Firmas

El análisis del riesgo: Un pilar básico en la protección de datos

El análisis del riesgo: Un pilar básico en la protección de datos
Javier Puyol es el socio director de Puyol Abogados, una boutique legal especializada en el mundo de las nuevas tecnologías y el cumplimiento normativo. Confilegal.
04/3/2018 06:15
|
Actualizado: 03/3/2018 22:30
|

Un análisis de riesgos es una herramienta que va a permitir, entre otros objetivos posibles, y antes de comenzar o introducir en el mercado cualquier clase de servicio o de producto, cumplir con la normativa vigente en cada momento de protección de datos de carácter personal.

También para poder identificar oportunamente y con la antelación necesaria los problemas, reducir los costes de la implementación del cumplimiento de la normativa de protección de datos con el objetivo de  prevenir aquellos problemas futuros que puedan dañar la fama o la reputación de la empresa o del responsable del tratamiento, o, incluso de la propia Administración pública, si también ostenta dicha cualidad.

Debe indicarse, que el Reglamento General señala que las medidas dirigidas a garantizar el cumplimiento de las normas en materia de privacidad, deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas.

ENFOQUE DE RIESGOS

Para la Agencia Española de Protección de Datos [i], el enfoque de riesgos en esta materia posee al menos dos vertientes bien diferenciadas:

a). La orientada a determinar las medidas de seguridad técnicas y organizativas para proteger los datos personales

b). Los riesgos para los derechos y libertades de las personas

La primera de estas dos vertientes existe desde hace tiempo y está demostrada su eficacia en el contexto de las medidas de seguridad de la información, ya que permite a los responsables modular las medidas de seguridad y encontrar un equilibrio razonable entre lo que se pretende proteger (el activo) y el esfuerzo empleado en ello, es decir, entre el nivel y tipo de riesgo de los tratamientos.

No obstante, en este caso hablamos de riesgos para el propio responsable y no para el interesado o el titular de los datos.

Cuando hablamos de riesgos para los derechos y libertades de las personas, tenemos que tener en cuenta la necesidad de cuantificar tanto las consecuencias tangibles como las intangibles.

En algunos casos el tratamiento de datos puede tener consecuencias negativas para las personas que pueden afectar a sus derechos o a sus libertades.

Ejemplos de estas consecuencias negativas pueden ser la marginación, la exclusión social, las dificultades para acceder a un puesto de trabajo, problemas para contratar determinados servicios, etc.

En un tratamiento de datos personales, los riesgos para el interesado son principalmente los que puedan afectar a sus derechos y libertades.

SU PRESENCIA EN EL RGPD

Ello se traslada al Reglamento General de Protección de Datos (RGPD) en varias formas o modalidades diferentes, que son las que se indican a continuación:

a). La protección de datos desde el diseño

b). La protección de datos por defecto

c). Las evaluaciones de impacto.

De acuerdo con este enfoque, algunas de las medidas que el Reglamento General establece se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten.

La aplicación de las medidas previstas por el Reglamento General debe adaptarse, por tanto, a las características de las organizaciones.

Lo que puede ser adecuado para una organización que maneja datos de millones de interesados en tratamientos complejos que involucran información personal sensible o volúmenes importantes de datos sobre cada afectado no es necesario para una pequeña empresa que lleva a cabo un volumen limitado de tratamientos de datos no sensibles.

Sobre estos pilares:

a). El empoderamiento del ciudadano sobre sus datos personales;

b). El principio de responsabilidad pro activa; y, finalmente;

c). El enfoque de la actividad de tratamiento vinculado manifiestamente a los riesgos es, fundamentalmente, sobre el que se ha de construir la implantación del nuevo régimen jurídico derivado del tratamiento de los datos de carácter personal, y, por ende, de la privacidad.

PUNTOS A IDENTIFICAR EN UN ANÁLISIS DE RIESGOS

Como puntos importantes a identificar en un análisis de riesgos, tal como señala Ayuda de la Ley de Protección de Datos.es suelen establecerse los que se citan a continuación[ii]:

a). Las razones para realizar el análisis.

Ello responde al hecho de conocer las razones por la que debemos realizar un Análisis de riesgos sobre el proyecto, servicio o tratamiento de datos personales.

b). Describir los flujos de información.

Se trata de conocer cómo se van a recabar los datos de carácter personal, para qué se van a utilizar, con qué finalidad, y quién tiene acceso a la misma.

c). Identificar los riesgos

Se trata de concretar la existencia de los mismos, los cuales pueden responder a tres tipologías completamente diferentes, que son las siguientes:

  • Bien sobre los afectados (como la invasión en su vida privada, comunicar datos a terceros cuando no sea necesario, no haber realizado un procedimiento adecuado de anonimización, mantener los datos más tiempo que el estrictamente necesario para la finalidad que se recogieron).
  • Bien los llamados “riesgos corporativos” (como pérdida de reputación o una multa por brechas de seguridad).
  • Y por último, los denominados “riesgos legales” (como no cumplir con la legislación de protección de datos, o servicios de la sociedad de la información).

d). El establecimiento de soluciones, que tengan como finalidad primordial eliminar o mitigar dichos riesgos.

e). La implementación de soluciones.

CUÁLES DEBEN IMPLEMENTARSE

Una vez que se han determinado cuales serían las formas o herramientas necesarias para garantizar la privacidad, hay que decidir cuáles de ellas se van a implementar, ya que no es necesario poner en funcionamiento todas las herramientas de manera simultánea, ya que la empresa puede asumir determinados riesgos, cuando los mismos sean considerados como aceptables.

No obstante, puede ocurrir que existan riesgos que no sólo sean inaceptables sino que, incluso, no se puedan eliminar, por lo que sería necesario estudiar la viabilidad del proyecto, servicio o tratamiento de datos, o no directamente, no llevarlo a cabo.

f). La integración y el análisis de riesgos, dentro de la propia gestión de la actividad propia del responsable del tratamiento

g). la participación de los agentes implicados, la cual se encuentra vinculada a la necesidad de que la información relativa a cualquier producto o servicio que se trate de lanzar al mercado, debe contar con la consiguiente información dentro y fuera del ámbito de actuación del responsable del tratamiento.

Adicionalmente a ello, debe tenerse en cuenta otros elementos de singular importancia en la interpretación y aplicación del Reglamento General.

Es importante tener en consideración, que hemos pasado de una situación normativa caracterizada de manera principal, por una hiper regulación, en el sentido de que todo o la mayor parte de las relaciones jurídicas al efecto, se encontraban previstas legalmente en esta materia, o al menos así se trataba de interpretar, a una nueva situación, caracterizada esta vez, por la posibilidad de que tanto el responsable del tratamiento, como los encargados del mismo tengan una mayor autonomía a la hora de sentar las bases, en el modo y en la forma que desean llevar a cabo la organización de los tratamientos de datos de carácter personal bajo su responsabilidad.

MEDIDAS TÉCNICAS

Un ejemplo muy singular de esta manifestación se encuentra en las medidas técnicas y las de carácter organizativas de los tratamientos, que ha de llevar a cabo e implementar el responsable de los mismos.

En este momento existe libertad absoluta para su adopción, lo que implica la búsqueda de aquellas medidas que puedan proporcionar de manera específica una mayor seguridad, pero al mismo tiempo, que dichas medidas sean lo más económicas posibles, y si puede ser, incluso con un sustancial ahorro de costes.

Del mismo modo, se hace preciso tener en consideración, que con la aplicación efectiva del nuevo Reglamento General no sólo cobra especial importancia el cumplimiento de la normativa, que entre otras manifestaciones se materializa en la pro actividad a la que hemos hecho referencia, sino también en la acreditación del cumplimiento que se ha llevado a cabo, el cual se concreta en la justificación de las actuaciones que se han acometido, las decisiones que se han tomado al respecto.

Finalmente debe tenerse presente que el Reglamento General de Protección de Datos, hace especial hincapié a la hora de poder evaluar los riesgos, en el hecho de que corresponde a los responsables del tratamiento tener que acreditar de manera efectiva, el cumplimiento de la normativa llevado a cabo, así como el respeto realizado con relación a los derechos y libertades de los ciudadanos, y, por tanto, deben estar en condiciones de poder acreditar tal situación.

La evaluación del riesgo no tiene un carácter definitivo, sino que en todo caso existe la posibilidad de poder revisar las medidas que en cada caso se hayan adaptado, y consecuentemente con ello, proceder a actualizarlas y adaptarlas en cada caso, si ello es necesario.

Y por último, debe recordarse que en el nuevo Reglamento General de Protección de Datos, ya no se considera como un principio suficiente, el hecho de “no cumplir la normativa”, sino que tal como ha quedado indicado anteriormente, constituye un criterio preferente el de la proactividad de todas decisiones que se adopten, así como la de los tratamientos se decidan llevar a cabo, previniéndose en dicha normativa medidas específicas para los supuestos de incumplimiento de la misma, que se produzcan.

[i] Cfr.: AGENCIA ESPAÑOLA DE PROTECCION DE DATOS.

https://www.agpd.es/portalwebAGPD/index-ides-idphp.php

 

[ii] En este sentido, Cfr.: Ayuda protección ley de protección de datos.

Análisis de riesgos sobre Protección de Datos

Otras Columnas por Javier Puyol Montero:
Últimas Firmas
  • Opinión | ¡Zorra!
    Opinión | ¡Zorra!
  • Opinión | Los juicios serán preferentemente telemáticos a partir de ahora, según  el Real Decreto-ley 6/2023
    Opinión | Los juicios serán preferentemente telemáticos a partir de ahora, según el Real Decreto-ley 6/2023
  • Opinión | El secreto de la fase de instrucción ha muerto
    Opinión | El secreto de la fase de instrucción ha muerto
  • Opinión | Elección de colegio y patria potestad
    Opinión | Elección de colegio y patria potestad
  • Opinión | CDL – El pleito de M&A más complejo y largo de la Historia: La compra de Autonomy por Hewlett-Packard (I)
    Opinión | CDL – El pleito de M&A más complejo y largo de la Historia: La compra de Autonomy por Hewlett-Packard (I)