El Análisis de Riesgos como medida de responsabilidad activa.
Ante la inminente llegada del nuevo Reglamento General de Protección de Datos (RGPD) de aplicación en mayo del 2018, en este post queremos abordar el Análisis de Riesgos como una de las medidas más novedosas asociadas con el nuevo RGPD.
Dentro del catálogo de medidas que los responsables y encargados deben aplicar para garantizar que los tratamientos que realizan son conformes con el RGPD probablemente el ANÁLISIS DE RIESGOS sea el elemento que más dudas genera a las organizaciones, sobre todo a la hora de aplicar metodologías de riesgos en organizaciones que actualmente no están aún preparadas para ello y donde tampoco hay una cultura organizativa para desplegar este tipo de metodologías.
Antes de iniciar nuestro viaje por el mundo de los riesgos, recordemos el conjunto de nuevas medidas que el nuevo Reglamento establece, y que define la Agencia Española de Protección de Datos, y analicemos como el análisis de riesgos es el elemento GUIA para la implantación de un sistema de gestión de respuesta a la RGPD:
- Análisis de Riesgos, a tratar en detalle en este post.
- Registro de Actividades de Tratamiento, que determina el registro de todas las operaciones de tratamiento asociadas a los ficheros de carácter personal, esta medida no es de aplicación a empresas de menos de 250 trabajadores.
- Protección de Datos desde el Diseño y por Defecto, se trata de analizar los tratamientos de datos en productos o servicios donde intervengan datos personales, antes incluso de la aplicación de los mismos.
- Medidas de Seguridad, conjunto de medidas que establece la organización a nivel técnico y organizativo que permitan garantizar el nivel de seguridad adecuado en función de los riesgos detectados.
- Notificación de “violaciones” de seguridad de los datos”, entendiendo violaciones como cualquier incidencia de seguridad, elemento que habrá que definir y controlar para gestionar el sistema de seguridad de datos. Estableciendo no sólo el registro y monitorización de las mismas sino también la aplicación de protocolos y controles de acción y prevención para la gestión de las mismas.
- EIPD_Evaluación de Impacto sobre la Protección de Datos, cuando el análisis de riesgos que las organizaciones llevan a cabo sobre el tratamiento presentan un nivel de riesgos alto o crítico, los responsables deberán realizar un EIPD, con el objeto de adoptar las medidas adecuadas para gestionar, controlar , supervisar y monitorizar estos riesgos.
- DPD_Delegado de Protección de Datos, este perfil aparece en el nuevo Reglamento de Protección de Datos, y de carácter obligatorio para algunas organizaciones, su área de trabajo es asesorar al responsable o encargado en todo lo relativo a la normativa sobre protección de datos, y el enfoque de las grandes corporaciones es integrar este perfil en la figura del Compliance Officer, ya sea como perfil interno a la organización o de forma externalizada, lo que sí determina este perfil son requisitos tales como:
- Autonomía total en el ejercicio de sus funciones.
- Relaciones a todos los niveles de la Dirección.
- Asignación por parte de la Dirección de todos los recursos necesarios.
Como hemos comentado en la introducción de este post, el Análisis de Riesgos es uno de las medidas que los responsables, y en ocasiones los encargados, deben aplicar para garantizar que los tratamientos que realizan son conformes con el RGPD y lo que es más importante estar en condiciones de demostrarlo.
Gestionaremos el riesgo de dos maneras, según el tamaño de la organización:
- Grandes Organizaciones. El análisis debe llevarse a cabo utilizando las metodologías existentes y contrastadas.
- Organizaciones de menor tamaño y de poca complejidad de los datos. El resultado se podrá obtener de un análisis, documentado, sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados, así como las fuentes tecnológicas aplicadas en el tratamiento, como por ejemplo:
“¿Se utilizan tecnologías especialmente invasivas para la privacidad, como las relativas a geolocalización, videovigilancia, a asociados al IoT (internet de las cosas)?.”
“¿Se tratan datos en grandes cantidades con técnicas de análisis masivo como Big Data?”
“Son los datos replicados en servidores en la nube que no residen en servidores de la UE”.
En la figura adjunta se representa el nuevo ecosistema digital para la gestión y tratamiento de datos, lo que nos lleva a preguntar “¿Realmente sabemos dónde están nuestros datos?”
Pero ¿cómo abordamos a nivel organizativo la gestión del riesgo? y ¿qué metodologías aplicamos para la gestión del riesgo?
Las organizaciones se enfrentan diariamente a escenarios cada vez más complejos y con mayores exigencias por parte de los grupos de interés que provocan que el logro de los objetivos sea incierto. El efecto que produce esto es el riesgo. La implantación en la organización de un Sistema de Gestión del Riesgo (S_GR), se ha convertido en un elemento de la estrategia en la compañía, que nos debe permitir implementar una metodología en nuestra organización que nos permita instaurar una cultura de la gestión del riesgo en la organización.
Un gran elevado número de organizaciones ha dirigido su mirada a la Especificación de AENOR EA 0031 –Sistema de Gestión del Riesgo (certificable)-, basado en la norma internacional UNE-ISO 31000, y que actualmente se ha convertido en el referencial metodológico para la implantación de estructuras y cultura de gestión del riesgo en las organizaciones, esta especificación establece un sistema de gestión del riesgo basado en la metodología conocida como PHVA (Planificar-Hacer-Verificar-Actuar) y que principalmente determina que para poder establecer un sistema de gestión del riesgo es necesario que la organización identifique un proceso de gestión de sus riesgos, donde además de tener en cuenta el contexto externo e interno en el que la organización opera, se tienen que implementar los siguientes elementos en el proceso:
- Identificación del Riesgo.
- Evaluación del Riesgo.
- Criterios de Riesgo.
- Análisis del Riesgo.
- Evaluación del Riesgo.
- Tratamiento del Riesgo.
- Control del Riesgo.
- Preparación y Respuesta ante incidentes.
- Recuperación.
Como decíamos a la entrada de este post “A prepararse … “ , la exigencia del nuevo RGPD sobre la implementación en las organizaciones del análisis de riesgos, debe permitir a las organizaciones reflexionar sobre el despliegue en toda la organización de un sistema de gestión del riesgo soportada por alguna metodología contrastada, que sirva para dar respuesta a esta nueva medida “obligatoria” que nos exige el RGPD y que que nos permita introducir una cultura en la organización para la gestión de los diferentes riesgos existentes.