Entradas

Análisis de los riesgos en Protección de Datos por LETRADOX ABOGADOS

ANÁLISIS DE RIESGOS EN LOS TRATAMIENTOS
DE DATOS PERSONALES
SUJETOS AL RGPD

LETRADOX ABOGADOS
Despacho de abogados en Alcalá de Henares
Bufete en Madrid
Tlf. (+34) 645958948
Tlf: 912980061
info@letradox.es
www.letradox.com

En LETRADOX ABOGADOS , abogados expertos en Protección de Datos. Basándonos en el documento de la Agencia Española de Protección de Datos.

Por ello hemos confeccionado este resumen sobre los riesgos en los tratamientos de datos personales sujetos al RGPD. Como continuación de nuestros artículos sobre el nuevo Reglamento.

¿A qué riesgos está sometida tu empresa en el tratamiento de datos personales? ¿Cómo intentar neutralizar esos riesgos y cumplir con la normativa?

Hoy, en Letradox, todas las respuestas.

El 25 de mayo de 2018 entro en vigor el Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016. Relativo a la protección de las personas físicas en cuanto al tratamiento y la libre circulación de datos personales (RGPD).

CONSIDERACIONES GENERALES

Llamamos Gestión de riesgos al conjunto de actividades y tareas que permiten controlar la incertidumbre relativa a una amenaza. A través de una secuencia de actividades que incluyen la identificación y evaluación del riesgo.

Así como las medidas para su reducción o mitigación.
Se puede dividir en tres etapas:

Identificación, evaluación y tratamiento de los riesgos.

Un riesgo lo podemos definir como la combinación de la posibilidad de que se materialice una amenaza y sus consecuencias negativas. La evaluación de riesgos consiste en valorar el impacto de la exposición a la amenaza.

También junto a la probabilidad de que esta se materialice.

El impacto se determina en base a los daños que se pueden producir si la amenaza se materializa.

Además el objetivo de tratar los riesgos es disminuir su nivel de exposición con medidas de control que permitan reducir la probabilidad o impacto de que estos se materialicen.

El RGPD centra su atención en las amenazas sobre los derechos y libertades de los interesados.  Además trata de ver como es una actividad de tratamiento, por sus características.

También el tipo de datos a los que se refiere o el tipo de operaciones que puede causar un daño a los interesados.

PROTECCION DE DATOS DESDE EL DISEÑO Y LA GESTION DE RIESGOS

La exposición a los riesgos con impacto en la protección de datos se produce desde el inicio o puesta en marcha de los tratamientos. Además evolucionando en función de las variaciones del contexto y de factores o elementos que intervienen en las mismas.

El RGPD introduce los conceptos de protección de datos desde el diseño y por defecto, para garantizar los derechos y libertades de los interesados desde una actividad de tratamiento.

El responsable del tratamiento que utilice datos personales debe aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo:

– pseudonimización, cifrado de datos personales
– Confidencialidad, integridad, disponibilidad, resiliencia permanente de sistemas de tratamiento
– Proceso de verificación, evaluación y valoración regulares de la eficacia.

A la hora de definir una actividad de tratamiento hay que saber cuales son las finalidades del tratamiento de datos personales. Corresponde a cada organización decidir el nivel de agregación o segregación para elaborar el registro de actividades de tratamiento.

Como, ponderar la optimizaron de la gestión de la protección de datos para que resulte útil, ágil, efectiva y permita alcanzar los objetivos que la legislación busca.

También puede resultar útil al responsable y al encargado del tratamiento a la hora de elaborar el registro de actividades de tratamiento volver.

Los ficheros que la organización hubiera descrito con anterioridad.

Por ello, la AEPD ha incluido la posibilidad de obtener una copia en electrónico del contenido completo de la declaración de sus ficheros incorporadas al registro de tratamientos de la entidad las actividades que realiza sobre los datos personales de las personas deberá fijarse en las nuevas obligaciones que el RGPD describe sobre el responsable de tratamiento y el encargado de tratamiento.

Art. 5 RGPD, establece los principios relativos al tratamiento de datos personales:

– licitud, lealtad y transparencia
– Limitación de la finalidad
– Minimizaron de datos
– Exactitud
– Limitación del plazo de conservación
– Integridad y confidencialidad

Para determinar si un tratamiento entraña escaso riesgo.

AEPD ha puesto a disposición de los responsables de tratamiento de datos personales la herramienta Facilita_RGPD, destinada a las personas y empresas.

Para las personas y entidades que no cubran sus necesidades on la herramienta se debe evaluar si las actividades entrañan un alto riesgo para los derechos y libertades del interesado.

Una EIPD no se requiere siempre para ello hay que realizar un análisis previo para determinar de forma preliminar el nivel de riesgo al que puede estar expuesto el tratamiento y tomar la decisión adecuada en base a ello.

Para determinar si es necesario o no una EIPD se puede seguir una breve metodología constituida por dos fases:

La primera, análisis de las listas de tratamientos previstos en la regulación (art 35.3, 35.4 y 35.5).

Posteriormente, análisis de la naturaleza, alcance, contesto y fines de tratamiento (art.35.1).

Con caracter general hay que realizar una IPD cuando un tratamiento puede suponer un alto riesgo para los derechos y las libertades de las personas físicas.

Sobre todo si se utilizan nuevas tecnologías y teniendo en cuenta la naturaleza, alcance, contexto o finalidades del tratamiento.

REGISTRO DE ACTIVIDADES DE TRATAMIENTO

Puede identificase como el conjunto de operaciones dirigidas a conseguir una determinada finalidad que se legitiman en una misma base jurídica.

Cada tratamiento incluirá una serie de operaciones. Se deben incluir en el registro de actividades en el momento previo antes de su puesta en marcha.

La identificación y descripción de las acts de tratamiento es una obligación y necesidad en las fases iniciales para facilitar el análisis de riesgos.

Posteriormente cada responsable deberá valorar el grado de segregación o agregación al que somete sus tratamientos.

Es fundamental que el registro de acts este permanentemente actualizado y en un formato claro y legible que facilite su comprensión por parte de terceros.

El registro de actos de tratamiento debe incluir toda la información que recoge el articulo 30 RGPD.

ANALISIS BASICOS DE RIESGOS

El análisis básico de riesgos es un análisis de mínimos que tiene como objetivo simplificar el proceso de análisis de riesgos en aquellas actividades de tratamiento con baja exposición al riesgo.

Se deben describir adecuadamente las actividades de tratamiento proceso que facilitara la documentación del registro de actividades de tratamiento.

La descripción de los tratamientos sujetos al análisis de riesgos permite obtener un conocimiento del ciclo de vida de los datos, de las actividades realizadas y de cualquier elemento que interviene en las mismas.

Las actividades de tratamiento se agrupan por procesos comunes expuestos a riesgos similares.

También simplifica el análisis y permite establecer medidas de seguridad por defecto. El ciclo de vida de los datos se puede dividir en etapas:

– captura de datos
– clasificación, almacenamiento
– Uso, tratamiento
– Cesión o transferencia de los datos a un terceros para su tratamiento
– Destrucción

Los elementos involucrados en cada una de las etapas del ciclo de vida de los datos en las actividades de tratamiento se pueden clasificar en:

– Actividades de tratamiento sobre los datos de carácter personal
– Datos
– Intervinieres
– Tecnología

Las actividades de tratamiento donde se puede aplicar el enfoque de gestión de riesgos por defecto.

Además considerando que han sido analizadas previamente mediante el análisis de la necesidad de realizar una EIPD se situaran siempre en un nivel de riesgo no elevado.

Los principales riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas se diferencian en:

Riesgos asociados a la protección de la información.

Y también riesgos asociados al cumplimiento de los requisitos regulatorios relacionados con los derechos y libertades de los interesados.

El proceso de gestión de riesgos se estructura en tres fases:

Identificación, evaluación y tratamiento.

Para ayudaros en esta compleja cuestión sobre riesgos en el tratamiento de los datos personales, estamos a vuestra disposición en LETRADOX ABOGADOS.

También nos podéis escribir a info@letradox.es

Y además llamarnos a los tlf 912980061 / 645958948

además pedir cita para atenderos y resolver vuestras cuestiones sobre Protección de datos.

Esperamos que este artículo os haya sido de utilidad.

Atte
Mercedes de Parada y Marián Rojo
Abogadas

LETRADOX ABOGADOS
www.letradox.com