Tipos de riesgos relacionados con la seguridad de los datos en el Reglamento Europeo de Protección de Datos (RGPD) y en la LO 3/2018 (LOPDGDD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 04/02/2019

A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el RGPD, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos (como la seudonimización y el cifrado). Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales, como la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales.

La reforma de la regulación de protección de datos sufrida con la entrada en vigor del RGPD supuso un cambio del modelo tradicional para afrontar las medidas que garantizan la protección de los datos personales hacia un nuevo modelo más dinámico, enfocado en la gestión continua de los riesgos potenciales asociados al tratamiento desde su diseño. Básicamente, además de hacer mención a los riesgos en diversos considerandos, se establece la obligación de su análisis o bien se menciona su análisis en varios preceptos del Reglamento, en concreto en los artículos 24, 25, 32 a 35 y 39.

Lo mismo ocurre en la LOPDGDD en donde se menciona que el principio de responsabilidad activa, lo que exige una previa valoración por el responsable o por el encargado del tratamiento del riesgo que pudiera generar el tratamiento de los datos personales para, a partir de dicha valoración, adoptar las medidas que procedan. La necesidad de tener en cuenta los riesgos se regula en diversos preceptos tales como el artículo 28 en cuanto a las obligaciones generales de los responsables y encargados de tratamiento, pues se matiza que para la adopción de las medidas técnicas y organizativas se derán tener en cuenta en particular los mayores riesgos que podrían producirse, y se indican una serie de supuestos. Igualmente en esta Ley Orgánica en el artículo 34 se establece que se deberán tener en cuenta los riesgos a la hora de establecer la dedicación completa o a tiempo parcial del delegado de protección de datos.

Atendiendo a los Considerandos 75 a 77 del RGPD, "(75) Los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales, en particular en los casos en los que el tratamiento pueda dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo; en los casos en los que se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales; en los casos en los que los datos personales tratados revelen el origen étnico o racial, las opiniones políticas, la religión o creencias filosóficas, la militancia en sindicatos y el tratamiento de datos genéticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas; en los casos en los que se evalúen aspectos personales, en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, situación o movimientos, con el fin de crear o utilizar perfiles personales; en los casos en los que se traten datos personales de personas vulnerables, en particular niños; o en los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran número de interesados.

(76) La probabilidad y la gravedad del riesgo para los derechos y libertades del interesado debe determinarse con referencia a la naturaleza, el alcance, el contexto y los fines del tratamiento de datos. El riesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto.

(77) Se podrían proporcionar directrices para la aplicación de medidas oportunas y para demostrar el cumplimiento por parte del responsable o del encargado del tratamiento, especialmente con respecto a la identificación del riesgo relacionado con el tratamiento, a su evaluación en términos de origen, naturaleza, probabilidad y gravedad y a la identificación de buenas prácticas para mitigar el riesgo, que revistan, en particular, la forma de códigos de conducta aprobados, certificaciones aprobadas, directrices dadas por el Comité o indicaciones proporcionadas por un delegado de protección de datos. El Comité también puede emitir directrices sobre operaciones de tratamiento que se considere improbable supongan un alto riesgo para los derechos y libertades de las personas físicas, e indicar qué medidas pueden ser suficientes en dichos casos para afrontar el riesgo en cuestión."

Igualmente según el Considerando 83, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales, como la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales. Como veremos, los riesgos relacionados con la protección de la información inciden en la integridad, confidencialidad y seguridad de los datos. Un ejemplo lo constituye por ejemplo el acceso ilegítimo a los datos o la pérdida de datos.

A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el RGPD, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado. Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse. Por tanto para establecer las medidas de seguridad y control para garantizar los derechos y libertades de las personas es necesario llevar a cabo un análisis de riesgos.

 
El proceso de gestión de riesgos implica realizar inicialmente dos tareas: identificarlos y evaluarlos. El riesgo es la exposición a amenazas y la posibilidad de que se materialice dicha amenaza, por tanto, como punto de partida, es fundamental entender qué es una amenaza y cómo se puede identificar escenarios de riesgo a partir de la misma. Básicamente una amenaza es cualquier factor de riesgo con potencial para provocar un daño o perjuicio a los interesados sobre cuyos datos de carácter personal se realiza un tratamiento. De forma general, las amenazas pueden ser de diversas tipologías, por ejemplo:
- Desastres naturales: Fuego, agua, desastres ambientales...
- Errores y fallos: Destrucción no intencionada, programación inadecuada de un proceso de perfilado, fuga de información...
- Ataques intencionados: Hacking, phishing, malware, robo...
- Incumplimiento normativo: Incumplimiento del periodo de retención, ausencia de base le gitimadora del tratamiento...
Sin embargo, si ponemos foco en la protección de los datos, las amenazas se pueden categorizar principalmente en 3 tipos en base a la tipología de daño que pueden producir en los datos:
   - confidencialidad - acceso ilegítimo a los datos (por ej. fuga de información, uso ilegítimo de datos, pérdida de dispositivos móviles, acceso por personal no autorizado, etc)
   - integridad - modificación no autorizada de los datos (por ej. errores en los procesos de recopilación y captura de datos, modificación no autorizada de datos de forma intencionada, suplantación de identidad, etc)
   - disponibilidad - eliminación de los datos (por ej. error o ataque intencionado que provoque el borrado o pérdida de datos, desastres naturales, cortes en el suministro eléctrico o en los servicios de comunicación, etc).
Para identificar de forma adecuada las amenazas asociadas a las actividades de tratamiento, se debe tener en cuenta todo el ciclo de vida de los datos en cada operación, desde su inicio hasta el momento en el que finaliza. Identificar una amenaza consiste en identificar la fuente de los escenarios en los que se puede producir un daño o una violación de los derechos y libertades de los interesados.
 
Las amenazas y los riesgos asociados están directamente relacionados, en consecuencia, identificar y evaluar los riesgos siempre implica considerar la amenaza que los puede originar, por ejemplo, la pérdida de un dispositivo móvil (amenaza) podría derivar en un acceso a los datos por parte de personal no autorizado y por tanto se produciría una vulneración de los derechos y libertades de los interesados (riesgo), lo que podría derivar en un posible daño moral, físico o material sobre el interesado (impacto). En consecuencia, es muy importante asegurar una correcta identificación de las amenazas a los que está expuesta una actividad de tratamiento teniendo en cuenta que entre los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas se pueden diferenciar dos dimensiones:
 
1.- Riesgos asociados a la protección de la información. 
  
Se deberán identificar los posibles riesgos que puedan afectar a los datos con el foco central en la integridad, disponibilidad y confidencialidad de los datos. Para evitar estos riesgos, se deberán aplicar las medidas técnicas y organizativas apropiadas que garanticen el nivel de seguridad adecuado y que permitan, por tanto, asegurar la confidencialidad, integridad, disponibilidad y resiliencia permanente de los sistemas y servicios de tratamiento, así como las medidas que aseguren la capacidad de restaurar la disponibilidad y el acceso a los datos de forma rápida en caso de incidente físico o técnico.
Igualmente se deberán tener en cuenta los riesgos que presenta el tratamiento como consecuencia de su destrucción, pérdida o alteración accidental o ilicita, que son transmitidos conservados o tratados y la comunicación o acceso no autorizados a dichos datos, para evaluar el nivel de seguridad aplicado.
 
2.- Riesgos asociados al cumplimiento de los requisitos legales relacionados con los derechos y libertades de los interesados.

En este sentido la identificación de un riesgo que pueda implicar el incumplimiento de las condiciones tuitivas de los derechos y libertades de las personas físicas deberá conllevar la adopción de medidas que puedan mitigar este riesgo, es decir, disminuir su nivel de exposición para reducir la probabilidad y/o impacto de que se materialicen, hasta situar el riesgo residual en un nivel que se considere razonable. Un ejemplo de riesgo de este tipo lo constituiría el hecho de que una organización no tenga correctamente implementados los procedimientos correspondientes para permitir al interesado ejercer sus derechos o cuando se realizase un tratamiento ilícito de datos personales. Especial protección merecen los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento podría entrañar importantes riesgos para los derechos y las libertades fundamentales.

 

En todo caso, si en el análisis previo se detectase que es probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas o para la propia información, entonces el responsable estará obligado a realizar una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.

 

 

No hay versiones para este comentario

Datos personales
Tratamiento de datos personales
Daños y perjuicios
Amenazas
Seguridad de los datos personales
Protección de datos
Anonimización de datos
Persona física
Encargado del tratamiento
Estado de la técnica
Delegado de protección
Actividades de tratamiento de datos
Medidas de seguridad
Suplantación de identidad
Principio de responsabilidad
Perjuicios económicos
Datos confidenciales
Perjuicio económico
Secreto profesional
Sindicatos
Reversión
Datos genéticos
Datos sobre la salud
Fraude
Buenas prácticas
Código de conducta
Análisis de riesgo
Robo
Acceso a datos personales
Phising
Robo de contraseñas
Suministro de electricidad
Supresión de datos personales
Ciclo de vida de los datos
Daños morales
Evaluación de impacto en protección de datos
Pertenece al Grupo

Documentos relacionados
Ver más documentos relacionados
  • Glosario de definiciones del RGPD

    Orden: Administrativo Fecha última revisión: 18/01/2019

    El RGPD proporciona -en su artículo 4- la definición de los conceptos sobre los que gravita la regulación de la protección de datos de carácter personal.Así, los distintos operadores jurídicos, la ciudadanía, los poderes públicos, tienen a s...

  • Responsabilidad del Responsable del tratamiento de datos en el RGPD y en la LOPDGDD.

    Orden: Administrativo Fecha última revisión: 30/01/2019

    La regulación de la responsabilidad del Responsable del Tratamiento se contempla en el artículo 24 del RGPD, así como en el artículo 28 de la LOPDGDD. Las obligaciones impuestas por el RGPD a los responsables del tratamiento de los datos se pone...

  • Evaluación de impacto relativa a la protección de datos (EIPD)

    Orden: Administrativo Fecha última revisión: 04/02/2019

    A fin de mejorar el cumplimiento del RGPD en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la r...

  • Obligaciones específicas de los encargados del tratamiento de datos de carácter personal en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 30/01/2019

    El RGPD impone de forma expresa determinadas obligaciones a los encargados del tratamiento de datos de carácter personal (arts. 32, 37 y 40 RGPD). Por su parte la LOPDGDD establece tambien una serie de obligaciones (art. 28, 31 y 34 LOPDGDD). Como...

  • Introducción a la protección de datos

    Orden: Administrativo Fecha última revisión: 07/02/2019

    El nuevo Reglamento General de Protección de Datos de la Unión Europea (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de d...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados