✔ Ante la constante evolución tecnológica y los procesos de transformación digital que sufren las actividades de tratamiento de datos personales, la reforma de la regulación de protección de datos supone un cambio del modelo tradicional para afrontar las medidas que garantizan la protección de los datos personales hacia un nuevo modelo más dinámico, enfocado en la gestión continua de los riesgos potenciales asociados al tratamiento desde su diseño.
El diseño adecuado de las actividades de tratamiento es un aspecto clave para poder garantizar los derechos y libertades de los interesados. La fase de diseño de un tratamiento define el flujo de los datos personales, así como todos los elementos que intervendrán a lo largo del mismo. De igual modo, es el momento idóneo para definir las medidas de control y seguridad para garantizar los derechos y libertades de los interesados con el objetivo de que un tratamiento nazca respetando los requerimientos de privacidad asociados al nivel de riesgo a la que está expuesto.
Fases del análisis de riesgos en el RGPD
El Análisis de riesgo en el RGPD es el conjunto de actividades y tareas que permiten controlar la incertidumbre relativa a una amenaza mediante una secuencia de actividades que incluyen la identificación y evaluación del riesgo, así como, las medidas para su reducción o mitigación.
El Análisis de riesgo en el RGPD se puede dividir en tres etapas diferenciadas:
- La identificación
- La evaluación
- El tratamiento de los riesgos.
Identificación de las amenazas
El riesgo se deriva de la exposición a amenazas, por tanto, desde la perspectiva de la privacidad, es fundamental entender qué es una amenaza y cómo se pueden identificar escenarios de riesgo para los datos personales a partir de la misma.
Una amenaza es cualquier factor de riesgo con potencial para provocar un daño o perjuicio a los interesados sobre cuyos datos de carácter personal se realiza un tratamiento. Si ponemos el foco en la protección de los datos, las amenazas se pueden categorizar principalmente en tres tipos:
- Acceso ilegítimo a los datos: ¿qué daño causaría que lo conociera quien no debe?
- Modificación no autorizada de los datos: ¿qué perjuicio causaría que estuviera dañado o corrupto?
- Eliminación de los datos: ¿qué perjuicio causaría no tener un dato o no poder utilizarlo?
Un riesgo se puede definir como la combinación de la posibilidad de que se materialice una amenaza y sus consecuencias negativas. El nivel de riesgo se mide según su probabilidad de materializarse y el impacto que tiene en caso de hacerlo. Las amenazas y los riesgos asociados están directamente relacionados, en consecuencia, identificar los riesgos siempre implica considerar la amenaza que los puede originar.
Evaluar los riesgos
El Análisis de riesgo en el RGPD implica considerar todos los posibles escenarios en los cuales el riesgo se haría efectivo. La evaluación de riesgos consiste en valorar el impacto de la exposición a la amenaza, junto a la probabilidad de que esta se materialice. El impacto, por su parte, se determina en base a los posibles daños que se pueden producir si la amenaza se materializa, por ejemplo, un impacto sería despreciable si no tuviera consecuencias sobre el interesado o, por el contrario, un impacto sería significativo si el daño ocasionado sobre los derechos y libertades del interesado fuese crítico. Según la probabilidad y el impacto, asociados a las amenazas, es posible determinar el nivel de riesgo inherente.
✔️ Si aún dudas, ¡estás en el sitio correcto! El «Grupo Adaptalia» te resuelve cualquier interrogante en el cumplimiento normativo legal, tecnológico y de organización de su compañía. Somos especialistas en 【PROTECCIÓN DE DATOS | LSSI | COMPLIANCE PENAL | LPBC-F】 |
✔️ Nuestra «Consultoría en Protección de Datos» es la solución perfecta para que nada te inquiete. Nuestras herramientas y servicios se adaptan completamente a tus necesidades. |
Tratar los riesgos
La última fase del Análisis de riesgo en el RGPD es tratar los mismos. El objetivo de tratar los riesgos es disminuir su nivel de exposición con medidas de control que permitan reducir la probabilidad y/o impacto de que estos se materialicen. El riesgo inherente se puede tratar con el objetivo de reducir o mitigar el mismo, en función de la medida que se adopte, hasta situar el riesgo residual en un nivel que se considere razonable.
Información adicional y fuente
Agencia española de protección de datos – Guía práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD.
▸Estimado lector, ¡¡gracias por su tiempo!!