Tipos de riesgos relacionados con la seguridad de los datos en el Reglamento Europeo de Protección de Datos (RGPD) y en la LO 3/2018 (LOPDGDD)
- Estado: Redacción actual VIGENTE
- Orden: Administrativo
- Fecha última revisión: 20/07/2021
A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el RGPD, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos (como la seudonimización y el cifrado). Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales, como la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales.
Una vez elaborado el conjunto de informes de ciclo de vida que sean necesarios, se ha de realizar la identificación de las amenazas que puedan afectar a la privacidad de los interesados y que vayan ligadas a las operaciones de tratamiento realizadas. Este procedimiento debe seguir el esquema de acciones de identificación, evaluación y tratamiento, que no puede confundirse con la propia EIPD, aunque pueda tratarse de una introducción a esta.
Es evidente que, para realizar este procedimiento de modo correcto, es imprescindible tener un profundo conocimiento del funcionamiento de la entidad responsable y del contexto en el que se enmarca. Con esto, debemos incluir el personal que trabaja o colabora con la empresa, la dirección de la misma y los objetivos comerciales presentes y futuros que se pretenden obtener.
De acuerdo con el esquema anterior, el procedimiento de identificación y posterior tratamiento (la gestión del riesgo) debe ir aparejada a una constante comunicación con los componentes de la entidad responsable. Esto obedece a la exigencia de un conocimiento profundo de la misma, pues si no fluye la información entre el encargado de realizar la confección del programa y el resto de la empresa, no se identificarán correctamente todas las amenazas posibles.
En efecto, una vez identificada la operación de tratamiento concreta, materializada en el registro de actividades de tratamiento y en el informe del ciclo de vida de los datos, únicamente resta por identificar el conjunto de amenazas a las que puede estar sometido el tratamiento.
Concepto de amenaza en la protección de datos y tipologíaComo se recoge en la Guía práctica para las evaluaciones de impacto en la protección de los datos sujetas al RGPD de la AEPD, amenaza se define como cualquier factor de riesgo con potencial para provocar un daño o perjuicio a los interesados sobre cuyos datos de carácter personal se realiza un tratamiento, y pueden ser de diferentes formas:
- Desastres naturales: fuego, agua, desastres ambientales...
- Errores y fallos: destrucción no intencionada, programación inadecuada de un proceso de perfilado, fuga de información...
- Ataques intencionados: hacking, phishing, malware, robo...
- Incumplimiento normativo: incumplimiento del periodo de retención, ausencia de base legitimadora del tratamiento...
Si la amenaza la enfocamos desde la materia en protección de datos, se puede categorizar en 3 tipos en base a la tipología de daño que pueden producir en los datos:
- Confidencialidad: acceso ilegítimo a los datos. Ejemplos: fuga de información, uso ilegítimo de datos, pérdida de dispositivos móviles, acceso por personal no autorizado, etc.
- Integridad: modificación no autorizada de los datos. Ejemplos: errores en los procesos de recopilación y captura de datos, modificación no autorizada de datos de forma intencionada, suplantación de identidad, etc.
- Disponibilidad: eliminación de los datos. Ejemplos: error o ataque intencionado que provoque el borrado o pérdida de datos, desastres naturales, cortes en el suministro eléctrico o en los servicios de comunicación, etc.
CUESTIÓN
¿Cómo identificamos la amenaza?
Para identificar la amenaza asociada a la actividad de tratamiento debe tenerse en cuenta todo el ciclo de vida de los datos en cada operación, desde su inicio hasta el momento en el que finaliza.
Como indica la AEPD, en su Guía práctica para las evaluaciones de impacto en la protección de los datos sujetas al RGPD, identificar una amenaza consiste en identificar la fuente de los escenarios en los que se puede producir un daño o una violación de los derechos y libertades de los interesados.
Riesgos asociados al tratamiento de datosLas amenazas y los riesgos asociados están directamente relacionados, en consecuencia, identificar y evaluar los riesgos siempre implica considerar la amenaza que los puede originar. Véase: la pérdida de un dispositivo móvil (amenaza) podría derivar en un acceso a los datos por parte de personal no autorizado y por tanto se produciría una vulneración de los derechos y libertades de los interesados (riesgo), lo que podría derivar en un posible daño moral, físico o material sobre el interesado (impacto).
En consecuencia, como se recoge en la Guía Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD de la AEPD, es muy importante asegurar una correcta identificación de las amenazas a las que está expuesta una actividad de tratamiento teniendo en cuenta que entre los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas se pueden diferenciar dos dimensiones:
1. Riesgos asociados a la protección de la información con foco en la integridad, disponibilidad y confidencialidad de los datos, como puede ser el acceso ilegítimo a los datos o la pérdida de datos.
2. Riesgos asociados al cumplimiento de los requisitos legales relacionados con los derechos y libertades de los interesados, como es el uso ilegítimo de datos personales o la posibilidad de que el responsable no pueda atender el ejercicio de los derechos que el RGPD reconoce al titular de los datos porque la organización no tiene correctamente implementados y operativos los procedimientos correspondientes.
CUESTIÓN
¿Qué riesgos potenciales podrían surgir en el registro y almacenamiento de una lista de asistentes a un curso de formación en una aplicación sin elevado riesgo para los derechos y libertades de los interesados?
Los principales riesgos potenciales identificados son:
- Protección de la información:
• Integridad de los datos personales: modificación o alteración de datos personales no intencionada.
• Disponibilidad de los datos personales: pérdida o borrado no intencionado de datos personales.
• Confidencialidad de los datos personales: acceso no autorizado a los datos personales.
- Riesgos asociados al cumplimiento:
• Garantizar el ejercicio de los derechos de los interesados: ausencia de procedimientos para el ejercicio de derechos.
• Garantizar los principios relativos al tratamiento: ausencia de legitimidad para el tratamiento de los datos personales y tratamiento ilícito de datos personales.
En base a lo anterior, la asignación de medidas de seguridad podría ser:
TIPOLOGÍA DE RIESGO | RIESGO CONCRETO | MEDIDAS DE SEGURIDAD |
Integridad de los datos personales | Modificación o alteración de los datos no intencionada |
|
Disponibilidad de los datos personales | Pérdida no intencionada de los datos |
|
Confidencialidad | Acceso no autorizado |
|
Garantía de derechos ARSO | Inexistencia de procedimientos para el ejercicio de derechos | Procedimiento concreto y canales adecuados. |
Garantía de principios rectores de protección de datos |
|
|
Fuente: ejemplo recogido en la Guía Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD de la AEPD.
No hay versiones para este comentario
- Generalidades
- Procedimiento Administrativo
- Revisión de actos en vía administrativa
- Revisión judicial del acto administrativo: Derecho Procesal Contencioso-Administrativo
- Contratos del Sector Público
- Bienes de las administraciones públicas
- Expropiación forzosa
- Ordenación del territorio, Urbanismo y Vivienda
- Derecho ambiental
- Derecho local
- Derecho de extranjería
- Tráfico, seguridad vial y transportes
- Protección de datos
- Protección de datos para abogados y procuradores
- Protección de datos para comunidades de propietarios
- Protección de datos en redes sociales
- Constitución Española
- Estudio de la responsabilidad de las Administraciones Públicas
Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE
Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo
-
Sentencia Civil Nº 140/2015, AP - Asturias, Sec. 5, Rec 160/2015, 20-05-2015
Orden: Civil Fecha: 20/05/2015 Tribunal: Ap - Asturias Ponente: Casero Alonso, Jose Luis Num. Sentencia: 140/2015 Num. Recurso: 160/2015
-
Sentencia Supranacional Nº C-245/20, TJUE, 24-03-2022
Orden: Supranacional Fecha: 24/03/2022 Tribunal: Tribunal De Justicia De La Union Europea Num. Sentencia: C-245/20
-
Sentencia Civil Nº 163/2015, AP - Asturias, Sec. 5, Rec 176/2015, 08-06-2015
Orden: Civil Fecha: 08/06/2015 Tribunal: Ap - Asturias Ponente: Casero Alonso, Jose Luis Num. Sentencia: 163/2015 Num. Recurso: 176/2015
-
Sentencia Supranacional Nº C-40/17, TJUE, 29-07-2019
Orden: Supranacional Fecha: 29/07/2019 Tribunal: Tribunal De Justicia De La Union Europea Num. Sentencia: C-40/17
-
Sentencia Supranacional Nº C-175/20, TJUE, 24-02-2022
Orden: Supranacional Fecha: 24/02/2022 Tribunal: Tribunal De Justicia De La Union Europea Num. Sentencia: C-175/20
-
Obligaciones en materia de protección de datos en las relaciones laborales
Orden: Laboral Fecha última revisión: 21/05/2021
Dentro de las obligaciones que el RGPD fijan en materia de proteción de datos personales para la empresa encontramos el Registro de actividades de tratamiento (RAT), el Análisis de riesgos y una evaluación de impacto (EIPD).Registro de activi...
-
Contenido y metodología de la Evaluación de impacto según el RGPD
Orden: Administrativo Fecha última revisión: 20/07/2021
A la hora de realizar una EIPD, se debe disponer de una metodología que considere los requerimientos exigidos por el RGPD que a grosso modo establece que deberá incluir como mínimo:Una descripción sistemática de la actividad de tratamiento previ...
-
Medidas de seguridad o de salvaguarda de la información en el RGPD y en la LOPDGDD
Orden: Administrativo Fecha última revisión: 20/07/2021
El RGPD instaura un sistema de protección de datos basado en la responsabilidad proactiva. En este sentido, determina que serán los responsables y encargados los que deberán establecer las medidas técnicas y organizativas apropiadas para garantiz...
-
Gestión de riesgos y EIPD en un despacho de abogados o procuradores
Orden: Administrativo Fecha última revisión: 11/02/2022
El artículo 32 del RGPD indica que el responsable o encargado del tratamiento aplicará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo y teniendo en cuenta:El estado de la técnica.Los costes ...
-
Análisis de riesgos aplicados a la privacidad y a la protección de datos en el RGPD y en la LOPDGDD
Orden: Administrativo Fecha última revisión: 20/07/2021
Desde la entrada en vigor del RGPD es obligatorio el cumplimiento de los requerimientos y obligaciones para el responsable y el encargado de tratamiento que este incluye, entre las que destaca la necesidad de llevar a cabo un análisis de riesgos con...
-
Contrato de encargo de tratamiento entre responsable y encargado. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 01/06/2022
CONTRATO DE ENCARGADO/A DE TRATAMIENTO En [LOCALIDAD], a [DIA] de [MES] de [ANIO] REUNIDOS De una parte, D./Dña. [NOMBRE], mayor de edad, con NIF n.º [NÚMERO] y domicilio en [DIRECCIÓN].Y de otra, D./Dña. [NOMBRE], mayor de edad, con con ...
-
Contrato de encargo de tratamiento entre encargado y subencargado. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 31/05/2022
CONTRATO ENTRE ENCARGADO DEL TRATAMIENTO Y SUBENCARGADO DEL TRATAMIENTOEn [LOCALIDAD], a [DIA] de [MES] de [ANIO] REUNIDOS De una parte, D./Dña. [NOMBRE], mayor de edad, con NIF n.º [NÚMERO] y domicilio en [DIRECCIÓN].Y de otra, D./Dña. [...
-
Informe final sobre riesgos existentes y ausencia de necesidad de realización de Evaluación de impacto (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 01/06/2022
INFORME FINAL SOBRE RIESGOS EXISTENTES Y AUSENCIA DE NECESIDAD DE REALIZACIÓN DE EIPD (EVALUACIÓN DE IMPACTO) Att. D./Dña. [NOMBRE][NOMBRE_EMPRESA][DIRECCIÓN] En [LUGAR], a [FECHA]. Muy señor/a mío/a:De conformidad con lo dispuesto en el ...
-
Contrato de encargo de tratamiento entre responsable y encargado. Videovigilancia. (Adaptado LOPD-GDD y RGPD)
Fecha última revisión: 13/02/2019
CONTRATO DE ENCARGO DE TRATAMIENTODe una parte, EL CLIENTE O RESPONSABLE DEL FICHERO, Don/Doña [NOMBRE] con D.N.I. número [NIF], en nombre y representación de la mercantil [NOMBRE_EMPRESA] con C.I.F. número [CIF] y domicilio social en [DOMICILIO]...
-
Formulario de contrato de prestación de servicios como encargado de tratamiento en ámbito médico (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 01/06/2022
CONTRATO DE PRESTACIÓN DE SERVICIOS COMO ENCARGADO DE TRATAMIENTO EN EL ÁMBITO MÉDICO En [LOCALIDAD], a [DIA] de [MES] de [ANIO] REUNIDOS De una parte, D./Dña. [NOMBRE], mayor de edad, con NIF n.º [NÚMERO] y domicilio en [DIRECCIÓN].Y ...
-
Caso práctico: Cancelación de historia clínica con motivo de reasignación de género
Fecha última revisión: 07/06/2022
-
ADAPTACIÓN DE UN CLUB O ASOCIACIÓN DEPORTIVA A LA NORMATIVA DE PROTECCIÓN DE DATOS
Fecha última revisión: 04/07/2019
-
Caso práctico: Retirada de contenidos de internet relacionados con violencia de género o menores
Fecha última revisión: 07/06/2022
-
Caso práctico: Instalación de cámaras de vigilancia en un edificio
Fecha última revisión: 01/06/2022
-
Caso práctico: ¿Cómo puedo eliminar mis fotos y vídeos de internet?
Fecha última revisión: 07/06/2022
PLANTEAMIENTOSe plantea la posibilidad de cancelar la historia clínica de una persona que se ha sometido a una reasignación de género en lo referente a tratamiento psicológico, hormonal y quirúrgico.RESPUESTANo es posible proceder a la cancelac...
Debemos partir de la base de que un club o asociación deportiva generalmente dispone de datos de carácter personal, tanto datos de socios, como de deportistas, directivos del club e incluso, si es el caso, de datos de empleados.Además, en funció...
PLANTEAMIENTOSe plantea cómo retirar imágenes relacionadas con un episodio de violencia de género cuya difusión en redes sociales no ha sido autorizada.RESPUESTALa imagen es un dato personal [artículo 4, punto 14, del Reglamento (UE) 2016/679 ...
PLANTEAMIENTOPara instalar cámaras de seguridad en un edificio, ¿qué legislación hay que seguir?RESPUESTALa normativa aplicable a la instalación de cámaras de seguridad es variada: por un lado, es de aplicación la existente en relación con la...
PLANTEAMIENTOUna persona cuya imagen, en fotografías y vídeos, ha sido difundida sin su consentimiento en distintas redes sociales nos pregunta qué puede hacer para eliminarla.RESPUESTALa imagen es un dato personal [artículo 4, punto 14, del Reg...
-
Resolución de ICAC, 120/diciembre 2020, 01-12-2020
Órgano: Instituto Contable Y Auditoria De Cuentas Fecha: 01/12/2020 Núm. Resolución: 120/diciembre 2020
-
Resolución de 24 de enero de 2013, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la negativa del registrador de la propiedad de Motril n.º 2 a expedir determinadas notas simples informativas.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 24/01/2013
-
Resolución de 28 de abril de 2014, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación del registrador de la propiedad de Burgos n.º 4 por la que se deniega la expedición de una certificación registral.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 28/04/2014
-
Resolución de 1 de agosto de 2018, de la Dirección General de los Registros y del Notariado, por la que se aprueba el modelo de cláusula general voluntaria relativa al tratamiento de datos de carácter personal, de conformidad con lo establecido en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 01/08/2018
-
Resolución de 11 de diciembre de 2017, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación del registrador de la propiedad accidental de Madrid n.º 5, por la que se deniega la expedición de la certificación.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 03/01/2018