Como bien sabemos, con la puesta en marcha del nuevo Reglamento General de Protección de Datos se han incorporado nuevos cambios y se han incorporado novedades y obligaciones tanto para los Responsables como para los Encargados de Tratamiento y una de estas novedades es lo que denominamos Análisis de Riesgos, pero sabemos exactamente Qué es y En Qué consiste.
En este artículo voy a intentar explicar de forma clara qué es un análisis de Riesgos y cómo debemos realizarlo.
¿QUÉ ES UN RIESGO?
Lo primero que tenemos que saber es qué es un riesgo y lo podríamos definir como “Cualquier amenaza que afecte a los datos personales que tratamos y que, en un momento determinado, se pueda convertir en una brecha de seguridad”.
Tendremos que analizar dos factores importantes:
- La probabilidad de convertirse en una amenaza
- El impacto que puede provocar
QUÉ ES UN ANÁLISIS DE RIESGOS
Con los avances tecnológicos y la transformación digital que sufren los datos personales que tratamos a diario estamos expuestos a sufrir daños que pueden ser irreversibles y que pueden provocar pérdidas e importantes brechas de seguridad.
Por lo tanto, tal y como establece el Reglamento General de Protección de Datos, uno de los principales requerimientos es llevar a cabo un análisis de riesgos de la seguridad de la información que no es, ni más ni menos que crear una hoja de ruta en la que se analicen los diferentes riesgos que conlleva el tratamiento de datos que se gestionan estableciendo las correspondientes medidas de seguridad y los controles que garanticen la seguridad.
¿QUÉ CONTIENE ESTE ANÁLISIS DE RIESGOS?
Un Análisis de Riesgos consistirá en:
IDENTIFICAR LAS AMENAZAS – EVALUAR LOS RIESGOS – TRATAR LOS RIESGOS
Tendremos que analizar:
- La sede o sedes
- Haremos una valoración de los tratamientos (propios y de terceros): analizaremos el nivel de riesgo y el impacto de cada uno de los tratamientos de datos que gestionamos.
- Analizaremos cada uno de los activos:
- Instalaciones/recintos
- Personas/Usuarios
- Equipos (hardware)
- Aplicaciones (Software)
- Datos/información
- Soportes Digitales
- Documentación en formato papel
- Comunicaciones (Router ADSL, Fibra…)
- Equipamiento auxiliar (impresoras, escáner…)
- Cámaras
- Servicios Cloud
- ….
- Analizaremos el riesgo que conlleva.
- Veremos qué medidas de seguridad tenemos que implantar.
Con toda esta documentación generaremos el correspondiente Informe de análisis de Riesgos y el Informe de las Medidas de Seguridad que vamos a establecer y ambos anexos los tendremos a disposición de quien nos los solicite.
¿QUIÉN DEBE REALIZAR EL ANÁLISIS DE RIESGOS?
En aquellas empresas que cuentan con la figura del DPO, éste será quien se encargará de realizar dicho análisis y en las que no cuentan con esta figura, tendrán que designar un encargado.
No obstante, hay que tener claro que esta actividad no se realiza por una sola persona ya que tendrá que estar coordinada con el resto del equipo de personas con acceso a datos personales dentro de la entidad.
Un análisis de riesgos realizado incorrectamente puede ocasionar graves problemas dentro de la entidad puesto que las medidas de seguridad implantadas no corresponderán con la realidad y como resultado nos podemos encontrar con brechas de seguridad.
No olvidemos que para cumplir con el Principio de Responsabilidad Proactiva y poder demostrar nuestro cumplimiento en materia de Protección de datos este análisis será uno de los anexos que nos podrán solicitar.
¿DÓNDE ESTÁ REGULADO?
Si queremos saber si hay un artículo expreso sobre Análisis de Riesgos os diré que ni el RGPD ni la LOPDGDD tiene un artículo centrado exclusivamente en el Análisis de Riesgos pero sí lo podemos encontrar incluido dentro de varios artículos:
- Apartado 1 del artículo 25 del RGPD:
“Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados”.
- Apartado 2 del artículo 25 del RGPD:
“El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento”.
- Apartado 2 del artículo 32 del RGPD:
“Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”
No OLVIDEMOS QUE UN CORRECTO ANÁLISIS DE RIESGOS NOS AYUDARÁ A ESTABLECER LAS MEDIDAS DE SEGURIDAD CORRECTORAS PARA EVITAR BRECHAS DE SEGURIDAD Y PÉRDIDAS DE INFORMACIÓN Y, A SU VEZ, NOS EVITARÁ SANCIOPNES INNECESARIAS Y SERÁ NECESARIO PARA EL CUMPLIMIENTO DEL PRINCIPIO DE RESPONSABILIDAD PROACTIVA.
La AEPD pone a nuestra disposición una guía práctica para hacer este análisis de riesgos:
https://www.aepd.es/media/guias/guia-analisis-de-riesgos-rgpd.pdf
CONTRATA AHORA TU PROTECCION DE DATOS Y TE AYUDARMOS A CUMPLIR CORRECTAMENTE CON LA NORMATIVA, EVITÁNDOTE SANCIONES INNECESARIAS.
PORQUE PARA ALTABIR LA TRANQUILIDAD DE NUESTROS CLIENTES ES LO PRIMERO
Artículo publicado por Elisa Campoy Soler
Consultora Experta y Delegada de Protección de Datos en Grupo Altabir
Quizás te puede interesar
https://www.altabir.es/registro-actividades-tratamiento-datos/