Análisis de riesgos aplicados a la privacidad y a la protección de datos en el Reglamento general de protección de datos (RGPD) y en la LO 3/2018 (LOPDGDD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 04/02/2019

Desde la entrada en vigor del RGPD es obligatorio el cumplimiento de los requerimientos y obligaciones para el responsable y el encargado de tratamiento que este incluye, entre las que destaca, la necesidad de llevar a cabo un análisis de riesgos con el fin de establecer medidas de seguridad y control para garantizar los derechos y libertades de las personas.

La reforma de la regulación de protección de datos supuso un cambio del modelo tradicional para afrontar las medidas que garantizan la protección de los datos personales hacia un nuevo modelo más dinámico, enfocado en la gestión continua de los riesgos potenciales asociados al tratamiento desde su diseño.

Conforme se indica en el considerando 74, debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas físicas.

Así, a diferencia de lo que sucedía en la legislación derogada, en la que se determinaba las medidas aplicables en función del tipo de datos objeto de tratamiento, en el nuevo Reglamento, las medidas técnicas y organizativas serán establecidas por los responsables y encargados en función de los riesgos detectados a través de la realización del análisis previo. El análisis de riesgos por tanto, tiene por objeto detectar riesgos potenciales asociados al tratamiento de los datos antes de que estos se produzcan -es decir desde el diseño- para adoptar las medidas que garanticen la protección de los datos personales.

En este sentido, el análisis de los riesgos deberá realizarse tomando en consideración diversas variables. Así lo señala el considerando 76 estableciendo que ?la probabilidad y la gravedad del riesgo para los derechos y libertades del interesado debe determinarse con referencia a la naturaleza, el alcance, el contexto y los fines del tratamiento de datos. El riesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto.

Es fundamental, por tanto realizar un análisis previo para determinar -de forma preliminar- el nivel de riesgo al que puede estar expuesto el tratamiento y en función de los resultados tomar las decisiones adecuadas en base a ellos. En consecuencia, las medidas a implementar por responsables y encargados dependerán del resultado de ese necesario análisis de riesgos de forma que:

- Si como resultado del análisis se concluye que las actividades de tratamiento no están expuestas a riesgos relevantes, no resultará necesario realizar la denominada Evaluación de impacto en la Protección de Datos. En todo caso, será necesario documentar adecuadamente que se ha llevado a cabo este análisis previo y los motivos por lo que se ha concluido que el tratamiento de los datos presenta una baja exposición al riesgo. En estos supuestos, las medidas organizativas y técnicas -destinadas, como sabemos, a garantizar los derechos y libertades de los interesados- podrán implementarse aplicando un enfoque de mínimos atendiendo a que el nivel de riesgo al que está expuestas las actividades de tratamiento no resulta elevado.

- Si del resultado del análisis previo se concluye que el tratamiento puede suponer un riesgo  alto para los derechos y las libertades de las personas físicas, entonces resultará necesario realizar la Evaluación de Impacto en la Protección de Datos. En este sentido, el considerando 75 enumera una serie de factores o supuestos asociados a riesgos para los derechos y libertades de los interesados, sobre los que posteriormente volveremos a incidir cuando analicemos el proceso de evaluación de impacto en la protección de Datos personales. En todo caso , debemos señalar que la evaluación del riesgo no tiene un carácter definitivo, por cuanto que resulta conveniente revisar las medidas que en cada caso se hayan adaptado, para proceder a actualizarlas y adaptarlas en cada caso, si ello resultase necesario.

La gestión de riesgos se puede dividir en tres etapas diferenciadas: La identificación, la evaluación y el tratamiento de los riesgos.
 
Bajo el supuesto de que las actividades de tratamiento no requieran una Evaluación de Impacto, el análisis de riesgos para determinar las medidas técnicas y organizativas que garanticen los derechos y libertades de los interesados se puede simplificar con un enfoque de mínimos considerando que el nivel de riesgo al que están expuestas las actividades de tratamiento no es elevado. El análisis básico de riesgos es un análisis de mínimos que tiene como objetivo simplificar el proceso de análisis de riesgos en aquellas actividades de tratamiento con baja exposición al riesgo. Como punto de partida, se deben describir adecuadamente las actividades de tratamiento, proceso que facilitará la documentación del registro de actividades de tratamiento.
La descripción de los tratamientos sujetos al análisis de riesgos, permite obtener un conocimiento del ciclo de vida de los datos, de las actividades realizadas y de cualquier elemento que interviene en las mismas. A diferencia de la Evaluación de Impacto, donde el análisis se realiza para una actividad de tratamiento específica, en un análisis de riesgos global, las actividades de tratamiento se agrupan por procesos comunes expuestos a riesgos similares, lo que simplifica el análisis y permite establecer medidas de seguridad por defecto. Por ejemplo, todas las operaciones de almacenamiento de datos están asociados al riesgo de falta de disponibilidad, por lo que la medida mitigadora aplicable puede ser una política diaria de copias de seguridad definida para todas las bases de datos.
El enfoque de análisis de riesgos global, busca la agrupación de procesos, actividad que simplifica el análisis sin reducir su nivel de efectividad. A modo de ejemplo, se presentan los procesos de perfilado que se soportan en sistemas similares o bases de datos con una tipología concreta. También puede ser criterio de la organización agrupar las actividades de tratamiento entre aquellas que atiendan a finalidades similares sobre grupos de individuos diferentes por ejemplo, supongamos que deba realizarse la historia clínica sobre los empleados de una organización y además sobre los aspirantes a formar parte de una organización.
 
 
Dentro una análisis de riesgo por tanto, el primer paso es la contextualización del escenario de riesgo, lo cual guarda relación directa con la descripción del ciclo de vida de los datos (Véase el tema: Ciclo de vida de los datos en materia de protección de datos) y la identificación de las amenazas que pueden afectar a la privacidad y que van ligadas al tratamiento de los datos (Véase el tema: Tipos de riesgos relacionados con la seguridad de los datos en el RGPD y en la LOPDGDD). Dicho análisis nos ayudará a averiguar las medidas más eficaces y necesarias para mitigar o evitar los riesgos asociados a los tratamientod de datos de carácter personal. Si al efectuar el análisis, o durante los pasos previos, se llega a la conclusión de que los tratamientos o alguno de los tratamientos pueden entrañar un riesgo elevado o alto para los derechos y libertades de las personas físicas, será necesario realizar una Evaluación de Impacto.

No hay versiones para este comentario

Protección de datos
Análisis de riesgo
Tratamiento de datos personales
Datos personales
Persona física
Medidas de seguridad
Responsabilidad del responsable del tratamiento
Actividades de tratamiento de datos
Ciclo de vida de los datos
Evaluación de riesgos
Registro de las actividades de tratamiento
Amenazas
Seguridad de los datos personales
Pertenece al Grupo

Incluídos en este concepto

Documentos relacionados
Ver más documentos relacionados
  • Ciclo de vida de los datos en materia de protección de datos

    Orden: Administrativo Fecha última revisión: 04/02/2019

    En un análisis de riesgos global, las actividades de tratamiento se agrupan por procesos comunes expuestos a riesgos similares, lo que simplifica el análisis y permite establecer medidas de seguridad por defecto. La descripción de los tratamientos...

  • Tratamiento de datos con fines de videovigilancia

    Orden: Administrativo Fecha última revisión: 12/02/2019

    En el caso de la videovigilancia, la licitud del tratamiento proviene de la existencia de un interés público, en los términos establecidos en el artículo 6.1.e) del RGPD.El tratamiento con fines de videovigilancia se encuentra regulado en la LOPD...

  • Responsabilidad del Responsable del tratamiento de datos en el RGPD y en la LOPDGDD.

    Orden: Administrativo Fecha última revisión: 30/01/2019

    La regulación de la responsabilidad del Responsable del Tratamiento se contempla en el artículo 24 del RGPD, así como en el artículo 28 de la LOPDGDD. Las obligaciones impuestas por el RGPD a los responsables del tratamiento de los datos se pone...

  • Tipos de riesgos relacionados con la seguridad de los datos en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 04/02/2019

    A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el RGPD, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos (como la seudonimización y el cifrado). ...

  • Infracciones en materia de protección de datos (LOPDGDD y RGPD)

    Orden: Administrativo Fecha última revisión: 23/01/2019

    Las infracciones se recogen de manera bastante somera en el artículo 83 del RGPD y de un modo más específico en la nueva LOPDGDD (arts. 71 a 74).   Con respecto al RGPD, el artículo 83 indica las condiciones para la imposición de multas admini...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados