que hemos identificado los riesgos para la privacidad, tal y como hemos descrito en el punto anterior, lo más lógico es desarrollar las medidas correspondientes para eliminar o mitigar dichos riesgos.
La realización de un Análisis de riesgos no tiene por qué eliminar completamente los riesgos sobre la privacidad de los afectados, sino reducirlos a un nivel aceptable que permita para la organización la implementación del producto, servicio o tratamiento de datos personales.
En este sentido, y según el riesgo que se haya identificado podemos valorar la posibilidad de desarrollar alguna de las siguientes soluciones:
- No recabar o almacenar determinados tipos de datos
- Establecer el período máximo de almacenamiento así como un procedimiento de destrucción de los datos una vez que se haya cumplido el citado período
- Implementar las medidas de seguridad y formar al personal
- Desarrollar y poner en práctica un procedimiento de anonimización de los datos
- Desarrollar el producto o servicio de forma que se garantice el ejercicio de los derechos ARCO
- Establecer protocolos en caso de cesiones de datos personales
- Adoptar las medidas necesarias para que los afectados sepan para qué se recaban los datos personales, y que en caso de duda, puedan contactar con la organización para, de esta forma, recibir las aclaraciones pertinentes
Asimismo, se debe valorar el coste y beneficio de implementar estas soluciones, teniendo en cuenta que en algunos casos, existirá un coste económico, por lo que habrá que realizar una comparativa entre costes y beneficios (por ejemplo, sobre las medidas de seguridad que pueden evitar una fuga de datos personales y consecuentemente, una pérdida de reputación para la empresa).
¿Necesitas cumplir el RGPD?
Solicita varios presupuestos5. Implementación de las anteriores las soluciones
Una vez que hemos recogido cuales serían las formas o herramientas necesarias para garantizar la privacidad, hay que decidir cuáles de ellas implementamos, ya que como se ha comentado anteriormente, no necesariamente hay que poner en funcionamiento todas, ya que la empresa puede asumir determinados riesgos, cuando los mismos sean considerados como aceptables.
No obstante, puede ocurrir que existan riesgos que no sólo sean inaceptables sino que, incluso, no se puedan eliminar, por lo que sería necesario estudiar la viabilidad del proyecto, servicio o tratamiento de datos, o no directamente, no llevarlo a cabo.
Además de implementar las soluciones, es importante registrar cada uno de los riesgos y las soluciones adoptadas, así como quien es el responsable de ponerlas en funcionamiento.
Todo ello, se incluirá en el informe final del Análisis de riesgos, el cual se recomienda como buena práctica que se publique para dar una mayor transparencia y que los afectados sepan cómo afecta el producto, servicio o tratamiento, a su privacidad.
Además, esta publicación puede servir como estrategia de marketing de la empresa, organización, o Administración pública.
6. Participación de los agentes implicados
Conocemos que es práctica habitual que cuando se pone en marcha un producto o servicio que afecte a la protección de datos personales, el cumplimiento de esta norma se deja para el final al grito de “¡Nos falta la LOPD!”.
Para evitarlo, al igual que ocurre con la Privacidad por Diseño y por Defecto, se recomienda que en cualquier fase de realización del Análisis de riesgos, que anteriormente hemos descrito, fluya la información tanto a nivel interno como externo de la organización.
Respecto al interno, tenemos la tradicional relación entre los diseñadores del producto, servicio o tratamiento, y el departamento legal de la empresa, que puede ser completado en el caso de que exista un DPO, un departamento de Tecnologías de la Información que ofrecería su ayuda en materia de seguridad, o si se decide contratar a empresas que actúen como encargados del tratamiento, que éstos también participen.
Respecto al externo, permitiría conocer la opinión de los afectados cuyos datos van a ser tratados, así como dar una mayor transparencia. Este tipo de consultas suele ser más frecuente en el sector público, sobre todo en supuestos en que existe una obligación legal al respecto. Otra opción es que exista una participación, por ejemplo, de organizaciones que representen a usuarios y consumidores.
7. Integración del Análisis de riesgos en la gestión
Otro elemento importante es que el Análisis de riesgos forme parte de la propia gestión de la empresa u organización, ya que es la forma más segura de garantizar la privacidad de productos y servicios.
Los Análisis de riesgos en el RGPD
Como ya hemos mencionado al principio de este “post”, una de las novedades que introduce el RGPD es someter determinados tratamientos, con carácter previo a su puesta en funcionamiento, a la realización del citado Privacy Impact Assessment. En concreto, y según el artículo 33:
Cuando las operaciones de tratamiento entrañen riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o fines, el responsable o el encargado del tratamiento que actúe por cuenta del responsable llevarán a cabo una evaluación del impacto de las operaciones de tratamiento previstas en la protección de datos personales
Todas las empresas, sin excepción, deben analizar las vulnerabilidades informáticas y potenciales brechas de seguridad lógica con el fin de seleccionar e implementar las mejores soluciones informáticas destinadas a impedir, bloquear o neutralizar los ataques.
Este análisis, así como la selección de las soluciones, debe realizarse teniendo en cuenta el estado de la técnica (art. 25 RGPD). Es decir, deben implementarse medidas de seguridad avanzadas, nunca obsoletas, que sean capaces de impedir o bloquear los ataques informáticos actuales. Un ejemplo de incumplimiento sería el uso de sistemas de cifrado obsoletos.
El análisis de riesgo debe ser una actividad viva en la empresa. Debido a que la norma exige la actualización constante de las medidas de seguridad y al aumento de los delitos informáticos, la empresa debe establecer un sistema de vigilancia que haga revisiones periódicas y siempre que cambien circunstancias tecnológicas tanto en la empresa como en el sector informático.
Diferencias entre Análisis de riesgos y Evaluación de Impacto en Protección de Datos
El análisis de riesgos tiene que ver con la determinación de la pérdida potencial por causa de una amenaza y el costo de la medida de protección hacia los datos personales manejados en la organización. Es decir, cuánto gastar en prevención y protección.
Para ello, se necesita saber primero cuáles son esos procesos y recursos críticos.
En la evaluación de impacto se busca principalmente:
- Determinar el impacto que tendría un evento disruptivo en los datos personales de la organización.
- Identificar los recursos —personas, infraestructura física, tecnológica, información, y terceros— de los que dependen.
En el análisis de riesgos, se identifican las amenazas de interrupción más probables y se analizan las vulnerabilidades relacionadas con dichas amenazas, evaluando los controles de seguridad física, lógica y ambiental, revisando su efectividad para contener las amenazas identificadas.
En la Evaluación de Impacto se analizan los riesgos que un sistema, producto o servicio puede suponer para los derechos y libertades de las personas y, tras haber realizado ese análisis, se gestionan esos peligros antes de que se materialicen.
Guía AEPD de Análisis de riesgos en los tratamientos de datos personales
Uno de los aspectos clave para poder garantizar los derechos y libertades de los interesados es el diseño adecuado de las actividades de tratamiento.
La fase de diseño de un tratamiento define el flujo de los datos personales, así como todos los elementos que intervendrán a lo largo del mismo. De igual modo, es el momento idóneo para definir las medidas de control y seguridad para garantizar los derechos y libertades de los interesados con el objetivo de que un tratamiento nazca respetando los requerimientos de privacidad asociados al nivel de riesgo a la que está expuesto.
La Agencia Española de Protección de Datos (AEPD) ha elaborado la presente guía para la realización de análisis de riesgos de las actividades de tratamiento con el objetivo de establecer una hoja de ruta para afrontar un enfoque orientado a riesgos.
La guía persigue ofrecer directrices y orientaciones para establecer una hoja de ruta que permita contemplar la privacidad desde el inicio, mediante un enfoque de análisis de riesgos, facilitando el cumplimiento del RGPD.
Modelo
Puedes descargar aquí el modelo para realizar un análisis de riesgos en tu empresa.