Como ya hemos visto cuando hablábamos del Registro de Actividades de Tratamiento, una de las novedades de la normativa de protección de datos es el principio de responsabilidad proactiva, o accountability, el cual consiste en la necesidad de que el responsable del tratamiento sea el que aplique las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con la norma.
Pues bien, en aplicación de este principio, el responsable del tratamiento, además de la elaboración de un Registro de Actividades de Tratamiento, debe realizar un análisis de riesgos.
Un primer paso para delimitar cómo debemos hacer un análisis de riesgos, es definir la gestión de riesgos, que se define como el conjunto de actividades y tareas que permiten controlar la incertidumbre relativa a una amenaza mediante una secuencia de actividades que incluyen la identificación y evaluación del riesgo, así como, las medidas para su reducción o mitigación. Es decir, tres etapas bien diferenciadas:
El RGPD busca aplicar las ventajas que la gestión de riesgos nos ofrece, pero haciendo énfasis en las implicaciones que los tratamientos de datos de carácter personal tienen sobre los interesados.
Concretamente el RGPD, trata de guiar en varios considerandos (74, 75,76, 77 y 78) las pautas que hay que seguir para la elaboración del análisis, entre los cuales conviene destacar los siguientes:
Considerando 74
…el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas físicas.
Considerando 76
La probabilidad y la gravedad del riesgo para los derechos y libertades del interesado debe determinarse con referencia a la naturaleza, el alcance, el contexto y los fines del tratamiento de datos. El riesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto.
Estos considerando nos indican los elementos que se deben analizar y evaluar para realizar correctamente el análisis, los cuales son:
La AEPD define el análisis de riesgos como el análisis de mínimos que tiene como objetivo simplificar el proceso de análisis de riesgos en aquellas actividades de tratamiento con baja exposición al riesgo. Además, establece que como punto de partida para su elaboración se deben describir adecuadamente las actividades de tratamiento.
Con la descripción de los diferentes tratamientos, podemos saber por un lado cual va a ser el ciclo de vida de los datos, y por otro las actividades realizadas sobre los mismos y de los elementos que intervengan en ellas. De este modo, realizando un análisis de riesgo global, agrupando las actividades de tratamiento en procesos comunes, conseguiremos establecer medidas de seguridad por defecto.
En primer lugar, como hemos comentado, debemos establecer el ciclo de vida de los datos, el cual se puede dividir en las siguientes etapas:
Captura de datos: EL procedimiento de obtención de datos para su almacenamiento y posterior procesamiento.
Almacenamiento: Establecer categorías y asignarlas para su clasificación y almacenamiento en los sistemas o archivos.
Uso o tratamiento: Las diferentes operaciones que se realicen sobre los datos personales recabados, ya sean manuales o automatizados.
Cesión o transferencia de datos a un tercero: Los traspasos realizados a terceros, en el caso de que se realicen.
Destrucción: Eliminación de los datos recabados.
En segundo lugar, las actividades de tratamiento sobre los datos, esto supone la materialización de una finalidad para la que los datos fueron recabados, como puede ser la gestión de personal, gestión de clientes...entre otros. En este aspecto, se deben considerar y agrupar todas las actividades que se realicen de forma y similar y que estén expuestas a los mismos riesgos, para así poder establecer medidas de control comunes para reducir su nivel de riesgo.
En tercer lugar, los elementos que intervienen en las actividades de tratamiento, que a su vez se dividen en tres, datos, intervinientes y tecnología.
a) Datos: Su identificación es fundamental. En este aspecto debemos de tener en cuenta el principio de minimización de los datos, según el cual debemos asegurar que vamos a recabar únicamente los datos necesarios para la finalidad de su tratamiento.
b) Intervinientes: Aquellas personas físicas o jurídicas que estén implicadas en las actividades de tratamiento y cuyas funciones y responsabilidades estén definidas y delimitadas. Debemos incluir al responsable de protección de datos, a los empleados que participan el en procesamiento de datos, a los encargados... Cada uno de ellos puede suponer una amenaza sobre los datos, de manera que debe tenerse en cuenta par ala realización del análisis.
c) Tecnología: Al igual que con los intervinientes, los sistemas tecnológicos dan soporte a las actividades de tratamiento de los datos, por lo que deben identificarse aquellos que estén implicados en las actividades de tratamiento para analizar la exposición a los riesgos derivados de su uso.
Una vez que hemos llevado a cabo estos pasos, ya conocemos la manera en la que se recogen los datos, las actividades de tratamiento que se realizan sobre los mismos, así como los diferentes intervinientes que afecten al tratamiento de los datos. Podemos por ende determinar y valorar de este modo la probabilidad de que aparezca el riesgo, así como del daño que ocasionaría en la empresa que realice el tratamiento.