Obligaciones en la nueva Guía de Gestión del Riesgo y la Evaluación de Impacto en los tratamientos de datos personales

La Agencia Española de Protección de Datos ha publicado la nueva Guía para la gestión del riesgo y evaluación de impacto en tratamiento de datos personales, cuyo objetivo es actualizar conforme a nuevos los nuevos criterios e interpretaciones de la AEPD, el Comité europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos y unificar las guías “Guía práctica de análisis de riesgo para el tratamiento de datos personales” y la “Guía práctica para la evaluación de impacto en la protección de datos personales” publicadas por la AEPD hace tres años.

Esta Guía comienza explicando el concepto de riesgo, primero de forma genérica y luego focalizada en la protección de los datos personales, indicando que el RGPD da total libertad para la gestión del riesgo, ya que debe integrarse con el resto de los recursos de la organización de gestión de riesgos, políticas y gobernanza.

Se especifica que la gestión del riesgo no puede, en ningún caso, sustituirse por el cumplimento normativo, o por una póliza de seguros que cubra la responsabilidad de la organización en caso de que haya una infracción de la normativa de protección de datos, sino que, ante cualquier tratamiento, la organización tiene adoptar medidas técnicas y organizativas que protejan los derechos y libertades de las personas, tanto a nivel individual como social y aunque el riesgo sea escaso. Por ello esta Guía indica que “Si una entidad pretende abordar un tratamiento y no tiene la capacidad para hacer la necesaria la gestión del riesgo, estará obligada a buscar algún tipo de ayuda, como recurrir a la consultoría externa, para realizarlo de la forma apropiada”, ya que el objetivo no es sólo poder actuar ante un hecho que ocasione un perjuicio para los derechos y libertades del interesado, sino haber implementado las medidas adecuadas para poder prevenirlo.  En Govertis podemos ayudarte con el cumplimiento de todas las obligaciones de la normativa de protección de datos.

La Guía analiza las fases que debe tener un proceso de gestión del riesgo, haciendo hincapié en la importancia de detallar el tratamiento que se quiere llevar a cabo, describiendo su propósito, su naturaleza, su alcance y su contexto.

Una nueva referencia que se hace en esta Guía, y que no se hacía en las anteriores de forma expresa, es la importancia que tiene la gestión de la seguridad de la información. En concreto se indica que la implementación en la organización de modelos de gestión, como el Sistema de Gestión de la Seguridad de la Información (SGSI) y de directrices como las normas ISO 27000 o el Esquema Nacional de Seguridad, además de políticas de información de la entidad y las políticas de seguridad, son medios para poder gestionar los riesgos de forma efectiva y eficaz y, de esta forma, poder considerar que los sistemas de información de la entidad cumplen con unos mínimos de seguridad que exigen estos modelos, directrices, estándares y políticas. Pero no es suficiente con esto, sino que las medidas de seguridad que se implementen en la organización tienen que revisarse continuamente dado que la actividad de tratamiento, y por ende el riesgo, puede evolucionar por diversos factores como un cambio en el contexto, factores externos, nuevas necesidades, la modificación de los medios tecnológicos utilizados etc.

Otro punto importante que aparece en esta nueva Guía, es el concepto de la “Gobernanza de los riesgos para los derechos y libertades” relacionado con el cumplimiento del principio de responsabilidad proactiva en el que la organización debe implementar políticas de protección de datos que se apliquen de una forma efectiva, práctica y ejecutiva en toda la organización y no se reduzcan a una mera declaración de voluntad de compromiso. Estos documentos relativos a la gestión del riesgo han de estar documentados y deberán contener unos elementos mínimos descritos en la Guía.

En el segundo capítulo se expone una metodología, en concreto unos mínimos, para la descripción del tratamiento, ya esto se considera el punto más importante para poder gestionar los riesgos de forma eficaz. Se propone realizar el estudio del tratamiento para realizar la gestión del riesgo sobre el mismo, hasta en tres niveles de detalle:

• Estudio a alto nivel del tratamiento: en este nivel se ofrece una tabla que incluye la información mínima que se tiene que analizar para poder realizar un análisis del riesgo.
• Análisis estructurado del tratamiento: en el caso de que el estudio del punto 1) no sea suficiente para gestionar el riesgo, es necesario que se realice un análisis estructurado del tratamiento, es decir, “identificar en el tratamiento las distintas operaciones que lo forman y la relación que existe entre ellas”.
• Descripción del ciclo de vida de los datos: en caso de encontrarnos con tratamientos complejos, se deberá realizar asimismo este análisis que supone estudiar las distintas etapas de la vida de un conjunto o categorías de datos, desde que se procede a la recogida de los datos personales hasta su destrucción.

Además, se introducen dos nuevos conceptos para el cálculo del nivel del riesgo cuando hay dos o más factores de riesgo que apunten a un determinado nivel de impacto, y cuando haya dos o más indicios que apunten a un determinado nivel de probabilidad: el coeficiente de impacto acumulado y el coeficiente de probabilidad acumulado.

Al igual que la Guía de Evaluaciones de Impacto, la Guía expone una tabla de ejemplos de controles para afrontar los riesgos. Estos controles resultan muy útiles a la hora de determinar qué controles son los más adecuados en nuestro tratamiento.

La tercera sección se reserva para explicar la Evaluación de Impacto: quien la realiza, en qué momento y las excepciones a su realización por no ser legalmente necesario, así como la excepción a su realización antes del inicio de las actividades de tratamiento, por ser necesaria la revisión y adaptación en el ciclo de vida de este. Centrándonos en esta última excepción, la pregunta lógica es: si antes de la entrada en aplicación del RGPD no tenía la obligación de hacer una Evaluación de Impacto sobre un tratamiento que ya venía realizando, ¿lo tengo que hacer ahora? La propia Guía contesta a esto afirmando que, como parte de las obligaciones de responsabilidad proactiva del responsable del tratamiento, es necesario que se realice esta Evaluación de Impacto si fuera necesaria.

Además, se desarrolla la exigencia relativa a la evaluación de la necesidad y proporcionalidad del tratamiento, haciendo una ponderación del juicio de proporcionalidad, del juicio de necesidad y del juicio de proporcionalidad en sentido estricto. Es importante tener en cuenta que el hecho de realizar esta evaluación no sustituye a la realización de la Evaluación de Impacto, ya que el objetivo de ambas es diferente. Lo que si es cierto es que, si no se puede demostrar la necesidad y la proporcionalidad de un tratamiento de alto riesgo, no se recomienda continuar con la Evaluación de Impacto o plantear una consulta previa del artículo 36 RGPD.

Un apunte que realiza la Guía, es que en los casos en los que se realice un análisis de necesidad, y la justificación se base en la exigencia de responder a una situación concreta de urgencia, el responsable tiene que vigilar que esta situación concreta de urgencia sigue estando vigente, ya que, en caso contrario, no estaría justificado seguir realizando este tratamiento.

Por último, se aborda la cuestión de las consultas previas a la AEPD cuando, tras haber realizado una EIPD, el riesgo residual resultante podría poner en riesgo los derechos y libertades de los interesados.

Como se puede observar, la AEPD ha querido compilar toda la información relativa a la gestión de los riesgos y las Evaluaciones de Impacto en una completa Guía.

Si quieres aprender más sobre la gestión de los riesgos y la evaluación de impacto, o en refrendar tus habilidades, la AEC ofrece el siguiente curso de especialización para que puedas fortalecer tus conocimientos, Taller práctico de análisis de riesgos y evaluaciones de impacto en protección de datos. 

Ana Vicente Cuesta

Equipo Govertis.

Publicación de calificaciones universitarias y la nueva LOPD

Una problemática recurrente en el ámbito universitario es la relativa publicación de las notas de los alumnos. Tradicionalmente, las calificaciones se “colgaban” en el tablón de anuncios de la Universidad, y todo aquel que pasara por allí, ya fuera alumno, progenitor “curioso” o ciudadano anónimo, tenía acceso a las mismas.

Traducido a la normativa de protección de datos, esta publicación supone una comunicación de datos de carácter personal, que debe basarse en una causa de licitud, esto es, uno de los motivos que contempla la Ley para que dicho tratamiento de datos sea válido.

Calificaciones universitarias con la antigua LOPD

Con la antigua LOPD (Ley Orgánica 15/99, de Protección de Datos), la regla general de licitud era el consentimiento del afectado, salvo excepciones, como que una norma con rango de ley contemplara ese tratamiento concreto. Antes de la entrada en vigor de la Ley Orgánica 4/2007, de 12 de abril de Universidades, esa publicación de notas en los tablones era ilegal, salvo que se hubiera recabado previamente el consentimiento de los estudiantes.

La DA 2ª  de la citada Ley Orgánica 4/2007 sí contempló la excepción, y amparó la publicación de las calificaciones de los alumnos sin consentimiento del interesado.

Calificaciones universitarias con el nuevo RGPD

Esta situación no ha cambiado con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) y la nueva Ley Orgánica 3/2018, de Protección de Datos Personales y Garantías de Derechos Digitales (LOPD-GDD), que incluye entre sus bases de legitimación para tratar los datos el interés público basado en una norma con rango de ley, como es este caso.

Pero no basta, de acuerdo con el RGPD y la LOPD-GDD, que la publicación sea lícita (PRINCIPIO DE LICITUD DEL TRATAMIENTO), sino que también debe cumplir con el resto de principios generales de la norma, como el de TRANSPARENCIA, MINIMIZACIÓN DE DATOS o LIMITACIÓN DEL PLAZO DE CONSERVACIÓN, entre otros. Esto implica que la publicación debe hacerse de modo que suponga la menor injerencia en los derechos y libertades de los interesados, lo que excluye la posibilidad de un conocimiento generalizado de las calificaciones, como en el caso de que se publicara, por ejemplo, en Internet. Por todo esto se recomienda:

• Publicación calificaciones en Intranet o aula virtual en la que estuviera limitado el acceso a los profesores y compañeros del grupo, habiendo informado previamente a los alumnos en la matriculación.
• Si de esta forma no fue posible, publicación en tablones de anuncios del centro, siempre que no se encuentren en las zonas comunes de los centros, se garantice que el acceso a los mismos queda restringido a dichas personas y se adopten las medidas necesarias para evitar su público conocimiento por quienes carecen de interés en el mismo.
• En cuanto a los datos a publicar:

• • Nombre y apellidos del alumno y la calificación obtenida.
  • Si hubiera alumnos con mismo nombre y apellidos, incluir cuatro cifras aleatorias de su DNI o documento equivalente, recomendándose seguir los criterios del documento de la AEPD “Orientación para la aplicación provisional de la disposición adicional séptima de la LOPDGDD”.
• Plazo de conservación de la publicación: calificaciones provisionales mientras transcurre el plazo para presentar reclamaciones, y las calificaciones definitivas durante el tiempo imprescindible que garantice su conocimiento por todos los interesados. 

Documentación relacionada:

Informe AEPD 2019-0030

https://www.aepd.es/es/documento/2019-0030.pdf

Orientación para la aplicación provisional de la DA 7ª de la LOPDGDD

https://www.aepd.es/media/docs/orientaciones-da7.pdf

El Equipo Govertis 

“GDPR Y LOPDGDD: De la teoría a la práctica” El Club DPD participa en el II Encuentro de Privacidad de Telefónica

El 9 de mayo Telefónica celebró su II Encuentro de Privacidad, en el cual se trató un tema de gran relevancia: cómo ha sido la adaptación a lo largo del último año al nuevo reglamento RGPD y posteriormente a la LOPDGDD.

Como no podía ser de otro modo, el Club DPD participó activamente en esta importante cita con la protección de datos.

El encuentro se celebró en el Auditorio Telefónica, y comenzó con un keynote por parte de Pedro Pablo Pérez, CEO de ElevenPaths.

Ponencias: El nuevo Reglamento RGPD

La primera ponencia corrió a cargo de Jesús Rubí, de la Agencia Española de Protección de Datos, institución cuya presencia no podía faltar a esta cita.  El ponente abordó una temática de especial relevancia: qué está pasando con la aplicación real del nuevo Reglamento RGPD. Durante la ponencia resaltó la evolución de las reclamaciones tras la entrada en vigor del nuevo Reglamento.

A continuación, Eduard Chaveli, CEO de Govertis y DPD certificado por el CERPER de la AEC, trajo consigo un titular de especial relevancia: Intentando descifrar una ley difícil de pronunciar. Durante su ponencia Eduard se centró especialmente en los principios de la ley, concretamente en el principio de licitud y envió un mensaje claro a la audiencia: “Pon un DPD en tu vida, es una vida extra”.

Mesa redonda: Experiencias prácticas de DPDs tras un año de exigencia del RGPD

Alberto González, gestor del Club DPD de la AEC, moderó una interesante mesa redonda en la que 5 DPDs pudieron compartir su experiencia en la adaptación al cumplimiento del nuevo reglamento durante este año de vigor. Tuvimos el placer de contar con:

• Antonio Muñoz Marcos, Data Protection Technical Diretor, Global DPO Officer at Telefónica.
• Elena Terradillos Figueiro, DPD en la Confederación Sindical de CCOO.
• Nuria Calvo, DPD de Thyssen Krupp.
• Marta Martínez Pérez, DPD de Mutua MAZ.
• Iñaki González-Pol, DPD de Parlamento de Andalucía, Junta Electoral de Andalucía y Defensor del Pueblo Andaluz.

La mesa redonda nos dejó varios puntos de vista muy interesantes. Por ejemplo, Nuria Calvo compartió la visión del cambio en Thyssen Krupp, y explicó cómo se pasó de una empresa “gris” a una empresa digital exponiendo varios ejemplos de transformación digital en los que estuvieron implicados los datos personales. Por su parte, Elena Terradillos comentó la necesidad de crear una guía en la que se recoja la actividad sindical, además de subrayar la importancia de dar formación y contar con el apoyo de la organización para el correcto cumplimiento del RGPD.

En el caso de Mutua Maz el desafío era grande, al ser una empresa que trata datos sensibles, así lo expuso  Marta Martínez. Mientras que por su parte Iñaki González-Pol explicó el cambio de paradigma que ha supuesto el RGPD para la Administración, y destacó el concepto «volatilidad de las certezas jurídicas”.

Tras finalizar la mesa redonda, José Parada y Jorge García de ElevenPaths expusieron la privacidad como punto de partida del análisis integral de seguridad.

Desconexión y Transformación Digital

Después de una pausa para el café, pudimos disfrutar de las dos últimas ponencias.

La primera de ellas corrió a cargo de Tatiana Espinosa, Directora Global de Relaciones Laborales de Telefónica, quien presentó la nueva filosofía de la compañía: “Desconectar para reconectar”, en la cual destacó la importancia de la desconexión digital para los empleados, y habló sobre las diferentes prácticas que se están llevando a cabo para hacerlo posible en la compañía.

Por último Helena Pons-Charlet, habló de la ciberseguridad y privacidad, pilares de la transformación digital. Helena destacó el crecimiento de los ciberataques y consiguió que la audiencia reflexionara sobre las amenazas que implica para las organizaciones estar expuestas a los mismos.

Elisabet Iglesias, responsable de negocio de consultoría de ciberseguridad de Telefónica en España, fue la encargada de clausurar este interesante encuentro, y lo hizo destacando los aspectos más relevantes que se trataron durante el mismo.

El II Encuentro de Privacidad de Telefónica fue una cita imprescindible para los profesionales en protección de datos. Como no podía ser de otra manera el Club DPD participó de manera activa en el encuentro, y los miembros del Club disfrutaron de un trato exclusivo, al disponer de las dos primeras filas del auditorio. Además de participar de manera activa en encuentros sobre protección de datos, el Club DPD organiza sus propios encuentros y retransmite vía streaming ponencias de gran relevancia. ¿Te gustaría asistir a sus próximos encuentros? ¡Descubre el Club DPD!

Privacy by design

El Reglamento General de Protección de Datos de la Unión Europea tiene como objetivo establecer unas nuevas reglas del juego en el desarrollo de productos y servicios del siglo XXI en donde la privacidad cobra una importancia trascendental desde el inicio. Por este motivo, se ha contemplado tanto la adecuación de los sistemas y productos existentes como la protección de los entornos futuros.

La protección de datos en el panorama internacional. Una primera aproximación

En la década de los 80, fue la OCDE, Organización para la Cooperación y el Desarrollo Económicos, la primera en adoptar un documento con implicaciones internacionales en materia de protección de datos personales y privacidad. Poco después, sería el Consejo de Europa el que adoptara el Convenio 108 del Consejo de Europa, de 28 de enero de 1981 para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal.