phone 915 752 750 email aec@aec.es

    Obligaciones en la nueva Guía de Gestión del Riesgo y la Evaluación de Impacto en los tratamientos de datos personales

    7 julio, 2021 |by Blog AEC GOVERTIS | 0 Comments | GDPR Legal | , , , , , , ,

    La Agencia Española de Protección de Datos ha publicado la nueva Guía para la gestión del riesgo y evaluación de impacto en tratamiento de datos personales, cuyo objetivo es actualizar conforme a nuevos los nuevos criterios e interpretaciones de la AEPD, el Comité europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos y unificar las guías “Guía práctica de análisis de riesgo para el tratamiento de datos personales” y la “Guía práctica para la evaluación de impacto en la protección de datos personales” publicadas por la AEPD hace tres años.

    Esta Guía comienza explicando el concepto de riesgo, primero de forma genérica y luego focalizada en la protección de los datos personales, indicando que el RGPD da total libertad para la gestión del riesgo, ya que debe integrarse con el resto de los recursos de la organización de gestión de riesgos, políticas y gobernanza.

    Se especifica que la gestión del riesgo no puede, en ningún caso, sustituirse por el cumplimento normativo, o por una póliza de seguros que cubra la responsabilidad de la organización en caso de que haya una infracción de la normativa de protección de datos, sino que, ante cualquier tratamiento, la organización tiene adoptar medidas técnicas y organizativas que protejan los derechos y libertades de las personas, tanto a nivel individual como social y aunque el riesgo sea escaso. Por ello esta Guía indica que “Si una entidad pretende abordar un tratamiento y no tiene la capacidad para hacer la necesaria la gestión del riesgo, estará obligada a buscar algún tipo de ayuda, como recurrir a la consultoría externa, para realizarlo de la forma apropiada”, ya que el objetivo no es sólo poder actuar ante un hecho que ocasione un perjuicio para los derechos y libertades del interesado, sino haber implementado las medidas adecuadas para poder prevenirlo.  En Govertis podemos ayudarte con el cumplimiento de todas las obligaciones de la normativa de protección de datos.

    La Guía analiza las fases que debe tener un proceso de gestión del riesgo, haciendo hincapié en la importancia de detallar el tratamiento que se quiere llevar a cabo, describiendo su propósito, su naturaleza, su alcance y su contexto.

    Una nueva referencia que se hace en esta Guía, y que no se hacía en las anteriores de forma expresa, es la importancia que tiene la gestión de la seguridad de la información. En concreto se indica que la implementación en la organización de modelos de gestión, como el Sistema de Gestión de la Seguridad de la Información (SGSI) y de directrices como las normas ISO 27000 o el Esquema Nacional de Seguridad, además de políticas de información de la entidad y las políticas de seguridad, son medios para poder gestionar los riesgos de forma efectiva y eficaz y, de esta forma, poder considerar que los sistemas de información de la entidad cumplen con unos mínimos de seguridad que exigen estos modelos, directrices, estándares y políticas. Pero no es suficiente con esto, sino que las medidas de seguridad que se implementen en la organización tienen que revisarse continuamente dado que la actividad de tratamiento, y por ende el riesgo, puede evolucionar por diversos factores como un cambio en el contexto, factores externos, nuevas necesidades, la modificación de los medios tecnológicos utilizados etc.

    Otro punto importante que aparece en esta nueva Guía, es el concepto de la “Gobernanza de los riesgos para los derechos y libertades” relacionado con el cumplimiento del principio de responsabilidad proactiva en el que la organización debe implementar políticas de protección de datos que se apliquen de una forma efectiva, práctica y ejecutiva en toda la organización y no se reduzcan a una mera declaración de voluntad de compromiso. Estos documentos relativos a la gestión del riesgo han de estar documentados y deberán contener unos elementos mínimos descritos en la Guía.

    En el segundo capítulo se expone una metodología, en concreto unos mínimos, para la descripción del tratamiento, ya esto se considera el punto más importante para poder gestionar los riesgos de forma eficaz. Se propone realizar el estudio del tratamiento para realizar la gestión del riesgo sobre el mismo, hasta en tres niveles de detalle:

    • Estudio a alto nivel del tratamiento: en este nivel se ofrece una tabla que incluye la información mínima que se tiene que analizar para poder realizar un análisis del riesgo.
    • Análisis estructurado del tratamiento: en el caso de que el estudio del punto 1) no sea suficiente para gestionar el riesgo, es necesario que se realice un análisis estructurado del tratamiento, es decir, “identificar en el tratamiento las distintas operaciones que lo forman y la relación que existe entre ellas”.
    • Descripción del ciclo de vida de los datos: en caso de encontrarnos con tratamientos complejos, se deberá realizar asimismo este análisis que supone estudiar las distintas etapas de la vida de un conjunto o categorías de datos, desde que se procede a la recogida de los datos personales hasta su destrucción.

    Además, se introducen dos nuevos conceptos para el cálculo del nivel del riesgo cuando hay dos o más factores de riesgo que apunten a un determinado nivel de impacto, y cuando haya dos o más indicios que apunten a un determinado nivel de probabilidad: el coeficiente de impacto acumulado y el coeficiente de probabilidad acumulado.

    Al igual que la Guía de Evaluaciones de Impacto, la Guía expone una tabla de ejemplos de controles para afrontar los riesgos. Estos controles resultan muy útiles a la hora de determinar qué controles son los más adecuados en nuestro tratamiento.

    La tercera sección se reserva para explicar la Evaluación de Impacto: quien la realiza, en qué momento y las excepciones a su realización por no ser legalmente necesario, así como la excepción a su realización antes del inicio de las actividades de tratamiento, por ser necesaria la revisión y adaptación en el ciclo de vida de este. Centrándonos en esta última excepción, la pregunta lógica es: si antes de la entrada en aplicación del RGPD no tenía la obligación de hacer una Evaluación de Impacto sobre un tratamiento que ya venía realizando, ¿lo tengo que hacer ahora? La propia Guía contesta a esto afirmando que, como parte de las obligaciones de responsabilidad proactiva del responsable del tratamiento, es necesario que se realice esta Evaluación de Impacto si fuera necesaria.

    Además, se desarrolla la exigencia relativa a la evaluación de la necesidad y proporcionalidad del tratamiento, haciendo una ponderación del juicio de proporcionalidad, del juicio de necesidad y del juicio de proporcionalidad en sentido estricto. Es importante tener en cuenta que el hecho de realizar esta evaluación no sustituye a la realización de la Evaluación de Impacto, ya que el objetivo de ambas es diferente. Lo que si es cierto es que, si no se puede demostrar la necesidad y la proporcionalidad de un tratamiento de alto riesgo, no se recomienda continuar con la Evaluación de Impacto o plantear una consulta previa del artículo 36 RGPD.

    Un apunte que realiza la Guía, es que en los casos en los que se realice un análisis de necesidad, y la justificación se base en la exigencia de responder a una situación concreta de urgencia, el responsable tiene que vigilar que esta situación concreta de urgencia sigue estando vigente, ya que, en caso contrario, no estaría justificado seguir realizando este tratamiento.

    Por último, se aborda la cuestión de las consultas previas a la AEPD cuando, tras haber realizado una EIPD, el riesgo residual resultante podría poner en riesgo los derechos y libertades de los interesados.

    Como se puede observar, la AEPD ha querido compilar toda la información relativa a la gestión de los riesgos y las Evaluaciones de Impacto en una completa Guía.

    Si quieres aprender más sobre la gestión de los riesgos y la evaluación de impacto, o en refrendar tus habilidades, la AEC ofrece el siguiente curso de especialización para que puedas fortalecer tus conocimientos, Taller práctico de análisis de riesgos y evaluaciones de impacto en protección de datos. 

    Ana Vicente Cuesta

    Equipo Govertis.

    KEEP READING

    Responsabilidad Proactiva

    2 agosto, 2018 |by Macarena Rodriguez | 0 Comments | GDPR Legal | , , , ,

    A lo largo de distintos post publicados en nuestro Blog del DPD/DPO hemos tratado la responsabilidad en el tratamiento de los datos personales, sin embrago en estas líneas queremos centrarnos en la Responsabilidad Proactiva o accountability.

    Antes de entrar a ver el principio de responsabilidad proactiva en el Reglamento General de Protección de Datos (RGPD), cabe indicar que el Grupo de Trabajo del Artículo 29 (GT29), que fue sustituido tras la plena aplicación del RGPD (el 25 de mayo) por el Comité Europeo de Protección de Datos (CEPD), publicó en 2010 el Dictamen 3/2010 sobre el principio de responsabilidad, WP 173, en el que explicaba  su significado y alcance.

    El GT29 señalaba que «proviene del mundo anglosajón donde es de uso general y donde se da una comprensión ampliamente compartida de su significado, aunque la definición exacta de «responsabilidad» resulta compleja en la práctica.» Y también que «el término apunta sobre todo al modo en que se ejercen las competencias y al modo en que esto puede comprobarse.»

    Como señala la AEPD (Principio Responsabilidad Proactiva) el RGPD, en su artículo 24,  describe este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.

    Para ello las organizaciones han de analizar qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo, para pasar a realizar el Análisis de Riesgos. Pasos que se están dando en la adecuación al Reglamento General de Protección de Datos y que les llevará a determinar la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y, como indica el  RGPD,  que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.

    Así pues al hablar de Responsabilidad proactiva o accountability nos centrados en dos elementos:

    1. La necesidad de que el responsable del tratamiento adopte medidas adecuadas y eficaces para aplicar los principios de protección de datos.

    ¿Qué medidas encontramos en el RGPD cuya aplicación supone que las organizaciones están siendo proactivas en la adopción de medidas de seguridad?

    Medidas técnicas y organizativas que serán revisadas y actualizadas, es decir, el responsable del tratamiento tendrá que evaluar o analizar en todo momento el riesgo, atendiendo también a cualquier cambio en el mismo ya sea, por ejemplo, por nuevos tratamientos de datos personales.

    1. La necesidad de demostrar, si así se requiere, que se han adoptado medidas adecuadas y eficaces. En este caso se consigue recabando evidencias, documentando actuaciones que podrán ser de prueba ante incidentes

    Por último señalar que la responsabilidad proactiva se exige al responsable del tratamiento con independencia de que trate los datos personales por sí mismo o a través de un encargado del tratamiento o subencargados de tratamiento.

    El equipo de profesionales de Govertis

    Logotipo de Govertis

     

    KEEP READING

    Análisis de Riesgos

    29 junio, 2018 |by Macarena Rodriguez | 0 Comments | GDPR Legal | , ,

    El análisis de riesgos es, por definición, el estudio de las causas de las posibles amenazas y probables eventos no deseados y los daños y consecuencias que éstas puedan producir.

    Históricamente se ha utilizado como una herramienta de decisión en entornos financieros y de seguridad, si bien, es una herramienta que utilizamos de forma inconsciente en nuestra vida cotidiana: desde que nos despertamos, la elección de nuestras acciones viene determinada en función de los riesgos, desde elegir la ropa que nos ponemos (cogemos el abrigo si sabemos que va a hacer frio, o el paraguas si está nublado, ¿Pero por qué? Porque la probabilidad de pasar frío o mojarnos es alta y si se confirma el hecho, las consecuencias no son deseables), hasta la elección de movernos en coche o coger transporte público, dependiendo del tráfico.

    Existen diferentes metodologías que desarrollan un método formal para realizar este estudio, algunas reconocidas internacionalmente como Magerit v.3 o la ISO 31000:2018. Es importante seleccionar un método, ya que también por definición un análisis de riesgos formal debe reunir tres condiciones: deber ser objetivo, repetible y comparable.

    Independientemente de la metodología escogida se debería  comenzar por conocer qué es lo que nos preocupa o sobre qué queremos hacer el estudio (en el entorno de una EIPD, en el ámbito del Reglamento General de Protección de Datos, sería el tratamiento de datos personales), para posteriormente identificar qué posibles eventos podrían suceder que lo pusieran en peligro (identificación de escenarios de riesgos).

    Dichos escenarios de riesgos deberán ser analizados en dos sentidos: por un lado estimar la frecuencia de ocurrencia de dicho escenario, y por otro, supuesta la materialización del escenario, qué posibles daños podría ocasionar. Para ello, se deberán establecer criterios de impacto (en el caso de las EIPD, en el ámbito del  RGPD, cómo se ven afectados los derechos y las libertades de los individuos) y escalas del daño (por ejemplo: bajo, medio y alto).

    La fórmula del riesgo es sencilla: Riesgo = Frecuencia  x Impacto. Para ello, normalmente se suelen establecer matrices de riesgo, donde se representa gráficamente dicha relación.

    Ejemplo de matriz de riesgo

    El siguiente paso, es evaluar los riesgos e indicar qué riesgos son aceptables y cuáles no lo son, y por lo tanto van a requerir de un tratamiento.

    En el siguiente punto, se propondrán posibles acciones para tratar el riesgo. Existen diferentes opciones: acciones dirigidas a reducir el riesgo, ya sea reduciendo la probabilidad o el daño, para evitar el riesgo, trasladar el riesgo a un tercero o, en última instancia, asumir el riesgo.

    Esta última acción, debería ser por defecto la última opción, debe ser una decisión de la alta dirección y debe estar justificada.

    El último paso consiste en estimar cómo de efectivo se estima que sea el tratamiento, para finalmente calcular el riesgo residual, el cual, debe ser comunicado a la alta dirección y debe ser aprobado por la misma.

     

    El equipo de profesionales de Govertis

    Logotipo de Govertis

    KEEP READING

    Nuevos retos en privacidad: IoT

    4 mayo, 2018 |by Macarena Rodriguez | 0 Comments | DPD DPO | , , , ,

    Al hablar de IoT nos referimos a la llamada “Internet of Things –  Internet de las Cosas”. Esencialmente se trata de la interconexión de objetos en red, mediante la asignación a cada uno de ellos de un “identificador único”, constituyendo así un dominio en el que pueden interactuar e intercambiar información de forma identificada, lo que supone una comunicación máquina a máquina. Estos tratamientos requieren de la designación obligatoria de Delegado de Protección de Datos- DPO-, quien deberá asesorar al responsable o encargado de tratamiento sobre los retos que plantean estos tratamientos para la privacidad.

    Los principales riesgos para la privacidad de estos tratamientos son:

    Rastreo. Consiste en el seguimiento en tiempo real de los movimientos de una persona, a partir de objetos que tiene asignados. Permite conocer la completa trazabilidad de los mismos. Ello puede provocar que esa información sobre hábitos de conducta en manos de cibercriminales pueda ser utilizada por ejemplo para efectuar un robo cuando estamos fuera de casa (trabajando o de vacaciones).

    Elaboración de perfiles. A partir de los datos almacenados del seguimiento de una persona, mediante técnicas analíticas, permite inferir unos patrones de conducta y llegar a conocer sus hábitos y preferencias, posibilitando elaborar su perfil. Por ello se deberá estar a lo previsto en el RGPD para la elaboración de perfiles y, en su caso, decisiones individuales automatizadas.

    Seguridad. Los ataques de DoS (Denegación de Servicio) / DDoS (Distributed Denial of Service) que ya están actualmente presentes en Internet. La IoT también es susceptible a este tipo de ataques por lo que se deben establecer mecanismos de resistencia a este tipo de ataques.

    Por otro lado, al tratarse de dispositivos conectados son susceptibles de recibir malware (virus o programas que cifran la información – ransomware) por lo que deben ser protegidos de la misma manera que otros dispositivos conectados como ordenadores o smartphones.

    Estos tratamientos en la mayoría de los casos requerirán una Evaluación de Impacto en Protección de Datos a tenor del artículo 35.3. a) del RGPD:

    Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar”.

    En la elaboración de la EIPD se deberán tener muy presentes las causas de legitimación del tratamiento, la información facilitada a los interesados, en su caso, el modo de obtención del consentimiento, así como las medidas técnicas y organizativas que reduzcan el alto riesgo para los derechos y libertades de los interesados. El Delegado de Protección de Datos DPO, tendrá un papel relevante en la elaboración de la misma debiendo liderarla y tomar parte activa en todas las fases de la misma.

    Finalizaremos nuestra exposición haciendo referencia a la “Propuesta de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas y por el que se deroga la Directiva 2002/58/CE (Reglamento sobre la privacidad y las comunicaciones electrónicas)” que entre otras cuestiones pretende regular la IoT.

    En relación con las comunicaciones máquina a máquina realizadas por la IoT, la Propuesta de Reglamento indica que estará prohibido recopilar la información emitida por un equipo terminal para poder conectarse a otro dispositivo o a un equipo de red, salvo cuando se cumpla alguna de las siguientes excepciones:

    1. a) cuando se lleve a cabo con el fin exclusivo de establecer una conexión y solamente durante el tiempo necesario para ello, o
    2. b) cuando se muestre una advertencia clara y destacada que informe, como mínimo, de las modalidades de recopilación, su finalidad, las personas responsables de ella y la información restante requerida de conformidad con el artículo 13 del Reglamento (UE) 2016/679 en caso de que se recojan datos personales, así como de cualquier medida que pueda adoptar el usuario final del equipo terminal para interrumpir o reducir al mínimo la recopilación. La información podrá proporcionarse en combinación con el uso de iconos normalizados que ofrezcan, de forma fácilmente visible, inteligible y claramente legible, una adecuada visión de conjunto.

    La recopilación de esta información quedará supeditada a la aplicación de medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado en relación con los riesgos, según lo establecido en el artículo 32 del Reglamento (UE) 2016/679.

    El equipo de profesionales de Govertis

    Logotipo de Govertis

    KEEP READING