Noticias  /  Análisis de Riesgos sobre Protección de Datos Personales

Análisis de Riesgos sobre Protección de Datos Personales

09/03/2018

Como hemos visto en anteriores POST, Cambios en la Normativa de Protección de Datos I y Cambios en la Normativa de Protección de Datos II, otro GRAN CAMBIO que nos trae el RGPD es el Análisis de Riesgos sobre protección de Datos Personales, es un proceso decisivo para saber si hay que realizar una Evaluación de Impacto de Protección de Datos, en este post, explicábamos en qué consiste el proceso y cómo debe gestionarse por parte de los responsables de tratamiento.

¿Qué es un Análisis de Riesgos?

Denominamos Gestión de riesgos al conjunto de actividades y tareas que permiten controlar la incertidumbre relativa a una amenaza mediante una secuencia de actividades que incluyen la identificación y evaluación del riesgo, así como, las medidas para su reducción o mitigación.

La gestión de riesgos se puede dividir en tres etapas:

• La identificación del riesgo.
• La evaluación del riesgo.
• El tratamiento de los riesgos.

El riesgo viene de la exposición a amenazas, por tanto, desde la perspectiva de la PRIVACIDAD, es fundamental entender qué es una amenaza y cómo se pueden identificar escenarios de riesgo para los datos personales.

Esta necesidad conecta directamente con el concepto explicado en el post “Privacidad por defecto y por diseño”.

¿Mi empresa necesita un Análisis de Riesgos?

Según el Reglamento General de Protección de datos, el responsable del tratamiento debe hacer, antes del tratamiento, un análisis de riesgos y una evaluación de impacto relativa a la protección de datos para valorar la particular gravedad y probabilidad del alto riesgo, teniendo en cuenta la naturaleza, ámbito, contexto y fines del tratamiento y los orígenes del riesgo.

El RGPD, consciente de que un tratamiento de datos personales nace expuesto a riesgos con impacto en la protección  de los datos, introduce los conceptos de “protección de datos desde el diseño y por defecto”. En el artículo 25 del Reglamento Europeo de Protección de Datos y en el artículo 32 (Seguridad del tratamiento) se ve que tiene como premisa garantizar los derechos y libertades de los interesados desde la definición de una ACTIVIDAD DE TRATAMIENTO (DE DATOS).

Describir las OPERACIONES DE TRATAMIENTO

La descripción de los tratamientos sujetos al análisis de riesgos, permite conseguir un conocimiento del ciclo de vida de los datos, de las actividades realizadas y de cualquier elemento que intervenga en ellas.

A diferencia de la EIPD, donde el análisis se realiza para una actividad de tratamiento específica, en un análisis de riesgos global, las actividades de tratamiento se agrupan por procesos comunes expuestos a riesgos similares, lo que va a simplificar el análisis y permite establecer medidas de seguridad por defecto.

Ejemplo: todas las operaciones de almacenamiento de datos están asociadas al riesgo de falta de disponibilidad, a lo que podemos aplicar la medida mitigadora de una política diaria de copias de seguridad definida para todas las bases de datos de la empresa.

El ciclo de vida de los datos se puede dividir en las siguientes etapas:

1. Captura de datos, es el proceso de obtención de datos para su almacenamiento y posterior procesado. ¿Qué técnicas podemos encontrar? formularios web, formularios en papel, toma de muestras y realización de encuestas, grabaciones de audio y video, redes sociales, captación mediante sensores, etc.
2. Clasificación y/o Almacenamiento, es el proceso de establecer categorías y asignarlas a los datos para su clasificación y almacenamiento en los sistemas o archivos.
3. Uso y/o Tratamiento, es la operación / operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea con procedimientos de los datos automatizados o manuales.
4. Cesión y/o transferencia de los datos a un 3º para su tratamiento, es el traspaso o comunicación de datos realizada a un tercero. Es un concepto muy amplio, porque recoge tanto la entrega, comunicación, consulta, interconexión, transferencia, difusión o cualquier otra forma de acceso a los datos.
5. Destrucción, consiste en eliminar los datos que puedan estar contenidos en los sistemas o archivos, de manera que no puedan ser recuperados de los soportes de almacenamiento.

Y, ¿Tú? ¿Ya has realizado un Análisis de Riesgos para las actividades de tratamiento de datos personales que realizas en tu empresa?

Desde PREVENSYSTEM, os animamos para que profundicéis en la materia de protección de datos y empecéis a gestionar los datos personales. En nuestra web encontraréis toda la información sobre los productos de formación de LOPD disponibles y también el área de consultoría LOPD. Si tu empresa todavía no tiene un ANÁLISIS DE RIESGOS … Consúltanos !!!