Análisis de riesgos RGPD: 3 herramientas para el éxito de la adaptación

Análisis de Riesgos RGPD

El Reglamento General de Protección de Datos, conocido también como RGPD, es el nuevo marco de referencia europeo en cuanto a la normativa para la protección y el tratamiento de datos de carácter personal y sensible. 

El RGPD entró en vigor el 25 de mayo de 2018 y es de aplicación obligatoria en toda Europa. En España, la instancia encargada de regular el cumplimiento del reglamento es la Agencia Española de Protección de Datos (AEPD).

El Registro General de Protección de Datos regula tres ejes fundamentales:

  • El consentimiento de las personas (es incondicional para la recogida y el tratamiento de los datos);

  • Las acciones obligatorias para la adaptación de las empresas a la nueva Ley;

  • Las sanciones mucho más estrictas para las organizaciones que incumplan el reglamento.

¿Qué aspectos se introducen con la nueva ley de protección de datos? ¿Qué debemos tener en cuenta a la hora de realizar el análisis de riesgos? ¿Cuál software elegir entre toda la oferta? appvizer aclara tus dudas y te guía en el proceso de selección de herramientas. 

La mejor selección de software para tu negocio

Aircall

Aircall
Sistema Telefónico Integrado con sus Herramientas Favoritas
Pruebe gratis
Ver este software

Wrike

Wrike
Gestión colaborativa de proyectos
Empieza gratis
Ver este software

Novedades RGPD

El RGPD 679/2016 viene a sustituir la antigua Ley Orgánica de Protección de Datos (LOPD) 15/1999. A diferencia de la LOPD, el nuevo reglamento concierne todo el territorio europeo, así como todas las empresas y organizaciones que traten datos de personas europeas o residentes en la Unión Europea. 

Esta normativa busca reforzar los derechos de las personas y estandarizar las obligaciones de las empresas en cuanto a la protección de datos. 

Pero, ¿qué cambia con respecto a la LOPD?

Para empezar, el RGPD consolida el derecho a la información a través de una comunicación transparente e inteligible con un lenguaje sencillo. 

Se introducen dos nuevas categorías de datos

  • datos genéticos,

  • datos biométricos.

Más derechos para los usuarios: ampliación de los Derechos ARCO

Con el nuevo reglamento europeo, las personas adquieren el control de sus datos. Además de los ya conocidos derechos ARCO establecidos en la LOPD: 

  • acceso,

  • rectificación,

  • cancelación,

  • oposición.

Las personas pueden exigir igualmente:

  • el derecho al olvido,

  • el derecho a la portabilidad de datos.

Conoce con más detalles en qué consiste la ampliación de los derechos ARCO gracias al artículo del Delegado de Protección de Datos Francesc Alcaraz Gallego.

Fortalecimiento de las sanciones

Las empresas que no cumplan con alguna de las obligaciones del nuevo RGPD se verán confrontadas a sanciones mucho más estrictas que las de la antigua Ley Orgánica de Protección de Datos. Dichas sanciones pueden ir de un 4 % del volumen de negocio total anual global hasta 20 millones de euros. 

Nuevas obligaciones y procesos para las empresas

Además de la introducción de nuevas responsabilidades como :

  • La obligación de comunicar sobre el proceso de tratamiento;

  • El consentimiento mediante una declaración clara y afirmativa de los usuarios y de los menores (edad mínima limitada a 13 años en España);

  • La minimización de datos y del tiempo de tratamiento de los datos.

Se introduce el principio de responsabilidad proactiva

Este principio exige una serie de estudios previos relacionados con la naturaleza y el tratamiento de los datos con la finalidad de adaptar y aplicar medidas de protección desde el diseño. 

Algunas medidas del principio de responsabilidad proactiva son: 

  • Notificar fallos en la brecha de seguridad (72 horas máximo);

  • Nombramiento obligatorio de un DPO (según el tipo de datos);

  • Análisis de riesgos y evaluación del Impacto.

¿Qué es el análisis de riesgos?

Sin importar el sector, la motivación o la finalidad, el análisis de riesgos constituye una herramienta importantísima en la gestión de cualquier proyecto. 

El análisis de riesgos permite determinar las posibles amenazas, definir el nivel de riesgos de las mismas, prever las consecuencias y especificar los protocolos para prevenir y gestionar dichos riesgos. 

En el RGPD, se trata de un estudio previo de las posibles amenazas relacionadas con la protección y la seguridad de los datos.  El objetivo es prever los riesgos relacionados e implementar medidas y estrategias desde el inicio del tratamiento con el objetivo de mitigar las probabilidades de los riesgos.

Dicho en otras palabras, el análisis de riesgos busca garantizar estos cinco criterios:

  1. la confidencialidad,

  2. la integridad,

  3. la disponibilidad,

  4. la eficacia de las medidas adoptadas,

  5. la licitud de los tratamientos.  

Antes del RGPD, la LOPD (en el RD 1720/2007) clasificaba los riesgos asociados a la privacidad de los datos en 3 niveles: básico, medio y alto.

Según el nivel de riesgo de cada empresa, esta debía aplicar un listado de medidas de seguridad para asegurar y justificar la protección de la privacidad. 

Con la entrada en vigor del RGPD, esta clasificación de los riesgos desaparece, en su lugar cada empresa debe aplicar las medidas que considere oportunas según la particularidad del tratamiento de sus datos y ser capaz de demostrar el procedimiento para la protección de los datos. 

¿Dónde está regulado el análisis de riesgos en el nuevo RGPD?

El análisis de riesgos no está definido de forma expresa en el RGPD por medio de algún apartado que lleve su nombre. Sin embargo, se encuentra establecido de manera implícita en el artículo 25  denominado “Protección de datos desde el diseño y por defecto” 

Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados. 

¿Es el Delegado de Protección de Datos (DPO) el encargado del análisis de riesgos?

Sí, en las empresas con la obligación de designar un DPO, esta será la persona responsable de llevar a cabo el análisis de riesgos y de determinar si una Evaluación de Impacto de la Protección de datos (EIPD) es necesaria. 

No obstante, puesto que no todas las empresas requieren de la designación obligatoria de un DPO, las empresas que carecen de esta figura deberán escoger a una persona con las competencias necesarias para llevar a cabo el análisis de riesgos. 

¿Cómo realizar el análisis de riesgos? 

La Agencia Española de Protección de Datos, en su guía práctica de análisis de riesgos pone a disposición varias plantillas para organizar, documentar y estructurar el análisis de riesgos. El objetivo es determinar la existencia de circunstancias que requieran posteriormente de una EIPD.

Básicamente, el DPO o, en su defecto, el responsable del tratamiento debe comenzar por definir los siguientes elementos:

  1. La tipología de los datos recaudados: personales, sensibles, genéticos, biométricos...

  2. La finalidad del tratamiento: elaborar perfiles, tratamiento a gran escala, monitorización sistemática...

  3. El ciclo de vida de los datos: captura, clasificación, tratamiento, transferencia, destrucción...

  4. Los elementos involucrados en cada una de las etapas del ciclo de vida de los datos: intervinientes, tecnologías, sistemas, transferencias internacionales...

  5. Los tipos de amenazas:

  • Relacionadas con la privacidad de los usuarios y la protección de los datos;

  • Relacionados con el incumplimiento de las disposiciones del RGPD.

Una vez que todos los datos han sido recopilados, documentados, organizados y clasificados, empieza el proceso de cruce de datos y de análisis de riesgos.  

Afortunadamente, gracias a los avances tecnológicos, hoy en día podemos acelerar de manera óptima muchas de las tareas repetitivas y obligatorias. La AEPD ha puesto al servicio de las empresas una solución informática capaz de automatizar y agilizar algunos procedimientos para la valoración del riesgos. 

Facilita RGPD

Facilita RGPD es una solucion en linea pensada para ayudar a las organizaciones a cumplir con el reglamento.

Esta herramienta para valoración del riesgo es muy fácil de usar, consiste en rellenar los formularios en línea con los mismos elementos que hemos identificado anteriormente. 

Una vez que has ingresado y validado todos los datos, Facilita RGPD genera un documento con las medidas de seguridad que se deben implementar en la empresa para la protección de datos. 

No obstante, dicha herramienta solo ha sido concebida para tratamientos de escaso riesgo. 

Las empresas cuyos tratamientos son considerados de alto riesgo no podrán cubrir sus necesidades con la herramienta de la AEPD. Para estas organizaciones existen herramientas con funcionalidades mucho más avanzadas. 

3 herramientas para el análisis de riesgos

euroLopd

¿Para quién?

Esta herramienta fue creada para consultores y auditores. La plataforma permite a los profesionales de la protección de datos gestionar de manera eficaz y segura la adaptación RGPD de las empresas, así como procesos tales como la gestión de los derechos ARCO o el análisis de riesgos. El software se encuentra almacenado en la nube.

eurolopd.png

euroLopd Software RGPD
Media Folder: 

euroLopd ofrece un módulo completo para el análisis de riesgos 

Esta funcionalidad permite crear escenarios de riesgos, los cuales pueden ser guardados a modo de plantillas. De esta manera dichos escenarios pueden ser reutilizados y ahorrar tiempo a los utilizadores de la plataforma. Cada escenario cuenta con grupos y subgrupos según las posibles amenazas, asimismo es posible configurar controles y medidas de seguridad pertinentes conforme el tipo y nivel de riesgo gracias a la herramienta de gestión de riesgos. 

Smart GDPR

¿Para quién?

Smart GDPR es una solución pensada por profesionales de la protección de datos personales para todo tipo de empresa concernida por la nueva normativa europea, así como para comunidades de hasta 100.000 habitantes, Administraciones Públicas y asociaciones. 

Esta plataforma posee una auditoría que permite realizar el análisis de riesgos. A diferencia de otras herramientas, una vez el análisis de riesgos realizado, el DPO debe validar las tareas asignadas por la plataforma para la gestión del riesgo en función de la valoración del mismo.

¿Qué propone Smart GDPR?

Esta herramienta, además de ser completa e intuitiva, va más allá del software RGPD gracias a la propuesta de servicios personalizados como:

  • externalización de la función del DPO con abogados especializados,
  • consultoria juridica,
  • seguro de riesgos ampliable hasta 90 M€,
  • club de usuarios.

Globalsuite

¿Para quién?

Se adapta a las necesidades de cada empresa ofreciendo distintas opciones de comercialización y licencias.

globasuite.png

GlobalSuite
Media Folder: 

¿Por qué Globalsuite? 

Globalsuite es un software intuitivo y fácil de usar. La funcionalidad para el análisis de riesgos de Globalsuite posee parámetros predefinidos y configurables según los criterios específicos a las empresas. Una vez ingresados los datos, la aplicación nos indica si es necesario realizar una Evaluación de Impacto de la Privacidad, también conocida como PIA (Privacy Impact Assessment), o no. Una vez que se ha realizado la evaluación del impacto, la plataforma genera informes para especificar los distintos niveles de riesgos según el tratamiento. 

Una vez definidos los tratamientos con niveles de riesgo alto, Globalsuite nos permite pasar a la gestión de los riesgos y auditorías. 

¿Por qué utilizar un software RGPD para en análisis de riesgos?

El principio de responsabilidad proactiva nos obliga a probar la eficacia de las medidas adoptadas para la mitigación de riesgos. Los software RGPD además de ser soluciones completas y personalizables para el Análisis de Riesgos, la Evaluación del Impacto y la Gestión de los Riesgos, también son soluciones de gestión documental que permiten almacenar todos los documentos, medidas y estrategias relacionados con la protección de datos.

La mejor selección de software para tu negocio

Aircall

Aircall
Sistema Telefónico Integrado con sus Herramientas Favoritas
Pruebe gratis
Ver este software

Wrike

Wrike
Gestión colaborativa de proyectos
Empieza gratis
Ver este software
Comentar este artículo

Añadir nuevo comentario