El nuevo Reglamento de Protección de Datos (RGPD) recoge la necesidad de poseer una responsabilidad activa en el tratamiento de los datos de carácter personal.
Se trata de una obligación por parte de la empresa en la prevención frente a los riesgos que se puedan presentar.
El Reglamento General de Protección de Datos, RGPD (o GDPR, General Data Protection Regulation, en inglés) indica que no es suficiente la actuación una vez producida la infracción ya que los daños causados podrían ser difíciles o incluso imposibles de reparar.
Con el fin de mitigarlos, es conveniente la realización de un análisis de riesgos basado en la protección de los mismos.
Tipos de enfoque a la hora de realizar el análisis de riesgos protección de datos
Existen dos tipos de enfoques a la hora de realizar el análisis de riesgos protección de datos:
- Análisis de riesgos enfocado a determinar las medidas de seguridad técnicas y organizativas para proteger los datos personales.
En él determinaremos los activos de la empresa (cualquier elemento con valor dentro del tema que estamos tratando que sería el manejo de datos personales), evaluaremos los riesgos, las medidas de seguridad aplicadas y encontraremos un equilibrio a la hora de protegerlos.
Con equilibrio se refiere a si es preferible asumir el riesgo o no. Si el esfuerzo (ya sea económico, de recursos humanos, etc.) que supone la protección supera a la pérdida en caso de ocurrir un problema de seguridad.
En este caso hablamos de riesgos para el propio responsable y no para el interesado o el titular de los datos. - Los riesgos para los derechos y libertades de las personas.
¿Qué consecuencias negativas podrían afectar a los derechos y libertades de las personas? Para poner un ejemplo,de estas consecuencias negativas podríamos hablar de la marginación, la exclusión social, las dificultades para acceder a un puesto de trabajo, problemas para contratar determinados servicios, etc.
Estos problemas podrían derivar de la filtración de información personal debido a una brecha de seguridad en nuestra empresa.
Por ello debemos cuantificar tanto las consecuencias tangibles como las intangibles.
Este sería un análisis de riesgos directo para el interesado o el titular de los datos.
Esta reflexión, basada en la determinación de riesgos para aplicar medidas preventivas, se ha trasladado al RGPD en formas como el Principio de Protección de Datos desde el diseño y por defecto.
¿Qué entendemos cuando hablamos de protección de datos desde el diseño y por defecto?
Antes de comenzar un tratamiento de datos (cuando vayamos a decidir como manejar los datos, qué programas usar, dónde almacenarlos, como gestionarlos…) que suponga un alto riesgo para los derechos y libertades de los interesados, deberemos evaluar el impacto de las evaluaciones del tratamiento (los procedimientos que realicemos con dichos datos).
Es por esto que hablamos de “desde el diseño y por defecto”, ya que antes de comenzar el tratamiento se debe comprobar que las medidas de seguridad sean adecuadas al riesgo que corren los datos (técnicamente, costes que supone la aplicación de estas medidas, fines para los que recabamos datos evitando almacenar más de los que necesitamos…).
El análisis de riesgos es un estudio metódico y sistemático en el que, por medio de métricas, conoceremos claramente el grado de riesgo en el que sometemos al activo.
Para llevar a cabo este estudio es necesario utilizar una metodología que nos ayudará a trazar de forma objetiva los niveles de riesgo aceptables en cada caso.
¿Qué metodología usar para realizar el análisis de riesgos protección de datos?
La Agencia de Protección de Datos está ultimando una Guía de análisis de riesgo que se publicará junto a un catálogo de cumplimiento normativo donde probablemente nos orienten sobre alguna metodología a emplear.
Aixa Corpore, a la espera de dicha publicación, consideramos la norma ISO 27001 (Sistema de Gestión de Seguridad de la Información) como la más adecuada ya que establece una metodología de medidas de seguridad y protocolos a seguir para garantizar la seguridad de la información tratada, así como el Esquema Nacional de Seguridad.
Después de toda nuestra experiencia como empresa referente especializada en Protección de Datos y Derechos de Nuevas Tecnologías, llevamos aplicando más de 10 años la metodología basada en esta norma ISO 27001 tanto de manera interna como a nuestros clientes obteniendo siempre unos resultados más que satisfactorios.
Estamos certificados en esta norma ISO 27001 desde el año 2009 y ofrecemos asesoramiento a las empresas que se quieran certificar en ella y así obtener una excelente etiqueta de calidad para la imagen de su entidad.
¿Qué se hace con todos estos datos obtenidos en el análisis de riesgos protección de datos?
Con todos esos datos se elaborará un mapa de riesgos claro y comprensible que engloba la suma de los posibles riesgos de la organización.
Hay que tener en cuenta que cada tratamiento de datos personales y cada organización tendrán su propio mapa, el mismo tratamiento puede tener diferente mapa en función de la organización o el espacio físico en el que se situe.
El mapa de riesgos no es estático, ya que con frecuencia puede estar asociado a la tecnología y, por lo tanto, evolucionar. Debe realimentarse con resultados de cambios y experiencias de la organización.
Por lo tanto, debemos mantener el análisis de riesgos actualizado añadiendo las posibles modificaciones, actualizaciones, e incorporaciones de la empresa a través de un mantenimiento personalizado.
Fuente: AEPD/propia