Basándonos en la continua evolución de la tecnología, es necesario hacer especial hincapié en los posibles riesgos que conlleva todo lo asociado con la transformación digital.
Por esto, es el análisis de riesgo el estudio previo a cualquier tratamiento de datos personales, con el fin de adoptar nuevas medidas de garantía de los derechos y libertades de los ciudadanos.
Para llevar a cabo un eficaz análisis de riesgo, se debe seguir un proceso de reconocimiento, estudio y posterior tratamiento de aquellas amenazas derivadas de las diferentes tareas de tratamiento de la información.
Para comenzar a evaluar una amenaza, se deben contemplar los distintos ambientes de riesgo.
Análisis de riesgo en protección de datos
El Reglamento General en Protección de Datos dicta una serie de pautas, de obligado cumplimiento, que deben aplicarse durante el proceso del tratamiento de la información, facilitando la tarea de estudio de riesgos en materia de protección de datos.
Uno de los más destacados es el Privacy by Design , o traducido a nuestro idioma, Privacidad desde el Diseño.
Privacidad desde el Diseño
Una de las novedades más destacadas del RGPD es el principio de Privacidad desde el Diseño; esto significa que los nuevos tratamientos siempre deben diseñarse orientándose en la protección de datos. Es decir, no es recomendable realizarlo tras haber iniciado el tratamiento, sino que el momento ideal es al comienzo del proyecto.
Artículo 5 RGPD. Principios relativos al tratamiento
Este artículo establece las pautas a seguir en el momento de llevar a cabo el tratamiento de los datos personales, con el objetivo de minimizar al máximo el riesgo.
A continuación se citan los principios que integran este artículo:
- Confidencialidad e integridad: Se deben establecer las pautas de control necesarias para asegurar la confidencialidad e integridad de los datos.
- Periodo de conservación: El tiempo de almacenamiento de los datos no excederá el tiempo requerido para lograr su propósito.
- Exactitud. Los datos deben ser precisos, veraces y actualizados. De ser necesario se tomarán todas las medidas necesarias para eliminar los datos que no cumplan con este requisito.
- Principio de minimización: Los datos recopilados deben ser lo suficiente relevantes y limitarse a los fines del procesamiento
- Restricción al propósito del procesamiento. Los datos deben recopilarse para un propósito específico y el procesamiento no debe realizarse para fines distintos a los definidos al principio.
- Transparencia, licitud y lealtad: Los datos de las partes relacionadas deben ser tratados de forma transparente, lícita y justa.
¿Quién debe llevar a cabo el análisis de riesgo?
Este es uno de los principales puntos a tener en cuenta a la hora de realizar un análisis de riego.
En aquellas entidades que cuenten con un encargado de la delegación de protección de datos, será esta la encargada de llevar a cabo dicha tarea. Por el contrario, si la empresa no dispone de una persona seleccionada para esta tarea, será necesario designar a un encargado de realizar esta labor con los debidos conocimientos.
Debemos tener en cuenta que esta figura no se encargará solamente de llevar a cabo este proceso, sino que además deberá organizarse con el resto de integrantes de su entidad que puedan manejar el tratamiento de datos.
Artículo 25. Normativa de protección de datos desde el diseño y por defecto de la RGPD
- Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.
- El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.
- Podrá utilizarse un mecanismo de certificación aprobado con arreglo al artículo 42 como elemento que acredite el cumplimiento de las obligaciones establecidas en los apartados 1 y 2 del presente artículo.
Diferencias entre Análisis de Riesgo y Evaluación de Impacto
Ambos procedimientos son diferentes aunque compatibles entre sí.
El Análisis de Riesgo está relacionado con la determinación de la pérdida potencial producida por la amenaza y el coste de las medidas de protección de los datos de carácter personal procesados.
Por otro lado, la evaluación de impacto busca, principalmente:
- Determinar el impacto de eventos amenazantes ante los datos personales de la organización
- Identificar los recursos de los que dependen
- Evaluar los controles de seguridad físicos, lógicos y ambientales
- Revisar su efectividad para contener las amenazas identificadas
En la evaluación de impacto, el sistema producto o servicio puede analizar los riesgos que plantean los derechos y libertades de las personas; después del análisis los riesgos se gestionan antes de que ocurran.
¿Cuándo es necesario llevar a cabo una evaluación de impacto?
Cuando el tratamiento puede implicar un alto riesgo de los derechos y libertades individuales, se necesita una EIPD. Se requiere EIPD. en al menos las siguientes tres situaciones:
Una evaluación sistemática y exhaustiva de los aspectos personales de una persona, incluido el análisis,
Procesamiento a gran escala de datos sensibles,
Observación sistemática a gran escala de áreas públicas.
La Agencia Nacional de Protección de Datos (APD), junto con la Junta Europea de Protección de Datos, puede proporcionar una lista de casos que requieren EIPD.. Esto debe hacerse antes del tratamiento y se verá como una herramienta de vida, no solo como un ejercicio de una sola vez. Cuando exista un riesgo residual que no pueda mitigarse con las medidas tomadas, se debe consultar a un APD antes de iniciar el tratamiento.