La importancia de un correcto análisis de riesgos en materia de protección de datos
Con la obligatoria aplicación del Reglamento General de Protección de datos desde el 25 de Mayo, son muchos los cambios, en relación con la anterior normativa, que las empresas europeas han tenido que ir adoptando para poder cumplir adecuadamente con todos los preceptos establecidos por esta regulación.
Desde nuestra consultoría en protección de datos, hoy analizamos la importancia de realizar una correcta evaluación de riesgos en el contexto del RGPD.
1. Diferencias en las medidas a adoptar en la LOPD y el RGPD
La nueva normativa en materia de protección de datos trae consigo un cambio no solo de lo establecido en éste texto, sino que se produce un cambio de modelo de aplicación. Anteriormente tanto la LOPD 15/1999 como su Reglamento de Desarrollo 1720/2007 establecían de forma clara cuales serían las medidas a tomar por cada organización. Sin embargo, desde el 25 de Mayo, esto ha cambiado ya que ahora, partiendo del análisis de riesgos protección de datos, las compañías deben adoptar las medidas que consideren adecuadas.
Resulta evidente que el análisis de riesgos protección de datos toma un valor fundamental a la hora de cumplir con las medidas adecuadas ya que si no evaluamos correctamente los riesgos de la organización en la normativa, tomaremos medidas técnicas y organizativas insuficientes, lo que puede implicar que se produzcan brechas de seguridad o incumplimientos que ocasionen una sanción por parte de la AEPD.
2. Proceso del análisis de riesgos en protección de datos
Para llevar a cabo un análisis de riesgos en protección de datos debemos valorar todo el ciclo del dato. Desde que se obtiene o entra en una organización, hasta que por ser innecesario para cumplir con la finalidad para la que se recabó o para cumplir con un plazo de conservación legalmente establecido, se destruye o suprime.
En este análisis evaluaremos, además, como se almacenan y protegen esos datos, cuál es la finalidad o tratamientos para los que se utilizan, los intervinientes en el proceso o terceras entidades, y la manera en la que se destruyen.
Una vez llevado a cabo el documento que refleje el análisis de riesgos protección de datos, deberemos adoptar unas medidas de seguridad enfocadas tanto en la prevención y detección, como en la respuesta ante posibles incidentes.
Si nos fijamos en la definición de riesgo como “la combinación de la posibilidad de que se materialice una amenaza y sus consecuencias negativas”, vemos cómo las medidas deben ir en las tres direcciones ya mencionadas: prevención, detección y respuesta.
Otro de los elementos que debemos tener en cuenta a la hora de adoptar las medidas, a tenor del artículo 25 del RGPD, es el estado actual de la técnica, es decir el nivel de avance tecnológico, el coste de la aplicación, y el ámbito, contexto y fines del tratamiento.
3. Medidas básicas de seguridad de la información
Asimismo el artículo 32, y siempre basándonos en el análisis de riesgos protección de datos, nos marca una serie de medidas básicas en seguridad de la información que nos podrán servir como base a la hora de adoptar o llevar a cabo nuestra propia estrategia de seguridad de la información en nuestra compañía.
Estas medidas son las siguientes:
a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Actualmente, al llevar a cabo la mayoría de nuestros tratamientos de forma automatizada, la protección de la información va necesariamente ligada a la adopción de medidas de ciberseguridad que garanticen la disponibilidad, integridad y confidencialidad de la información. Tan importante como las medidas de ciberseguridad, es la concienciación y formación de los empleados, ya que se calcula que más del 70% de las fugas de información vienen dadas por errores o irresponsabilidades de los empleados, por lo que cada vez se hace más necesaria la formación básica en estas materias de todos los empleados de nuestras compañías.
4. Conclusión análisis de riesgos en protección de datos
Como vemos el análisis de riesgos protección de datos es el elemento básico sobre el que se asentará toda nuestra estrategia empresarial en el cumplimiento de la normativa. Si este análisis se toma a la ligera o no se lleva a cabo por un experto puede derivar en un coste altísimo para cualquier organización implicando sanciones económicas y reputacionales que impliquen un grave perjuicio para las compañías.
Es por ello que cada vez más, las empresas toman conciencia de la relevancia de un correcto cumplimiento y deciden confiar en empresas especialistas en la normativa. En Grupo Adaptalia estamos a su disposición para asesorarle en este y cualquier otro ámbito de la protección de datos, consúltenos sin compromiso.
