A la hora de explicar cómo llevamos a cabo la adecuación al RGPD, situamos el análisis de riesgos como la tercera fase mediante la cual establecemos las medidas técnicas y organizativas que necesita la empresa u organización para realizar la adecuación con éxito.
Sin embargo, desde la entrada en vigor del reglamento europeo, el análisis de riesgos debe ser una constante en las empresas y organizaciones que operan con datos de personas que viven en Europa. Definamos cuáles son los riesgos y todo lo que implica este proceso.
¿Qué son los riesgos según el RGPD?
De forma general, se dice que un riesgo es la posibilidad de que suceda un fallo o daño. Dependiendo del contexto, los riesgos adoptan diferentes carices y se pueden definir distintos grados de amenaza. De cualquier manera, es importante tener en cuenta que asumimos riesgos en todo momento: desde que salimos de casa, hasta que llegamos a la oficina y nos ponemos frente a la pantalla del ordenador.
El riesgo siempre está presente.
El objetivo final del RGPD se puede resumir en defender los intereses de los ciudadanos de la Unión Europea, y estos pasan por garantizar el derecho a la protección de los datos personales a través de un exigente control sobre dichos datos. Además, también se les otorga mayores derechos a los ciudadanos europeos sobre el tratamiento de estos.
Cualquier posible escenario que vaya en contra de los fines del Reglamento supone una amenaza que debe detectarse en los análisis de riesgos de las empresas u organizaciones.
La gestión de riesgos, según el RGPD, son las actividades mediante las cuales se controla la incertidumbre ante posibles riesgos y se toman medidas para reducirlos o mitigarlos.
El siguiente esquema de la Agencia Española de Protección de Datos explica las fases de la gestión de riesgos. Como decíamos en un inicio, se trata de una monitorización continua dentro de la empresa u organización:
Las posibles amenazas y riesgos para la protección de datos
El reglamento diferencia entre tres tipos de amenazas a la hora de llevar a cabo el correcto tratamiento de datos personales:
- Acceso ilegítimo a los datos. La naturaleza de los datos es uno de los factores a tener en cuenta a la hora de evaluar el riesgo, ya que los hay que requieren mayor confidencialidad (por ejemplo, un expediente médico) que otros (un correo electrónico).
- Modificación no autorizada de los datos. Garantizar la integridad de los datos es otro de los derechos que exige el reglamento. Esto significa que se minimice la posibilidad de daño o de que se puedan modificar de forma corrupta.
- Eliminación de los datos. Según el RGPD, en los textos legales de las empresas y organizaciones se debe especificar durante cuánto tiempo se almacenarán los datos recogidos y de qué manera. Y es que disponibilidad de los datos es otra amenaza a tener en cuenta, dado que existe un posible perjuicio de no tener un dato que el cliente o usuario ha facilitado previamente.
El profesional encargado de llevar a cabo el análisis de riesgos es el Delegado de Protección de Datos en caso de que la empresa u organización cuente con uno (ya vimos que hay casos en los que el reglamento exige o no un DPD [link al post de los roles del RGPD]). Sin embargo, si no se tiene esta figura, será el Responsable de la Protección de Datos (CDO) el encargado de realizar este proceso.
Además, este profesional debe coordinarse con el resto de personas de la organización que estén involucradas en el tratamiento de datos para llevar a cabo la gestión de riesgos con éxito. Desde i-Legal gestionamos el análisis de riesgos para el tratamiento de datos de empresas y organizaciones a través de la adecuación al RGPD, y posteriormente del mantenimiento de la seguridad de la información. No dude en preguntarnos por nuestros servicios.