abogados rgpd y lopd - aplicacion LOPD - servicio jurídico de asesoría jurídica LOPD - Cómo analizar los riesgos según el RGPD

El Reglamento General de Protección de Datos (RGPD - GDPR) establece que, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines de tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado de tratamiento deben aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad apropiado.

En este sentido, las medidas tendrán que incluir lo siguiente:

  • La pseudonimización y el cifrado de datos personales.

  • La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamientos.

  • La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.

  • Un proceso de verificación, evaluación y valoración de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

En el momento de evaluar la adecuación del nivel de seguridad se tendrán en cuenta los riesgos que presente el tratamiento de datos, como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos.

Así pues, se pueden establecer dos tipologías de análisis según el tamaño/complejidad de los responsables:

  • Grandes organizaciones. En estos casos el análisis deberá llevarse a cabo utilizando alguna de las metodologías de análisis de riesgos existentes.
  • Organizaciones pequeñas con tratamientos de poca complejidad. El análisis será el resultado de una reflexión documentada sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados.

Cabe decir que, en un análisis de riesgos básico se tendrán que identificar las amenazas a las que los datos personales están expuestos, junto al riesgo basado en la probabilidad de que éstas se materialicen, y las medidas correctoras que se han llevado a cabo para mitigar estos riesgos.

Pasos a seguir en un análisis de riesgos

Cualquier proceso de análisis de riesgos deberá contar con los siguientes pasos:

  • Identificación de amenazas y vulnerabilidades que puedan afectar a la confidencialidad, integridad o disponibilidad de los datos personales que se estén tratando.
  • Valoración de impacto. Es importante valorar el daño que podrían producir las amenazas a los interesados cuyos datos se están tratando.
  • Probabilidad. Hay que evaluar las posibilidades que existen de que se materialice cada una de las amenazas identificadas. En este sentido, los factores a tener en cuenta para estimar dicha probabilidad son:
    • El contexto del tratamiento y de los activos involucrados
    • La frecuencia con la que se presenta la amenaza
    • La vulnerabilidad del activo frente la amenaza
    • El grado de exposición a la amenaza
    • El valor que tiene la información para terceros
    • El histórico de la compañía respecto la materialización de la amenaza previamente.
  • Valoración del riesgo. Una vez tengamos el impacto y la probabilidad para las amenazas habrá que calcular el riesgo asociado de la siguiente forma: RIESGO = PROBABILIDAD X IMPACTO. Esto generará una matriz de riesgos.
  • Gestión del riesgo (medidas): Una vez identificados los riesgos se tendrán que gestionar. Especialmente, los que tienen un nivel de riesgo alto o muy alto.

El resto de los riesgos deberán gestionarse valorando el coste de las medidas de seguridad y/o controles que se deben aplicar para reducirlos o eliminarlos.

Si tienes dudas sobre la aplicación del Reglamento (UE) 2016/679 de Protección de Datos (RGPD - GDPR) y de cómo llevar a cabo correctamente un análisis de riesgos, puedes contactar con el equipo de profesionales del Departamento de Protección de Datos de GD Legal.