Análisis de riesgos RGPD: 2 herramientas para el éxito de la adaptación

El análisis de riesgos RGPD es una de las novedades más significativas del nuevo Reglamento General de Protección de Datos, conocido también como RGPD. Se trata del nuevo marco de referencia europeo en cuanto a la normativa para la protección y el tratamiento de datos de carácter personal y sensible. 

El RGPD entró en vigor el 25 de mayo de 2018 y es de aplicación obligatoria en toda Europa. En España, la instancia encargada de regular el cumplimiento del reglamento es la Agencia Española de Protección de Datos (AEPD).

El Registro General de Protección de Datos regula tres ejes fundamentales:

• El consentimiento de las personas (es incondicional para la recogida y el tratamiento de los datos);

• Las acciones obligatorias para la adaptación de las empresas a la nueva Ley;

• Las sanciones mucho más estrictas para las organizaciones que incumplan el reglamento.

¿Qué aspectos se introducen con la nueva ley de protección de datos? ¿Qué debemos tener en cuenta a la hora de realizar el análisis de riesgos? ¿Cuál software elegir entre toda la oferta? appvizer aclara tus dudas y te guía en el proceso de selección de herramientas. 

Sin importar el sector, la motivación o la finalidad, el análisis de riesgos constituye una herramienta importantísima en la gestión de cualquier proyecto. 

El análisis de riesgos permite determinar las posibles amenazas, definir el nivel de riesgos de las mismas, prever las consecuencias y especificar los protocolos para prevenir y gestionar dichos riesgos. 

En el RGPD, se trata de un estudio previo de las posibles amenazas relacionadas con la protección y la seguridad de los datos.  El objetivo es prever los riesgos relacionados e implementar medidas y estrategias desde el inicio del tratamiento con el objetivo de mitigar las probabilidades de los riesgos.

Dicho en otras palabras, el análisis de riesgos busca garantizar estos cinco criterios en las actividades de tratamiento:

1. La confidencialidad,

2. La integridad,

3. La disponibilidad,

4. La eficacia de las medidas adoptadas,

5. La licitud de los tratamientos.  

Antes del RGPD, la LOPD (en el RD 1720/2007) clasificaba los riesgos asociados a la privacidad de los datos en 3 niveles: básico, medio y alto.

Según el nivel de riesgo de cada empresa, esta debía aplicar un listado de medidas de seguridad para asegurar y justificar la protección de la privacidad. 

Con la entrada en vigor del RGPD, esta clasificación de los riesgos desaparece. En su lugar, cada empresa debe aplicar las medidas que considere oportunas, según la particularidad del tratamiento de sus datos y ser capaz de demostrar el procedimiento para la protección de los mismos.

En este sentido, se hace necesario que las empresas recurran a herramientas capaces de acompañarlas durante la implementación de un proceso conforme con el RGPD en lo que respecta al tratamiento de datos. Un sistema ECM y de flujos de trabajo como DocuWare, por ejemplo, garantiza el cumplimiento de la normatividad a largo plazo, a partir de la configuración de características que se adaptan específicamente a la organización y a sus procesos jurídicos, sin importar su sector o tamaño.

Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.

Sí, en las empresas con la obligación de designar un DPO, esta será la persona responsable de llevar a cabo el análisis de riesgos y de determinar si una Evaluación de Impacto de la Protección de datos (EIPD) es necesaria. 

No obstante, puesto que no todas las empresas requieren de la designación obligatoria de un DPO, las empresas que carecen de esta figura deberán escoger a una persona con las competencias necesarias para llevar a cabo el análisis de riesgos. 

La Agencia Española de Protección de Datos, en su guía práctica de análisis de riesgos pone a disposición varias plantillas para organizar, documentar y estructurar el análisis de riesgos. El objetivo es determinar la existencia de circunstancias que requieran posteriormente de una EIPD.

Básicamente, el DPO o, en su defecto, el responsable del tratamiento debe comenzar por definir los siguientes elementos:

La tipología de los datos recaudados: personales, sensibles, genéticos, biométricos...

La finalidad del tratamiento: elaborar perfiles, tratamiento a gran escala, monitorización sistemática...

El ciclo de vida de los datos: captura, clasificación, tratamiento, transferencia, destrucción...

Los elementos involucrados en cada una de las etapas del ciclo de vida de los datos: intervinientes, tecnologías, sistemas, transferencias internacionales...

• Relacionadas con la privacidad de los usuarios y la protección de los datos;

• Relacionados con el incumplimiento de las disposiciones del RGPD.

Una vez que todos los datos han sido recopilados, documentados, organizados y clasificados, empieza el proceso de cruce de datos y de análisis de riesgos para poder instaurar medidas de seguridad.  

Afortunadamente, gracias a los avances tecnológicos, hoy en día podemos acelerar de manera óptima muchas de las tareas repetitivas y obligatorias. La AEPD ha puesto al servicio de las empresas una solución informática capaz de automatizar y agilizar algunos procedimientos para la valoración del riesgos. 

El RGPD 679/2016 viene a sustituir la antigua Ley Orgánica de Protección de Datos (LOPD) 15/1999. A diferencia de la LOPD, el nuevo reglamento concierne todo el territorio europeo, así como todas las empresas y organizaciones que traten datos de personas europeas o residentes en la Unión Europea.

Esta normativa busca reforzar los derechos de las personas y estandarizar las obligaciones de las empresas en cuanto a la protección de datos. 

Pero, ¿qué cambia con respecto a la LOPD?

Para empezar, el RGPD consolida el derecho a la información a través de una comunicación transparente e inteligible con un lenguaje sencillo. 

• Datos genéticos,

• datos biométricos.

Con el nuevo reglamento europeo, las personas adquieren el control de sus datos. Además de los ya conocidos derechos ARCO establecidos en la LOPD: 

• Acceso,

• rectificación,

• cancelación,

• oposición.

Las personas pueden exigir igualmente:

• El derecho al olvido,

• el derecho a la portabilidad de datos.

Conoce con más detalles en qué consiste la ampliación de los derechos ARCO gracias al artículo del Delegado de Protección de Datos Francesc Alcaraz Gallego.

Las empresas que no cumplan con alguna de las obligaciones del nuevo RGPD se verán confrontadas a sanciones mucho más estrictas que las de la antigua Ley Orgánica de Protección de Datos. Dichas sanciones pueden ir de un 4 % del volumen de negocio total anual global hasta 20 millones de euros. 

Además de la introducción de nuevas responsabilidades como :

• La obligación de comunicar sobre el proceso de tratamiento;

• El consentimiento mediante una declaración clara y afirmativa de los usuarios y de los menores (edad mínima limitada a 13 años en España);

• La minimización de datos y del tiempo de tratamiento de los datos.

Se introduce el principio de responsabilidad proactiva

Este principio exige una serie de estudios previos relacionados con la naturaleza y el tratamiento de los datos con la finalidad de adaptar y aplicar medidas de protección desde el diseño. 

Algunas medidas del principio de responsabilidad proactiva son: 

• Notificar fallos en la brecha de seguridad (72 horas máximo);

• Nombramiento obligatorio de un DPO (según el tipo de datos);

• Análisis de riesgos y evaluación del Impacto RGPD.

Facilita RGPD es una solución en línea pensada para ayudar a las organizaciones a cumplir con el reglamento.

Esta herramienta para valoración del riesgo es muy fácil de usar, consiste en rellenar los formularios en línea con los mismos elementos que hemos identificado anteriormente. 

Una vez que has ingresado y validado todos los datos, Facilita RGPD genera un documento con las medidas de seguridad que se deben implementar en la empresa para la protección de datos. 

No obstante, dicha herramienta solo ha sido concebida para tratamientos de escaso riesgo. 

Si te preguntas si se debe hacer un análisis de riesgos si utilizas facilita, la respuesta es: depende. Las empresas cuyos tratamientos son considerados de alto riesgo no podrán cubrir sus necesidades con la herramienta de la AEPD. Para estas organizaciones existen herramientas con funcionalidades mucho más avanzadas. 

Data Privacy Solution es un software RGPD todo en uno, pensado para todo tipo de empresas o consultores.

Diseñada por abogados e ingenieros especialistas en la protección de datos, DPS se posiciona como una plataforma muy completa ya que permite gestionar todo lo necesario para cumplir con el RGPD y la LOPDGDD (gestión de derechos, análisis de riesgos, EIPD, generación de plantillas y documentación, gestión de brechas de seguridad, etc). Cuenta con una interfaz agradable, ágil e intuitiva que permite la visualización gráfica de los datos.

Tanto el análisis de riesgos como el EIPD están basados en las guías y buenas prácticas de la AEPD (Agencia española de protección de datos). Además, proponen servicios de consultoría y asistencia legal. 

¿Por qué Data Privacy Solution?

• Solución multiempresa y multiusuarios para una gestión ágil.

• Empresa 100% española con sistemas ubicados en un centro de proceso de datos de alto rendimiento en cuanto a seguridad y disponibilidad.

• Solución SaaS en la nube (acceso seguro, fácil y rápido desde cualquier dispositivo y en cualquier momento). 

• Incluye actualización automática de cambios normativos y mejoras funcionales.

Smart GDPR es una solución pensada por profesionales de la protección de datos personales para todo tipo de empresa concernida por la nueva normativa europea, así como para comunidades de hasta 100.000 habitantes, Administraciones Públicas y asociaciones. 

Esta plataforma posee una auditoría que permite realizar el análisis de riesgos. A diferencia de otras herramientas, una vez el análisis de riesgos realizado, el DPO debe validar las tareas asignadas por la plataforma para la gestión del riesgo en función de la valoración del mismo.

¿Qué propone Smart GDPR?

Esta herramienta, además de ser completa e intuitiva, va más allá del software RGPD gracias a la propuesta de servicios personalizados como:

• Externalización de la función del DPO con abogados especializados,

• Consultoria juridica,

• Creación automática de modelo de análisis de riesgos para la protección de datos,

• Club de usuarios.

El principio de responsabilidad proactiva nos obliga a probar la eficacia de las medidas adoptadas para la mitigación de riesgos. Los software RGPD además de ser soluciones completas y personalizables para el Análisis de Riesgos, la Evaluación del Impacto y la Gestión de los Riesgos, también son soluciones de gestión documental que permiten almacenar todos los documentos, medidas y estrategias relacionados con la protección de datos.