Análisis de riesgos RGPD: 2 herramientas para el éxito de la adaptación
El análisis de riesgos RGPD es una de las novedades más significativas del nuevo Reglamento General de Protección de Datos, conocido también como RGPD. Se trata del nuevo marco de referencia europeo en cuanto a la normativa para la protección y el tratamiento de datos de carácter personal y sensible.
El RGPD entró en vigor el 25 de mayo de 2018 y es de aplicación obligatoria en toda Europa. En España, la instancia encargada de regular el cumplimiento del reglamento es la Agencia Española de Protección de Datos (AEPD).
El Registro General de Protección de Datos regula tres ejes fundamentales:
-
El consentimiento de las personas (es incondicional para la recogida y el tratamiento de los datos);
-
Las acciones obligatorias para la adaptación de las empresas a la nueva Ley;
-
Las sanciones mucho más estrictas para las organizaciones que incumplan el reglamento.
¿Qué aspectos se introducen con la nueva ley de protección de datos? ¿Qué debemos tener en cuenta a la hora de realizar el análisis de riesgos? ¿Cuál software elegir entre toda la oferta? appvizer aclara tus dudas y te guía en el proceso de selección de herramientas.
¿Qué es el análisis de riesgos?
Sin importar el sector, la motivación o la finalidad, el análisis de riesgos constituye una herramienta importantísima en la gestión de cualquier proyecto.
El análisis de riesgos permite determinar las posibles amenazas, definir el nivel de riesgos de las mismas, prever las consecuencias y especificar los protocolos para prevenir y gestionar dichos riesgos.
En el RGPD, se trata de un estudio previo de las posibles amenazas relacionadas con la protección y la seguridad de los datos. El objetivo es prever los riesgos relacionados e implementar medidas y estrategias desde el inicio del tratamiento con el objetivo de mitigar las probabilidades de los riesgos.
Dicho en otras palabras, el análisis de riesgos busca garantizar estos cinco criterios en las actividades de tratamiento:
-
La confidencialidad,
-
La integridad,
-
La disponibilidad,
-
La eficacia de las medidas adoptadas,
-
La licitud de los tratamientos.
Antes del RGPD, la LOPD (en el RD 1720/2007) clasificaba los riesgos asociados a la privacidad de los datos en 3 niveles: básico, medio y alto.
Según el nivel de riesgo de cada empresa, esta debía aplicar un listado de medidas de seguridad para asegurar y justificar la protección de la privacidad.
Con la entrada en vigor del RGPD, esta clasificación de los riesgos desaparece. En su lugar, cada empresa debe aplicar las medidas que considere oportunas, según la particularidad del tratamiento de sus datos y ser capaz de demostrar el procedimiento para la protección de los mismos.
En este sentido, se hace necesario que las empresas recurran a herramientas capaces de acompañarlas durante la implementación de un proceso conforme con el RGPD en lo que respecta al tratamiento de datos. Un sistema ECM y de flujos de trabajo como DocuWare, por ejemplo, garantiza el cumplimiento de la normatividad a largo plazo, a partir de la configuración de características que se adaptan específicamente a la organización y a sus procesos jurídicos, sin importar su sector o tamaño.
¿Dónde está regulado el análisis de riesgos en el nuevo Reglamento General de Protección de Datos?
El análisis de riesgos no está definido de forma expresa en el RGPD por medio de algún apartado que lleve su nombre. Sin embargo, se encuentra establecido de manera implícita en el artículo 25 denominado “Protección de datos desde el diseño y por defecto”
Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.
¿Es el Delegado de Protección de Datos (DPO) el encargado del análisis de riesgos y de la EIPD?
Sí, en las empresas con la obligación de designar un DPO, esta será la persona responsable de llevar a cabo el análisis de riesgos y de determinar si una Evaluación de Impacto de la Protección de datos (EIPD) es necesaria.
No obstante, puesto que no todas las empresas requieren de la designación obligatoria de un DPO, las empresas que carecen de esta figura deberán escoger a una persona con las competencias necesarias para llevar a cabo el análisis de riesgos.
¿Cómo hacer un análisis de riesgos RGPD según la AEPD?
La Agencia Española de Protección de Datos, en su guía práctica de análisis de riesgos pone a disposición varias plantillas para organizar, documentar y estructurar el análisis de riesgos. El objetivo es determinar la existencia de circunstancias que requieran posteriormente de una EIPD.
Básicamente, el DPO o, en su defecto, el responsable del tratamiento debe comenzar por definir los siguientes elementos:
Definir los tipos de datos
La tipología de los datos recaudados: personales, sensibles, genéticos, biométricos...
Aclarar el objetivo de la colecta de datos
La finalidad del tratamiento: elaborar perfiles, tratamiento a gran escala, monitorización sistemática...
Indentificar el flujo de la información
El ciclo de vida de los datos: captura, clasificación, tratamiento, transferencia, destrucción...
Determinar los agentes implicados en el tratamiento
Los elementos involucrados en cada una de las etapas del ciclo de vida de los datos: intervinientes, tecnologías, sistemas, transferencias internacionales...
Detallar los tipos de amenazas
-
Relacionadas con la privacidad de los usuarios y la protección de los datos;
-
Relacionados con el incumplimiento de las disposiciones del RGPD.
Integrar un modelo de análisis de riesgos en la protección de datos
Una vez que todos los datos han sido recopilados, documentados, organizados y clasificados, empieza el proceso de cruce de datos y de análisis de riesgos para poder instaurar medidas de seguridad.
Afortunadamente, gracias a los avances tecnológicos, hoy en día podemos acelerar de manera óptima muchas de las tareas repetitivas y obligatorias. La AEPD ha puesto al servicio de las empresas una solución informática capaz de automatizar y agilizar algunos procedimientos para la valoración del riesgos.
Ejemplo análisis de riesgos RGPD
Novedades RGPD
El RGPD 679/2016 viene a sustituir la antigua Ley Orgánica de Protección de Datos (LOPD) 15/1999. A diferencia de la LOPD, el nuevo reglamento concierne todo el territorio europeo, así como todas las empresas y organizaciones que traten datos de personas europeas o residentes en la Unión Europea.
Esta normativa busca reforzar los derechos de las personas y estandarizar las obligaciones de las empresas en cuanto a la protección de datos.
Pero, ¿qué cambia con respecto a la LOPD?
Para empezar, el RGPD consolida el derecho a la información a través de una comunicación transparente e inteligible con un lenguaje sencillo.
Se introducen dos nuevas categorías de datos
-
Datos genéticos,
-
datos biométricos.
Más derechos para los usuarios: ampliación de los Derechos ARCO
Con el nuevo reglamento europeo, las personas adquieren el control de sus datos. Además de los ya conocidos derechos ARCO establecidos en la LOPD:
-
Acceso,
-
rectificación,
-
cancelación,
-
oposición.
Las personas pueden exigir igualmente:
-
El derecho al olvido,
-
el derecho a la portabilidad de datos.
Conoce con más detalles en qué consiste la ampliación de los derechos ARCO gracias al artículo del Delegado de Protección de Datos Francesc Alcaraz Gallego.
Fortalecimiento de las sanciones
Las empresas que no cumplan con alguna de las obligaciones del nuevo RGPD se verán confrontadas a sanciones mucho más estrictas que las de la antigua Ley Orgánica de Protección de Datos. Dichas sanciones pueden ir de un 4 % del volumen de negocio total anual global hasta 20 millones de euros.
Nuevas obligaciones y procesos para las empresas
Además de la introducción de nuevas responsabilidades como :
-
La obligación de comunicar sobre el proceso de tratamiento;
-
El consentimiento mediante una declaración clara y afirmativa de los usuarios y de los menores (edad mínima limitada a 13 años en España);
-
La minimización de datos y del tiempo de tratamiento de los datos.
Se introduce el principio de responsabilidad proactiva
Este principio exige una serie de estudios previos relacionados con la naturaleza y el tratamiento de los datos con la finalidad de adaptar y aplicar medidas de protección desde el diseño.
Algunas medidas del principio de responsabilidad proactiva son:
-
Notificar fallos en la brecha de seguridad (72 horas máximo);
-
Nombramiento obligatorio de un DPO (según el tipo de datos);
-
Análisis de riesgos y evaluación del Impacto RGPD.
Facilita RGPD
Facilita RGPD es una solución en línea pensada para ayudar a las organizaciones a cumplir con el reglamento.
Esta herramienta para valoración del riesgo es muy fácil de usar, consiste en rellenar los formularios en línea con los mismos elementos que hemos identificado anteriormente.
Una vez que has ingresado y validado todos los datos, Facilita RGPD genera un documento con las medidas de seguridad que se deben implementar en la empresa para la protección de datos.
No obstante, dicha herramienta solo ha sido concebida para tratamientos de escaso riesgo.
Si te preguntas si se debe hacer un análisis de riesgos si utilizas facilita, la respuesta es: depende. Las empresas cuyos tratamientos son considerados de alto riesgo no podrán cubrir sus necesidades con la herramienta de la AEPD. Para estas organizaciones existen herramientas con funcionalidades mucho más avanzadas.
2 herramientas para el análisis de riesgos
Data Privacy Solution
Data Privacy Solution es un software RGPD todo en uno, pensado para todo tipo de empresas o consultores.
Diseñada por abogados e ingenieros especialistas en la protección de datos, DPS se posiciona como una plataforma muy completa ya que permite gestionar todo lo necesario para cumplir con el RGPD y la LOPDGDD (gestión de derechos, análisis de riesgos, EIPD, generación de plantillas y documentación, gestión de brechas de seguridad, etc). Cuenta con una interfaz agradable, ágil e intuitiva que permite la visualización gráfica de los datos.
Tanto el análisis de riesgos como el EIPD están basados en las guías y buenas prácticas de la AEPD (Agencia española de protección de datos). Además, proponen servicios de consultoría y asistencia legal.
¿Por qué Data Privacy Solution?
-
Solución multiempresa y multiusuarios para una gestión ágil.
-
Empresa 100% española con sistemas ubicados en un centro de proceso de datos de alto rendimiento en cuanto a seguridad y disponibilidad.
-
Solución SaaS en la nube (acceso seguro, fácil y rápido desde cualquier dispositivo y en cualquier momento).
-
Incluye actualización automática de cambios normativos y mejoras funcionales.
Data Privacy Solution
Smart GDPR
Smart GDPR es una solución pensada por profesionales de la protección de datos personales para todo tipo de empresa concernida por la nueva normativa europea, así como para comunidades de hasta 100.000 habitantes, Administraciones Públicas y asociaciones.
Esta plataforma posee una auditoría que permite realizar el análisis de riesgos. A diferencia de otras herramientas, una vez el análisis de riesgos realizado, el DPO debe validar las tareas asignadas por la plataforma para la gestión del riesgo en función de la valoración del mismo.
¿Qué propone Smart GDPR?
Esta herramienta, además de ser completa e intuitiva, va más allá del software RGPD gracias a la propuesta de servicios personalizados como:
-
Externalización de la función del DPO con abogados especializados,
-
Consultoria juridica,
-
Creación automática de modelo de análisis de riesgos para la protección de datos,
-
Club de usuarios.
¿Por qué utilizar un software RGPD para en análisis de riesgos?
El principio de responsabilidad proactiva nos obliga a probar la eficacia de las medidas adoptadas para la mitigación de riesgos. Los software RGPD además de ser soluciones completas y personalizables para el Análisis de Riesgos, la Evaluación del Impacto y la Gestión de los Riesgos, también son soluciones de gestión documental que permiten almacenar todos los documentos, medidas y estrategias relacionados con la protección de datos.
Después de haber estudiado traducción e interpretación en la Universidad Central de Venezuela, Anaraya obtiene una licencia en lenguas, literaturas y civilizaciones extranjeras en la Universidad de la Sorbona en Paris IV y un Máster en Turismo Cultural en la Universidad de Lorraine con un año de intercambio en la Universidad de Barcelona. Después de una larga experiencia como profesora de español, incursiona en el mundo del marketing digital gracias a la redacción web para agencias de viajes en España. He aquí el principio de una nueva pasión y de una hermosa aventura: el SEO y el webmarketing.