La finalidad principal de esta normativa es garantizar la seguridad de los datos personales que manejan las empresa y una de las formas de garantizar esa protección es la realización de análisis de riesgos. ¿Sabes en qué consiste ese análisis de riesgos, para qué sirve y cómo debe realizarse? En este post tienes toda la información.

¿Qué es el Análisis de riesgos?

Podemos definir el análisis de riesgos como el proceso a través del cual podemos cumplir con la normativa de Protección de datos en el desarrollo de la actividad de la empresa.

A través del mismo podremos identificar los peligros que conlleva ese nuevo servicio o producto para la protección de los datos personales, disminuir el coste de aplicación de la normativa de protección de datos e impedir futuros riesgos que puedan perjudicar la reputación de la empresa.

¿Cuándo debe realizarse?

El análisis de riesgos debemos realizarlo antes de comenzar la prestación de un nuevo servicio o de ofrecer un nuevo producto en la empresa que implique el tratamiento de datos personales.

También debe realizarse ese análisis de riesgos cuando vayamos a realizar cualquier modificación en esos productos o servicios.

Por tanto, es aconsejable realizar un análisis de riesgos en los siguientes supuestos:

  • Cuando vayamos a crear una aplicación tecnológica que guarde y gestione datos personales
  • Si vamos a ceder o comunicar datos personales a otra empresa u organización
  • Cuando el tratamiento de esos datos permita identificar a un grupo determinado de personas
  • Si utilizamos sistemas de vigilancia o localización de personas.

¿Quién debe realizarlo?

La persona dentro de la empresa encargada de realizar ese análisis de riesgos debe ser alguien que tenga conocimientos en materia de Protección de datos. En caso de que la empresa haya nombrado un Delegado de Protección de datos, debe ser este el encargado de realizar el análisis de riesgos.

En la realización del análisis de riesgos intervendrán también todas las personas de la empresa que estén implicadas en ese producto o servicio y los posibles usuarios de los mismos.

Normativa de análisis de riesgos

RGPD

El RGPD regula el análisis de riesgos en el artículo 32 donde establece que deben tenerse en cuenta el alcance, naturaleza, fines y contexto del tratamiento para aplicar las medidas de seguridad adecuadas que reduzcan los riesgos que existan para los derechos y libertades de las personas.

No se establecen unas medidas de seguridad estándar sino que, a partir del análisis de riesgos efectuado, debe ser el responsable del tratamiento el que decida qué medidas de seguridad son las necesarias para evitar o reducir esos riesgos detectados.

LOPDGDD

La LOPDGDD habla del análisis de riesgos en el artículo 28 indicando que los responsables y encargados del tratamiento deben tener en cuenta los posibles riesgos que se deriven de esos tratamientos a la hora de aplicar las medidas técnicas y organizativas adecuadas.

¿Cómo hacer un análisis de riesgo?

Es necesario que conozcamos los motivos por los que tenemos que efectuar el análisis de riesgos sobre ese servicio, proyecto o tratamiento de datos que vamos a realizar en la empresa.

Para determinar si debemos o no realizar ese análisis de riesgos tendremos que responder a una serie de preguntas como:

  • ¿Vamos a comunicar o a ceder datos personales a terceros?
  • ¿Recopilaremos datos personales?
  • ¿Usaremos alguna tecnología que se considere invasiva para la privacidad?
  • ¿Dentro de los datos personales que vamos a tratar hay datos considerados sensibles?
  • ¿Realizaremos comunicaciones a los afectados que supongan una invasión de su privacidad?

Si la respuesta a alguna de estas cuestiones es afirmativa, estamos obligados a realizar un análisis de riesgos.

Metodología para el análisis de riesgos

En la realización del análisis de riesgos debemos seguir unas fases o pasos determinados. Vamos a analizarlos.

1. Descripción de la información a tratar

En esta primera fase debemos responder a cuestiones como de qué forma vamos a recopilar esos datos personales, por qué los necesitamos, para qué vamos a utilizarlos y quién va a acceder a ellos.

Es decir, aquí debemos tener en cuenta todas las actividades de tratamiento de datos realizadas en la empresa.

2. Identificación de los riesgos sobre la privacidad

Los riesgos para la privacidad que pueden derivarse del tratamiento de los datos personales pueden ser:

  • Corporativos: multas en casos de incumplimiento de la normativa o pérdidas reputacionales.
  • Para los afectados: no realizar un adecuado proceso de anonimización, comunicaciones de datos a terceros cuando no sea necesario o conservar los datos durante un periodo mayor del necesario.
  • Legales: Incumplimiento de la normativa de protección de datos o con la Ley de Servicios de la sociedad de la información y comercio electrónico.

Dentro de esta fase debemos verificar que se cumplen una serie de requisitos.

Adecuada finalidad

Los datos personales únicamente podemos utilizarlos para la finalidad para la cual los hemos solicitado. Para ello es importante comprobar que en el nuevo producto o servicio se hayan contemplado todas las finalidades para las que se recojan los datos personales y no exista ninguna finalidad que no hay sido prevista.

Calidad de los datos

Los datos que se recopilen deben ser adecuados para las finalidades para las que se van a utilizar. Y no debemos solicitar datos personales que no vayamos a utilizar.

Periodo de conservación adecuado

Debemos tener en cuenta cuál va a ser el periodo de conservación de los datos personales y si esa herramienta o proyecto donde se van a utilizar los datos permitirá borrarlos cuando ya no sean necesarios.

Permitir el ejercicio de los derechos de los interesados

El nuevo servicio o producto debe permitir que los interesados puedan ejercer sus derechos de acceso, rectificación, limitación, cancelación, oposición y portabilidad sobre sus datos personales.

En el caso de que ese servicio o producto esté destinado al marketing, debe garantizarse que los afectados tengan la opción de negarse a través de un sistema opt-out.

Implantación de medidas de seguridad

Debemos aplicar las medidas de seguridad necesarias para garantizar la seguridad de esos tratamientos y formar adecuadamente a todas las personas que accedan a esos datos para evitar accesos indebidos.

Transferencias internacionales

Debemos considerar si vamos a transferir esos datos personales a países que se encuentren fuera del Espacio económico europeo y, en caso de ser así, si cumplimos las garantías adecuadas de protección. Puedes verlo mejor en nuestro artículo sobre transferencias internacionales de datos.

3. Determinar medidas que garanticen la privacidad

Una vez identificados los riesgos que pueden existir sobre la privacidad tendremos que determinar las medidas que puedan evitarlos o reducirlos para asegurar esa privacidad.

Algunas de las medidas que pueden aplicarse según el riesgo detectado son:

  • Evitar recoger y guardar determinadas clases de datos
  • Indicar el plazo máximo de conservación de los datos y los procedimientos de destrucción segura de los mismos.
  • Establecer un proceso de anonimización de los datos
  • Formar al personal y aplicar las medidas de seguridad
  • Garantizar el ejercicio de derechos por los afectados
  • Determinar los protocolos a aplicar en caso de que se realicen cesiones de datos
  • Informar claramente a los afectados sobre las finalidades para las que se solicitan sus datos personales

También tendremos que valorar el beneficio y el coste para la empresa de la aplicación de estas medidas.

4. Aplicar las medidas anteriores

Una vez que hemos decidido qué medidas son las más adecuadas para garantizar la privacidad debemos aplicarlas. Tampoco es necesario aplicar todas ellas puesto que puede haber determinados riesgos que la empresa esté dispuesta a asumir si los considera como aceptables.

En caso de que existan riesgos que no puedan evitarse y sean inasumibles por la empresa tendremos que plantearnos si ese producto o servicio es viable o, por el contrario, debemos parar su implantación.

En esta fase debemos registrar todos los riesgos detectados y las medidas que vamos a aplicar, así como quién será el responsable de esa aplicación.

Todo esto debemos incluirlo en el Informe final de Análisis de riesgos que es aconsejable publicar para que los interesados puedan conocer la forma en que el producto o servicio afecta a su privacidad.

5. Participación de todo el personal implicado

Es importante que exista una colaboración e información entre todas las personas que participan en la creación de ese nuevo producto o servicio.

Se exige una participación en el análisis de riesgos tanto de los diseñadores del producto o servicio como del departamento legal y de seguridad de la información de la empresa y de los encargados del tratamiento. Igualmente, los afectados por ese tratamiento deben participar dando su opinión. Por ejemplo, en el sector público se plantean consultas a los afectados por el tratamiento para que manifiesten sus opiniones.

6. Incorporación del Análisis de riesgos en la gestión

Finalmente, el informe obtenido de ese análisis de riesgos debemos incorporarlo en la gestión de la empresa para asegurar la privacidad de ese servicio o producto.

Guía de la AEPD

Para facilitar la realización del Análisis de riesgos la AEPD ha elaborado una guía en la que se establecen las orientaciones y normas para garantizar la privacidad desde el diseño de un producto o servicio analizando los riesgos asociados. Con ello se pretende dar cumplimiento al RGPD.