Análisis de riesgo LOPD

Análisis de riesgo LOPD

 

Una vez que tenemos claro el tratamiento de datos que nuestro negocio va a necesitar para estar en funcionamiento, vas a realizar un informe de los riesgos que puede suponer para los datos este tratamiento.

 

QUÉ ES EL ANÁLISIS DE RIESGO Y CUÁNDO HAY QUE REALIZARLO

Esta es una novedad introducida por el RGPD, y es el estudio previo de las posibles amenazas relacionadas con la protección y la seguridad de los datos. El objetivo es prever los riesgos relacionados e implementar medidas y estrategias desde el inicio del tratamiento con el objetivo de mitigar las probabilidades de estos riesgos.

Siempre que vayamos a tratar datos personales, tenemos que hacer previamente este análisis de riesgo para saber las medidas de seguridad que vamos a tener que adoptar. Y para saber si se tratan datos es tan sencillo como responder a estas preguntas:

  • ¿Se recaban datos de carácter personal?
  • ¿Estos datos se comunican a terceros?
  • ¿Se usa tecnología invasiva para la privacidad en el tratamiento?
  • ¿Se tratan datos considerados especialmente protegidos?
  • ¿Los datos que han sido recabados se van a utilizar de forma masiva para acciones de marketing?

El análisis de riesgos no está definido de forma expresa en el RGPD por medio de algún apartado que lleve su nombre. Sin embargo, se encuentra establecido de manera implícita en el artículo 25  denominado “Protección de datos desde el diseño y por defecto” 

 

  • Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados. 
  • El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento”

 

Y en el art. 32 RGPD se establece:

“Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”

 

En definitiva, vamos a crear un sistema de trabajo y a adoptar unas medidas de seguridad que reduzcan el riesgo a que los datos que vamos a tratar puedan perderse, ser alterados o robados.

 

CÓMO HACER UN ANÁLISIS DE RIESGO

Se trata de conocer todo aquello relacionado con el tratamiento de los datos, es decir:

  • cómo se van a recabar
  • para qué se van a recabar
  • con qué finalidad
  • personas con acceso a la información

Ya conoceremos todos estos datos porque previamente hemos hecho el registro de tratamiento de datos.

Es simplemente hacernos unas series de preguntas para saber realmente qué riesgo de pérdida, robo, etc, van a correr esos datos. Y lo vamos a dejar detallado por escrito para poder demostrar que realmente lo hemos hecho. Es decir, tenemos que tener siempre documentado el proceso para poder probarlo en caso de inspección.

La realización de un Análisis de Riesgos no tiene por qué eliminar completamente los riesgos sobre la privacidad de los afectados. Sino reducirlos a un nivel aceptable que permita para la organización la implementación del producto, servicio o tratamiento de datos personales. Eliminar los riesgos al 100% es prácticamente imposible, porque siempre hay nuevas situaciones que puedan darse.

Los riesgos que pueden darse son:

  • Acceso ilegítimo a los datos, que puede ocasionar el riesgo de la confidencialidad
  • Modificación no autorizada de los datos, que ocasionará el riesgo de la integridad de los datos
  • Eliminación de los datos, lo que supondría que ya no estarían disponibles.

 

 

No te preocupes que con la plantilla vas a ver claro a qué me estoy refiriendo.

 

CÓMO RELLENAR LA PLANTILLA

El análisis de riesgo lo tienes en la plantilla en el punto 2: ANÁLISIS DE RIESGO Y EVALUACIÓN DE IMPACTO.

Se trata de ir respondiendo a las preguntas que te aparecen ahí, y que en parte están ya respondidas, solo tienes que adaptarlas a tu negocio.

Te las explico una a una:

  • ¿Se van a tratar datos personales? Evidentemente sí, sino no tendrías que cumplir con la LOPD.

 

  • ¿La recogida de los datos tiene como finalidad el tratamiento a gran escala? Va a depender del número de visitas mensuales, suscriptores y clientes. ¿En qué rango están? De 0 a 10.000, de 10.000 a 100.000,… especifícalo.

 

  • Las categorías de datos tratados: marca con una X qué tipo de datos vas a tratar.

 

  • La duración del tratamiento – Como los suscriptores estarán el tiempo que deseen no sabrás el tiempo exacto, por lo que se marca todo y se especifica abajo. Indica también cada cuántos meses eliminas a los suscriptores que no abren tus newsletter.

 

  • La extensión geográfica del tratamiento – Los visitantes de la web pueden ser de cualquier país, pero indica también a qué países vendes.

 

  • ¿La recogida de los datos tiene como finalidad la monitorización o evaluación sistemática y exhaustiva de aspectos personales? – tratamiento para monitorizar, observar y/o controlar a los interesados, a través del cual, se pueden determinar hábitos, comportamientos, preferencias, gustos, intereses, etc. De personas identificadas o identificables. Por ejemplo, uso de registro de actividad sobre clientes para detectar patrones de usuarios susceptibles de contratar un producto, perfiles comerciales, scoring, etc.

 

  • ¿La recogida de los datos tiene como finalidad el tratamiento de datos especialmente protegidos? – Indicar si se tratan datos de salud, de ideología política, de menores,…. en este caso se habrán de adoptar medidas de seguridad mayores.

 

  • ¿El tratamiento implica un contacto con los interesados de manera que, dicho contacto, pueda resultar intrusivo o se prevé el uso de tecnologías que se pueden percibir como especialmente intrusivas en la privacidad? – Por ejemplo, las llamadas telefónicas podrían considerarse intrusivas y la vigilancia electrónica, la minería de datos, la biometría, las técnicas genéticas o la geolocalización.

 

  • ¿Se van a usar específicamente datos de personas con discapacidad o cualquier otro colectivo en situación de especial vulnerabilidad? – En este caso se tendrán que adoptar también medidas de seguridad mayores.

 

  • ¿Se van a tratar datos personales para elaborar perfiles, categorizar/segmentar, hacer ratings/scoring o para la toma de decisiones? – Por ejemplo, la segmentación de clientes en base a sus datos personales con el objetivo de realizar comunicaciones comerciales. La segmentación no se considera de alto riesgo.

 

  • ¿El tratamiento de los datos implica una toma de decisiones automatizada sin que haya ninguna persona que intervenga en la decisión o valore los resultados? Por ejemplo, autorizar o denegar un tipo de producto a un cliente mediante un algoritmo automatizado sin que ningún gestor valore el resultado para confirmar las decisiones

 

  • ¿Se enriquece la información de los interesados mediante la recogida de nuevas categorías de datos o se usan las existentes con nuevas finalidades que antes no se contemplaban, en particular, si estas finalidades son más intrusivas o inesperadas para los afectados, o incluso pueda llegar a bloquear el disfrute de algún servicio? Por ejemplo, usar la información contenida en ficheros externos de morosos como ASNEF

 

  • ¿El tratamiento implica que un elevado número de personas tenga acceso a los datos personales tratados? – Específica a grandes rasgos quién tendrá acceso

 

  • ¿Se van a tratar datos relativos a la observación de zonas de acceso público? – Si vas a tomar datos de listas públicas para tu tratamiento.

 

  • ¿Se prevé el uso de tecnologías que se pueden percibir como inmaduras, de reciente creación o salida al mercado, cuyo alcance no puede ser previsto por el interesado de forma clara o razonable e implique elevado riesgo para el acceso no autorizado? – Por ejemplo, la combinación de tecnologías ya existentes, como el uso de dispositivos inteligentes de nueva creación y reconocimiento facial para aumentar la seguridad del acceso físico a las instalaciones, se considera una tecnología inmadura.

 

  • ¿Se realizan cesiones de datos a otras entidades, ya sean del mismo grupo o proveedores externos al mismo? – Los proveedores que se utilizan para realizar el trabajo no es una cesión.

 

  • ¿Se realizan transferencias internacionales de datos a países fuera de la Unión Europea y que no cuenten con medidas de protección de datos de carácter personal similares a las establecidas por la Autoridad de Control? – Como son los países Andorra, Argentina, Canadá, Suiza, Islas Feroe, Guernsey, Israel, Isla de Man, Jersey, Nueva Zelanda, Uruguay. Si se utilizan proveedores que se encuentran en estos países hay que pedir autorización a la AEPD y el proceso es muy complicado, así que mejor elige un proveedor de un lugar seguro.

 

  • ¿Este tratamiento puede conllevar una pérdida o alteración de la información? – Indica si hay muchas probabilidades de que se puedan perder o modificar esos datos.

 

  • ¿Se utilizada documentación en papel para tratar datos personales? – Indica si tienes documentación en papel y especifica cuál.

 

Indica las medidas de seguridad que se aplican. Por ejemplo, se guardan en archivador en armario bajo llave o sin llave pero en habitación donde nadie tiene acceso.

  • ¿Interviene algún proveedor en el proceso? – Especifica cuales son todos los proveedores que tienes contratado y que tienen acceso a algún tratamiento de datos.

 

  • Resultado del análisis – Según el análisis que has hecho, indica que riesgo hay de que los datos puedan ser robados, modificados, eliminados,…

 

 

Back to
error: Content is protected !!