Líderes en
soluciones para el CUMPLIMIENTO

Análisis de Riesgos sobre Protección de Datos Personales

09 de Marzo

El 25 de mayo de 2018 hará dos años desde que entró en vigor del Reglamento 2016/679 del Parlamento Europeo relativo a la protección de las personas físicas en cuanto al tratamiento y la libre circulación de datos personales (RGPD). Será obligatorio el cumplimiento de los requerimientos y obligacion... >> Ver Más

 
Zona Clientes
 
User
 
Password
 
Campus e-Learning
 
 
User
 
Password
Noticias PrevenSystem

Como hemos visto en anteriores POST, Cambios en la Normativa de Protección de Datos I y Cambios en la Normativa de Protección de Datos II, otro GRAN CAMBIO que nos trae el RGPD es el Análisis de Riesgos sobre protección de Datos Personales, es un proceso decisivo para saber si hay que realizar una Evaluación de Impacto de Protección de Datos, en este post, explicábamos en qué consiste el proceso y cómo debe gestionarse por parte de los responsables de tratamiento.

 

¿Qué es un Análisis de Riesgos?

Denominamos Gestión de riesgos al conjunto de actividades y tareas que permiten controlar la incertidumbre relativa a una amenaza mediante una secuencia de actividades que incluyen la identificación y evaluación del riesgo, así como, las medidas para su reducción o mitigación.

La gestión de riesgos se puede dividir en tres etapas:

  • La identificación del riesgo.
  • La evaluación del riesgo.
  • El tratamiento de los riesgos.

El riesgo viene de la exposición a amenazas, por tanto, desde la perspectiva de la PRIVACIDAD, es fundamental entender qué es una amenaza y cómo se pueden identificar escenarios de riesgo para los datos personales.

Esta necesidad conecta directamente con el concepto explicado en el post “Privacidad por defecto y por diseño”.

 

 

¿Mi empresa necesita un Análisis de Riesgos?

Según el Reglamento General de Protección de datos, el responsable del tratamiento debe hacer, antes del tratamiento, un análisis de riesgos y una evaluación de impacto relativa a la protección de datos para valorar la particular gravedad y probabilidad del alto riesgo, teniendo en cuenta la naturaleza, ámbito, contexto y fines del tratamiento y los orígenes del riesgo.

El RGPD, consciente de que un tratamiento de datos personales nace expuesto a riesgos con impacto en la protección  de los datos, introduce los conceptos de “protección de datos desde el diseño y por defecto”. En el artículo 25 del Reglamento Europeo de Protección de Datos y en el artículo 32 (Seguridad del tratamiento) se ve que tiene como premisa garantizar los derechos y libertades de los interesados desde la definición de una ACTIVIDAD DE TRATAMIENTO (DE DATOS).

 

 

Describir las OPERACIONES DE TRATAMIENTO

La descripción de los tratamientos sujetos al análisis de riesgos, permite conseguir un conocimiento del ciclo de vida de los datos, de las actividades realizadas y de cualquier elemento que intervenga en ellas.

A diferencia de la EIPD, donde el análisis se realiza para una actividad de tratamiento específica, en un análisis de riesgos global, las actividades de tratamiento se agrupan por procesos comunes expuestos a riesgos similares, lo que va a simplificar el análisis y permite establecer medidas de seguridad por defecto.

Ejemplo: todas las operaciones de almacenamiento de datos están asociadas al riesgo de falta de disponibilidad, a lo que podemos aplicar la medida mitigadora de una política diaria de copias de seguridad definida para todas las bases de datos de la empresa.

El ciclo de vida de los datos se puede dividir en las siguientes etapas:

  1. Captura de datos, es el proceso de obtención de datos para su almacenamiento y posterior procesado. ¿Qué técnicas podemos encontrar? formularios web, formularios en papel, toma de muestras y realización de encuestas, grabaciones de audio y video, redes sociales, captación mediante sensores, etc.
  2. Clasificación y/o Almacenamiento, es el proceso de establecer categorías y asignarlas a los datos para su clasificación y almacenamiento en los sistemas o archivos.
  3. Uso y/o Tratamiento, es la operación / operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea con procedimientos de los datos automatizados o manuales.
  4. Cesión y/o transferencia de los datos a un 3º para su tratamiento, es el traspaso o comunicación de datos realizada a un tercero. Es un concepto muy amplio, porque recoge tanto la entrega, comunicación, consulta, interconexión, transferencia, difusión o cualquier otra forma de acceso a los datos.
  5. Destrucción, consiste en eliminar los datos que puedan estar contenidos en los sistemas o archivos, de manera que no puedan ser recuperados de los soportes de almacenamiento.

 

Y, ¿Tú? ¿Ya has realizado un Análisis de Riesgos para las actividades de tratamiento de datos personales que realizas en tu empresa?

Desde PREVENSYSTEM, os animamos para que profundicéis en la materia de protección de datos y empecéis a gestionar los datos personales. En nuestra web encontraréis toda la información sobre los productos de formación de LOPD disponibles y también el área de consultoría LOPD. Si tu empresa todavía no tiene un ANÁLISIS DE RIESGOS … Consúltanos !!!

Solicita más información

En cumplimiento de la normativa de protección de datos, en particular del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, le informamos que los datos personales que usted nos facilita a través del presente formulario, serán utilizados por PS Formación S.L (PREVENSYSTEM), para tramitar su solicitud de información respecto al asunto indicado.

Los datos personales marcados con (*) son imprescindibles para tramitar su solicitud, siendo el resto opcionales, y orientados a mejorar las vías de comunicación con los interesados. PREVENSYSTEM únicamente comunicará sus datos a las oficinas (pertenecientes a su red de oficinas) necesarias o relacionadas con el servicio solicitado, no realizando ninguna otra comunicación, más allá de las obligaciones legales que puedan derivarse del tratamiento. Asimismo, ni PREVENSYSTEM ni las oficinas de su red implicadas, utilizará sus datos con finalidades distintas a las indicadas, salvo autorización expresa y previa del titular de los mismos. Los datos personales serán tratados únicamente durante el tiempo necesario para tramitar su candidatura, tras lo cual se procederá a su supresión. Le informamos sobre la posibilidad de ejercer los derechos de acceso, rectificación, supresión, portabilidad y limitación del tratamiento, en los términos previstos en la ley, que podrá ejercitar dirigiéndose a PS Formación S.L (PREVENSYSTEM), en Calle Santa Lucía, Nº 19, Planta 2, 33206 Gijón, o a través de la dirección de correo electrónico info@prevensystem.com. Además, en caso de que usted nos autorice expresamente, PREVENSYSTEM podrá utilizar sus datos de contacto para el envío de Newsletter, comunicaciones, notificaciones y, en general, información sobre nuestros productos y servicios que puedan resultar de su interés. Para obtener más información sobre el uso de los datos de carácter personal, así como sobre el cumplimiento de los principios, requisitos y derechos recogidos de la normativa de protección de datos, PREVENSYSTEM pone a disposición de los interesados, a través de su página web, su política de privacidad.

 


World Compliance AssociationSTAREGISTERMicrosoftHiscoxEmpresa colaboradora Un Reto Social EmpresarialRecomendados por AEPSALEstrategia de emprendimiento y empleo jovenMiembros firmantes del Pacto de LuxemburgoMiembros de AENOAUniversidad de San JorgeIntedya

Esta web utiliza cookies para obtener datos estadísticos de la navegación de sus usuarios.
Si continúas navegando consideramos que aceptas su uso. Más información X Cerrar