La realización de un Análisis de Riesgos de privacidad supone el cumplimiento de la normativa actual en materia de protección de datos y una garantía para todos los activos que necesariamente deben ser objeto de protección por parte de las organizaciones.
La gestión de riesgos de privacidad
La gestión del riesgo tiene que ser uno de los pilares fundamentales de la dirección de cualquier organización. Toda entidad, cuando quiere contar con determinadas garantías en el servicio o producto que ofrece, debe administrar los elementos que puedan generar inseguridad. Estos pueden proceder de su ámbito, contexto y naturaleza.
En materia de protección de datos, el análisis de riesgos supone llevar a cabo una reflexión crítica y objetiva de cada uno de los tratamientos de datos personales existentes. Lo que requiere tomar una serie de decisiones que deben verse plasmadas en hechos concretos (establecer determinados controles). Estos permitirán minimizar el posible impacto negativo sobre los activos de la organización, hasta llegar a unos niveles de riesgo aceptables.
Análisis de riesgos de privacidad
Un análisis de riesgos, por lo tanto, está formado por una pluralidad de acciones que tienen como objetivo controlar las posibles consecuencias. Es decir, la probabilidad y el impacto que una actividad puede tener sobre un conjunto de bienes o elementos que han de ser protegidos.
Una gestión de riesgos eficaz deberá llevar a cabo un exhaustivo proceso de identificación, evaluación y tratamiento. Esto se deberá realizar para todos los riegos derivados de cualquier actividad de tratamiento de datos personales, sopesando los posibles escenarios en los que el riesgo se haría efectivo.
Partiendo de la base de que el denominado riesgo cero no existe, es preciso tener en mente que siempre habrá un riesgo inherente o inicial implícito en cualquier tratamiento. Y, aunque que se hayan aplicado las medidas y garantías que permitan minimizarlo, posteriormente seguirá existiendo un riesgo residual.
La gestión del riesgo en la protección de datos personales
Todas las actividades de tratamiento de datos personales por parte de las organizaciones implican un riesgo para las personas cuyos datos son tratados y, en particular, para sus derechos y libertades.
Reglamento General de Protección de Datos (RGPD)
El Reglamento General de Protección de Datos (RGPD) establece la obligación de gestionar el riesgo que para los derechos y libertades de las personas supone un tratamiento de datos. El proceso de gestión requiere, con respecto a los riesgos, que sean:
- Identificados.
- Evaluados.
- Mitigados (en su caso).
Por ello, y en aras de cumplimiento del principio de responsabilidad proactiva o accountability, la gestión del riesgo debe estar debidamente acreditada. Dicho procedimiento de gestión no debe ser un documento más que guardar, sino un proceso que se traduzca en hechos que disminuyan notablemente los riesgos, y que varíen en función de la realidad cambiante de cada entidad.
Considerando 75
El Considerando 75 del citado cuerpo normativo, define el concepto de riesgo para los derechos y libertades como cualquier efecto o consecuencia no deseados sobre los interesados o no previsto en el propio tratamiento de datos personales, capaz de generar daños o perjuicios sobre sus derechos y libertades. Entre otros se pueden destacar:
- Pérdidas económicas.
- Usurpación de identidad o fraude.
- Daños y perjuicios físicos, materiales o inmateriales.
- Problemas de discriminación.
- Daños reputacionales.
- Pérdida de confidencialidad de datos sujetos al secreto profesional.
- Reversión no autorizada de la seudonimización.
- Privación a los interesados de sus derechos y libertades, impidiéndoles ejercer el control sobre sus datos personales.
La nueva guía de análisis de riesgos de la Agencia Española de Protección de Datos (AEPD)
Recientemente la autoridad de control en la materia, la AEPD ha presentado una guía acerca de la “Gestión del riesgo y evaluación de impacto en tratamientos de datos personales”. Dicha guía versa sobre la experiencia en la gestión del riesgo. Contempla desde la aplicación del RGPD, añadiendo interpretaciones del Comité Europeo de Protección de Datos y del Supervisor Europeo de Protección de Datos.
El texto se dirige a responsables, encargados de tratamiento y delegados de protección de datos, pero no siendo limitativo únicamente a ellos. Este pretende ser un sistema de ayuda, facilitando la integración de la gestión de riesgos junto al gobierno de las entidades.
La nueva guía es de aplicación a cualquier tratamiento, independientemente del nivel de riesgo que éste presente. Igualmente, para aquellos casos en los que exista un alto nivel de riesgo, el texto establece las orientaciones básicas para realizar una evaluación de impacto de protección de datos (EIPD) y si procede, la consulta previa a la autoridad de control antes de proceder al tratamiento (cuando la evaluación concluye con un riesgo residual alto).
El documento publicado por la AEPD se divide en tres apartados:
- El primero detalla una descripción de todos los fundamentos de gestión de riesgos para los derechos y libertades de los interesados.
- El segundo aborda un desarrollo metodológico elemental para la aplicación de la gestión del riesgo.
- El tercero se centra en los casos en los que será necesario llevar a cabo una evaluación de impacto, y las orientaciones básicas para ello.
Herramienta para identificar factores de riesgos de privacidad
Además, la AEPD también ha presentado junto a la guía, el prototipo de una herramienta que tiene por objeto ayudar a responsables y encargados de tratamiento a identificar factores de riesgos presentes los tratamientos: EVALÚA_RIESGO RGPD.
La valoración del nivel que hace esta herramienta para cada factor de riesgo y su cálculo final tienen, en todo caso, carácter genérico, suponiendo por tanto una evaluación mínima, que deberá ser debidamente ajustada por el responsable del tratamiento para determinar con precisión el nivel de riesgo real.
Así pues, cabe recalcar que la gestión del riesgo y la EIPD son procesos que están estrechamente ligados, puesto que la segunda es, en base, una especificidad dentro de la primera. La evaluación de impacto no podrá existir sin formar parte de la gestión de riesgos: mientras que la gestión del riesgo es obligatoria para todo tratamiento, las obligaciones que se establecen para las evaluaciones lo son únicamente para tratamientos de alto riesgo.
Toma de decisiones respaldadas frente a riesgos de privacidad
Todas estas actuaciones deben permitir que el responsable tome las decisiones adecuadas y necesarias para conseguir que el tratamiento en cuestión cumpla con todos los requisitos establecidos en el RGPD y en la Ley Orgánica de Protección de Datos y de Garantía de los Derechos Digitales, asegurando (y pudiendo demostrar) la protección de los derechos de los interesados.
En definitiva, el análisis y la gestión de riesgos son procedimientos que posibilitan a las organizaciones identificar y poder anticiparse a los posibles efectos adversos o no previstos que el tratamiento pueda tener para los derechos y libertades de los interesados.
La mejor de las garantías para toda entidad es, sin duda, tener establecida una hoja de ruta (que incluya dichos procedimientos) para afrontar de manera eficaz los posibles riesgos a los que puede enfrentarse.