Zona Clientes
User
Password
Campus e-Learning
User
Password
  • Zona Clientes
  • Campus E-Learning
Noticias  /  Cómo elaborar un análisis de riesgos de datos personales

Cómo elaborar un análisis de riesgos de datos personales

El análisis de riesgos de datos personales es una novedad introducida por el RGPD.

26/04/2018

 
Como vimos en el post Análisis de riesgos de datos personales, hay empresas que por las actividades y tareas que desarrollan van a necesitar realizar ese análisis.
 
Viene para cubrir dos aspectos fundamentales que implica el nuevo RGPD:
 
1. Responsabilidad Proactiva
 
2. El enfoque desde el riesgo
 
 
¿Qué es la Responsabilidad Proactiva?
 
Condiciona la adopción de medidas de seguridad al riesgo que los tratamientos de datos personales pueden suponer para los derechos y libertades de las personas afectadas / interesadas.
 
El análisis de riesgos indicará las medidas de seguridad que la empresa debe adoptar para garantizar la confidencialidad, la disponibilidad y la integridad de la información y de los sistemas de información que utilizan para tratar los datos personales.
 
ANTES: El RD 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal implicaba:
 
Si tu empresa era de nivel básico, había un listado de medidas de seguridad que debías adoptar, por ejemplo: Poner contraseñas en los ordenadores, haz copias de seguridad, etc.
 
Si tu empresa es de nivel medio, además de las medidas de seguridad básicas debías añadir otras.
 
Y, Si tu empresa era de nivel alto, debías adoptar otra serie de medidas de seguridad.
 
Pues bien, con la entrada en vigor del RGPD este concepto va a cambiar. No explica que medidas de seguridad debe aplicar cada empresa. Lo que dice básicamente es que cada empresa debe aplicar las medidas de seguridad que crea oportunas. Y, siempre debe ser capaz de demostrar que la información es confidencial, está disponible y que está integra.
 
OBJETIVO: Garantizar un nivel de seguridad adecuado al riesgo del tratamiento de datos personales.
 
**Legislación: Dentro del RGPD el considerando 83, Artículo 5.1. f) y artículo 32.
 
¿Quién determina qué medidas de seguridad debemos adoptar?
 
El análisis de riesgos de datos personales, para garantizar:
¿Cómo llevar a cabo este análisis?
 
En primer lugar, hay que identificar los activos. Es decir, todo aquello que interviene en la protección de datos. Por ejemplo: El servidor de la empresa, los trabajadores de la empresa, las copias de seguridad, etc.
 
En segundo lugar, hay que identificar que riesgos pueden atacar a los activos descritos. Por ejemplo: Respecto del servidor podríamos tener el riesgo de que lo roben, el riesgo de que entre un virus, etc. Respecto de los trabajadores podríamos tener el riesgo de que revelen información, etc.
 
Y, en tercer lugar, hay que ver qué medidas de seguridad hay implantadas en la empresa. Por ejemplo: Antivirus, procedimiento de copias de seguridad, etc.
 
Una vez que sabemos:
Podemos empezar a analizar la PROBABILIDAD de que se materialice el RIESGO y estableceremos un valor.
 
Cada empresa puede utilizar el método que quiera para realizar el análisis de riesgo. La AEPD no establece una forma perfecta.
 
Por ejemplo, podemos asignar valores a la probabilidad y asignar valores al impacto.
 
RIESGO = PROBABILIDAD X IMPACTO
 
Si la multiplicación nos da “0” no hay que hacer nada. Si nos diera un “5” sería un valor bajo, y si supera los riesgos tolerables, nos centraríamos en la PREVENCIÓN DEL RIESGO, PROTECCIÓN O MITIGACIÓN DE LOS RIESGOS, COMPARTIR O TRANSFERENCIA DE LOS RIESGOS.
 
Ejemplo 1: En la transferencia internacional de datos personales, que implica enviar datos de clientes, proveedores, empleados, etc.  a una empresa establecida fuera de la Unión Europea, sólo se podrá realizar previa autorización de la AEPD o en otros supuestos especiales.
 
¿Cuál es el activo? ¿Qué analizamos? Transferencia internacional de datos personales.
Si tu empresa no trabaja con empresas extranjeras o no envía datos fuera de la UE, la probabilidad será “0” y por tanto la multiplicación será “0”. No tienes ningún riesgo y por tanto no necesitas ninguna medida de seguridad específica.
 
Ejemplo 2: Documentación de clientes o empleados en formato papel. Una oficina muy pequeña. El armario no tiene puertas y por tanto cualquier persona podría llevarse algún papel.
 
¿Cuál es el activo? ¿Qué analizamos? Los datos de los clientes o empleados que tenemos en papel (nóminas). La probabilidad de que alguien robara documentación, podría ser ALTA y ¿Qué impacto tendría para la empresa? Si no manejamos datos sensibles, que son sólo identificativos, quizás podríamos determinar que es IMPACTO MEDIO pero sería un RIESGO MODERADO.
 
¿Qué tendríamos que hacer? PREVENIR: Cambiar los documentos de armario, añadir puertas con llave. O bien, TRANSFERIR ese riesgo: Una medida sería contratar a una empresa de custodia o gestión documental (ENCARGADO DE TRATAMIENTO)  y así en el centro de trabajo ya no había datos en formato papel. Si hay un robo, tu encargado de tratamiento sería el responsable de esos datos personales en formato papel.
 
Y, ¿Tú? ¿Ya has realizado un Análisis de Riesgos para las actividades de tratamiento de datos personales que realizas?
 
Desde PREVENSYSTEM, os animamos para que profundicéis en la materia de protección de datos y empecéis a gestionar los datos personales. En nuestra web encontraréis toda la información sobre los productos de formación de LOPD disponibles y también el área de consultoría LOPD. Si tu empresa todavía no tiene un ANÁLISIS DE RIESGOS … Consúltanos!!!

Reconocimientos y participación

Top 100.000 EmpresasEmpresa Responsable con el VIH  y el Sida en EspañaWorld Compliance AssociationSTAREGISTERMicrosoftHiscoxEmpresa colaboradora Un Reto Social EmpresarialRecomendados por AEPSALEstrategia de emprendimiento y empleo jovenMiembros firmantes del Pacto de LuxemburgoMiembros de AENOAIntedya
 

Esta web utiliza cookies para obtener datos estadísticos de la navegación de sus usuarios. Si continúas navegando consideramos que aceptas su uso. Más información Aceptar   Rechazar