Tipos de riesgos relacionados con la seguridad de los datos en el Reglamento Europeo de Protección de Datos (RGPD) y en la LO 3/2018 (LOPDGDD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 20/07/2021

A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el RGPD, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos (como la seudonimización y el cifrado). Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales, como la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales.

Tipos de riesgos relacionados con la seguridad de los datos Identificación de las amenazas que puedan afectar a los datos de los interesados

Una vez elaborado el conjunto de informes de ciclo de vida que sean necesarios, se ha de realizar la identificación de las amenazas que puedan afectar a la privacidad de los interesados y que vayan ligadas a las operaciones de tratamiento realizadas. Este procedimiento debe seguir el esquema de acciones de identificación, evaluación y tratamiento, que no puede confundirse con la propia EIPD, aunque pueda tratarse de una introducción a esta.

Es evidente que, para realizar este procedimiento de modo correcto, es imprescindible tener un profundo conocimiento del funcionamiento de la entidad responsable y del contexto en el que se enmarca. Con esto, debemos incluir el personal que trabaja o colabora con la empresa, la dirección de la misma y los objetivos comerciales presentes y futuros que se pretenden obtener.

De acuerdo con el esquema anterior, el procedimiento de identificación y posterior tratamiento (la gestión del riesgo) debe ir aparejada a una constante comunicación con los componentes de la entidad responsable. Esto obedece a la exigencia de un conocimiento profundo de la misma, pues si no fluye la información entre el encargado de realizar la confección del programa y el resto de la empresa, no se identificarán correctamente todas las amenazas posibles.

En efecto, una vez identificada la operación de tratamiento concreta, materializada en el registro de actividades de tratamiento y en el informe del ciclo de vida de los datos, únicamente resta por identificar el conjunto de amenazas a las que puede estar sometido el tratamiento.

Concepto de amenaza en la protección de datos y tipología

Como se recoge en la Guía práctica para las evaluaciones de impacto en la protección de los datos sujetas al RGPD de la AEPD, amenaza se define como cualquier factor de riesgo con potencial para provocar un daño o perjuicio a los interesados sobre cuyos datos de carácter personal se realiza un tratamiento, y pueden ser de diferentes formas:

  • Desastres naturales: fuego, agua, desastres ambientales...
  • Errores y fallos: destrucción no intencionada, programación inadecuada de un proceso de perfilado, fuga de información...
  • Ataques intencionados: hacking, phishing, malware, robo...
  • Incumplimiento normativo: incumplimiento del periodo de retención, ausencia de base legitimadora del tratamiento...

Si la amenaza la enfocamos desde la materia en protección de datos, se puede categorizar en 3 tipos en base a la tipología de daño que pueden producir en los datos:

  • Confidencialidad: acceso ilegítimo a los datos. Ejemplos: fuga de información, uso ilegítimo de datos, pérdida de dispositivos móviles, acceso por personal no autorizado, etc.
  • Integridad: modificación no autorizada de los datos. Ejemplos: errores en los procesos de recopilación y captura de datos, modificación no autorizada de datos de forma intencionada, suplantación de identidad, etc.
  • Disponibilidad: eliminación de los datos. Ejemplos: error o ataque intencionado que provoque el borrado o pérdida de datos, desastres naturales, cortes en el suministro eléctrico o en los servicios de comunicación, etc.

CUESTIÓN 

¿Cómo identificamos la amenaza?

Para identificar la amenaza asociada a la actividad de tratamiento debe tenerse en cuenta todo el ciclo de vida de los datos en cada operación, desde su inicio hasta el momento en el que finaliza. 

Como indica la AEPD, en su Guía práctica para las evaluaciones de impacto en la protección de los datos sujetas al RGPD, identificar una amenaza consiste en identificar la fuente de los escenarios en los que se puede producir un daño o una violación de los derechos y libertades de los interesados.

Riesgos asociados al tratamiento de datos

Las amenazas y los riesgos asociados están directamente relacionados, en consecuencia, identificar y evaluar los riesgos siempre implica considerar la amenaza que los puede originar. Véase: la pérdida de un dispositivo móvil (amenaza) podría derivar en un acceso a los datos por parte de personal no autorizado y por tanto se produciría una vulneración de los derechos y libertades de los interesados (riesgo), lo que podría derivar en un posible daño moral, físico o material sobre el interesado (impacto).

En consecuencia, como se recoge en la Guía Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD de la AEPD, es muy importante asegurar una correcta identificación de las amenazas a las que está expuesta una actividad de tratamiento teniendo en cuenta que entre los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas se pueden diferenciar dos dimensiones:

1. Riesgos asociados a la protección de la información con foco en la integridad, disponibilidad y confidencialidad de los datos, como puede ser el acceso ilegítimo a los datos o la pérdida de datos. 

2. Riesgos asociados al cumplimiento de los requisitos legales relacionados con los derechos y libertades de los interesados, como es el uso ilegítimo de datos personales o la posibilidad de que el responsable no pueda atender el ejercicio de los derechos que el RGPD reconoce al titular de los datos porque la organización no tiene correctamente implementados y operativos los procedimientos correspondientes.

CUESTIÓN

¿Qué riesgos potenciales podrían surgir en el registro y almacenamiento de una lista de asistentes a un curso de formación en una aplicación sin elevado riesgo para los derechos y libertades de los interesados?

Los principales riesgos potenciales identificados son:

- Protección de la información:

• Integridad de los datos personales: modificación o alteración de datos personales no intencionada.

• Disponibilidad de los datos personales: pérdida o borrado no intencionado de datos personales.

• Confidencialidad de los datos personales: acceso no autorizado a los datos personales.

- Riesgos asociados al cumplimiento:

• Garantizar el ejercicio de los derechos de los interesados: ausencia de procedimientos para el ejercicio de derechos.

• Garantizar los principios relativos al tratamiento: ausencia de legitimidad para el tratamiento de los datos personales y tratamiento ilícito de datos personales.

En base a lo anterior, la asignación de medidas de seguridad podría ser:

TIPOLOGÍA DE RIESGO

RIESGO CONCRETOMEDIDAS DE SEGURIDAD
Integridad de los datos personalesModificación o alteración de los datos no intencionada
  • Segregación de funciones mediante perfiles de acceso.
  • Control de monitorización de amenazas.
Disponibilidad de los datos personalesPérdida no intencionada de los datos
  • Copias de seguridad.
  • Almacenamiento en ubicaciones alternativas.
ConfidencialidadAcceso no autorizado
  • Control de acceso.
  • Asignación de usuarios en red.
Garantía de derechos ARSO

Inexistencia de procedimientos para el ejercicio de derechos

Procedimiento concreto y canales adecuados.
Garantía de principios rectores de protección de datos
  • Inexistencia de legitimidad.
  • Tratamiento ilícito.
  • Cláusula informativa y asignación de base de legitimación.
  • Monitorización.

Fuente: ejemplo recogido en la Guía Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD de la AEPD. 

 

 

 

 

 

No hay versiones para este comentario

Amenazas
Datos personales
Seguridad de los datos personales
Daños y perjuicios
Protección de datos
Tratamiento de datos personales
Anonimización de datos
Ciclo de vida de los datos
Estado de la técnica
Actividades de tratamiento de datos
Evaluación de impacto en protección de datos
Registro de las actividades de tratamiento
Phising
Robo de contraseñas
Suministro de electricidad
Supresión de datos personales
Suplantación de identidad
Análisis de riesgo
Acceso a datos personales
Daños morales
Persona física
Curso de formación
Medidas de seguridad
Documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros y cursos relacionados