Cómo analizar los riesgos para cumplir con el RGPD
Todas las empresas (también las pequeñas) deben enfocar el cumplimiento de la privacidad desde el riesgo.
Se ha generado una pequeña confusión entre la obligación de hacer análisis de riegos y la obligación de hacer una evaluación de impacto.
Son dos conceptos diferentes: el análisis de riesgos será obligatorio en todo caso. La evaluación de impacto sólo será necesaria en determinados casos.
La Agencia Española de Protección de Datos acaba de publicar dos guías que forman parte del paquete de “ayuda” a los Responsables y Encargados de tratamiento, es decir a empresas, profesionales e instituciones (públicas o privadas) que realizan tratamiento de datos personales y deben cumplir con el Reglamento UE 2016/679 General de Protección de Datos (RGPD).
Las guías ayudan, aclaran algunos conceptos y pueden servir como herramientas metodológicas muy muy simples (al menos la de análisis de riesgos) para realizar el análisis de riesgos que en principio todo Responsable de tratamiento debería hacer en cumplimiento de dos principios acuñados por el RGPD: el de accountability o responsabilidad proactiva y el de privacidad desde el diseño y por defecto. Nos ofrece algunas pistas que nos pueden resultar útiles para abordar el cumplimiento del RGPD.
En efecto, el RGPD se refiere en diferentes artículos de su texto al riesgo, a la adopción de medidas de seguridad teniendo en cuenta el riesgo y en definitiva a un enfoque completamente distinto al que conocíamos hasta ahora. Enfoque en el que las exigencias de seguridad nos igualaban a todos “por arriba” sin tener en cuenta las circunstancias de una pyme o de una compleja multinacional.
Es evidente que hoy en día ninguna actividad se entiende sin la gestión de riesgos: económicos, patrimoniales, de negocio… La protección de datos no podía abstraerse a este escenario y exige que los responsables de tratamiento sean conscientes de lo que tienen entre manos para de esta forma actuar en uno u otro sentido.
Para gestionar riesgos (cualesquiera) hay que seguir tres pasos diferenciados:
- Identificar amenazas
- Evaluar los riesgos
- Tratar los riesgos
Digamos que este es el esquema básico de cualquier tratamiento de riesgo.
En materia de protección de Datos podríamos movernos en los dimensiones:
A) Los riesgos asociados a la protección de la información
B) Los riesgos asociados al cumplimiento de los requisitos regulatorios relacionados con los derechos y libertades de los interesados.
A) Riesgos asociados a la protección de la información
Todos los esquemas de seguridad de la información suelen identificar las amenazas en tres planos:
- La confidencialidad
- La integridad
- La disponibilidad
Es decir, pueden existir amenazas que afecten a la confidencialidad, a la integridad y a la disponibilidad independientemente o a la vez pero en definitiva habrá que adoptar aquellas medidas necesarias para garantizarlas.
Un simple ejemplo: una medida que garantiza confidencialidad será, por ejemplo, un acuerdo de confidencialidad que firma un trabajador pero también una política correcta de accesos.
La integridad se verá protegida con esa misma política de accesos y de roles en la organización para evitar que los datos sean alterados (imaginemos lo importante que puede ser que en un historial médico no se alteren por ejemplo los miligramos de un medicamento que se le está dispensando a un paciente de un hospital). Las medidas de seguridad que se adopten deberán garantizar el mínimo privilegio, el registro de los mismos y la trazabilidad de los accesos para que se deje constancia, en cada momento, de quién accede a qué.
La disponibilidad implica que el caso de un evento que implique una destrucción imaginemos de los datos, podamos garantizar que el negocio continúa (de ahí la importancia de las copias de seguridad) en el menor tiempo posible. En algunos negocios (cada vez menos) la copia semanal puede ser suficiente pero en la mayoría la copia diaria es imprescindible. También las pruebas periódicas de restauración son importantes no sea que descubramos que las copias de seguridad no se están haciendo correctamente…
Y para identificar esta amenazas tenemos que:
- Conocer el negocio: volviendo al ejemplo no es lo mismo un hospital que una pequeña clínica
- Conocer el sector
- Conocer las medidas de seguridad
Las amenazas serán esas situaciones, eventos o hechos que puedan afectar a esos tres parámetros y de ellas se derivará un riesgo (con una valoración en términos de probabilidad e impacto) que habrá que tratar. Ni más ni menos.
Son especialmente útiles en este sentido los estándares de seguridad de la información (Esquema Nacional de Seguridad, ISO 27001 y similares) que permiten analizar y abordar esta parte de los riesgos desde el rigor y la objetividad.
B) Existirán por otro lado, los riesgos asociados al cumplimiento de requisitos regulatorios relacionados con los derechos y libertades de los interesados.
La propia Agencia sugiere dos amenazas en este sentido:
- Procedimientos de satisfacción de derechos
- Garantías de los principios:
- Ausencia de legitimidad para el tratamiento de los datos personales
- Tratamiento ilícito de los datos personales
Pero estas dos amenazas se han de traducir en un haz de cuestiones que todo responsable de tratamiento debe analizar:
- Cómo se recogen los consentimientos
- Cuáles son las bases jurídicas del tratamiento
- Sus relaciones con terceros
- Cómo se informa
- Cómo se contesta a los derechos
- Cómo se garantizan los principios recogidos en el artículo 5 RGPD
- …
El análisis de riesgos puede ser tan simple o complejo como se quiera pero desde luego enfocado a un negocio concreto, a unas circunstancias concretas que cada asesor, auditor, responsable o DPO debe tener en cuenta.
Y ojo, que el análisis de riesgos puede ser una foto fija pero el tratamiento de los mismos no. Sólo en un proceso de comprobación, verificación y evaluación continua se conseguirá minimizar los riesgos y abordarlos de la forma más adecuada a cada organización.
Abogado
CDPP
9 de marzo de 2018