Modelo Análisis de Riesgos
El análisis de riesgos es una de las principales obligaciones recogidas en la normativa de protección de datos. Introducido por el RGPD cuando entró en vigor en mayo de 2018, cualquier entidad privada o pública que trate datos personales, debe llevarlo a cabo. En esta entrada explicaremos cómo hacer un análisis de riesgos según la Ley de Protección de Datos y os facilitaremos un modelo.
¿Qué es un análisis de riesgos en Protección de Datos?
Un análisis de riesgos es el análisis previo que debe hacerse antes de iniciar cualquier tratamiento de datos personales, puesto que mediante él, primero se determinan los riesgos que la realización del tratamiento puede conllevar para la protección de dichos datos y, segundo, se diseñan y establecen las medidas de seguridad necesarias para garantizar los derechos y libertades de los interesados.
En otras palabras, el análisis de riesgos permite identificar los riesgos a los que pueden exponerse los datos personales, derivados de cualquier actividad de tratamiento, y de esa manera determinar qué medidas de seguridad son necesarias establecer para minimizar o evitar completamente que dichos riesgos se materialicen en amenazas y las consecuencias negativas de su impacto al producirse.
En este contexto, el riesgo se entiende como la posibilidad de que se materialice una amenaza y las consecuencias negativas que puede tener. De esa manera, el análisis de riesgos permite establecer el nivel de riesgo de las actividades de tratamiento de datos, en función de la probabilidad de producirse y el impacto que puede tener sobre los interesados de hacerlo.
Ejemplos de riesgos para la protección de datos
Son ejemplos de riesgos para la protección de datos:
- Puesta en marcha de un nuevo tratamiento de datos personales
- Uso de herramientas tecnológicas para el almacenamiento de datos personales
- El tratamiento de datos personales especialmente protegidos
- La utilización de sistemas de videovigilancia
- La cesión de datos entre dos entidades distintas
- El acceso a datos personales por parte de los empleados
Principios del RGPD aplicables al análisis de riesgos
Entre los principios que define el RGPD para la protección de datos, hay uno especialmente relevante a la hora de aplicarlo al análisis de riesgos, hablamos del principio de Privacy by Design o Privacidad desde el Diseño o por defecto.
Este principio implica la necesidad de pensar en la protección de datos desde la misma creación de los tratamientos, es decir, evaluar los riesgos que pueden derivarse de ellos como parte de su elaboración. Así, en vez de diseñar el tratamiento y evaluar los riesgos que pueda entrañar después, hay que diseñarlo teniendo presentes esos posibles riesgos para la protección de datos desde el primer momento.
Otros principios que se aplican al análisis de riesgos en el RGPD son:
- Transparencia, licitud y lealtad en el tratamiento de datos
- Limitación de la finalidad del tratamiento
- Principio de minimización, recoger solo los datos estrictamente necesarios
- Exactitud, los datos deben ser veraces y estar actualizados
- Plazo de conservación limitado al tiempo necesario para el cumplimiento de la finalidad
- Confidencialidad e integridad de los datos
Normativa aplicable al análisis de riesgos en protección de datos
El análisis de riesgos en la protección de datos no aparece citado literalmente ni en el RGPD ni en la LOPDGDD, pero sí que está implícito en ambas normativas, dejando clara la obligación de llevarlo a cabo siempre que se vayan a realizar actividades de tratamiento de datos personales (como la recogida de nombre y apellidos y dirección de email en un formulario web).
Así, encontramos referencias al análisis de riesgos en los siguientes artículos del RGPD:
Art. 25.1: «Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas […] concebidas para aplicar de forma efectiva los principios de protección de datos […] e integrar las garantías necesarias en el tratamiento, a fin de […] y proteger los derechos de los interesados.»
Art. 25.2: «El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento.»
Art. 32.2: «Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.»
Modelo Análisis de riesgos
En Internet se pueden encontrar modelos de análisis de riesgos, pero para facilitaros las cosas, aquí os facilitamos un modelo de análisis de riesgos RGPD, que os ayudará en la elaboración de vuestros propios análisis de riesgos a la hora de llevar a cabo nuevos tratamientos de datos.
¿Quién debe realizar el análisis de riesgos?
Ahora que ya sabemos para qué sirve el análisis de riesgos, ¿quién debe realizarlo?
En el artículo 25.1 del RGPD se menciona al responsable de tratamiento como el encargado de aplicar las medidas de seguridad necesarias para garantizar la protección de datos, pero esto no implica que también deba ser el encargado de realizar el análisis de riesgos.
Esta tarea recae en el Delegado de Protección de Datos (DPO) en aquellas entidades que están obligadas a designar uno.
Para las entidades que no tienen esta obligación, se deberá designar a un encargado para realizar el análisis de riesgos. Esta persona debe tener los conocimientos y capacidades necesarias para poder desempeñar esta labor. Si bien, es una tarea que puede realizarse entre varias personas involucradas con los tratamientos de datos, de manera coordinada.
¿Cómo realizar un análisis de riesgos?
Llegados a este punto, es momento de explicar cómo se hace un análisis de riesgos, para ello seguiremos seis pasos, que podéis adaptar a las necesidades de vuestra organización y al tipo de tratamientos que vayáis a realizar.
Necesidad del análisis
El primer paso es determinar la necesidad de llevar a cabo el análisis de riesgos, es decir, identificar las razones que hacen necesario realizarlo sobre el tratamiento de datos personales que se vaya a llevar a cabo.
La persona encargada de determinar estas razones es el DPO, pero en aquellas entidades que carezcan de esta figura, podemos recurrir a las siguientes preguntas para ello:
- ¿Se recabarán datos de carácter personal?
- ¿Se van a recabar datos personales de categorías especiales?
- ¿Quién va a tener acceso a esos datos?
- ¿Se comunicarán los datos personales a terceros?
- ¿Qué tipo de tecnología se utilizará para recabar dichos datos personales? ¿Es invasiva?
- ¿Los datos recabados se emplearán con finalidades comerciales?
- ¿Se producirán transferencias internacionales de datos fuera de la UE?
Si alguna de esas respuestas es afirmativa, será necesario llevar a cabo un análisis de riesgos.
Describir los flujos de información
El siguiente paso es describir los flujos de información, es decir, las respuestas a:
- Cómo se van a recabar los datos personales
- Para qué se van a recabar los datos personales
- Qué finalidad se les va a dar a los datos personales
- Qué personas tendrán acceso a los datos personales
Identificar los riesgos que afecten a la privacidad
El tercer paso nos lleva ya a la identificación de los riesgos que pueden afectar a la privacidad de los datos: riesgos para la confidencialidad, para la integridad y para la disponibilidad de la información.
La materialización de estos riesgos puede afectar a:
- Los propios interesados (invasión de su privacidad, filtración de sus datos
- terceros, conservación de los datos más tiempo del que es necesario, etc.)
- La propia entidad (pérdida de reputación, sanciones, etc.)
- Legales (incumplimiento normativo)
Confidencialidad
Los riesgos para la confidencialidad son aquellos que pueden llevar al acceso ilegítimo de los datos personales, como por ejemplo, las fugas de información, el uso no legitimado, la pérdida o destrucción de sistemas de almacenamiento, etc.
Integridad
Los riesgos para la integridad son aquellos que pueden provocar la modificación no autorizada de los datos personales, como por ejemplo, errores en la captura y procesamiento de datos, la suplantación de identidad, la alteración de la información, etc.
Disponibilidad
Los riesgos para la disponibilidad son aquellos que pueden causar la eliminación de los datos personales, como por ejemplo, un ciberataque para borrar la base de datos, un incendio o inundación, un borrado accidental, etc.
Establecer soluciones para garantizar la privacidad
Identificados los riesgos para la privacidad, es el momento de diseñar las medidas de seguridad o soluciones que se deben establecer, para minimizar o eliminar dichos riesgos.
Es importante señalar que no se trata de eliminar completamente los riesgos, sino reducirlos a un nivel aceptable que permita llevar a cabo el tratamiento de datos que requiere la puesta a disposición del público de un producto o servicio. Esto se debe a que no todos los riesgos se pueden eliminar completamente.
Pensemos, por ejemplo, en un corte eléctrico y una subida de tensión que puedan dañar los equipos informáticos donde se almacenan los datos personales; la empresa puede haber instalado dispositivos para minimizar el daño de una subida de tensión, pero si aun así el riesgo para la integridad de la información persiste, solo que a un nivel menor. Más aún si la empresa cuenta con copias de seguridad almacenadas en discos externos, desconectados de la red eléctrica o en la nube.
Puesto que las soluciones de seguridad tienen normalmente asociado un coste económico, también es necesario valorar la relación entre ese coste y el beneficio de implantar dicha solución. Por ejemplo, si una empresa sufre una brecha de seguridad y se filtran los datos de sus clientes, las consecuencias para su reputación pueden ser más costosas que haber implantado un mejor sistema de seguridad informática.
Implementar la soluciones
Determinadas las soluciones de seguridad que podemos usar para garantizar la privacidad de los datos, debemos decidir cuáles implantar, puesto que no será necesario poner todas ellas en marcha, sino solo aquellas que garanticen un nivel de riesgo tolerable para la entidad.
Es decir, que siempre que la solución escogida minimice el riesgo a un nivel aceptable para la entidad, será suficiente, pudiendo no establecer soluciones que impliquen un mayor coste. Ahora, si el nivel de riesgo derivado del tratamiento de datos personales no es aceptable, ni hay una solución de seguridad que lo reduzca, se debe reconsiderar la viabilidad del mismo.
Un ejemplo de solución a implementar: si varios empleados pueden tener acceso a los datos personales que se recopilan, es necesario que mantengan el secreto de la información, firmando un documento como este modelo de contrato de confidencialidad para empleados en España.