Como hemos visto en anteriores POST, Cambios en la Normativa de Protección de Datos I y Cambios en la Normativa de Protección de Datos II, otro GRAN CAMBIO que nos trae el RGPD es el Análisis de Riesgos sobre protección de Datos Personales, es un proceso decisivo para saber si hay que realizar una Evaluación de Impacto de Protección de Datos, en este post, explicábamos en qué consiste el proceso y cómo debe gestionarse por parte de los responsables de tratamiento.
¿Qué es un Análisis de Riesgos?
Denominamos Gestión de riesgos al conjunto de actividades y tareas que permiten controlar la incertidumbre relativa a una amenaza mediante una secuencia de actividades que incluyen la identificación y evaluación del riesgo, así como, las medidas para su reducción o mitigación.
La gestión de riesgos se puede dividir en tres etapas:
El riesgo viene de la exposición a amenazas, por tanto, desde la perspectiva de la PRIVACIDAD, es fundamental entender qué es una amenaza y cómo se pueden identificar escenarios de riesgo para los datos personales.
Esta necesidad conecta directamente con el concepto explicado en el post “Privacidad por defecto y por diseño”.
¿Mi empresa necesita un Análisis de Riesgos?
Según el Reglamento General de Protección de datos, el responsable del tratamiento debe hacer, antes del tratamiento, un análisis de riesgos y una evaluación de impacto relativa a la protección de datos para valorar la particular gravedad y probabilidad del alto riesgo, teniendo en cuenta la naturaleza, ámbito, contexto y fines del tratamiento y los orígenes del riesgo.
El RGPD, consciente de que un tratamiento de datos personales nace expuesto a riesgos con impacto en la protección de los datos, introduce los conceptos de “protección de datos desde el diseño y por defecto”. En el artículo 25 del Reglamento Europeo de Protección de Datos y en el artículo 32 (Seguridad del tratamiento) se ve que tiene como premisa garantizar los derechos y libertades de los interesados desde la definición de una ACTIVIDAD DE TRATAMIENTO (DE DATOS).
Describir las OPERACIONES DE TRATAMIENTO
La descripción de los tratamientos sujetos al análisis de riesgos, permite conseguir un conocimiento del ciclo de vida de los datos, de las actividades realizadas y de cualquier elemento que intervenga en ellas.
A diferencia de la EIPD, donde el análisis se realiza para una actividad de tratamiento específica, en un análisis de riesgos global, las actividades de tratamiento se agrupan por procesos comunes expuestos a riesgos similares, lo que va a simplificar el análisis y permite establecer medidas de seguridad por defecto.
Ejemplo: todas las operaciones de almacenamiento de datos están asociadas al riesgo de falta de disponibilidad, a lo que podemos aplicar la medida mitigadora de una política diaria de copias de seguridad definida para todas las bases de datos de la empresa.
El ciclo de vida de los datos se puede dividir en las siguientes etapas:
Y, ¿Tú? ¿Ya has realizado un Análisis de Riesgos para las actividades de tratamiento de datos personales que realizas en tu empresa?
Desde PREVENSYSTEM, os animamos para que profundicéis en la materia de protección de datos y empecéis a gestionar los datos personales. En nuestra web encontraréis toda la información sobre los productos de formación de LOPD disponibles y también el área de consultoría LOPD. Si tu empresa todavía no tiene un ANÁLISIS DE RIESGOS … Consúltanos !!!