Guía práctica de análisis de riesgos.

Martes, 24 Abril 2018 08:18
Publicado en Blog
Escrito por  Visto 2095 veces
Valora este artículo
(4 votos)
Guía práctica de análisis de riesgos. .

Continuando con el estudio de las guías que, con el fin de ayudar a las entidades públicas y privadas a adaptarse al nuevo Reglamento Europeo de protección de datos (en adelante, RGPD), ha ido publicando la Agencia Española de Protección de Datos (en adelante, AEPD), en el presente artículo abordaremos el estudio de la Guía Práctica de Análisis de Riesgos (en adelante, la Guía).

La plena exigibilidad del RGPD, a partir del próximo 25 de mayo de 2018, hará que responsables y encargados de tratamiento estén obligados a cumplir con todos aquellos requerimientos que esta normativa recoge, entre ellos la necesidad de llevar a cabo un análisis de riesgos. En aras de poder ofrecer las directrices y orientaciones necesarias que permitan cumplir con esta necesidad, publicó, el pasado 28 de febrero la AEPD la guía que ahora analizamos.

Hemos de partir de la base de que todo tratamiento de datos de carácter personal nace expuesto a determinados riesgos con impacto en la protección de datos. Así, el análisis de riesgos es una herramienta que permite realizar una valoración objetiva de los mismos, y las posibles medidas de seguridad y control que podemos aplicar para mitigar los riesgos resultantes y, en consecuencia, garantizar los derechos y libertades de los interesados.

Tal y como refleja la Guía, la gestión de los riesgos es un procedimiento implementado desde hace tiempo y con eficacia demostrada a la hora de identificar y mitigar los daños o riesgos a los que las entidades están expuestas. Sin embargo, el RGPD otorga un nuevo enfoque a esta gestión, centrando la atención en los riesgos que puede suponer una actividad de tratamiento y hasta qué punto la misma, por sus características y el tipo de datos a los que se refiere, puede tener un impacto negativo en los derechos y libertades de los interesados.

La Guía divide este proceso de gestión de riesgos en tres etapas:

1. Identificar las amenazas y los riesgos inherentes a cada actividad de tratamiento.

2. Evaluar los riesgos considerando todos los posibles escenarios en los cuales los mismos podrían hacerse efectivos y valorar el impacto de la exposición a la amenaza causante de dichos riesgos, junto con la probabilidad de que se materialicen.

3. Tratar los riesgos para disminuir su nivel de exposición mediante la aplicación de medidas de control que permitan reducir la probabilidad de que el riesgo se materialice.

El RGPD, consciente de que la exposición a los riesgos con impacto en la protección de datos se produce desde el inicio o puesta en marcha de los tratamientos y de que esta exposición va evolucionando en función de las variaciones del contexto y de factores o elementos que intervienen en las mismas, introduce el concepto de la “protección de datos desde el diseño y por defecto”, como ya analizamos en su momento en anteriores publicaciones (ver artículo)

Este nuevo concepto, supone que, desde la fase inicial de planificación de un proyecto con repercusión en los derechos y libertades de los interesados, deberá evaluarse el impacto de las operaciones de tratamiento. Todo ello en aras de aplicar las medidas de seguridad más adecuadas al riesgo, en atención a factores como el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, que garanticen el cumplimiento de los principios de protección de los datos.

Asimismo, la Guía dedica dos apartados dedicados al Registro de Actividades de Tratamiento y a la Evaluación de impacto (en adelante EIPD). El primero de ellos, como una fase previa necesaria para llevar a cabo el análisis de riesgos y el segundo, la EIPD, presentada como el siguiente paso a dar, en ocasiones, tras el resultado del análisis de riesgo. Tal como establece la guía, no deberemos olvidar, que la EIPD no se requiere siempre, sino que se debe valorar la necesidad de llevar a cabo la misma en atención a los resultados obtenidos.

Por último, la Guía introduce un anexo con plantillas que las entidades podrán utilizar para poner en práctica las diferentes fases de la gestión de riesgos y que puede resultar ventajoso para afrontar esta necesidad de llevar a cabo un análisis de riesgos.

Marta Castrillo de la Fuente

Abogada TIC – Consultora Protección de Datos

PRODAT en Castilla y León

Inicia sesión para enviar comentarios

Modificado por última vez en Viernes, 18 Mayo 2018 14:51

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal