El análisis de los riesgos en protección de datos se hace más importante que nunca en un entorno en el que la manipulación de los datos de las personas puede conllevar resultados negativos, violando de algunas de sus libertades o derechos.
El tratamiento de los riesgos en protección de datos contempla dos facetas: la que determina las medidas para la seguridad de carácter técnico y organizativo destinadas a asegurar datos personales y la identificación de los riesgos para las libertades y derechos de los usuarios.
Los análisis de riesgos y la implicación con la LOPD y LSSICE
Los responsables de diseñar los sistemas de seguridad pueden encontrar un equilibrio comprensible entre los datos a proteger y los esfuerzos que se emplean para ello, por lo que queda sobradamente demostrada la eficacia, en cuanto al nivel de riesgos que se puede valorar. Sin embargo, se trata de riesgos para los operadores de datos y su posición no es tan vulnerable como la de los titulares de dichos datos.
En el RGPD se estima la reducción de riesgos para los posibles afectados por las organizaciones que usan sistemas de tratamiento de datos personales desde tres factores:
– Mediante la protección de datos desde el concepto de diseño.
– Mediante protección de datos por defecto.
– Desde evaluaciones de impacto.
El análisis de los riesgos puede complementarse con los análisis de servicios de consultoría de protección de datos
El análisis de riesgos consiste en un estudio en el que se utilizan valores de medida que sirven para cuantificar de manera comprensible el nivel de riesgo. Para ello, es necesario utilizar un método que permitirá trazar qué niveles de riesgo serán aceptables en cada caso concreto y de una manera objetiva.
Dichos métodos suelen ser diseñados en ámbitos como los de los negocios o corporaciones, las organizaciones normativas (ISO) o las Administraciones.
Para cada sistema de manipulación de datos personales y tipo de organización, habrá un mapa de riesgos concreto y único. Para implementar correctamente una política de riesgos, sería conveniente diferenciar por pasos su aplicación:
– Fase de comunicación: tener en cuenta toda la organización, reconocer los riesgos y el nivel de probabilidades de que puedan darse, marcar prioridades y objetivos e invertir en concienciación y formación de los empleados.
– Establecer contexto: definir el marco de desarrollo del análisis de riesgos en función de normativas, riesgos aceptables y un esquema de los elementos a considerar en los tratamientos de datos personales.
– Identificación de los riesgos: elaborar el mapa de riesgos, cuantificando los daños susceptibles.
– Análisis y evaluación de los riesgos: constitución de valor objetivo para cada riesgo, usando medidas de carácter cuantitativo y cualitativo.
– Gestión de los riesgos: identificación de las medidas de seguridad aplicables para cada riesgo, valorando la relación coste-resultados.
– Seguimiento de los riesgos: mediante informes, auditorías y registro de cualquier incidencia que suponga modificaciones en los riesgos y las medidas preventivas.
El análisis de riesgos en protección de datos supone un esfuerzo de carácter proactivo por parte de las organizaciones que usen cualquier tipo de sistema de tratamiento de los datos.