Privacy Driver ha elaborado un resumen de la guía publicada por la AEPD el 29/06/2021 “Gestión del riesgo y evaluación de impacto en tratamientos de datos personales” como documento de consulta rápida de la misma sin pretender sustituirla en ningún caso.
Se han mantenido los títulos y apartados con el mismo nombre de la guía, para que el lector pueda localizar y consultar el contenido original, que se puede descargar en:
https://www.aepd.es/es/documento/gestion-riesgo-y-evaluacion-impacto-en-tratamientos-datos-personales.pdf
ÍNDICE:
2. Conceptos asociados a la gestión del riesgo
3. El proceso de gestión del riesgo para los derechos y libertades
4. La gobernanza de los riesgos para los derechos y libertades
5. Descripción y contextualización del tratamiento
6. Identificación y análisis de factores de riesgo
7. Evaluación del nivel de riesgo del tratamiento
8. Controles para disminuir el riesgo
9. Valoración del riesgo residual y revisión
10. La evaluación de impacto relativa a la protección de datos
11. Análisis de la obligación de llevar a cabo la EIPD
12. Análisis de la necesidad de realizar una EIPD
13. Evaluación de la necesidad y proporcionalidad del tratamiento
14. Obligación de documentación
15. Recabar la opinión de los interesados o de sus representantes
16. Consulta previa a la autoridad de control
La gestión de riesgo está formada por un conjunto de acciones ordenadas y sistematizadas con el propósito de controlar las posibles (probabilidad) consecuencias (impactos) que una actividad puede tener sobre un conjunto de bienes o elementos (activos) que han de ser protegidos.
El RGPD demanda la identificación, evaluación y mitigación, realizadas de una forma objetiva, del riesgo (gestión del riesgo) para los derechos y libertades de las personas en los tratamientos de datos personales. La mitigación ha de realizarse mediante la adopción de medidas técnicas y organizativas que garanticen y, además, permitan demostrar la protección de dichos derechos. Estás deberán determinarse con referencia a la naturaleza, el alcance, el contexto y los fines del tratamiento. Además, dichas medidas se revisarán y actualizarán cuando sea necesario.
En cumplimiento del principio de responsabilidad proactiva, responsabilidad demostrable o “accountability”, la gestión del riesgo ha de estar documentada. La gestión del riesgo no es un documento sino un proceso que se traduce en hechos y que se acredita documentalmente.
A. La gestión del riesgo
La gestión del riesgo debe de entenderse como una metodología general que integra distintos objetivos de gestión (riesgo financiero, legal, laboral, social, etc.)
Ejemplos de distintas perspectivas de la gestión del riesgo |
|
El tratamiento en sí mismo |
|
El tratamiento en el contexto interno de la organización |
|
El tratamiento en el contexto externo normativo, social y económico |
|
Tabla 1. Ejemplos de distintas perspectivas de la gestión del riesgo
B. La gestión del riesgo en el RGPD
El RGPD hace referencia al término “riesgo” en innumerables ocasiones y de forma específica en el artículo 24.1: “Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario”.
El RGPD no exige ningún requisito explícito de formalidad a la hora de ejecutar la gestión del riesgo, sin perjuicio de las obligaciones de “accountability”. La “aproximación basada en el riesgo” se desarrolla en el “Statement on the role of a risk-based approach in data protection legal frameworks WP218” del Grupo de Trabajo del Artículo 29 (en adelante la Declaración WP218). Sin embargo, para tratamientos que impliquen un alto riesgo, sí establece unos requisitos mínimos (artículos 35 y 36). En este sentido, el Comité Europeo de Protección de Datos (CEPD) ha desarrollado el documento “Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo” a efectos del Reglamento (UE) 2016/679 (WP248). En estas directrices, un “riesgo” es un escenario que describe un acontecimiento y sus consecuencias estimado en términos de gravedad y probabilidad; la “gestión de riesgos” puede definirse como las actividades coordinadas para dirigir y controlar una organización respecto al riesgo.
C. Riesgo para los derechos y libertades
El Considerando 75 desarrolla el concepto de riesgo para los derechos y libertades como cualquier efecto o consecuencia no deseados sobre los interesados o no previsto en el propio tratamiento de datos personales, capaz de generar daños o perjuicios sobre sus derechos y libertades, particularizando, entre otros: los daños y perjuicios físicos, materiales o inmateriales, problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización, perjuicios económicos o sociales, privación a los interesados de sus derechos y libertades, que se les impida ejercer el control sobre sus datos personales, etc.
Las Directrices WP248 interpretan que la protección debe extenderse a otros derechos fundamentales y ha de realizarse evaluando tanto el impacto que tienen sobre las personas afectadas como el impacto social general que puede ocasionar, es decir tanto para el interesado, como para todos aquellos individuos o colectivos de afectados.
D. La gestión del riesgo de cumplimiento vs. riesgo para los derechos y libertades
La gestión del riesgo de cumplimiento normativo está orientada a la protección de los intereses de la entidad para evitar incurrir en sanciones legales o administrativas, pérdidas financieras o de reputación etc. La gestión del riesgo para los derechos y libertades está orientada a la protección del interesado. Por tanto, el incumplimiento normativo no es objeto de una gestión del riesgo que para los derechos y libertades puede ocasionar un tratamiento a los interesados.
La Declaración WP218, interpreta que los derechos y principios fundamentales establecidos en el RGPD que han de cumplir los responsables deben estar garantizados, independientemente de las características del tratamiento y del proceso de gestión del riesgo para los derechos y libertades.
Figura 1. Cumplimiento como requisito previo a la gestión del riesgo
La gestión del riesgo para los derechos y libertades no se puede resolver mediante el uso de garantías legales que se basen en un desvío de la responsabilidad hacia terceros. Los responsables o encargados del tratamiento no pueden eludir su responsabilidad cubriendo los riesgos con pólizas de seguros.
El balance coste/beneficio, en términos económicos o financieros, derivado de la falta de cumplimiento normativo no debe interpretarse, en ningún caso, como una gestión del riesgo para los derechos y libertades, sino que, incluso, podría ser considerado por la Autoridad de control como un posible beneficio obtenido de la propia infracción y un posible factor agravante.
Garantía jurídica |
Gestión del riesgo para los derechos y libertades |
Contrato con el encargado de tratamiento cumpliendo los requisitos del artículo 28 del RGPD. |
Es una obligación de cumplimiento normativo, no una gestión del riesgo. |
Póliza de seguros para cubrir la responsabilidad de la organización ante una posible infracción del RGPD. |
Supone una gestión del riesgo de cumplimiento, pero no del riesgo para los derechos y libertades. |
La firma de un acuerdo de confidencialidad por parte de personal que tratan determinados datos. |
Puede ser una medida de gestión del riesgo para los derechos y libertades, en la medida que no relaja las obligaciones del responsable, sino que busca garantizar el compromiso del personal que trata los datos. |
Tabla 2. Ejemplos de garantías jurídicas y su relación con la gestión del riesgo
La gestión del riesgo para los derechos y libertades tiene por objetivo el estudio del impacto y la probabilidad de causar daño a las personas, a nivel individual o social, como consecuencia de un tratamiento de datos personales.
La gestión de riesgo de cumplimiento normativo tiene por objetivo verificar el grado de cumplimiento de las obligaciones y preceptos exigidos legalmente de la entidad con relación a una actividad de tratamiento.
Por tanto, previamente al proceso de gestión de riesgos y como condición sine qua non para emprender una actividad de tratamiento, es preciso sistematizar la verificación de cumplimiento normativo a lo largo de todo el ciclo de vida del tratamiento.
La AEPD pone a disposición de los responsables y encargados un documento que contiene un Listado de cumplimiento normativo y una Hoja de ruta para garantizar la conformidad con la normativa de protección de datos que puede ser de utilidad a la hora de analizar el grado de conformidad con la normativa de protección de datos.
E. La gestión del riesgo en todos los tratamientos
El concepto de “riesgo cero” no existe cuando hablamos de gestión del riesgo. Siempre existirá un riesgo inherente o inicial implícito en cualquier tratamiento y, una vez que se hayan aplicado medidas y garantías que lo minimicen, seguirá existiendo un riesgo residual.
La gestión del riesgo debe ajustarse al posible impacto de la actividad de tratamiento sobre los interesados y a la propia dificultad del tratamiento. En ningún caso debe someterse al tamaño de la entidad, o la disponibilidad de recursos o, a la especialidad o sector de la misma. Si una entidad pretende abordar un tratamiento sin la capacidad suficiente para gestionar el riesgo, deberá buscar ayuda externa especializada (consultoría de privacidad, DPD, etc.).
F. La gestión proactiva en la gestión del riesgo
La gestión del riesgo ha de incluir el enfoque preventivo y requiere realizar una evaluación a largo plazo, especialmente en aquellos escenarios cuyo impacto pudiera derivar en un perjuicio muy elevado sobre los interesados o sobre la sociedad.
G. La gestión de riesgo como proceso
La gestión del riesgo debe abordarse como un proceso transversal que afecta toda la organización y conectarlo con el resto de los procesos existentes de cara a lograr un marco de gestión del riesgo global, integral, eficaz y eficiente que abarque a la organización en su conjunto y en todas sus dimensiones.
La gestión de riesgos, tal y como lo entiende la norma ISO 31000, es un proceso formado por un conjunto de actividades y tareas que permiten controlar la incertidumbre relativa a una amenaza, mediante una secuencia de iniciativas o acciones.
Las aplicaciones, guías o checklist dirigidos a la gestión del riesgo pueden ser herramientas muy útiles de soporte, pero hay que tener presente que el análisis final, la toma de decisiones y la ejecución del plan de acción, son competencia exclusiva de la dirección y de los posibles ejecutores del plan, siendo dichas herramientas meros instrumentos de ayuda y apoyo a las tareas de gestión.
Figura 2. Soporte a la decisión y toma de decisiones
Una vez estructurado el tratamiento y analizado los requisitos de cumplimiento normativo, iniciaremos el proceso de gestión del riesgo mediante las siguientes etapas:
Al ser un proceso, este debe plasmarse en las políticas de la organización y tendrá que estar documentado.
Figura 3. Esquema básico del proceso de gestión del riesgo
H. La integración en la gestión de la organización
La norma ISO 31000 manifiesta que la gestión del riesgo ha de estar integrada con el resto de los procesos de la entidad, en particular en la política, planificación y revisión del tratamiento, para que sea relevante, eficaz y eficiente. Es decir, la gestión del riesgo no puede realizarse de forma aislada, independientemente o después del diseño y/o implementación de un tratamiento.
Entre los procesos con los que debe integrarse están todos aquellos relativos a la gestión del riesgo desde otras perspectivas: financiera, fraude, coste de oportunidad, continuidad de procesos, imagen, suplantación, de negocio, ambiental, seguridad de las personas, etc., que deben entenderse de forma integral.
Figura 4. Integración de la gestión del riesgo para los derechos y libertades en el resto de procesos de gestión de riesgos de la organización
Un caso particular de esta gestión integral lo representan las obligaciones del responsable respecto de la notificación de las brechas de seguridad. En este caso, la evaluación del riesgo que sobre los derechos y libertades de los interesados pueda representar la brecha no debería ser, en ningún caso, inferior a la evaluación que se hubiera hecho en el marco del análisis de riesgo del tratamiento. Como se ha señalado, gestión del riesgo y gestión de brechas, son dos tareas que deben ser gestionadas de manera conjunta con el fin de evitar incongruencias que pudieran repercutir negativamente en el proceso de gestión de un tratamiento de datos personales o en los propios afectados.
Figura 5. Evaluación del riesgo del tratamiento y de una brecha de datos
I. Papel de encargados, desarrolladores y suministradores
El RGPD establece en el artículo 28, apartados 3.c, f y h, así como en el considerando 83, la obligación del encargado de asistir al responsable en la gestión del riesgo, teniendo en cuenta la naturaleza del tratamiento y la información puesta a su disposición. Para ello, el encargado debe gestionar el riesgo dentro de los límites del objeto del encargo.
Por otro lado, un desarrollador o suministrador de un producto o servicio con el que varios responsables van a realizar distintos tratamientos de datos debe llevar a cabo una gestión del riesgo propia, que se incorporará al proceso de gestión del riesgo que realiza el responsable. Este proceso debería ampararse en las garantías contractuales correspondientes a la adquisición del producto o servicio. En cualquier caso, el responsable seguirá manteniendo la obligación de realizar su propia gestión del riesgo.
J. La gestión del riesgo para los derechos y libertades y la EIPD
Cuando sea probable que un tipo de tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará una evaluación del impacto.
1. Definición de EIPD como proceso que obliga a actuar
En las Directrices WP248, la EIPD se define como “... un proceso concebido para describir el tratamiento, evaluar su necesidad y proporcionalidad y ayudar a gestionar los riesgos para los derechos y libertades de las personas físicas derivados del tratamiento de datos personales evaluándolos y determinando las medidas para abordarlos.”
La EIPD es un proceso de análisis de un tratamiento que se extiende en el tiempo, a lo largo de todo el ciclo de vida de un tratamiento de datos personales, y que debe revisarse de forma continua, “al menos cuando exista un cambio del riesgo que representen las operaciones de tratamiento” (art. 35.11). Por tanto, la EIPD debe:
La EIPD tiene una dimensión mayor que un mero formalismo plasmado en un documento sobre el que se puedan realizar cambios mínimos para adaptarlo a cualquier tratamiento. Reducir la EIPD a una actividad puntual y aislada en el tiempo es incompatible con el concepto de proceso que interpreta las Directrices WP248.
2. Integración de la EIPD y la gestión del riesgo
La EIPD forma parte del proceso de gestión de riesgos. No es posible ejecutar una EIPD si previamente no existe una gestión de riesgos para los derechos y libertades y no se realiza en el marco de la misma.
Figura 6. Integración de la EIPD en la gestión del riesgo para los derechos y libertades
Figura 7. Esquema básico del proceso de gestión del riesgo incluyendo la EIPD
3. La EIPD amplía los requisitos de la gestión del riesgo
Las características que incorpora la EIPD con relación a la gestión general del riesgo:
Figura 8. Qué añade la EIPD al proceso de gestión del riesgo.
4. La EIPD como herramienta para demostrar cumplimiento
Una de las posibles medidas de “accountability” o de demostrar cumplimiento es la realización de una EIPD, cuando esta no sea obligatoria.
Para llevar a cabo una correcta gestión del riesgo es necesario identificar y caracterizar de forma precisa los fines del tratamiento. Los fines y la legitimación del tratamiento deben fijarse antes de iniciar la gestión del riesgo. Los fines deben cumplir con las siguientes propiedades:
Últimos |
Han de determinarse cuál es el fin último del tratamiento y no confundirlo con objetivos intermedios, medios instrumentales u operaciones de tratamiento que tengan lugar en alguna fase del tratamiento o que pueden ser dependientes con la forma de implementar el tratamiento. |
Específicos |
Suficientemente precisos y concretos, especificando las carencias, demandas, exigencias, obligaciones u oportunidades objetivas y finales que el fin del tratamiento viene a resolver o a dar respuesta. |
Medibles |
Han de definir un estado futuro deseable en términos cualitativos. |
Alcanzables y realistas |
Se determinan garantías para conseguir los fines del tratamiento en la medida que es posible “demostrar” que el fin último se va a conseguir. |
Acotados |
Se han de conseguir en un periodo de tiempo y en el marco de una determinada etapa del ciclo de vida del tratamiento. |
Tabla 3. Propiedades que han de cumplir unos fines del tratamiento bien definidos
En algunos casos, se podrían confundir los fines del tratamiento con alguna de las medidas que se podrían adoptar para conseguirlos. Por ejemplo, en tratamientos que tienen como fin la seguridad de las personas, se pueden utilizar métodos técnicos, como la videovigilancia, como medidas para conseguir dicho fin. La videovigilancia es un instrumento para la consecución del fin, no el fin último del tratamiento.
Los fines del tratamiento han de describirse de forma clara, precisa y entendible, pero no simplificadora.
Para gestionar los riesgos de un tratamiento es necesario analizarlo. Analizar supone examinar detalladamente, separando y considerando de forma independiente cada una de sus partes, para conocer sus características, cualidades, restricciones y limitaciones, y así poder extraer conclusiones.
DESCRIPCIÓN DEL TRATAMIENTO |
|||
Su propósito |
Su naturaleza |
Su ámbito/alcance |
Su contexto |
|
|
|
|
Tabla 4. Ejemplo de la información que describe el tratamiento que es útil para la gestión del riesgo
La descripción del tratamiento puede ir más allá de las obligaciones normativas establecidas de elaborar y mantener un Registro de Actividades de Tratamiento con el contenido mínimo que exige el artículo 30 del RGPD y el artículo 31 de la LOPDGDD.
El responsable debe conocer las tecnologías que pretende utilizar, así como sus riesgos asociados, ya que forma parte de su deber de diligencia con relación al cumplimiento de las previsiones del RGPD. En ningún caso, el desconocimiento del contexto tecnológico puede entenderse como un eximente de las obligaciones del responsable.
La evaluación del nivel de riesgo tiene dos objetivos:
1. Proceso de evaluación del riesgo
El proceso de evaluación del nivel de riesgo es una disciplina con una metodología consolidada y común a cualquier proceso de gestión del riesgo. Para la evaluación del nivel de riesgo asociado a un tratamiento hay que realizar las siguientes tareas:
Podemos definir un factor de riesgo o amenaza como una causa potencial de la que se puede derivar un perjuicio para los derechos y libertades de las personas físicas.
2. Riesgo inherente y riesgo residual
El riesgo inherente es el resultante de evaluar el nivel de riesgo previo a la implantación de medidas y garantías destinadas a reducir el riesgo derivado de cada uno de los factores de riesgo.
Todos los posibles factores de riesgo deben evaluarse de forma conjunta, teniendo en cuenta su acción acumulativa y su efecto combinado.
El riesgo residual es el resultante de evaluar el nivel de riesgo después de tomar las medidas y garantías destinadas a reducir el riesgo derivado de cada una de las fuentes de riesgo. El objetivo es que se reduzca a un nivel de riesgo aceptable.
Figura 9: Evaluación del riesgo inherente y riesgo residual
3. Identificación de los factores de riesgo
Identificar un factor riesgo consiste en detectar la fuente que puede propiciar un evento capaz de ocasionar impacto en los derechos y libertades de los interesados. El RGPD requiere que:
4. Identificación de factores de riesgo de un tratamiento de datos personales en la normativa
El RGPD y su normativa de desarrollo identifican los factores de riesgo que hay que gestionar, algunos de alto impacto y probabilidad total, y otros en los que hay que estimar el impacto que podrían producir y/o la probabilidad de que se materialicen. Estos son:
5. Riesgos de impacto muy elevado
Para establecer un nivel de medidas y garantías adecuado ante un factor de riesgo hay que tener en cuenta la probabilidad de su materialización y la intensidad del impacto. Si el impacto es muy alto, aunque la probabilidad de que se materialice sea muy bajo o despreciable, es necesario gestionar adecuadamente dicho factor de riesgo.
Se deberán analizar aquellos tratamientos que por su extensión o intrusión pudieran ser de muy alto riesgo. También los tratamientos masivos, especialmente de categorías especiales, extendidos en el tiempo y con consecuencias sobre los derechos y libertades (tratamientos de las AA.PP., grandes entidades de telecomunicaciones, grandes entidades financieras, aseguradoras, servicios sanitarios, grandes servicios de Internet, etc.).
También se deben analizar los escenarios de baja probabilidad, pero que pueden comprometer garantías básicas.
La gestión del riesgo, con independencia de que se trate de un tratamiento de alto riesgo o no, supone ejecutar acciones para reducir, eliminar o asumir de forma controlada los riesgos identificados disminuyendo, bien la probabilidad de que estos se materialicen, bien el impacto que representan.
El “tratamiento del riesgo” es la selección de medidas y garantías para reducir, eliminar o asumir de forma controlada los riesgos identificados. Dichas medidas y garantías se denominan “controles”.
La gestión de los factores de riesgo es un proceso repetitivo que precisa aplicar controles tantas veces como sea necesario para reducir la probabilidad o el impacto hasta alcanzar un nivel de riesgo aceptable.
Las medidas de control deben considerarse de forma independiente para cada riesgo identificado, aunque más tarde se evalúe su efecto combinado.
1. Clasificación de las medidas y garantías
Las medidas para mitigar el riesgo se pueden clasificar en base a distintos criterios:
Gestión del Riesgo para los Derechos y Libertades |
||
Criterios |
Medidas |
Observaciones |
Medidas destinadas a prevenir el riesgo o respuesta a un riesgo materializado |
Proactivas/preventivas |
|
De detección |
|
|
Reactivas/correctivas |
|
|
Medidas atendiendo a la naturaleza del riesgo |
Legales |
Garantías jurídicas necesarias como las cláusulas de confidencialidad |
Técnicas |
Medidas de protección desde el diseño, de seguridad, auditorías, etc. |
|
Organizativas |
Asociadas a los procedimientos, organización y/o gobierno de la entidad |
Medidas orientadas a afrontar el riesgo |
Reducir/mitigar el riesgo |
Disminuir el nivel de probabilidad/impacto asociado al riesgo inherente |
Evitar/eliminar el riesgo |
Si el riesgo es muy elevado y no se quiere asumir:
|
|
Aceptar/asumir el riesgo |
Siempre que el riesgo inherente sea aceptable y se de forma continua |
Tabla 5. Clasificación de medidas y garantías para la gestión del riesgo
En base el modelo de responsabilidad proactiva del RGPD, las medidas y garantías que se pueden adoptar para mitigar los riesgos de protección de datos se pueden clasificar en:
Medidas y garantías en base al RGPD |
|
Criterios |
Observaciones |
Medidas sobre el concepto y diseño del tratamiento |
|
Medidas de gobernanza y políticas |
|
Medidas de protección de datos por defecto y desde el diseño |
Las medidas de protección de datos por defecto se han de implementar por defecto, es decir, en cualquier caso e independientemente del riesgo |
Medidas de prevención y gestión de brechas de datos personales/ medidas de seguridad |
|
Tabla 6. Medidas y garantías para la gestión del riesgo en base al RGPD
A cada uno de los factores de riesgo identificados hay que asociar las medidas de control adoptadas. Es muy importante asegurarse de que la asignación de los controles es adecuada y acorde al riesgo, además de que los riesgos se gestionen de forma conjunta y teniendo en cuenta la interrelación entre ellos, con el claro objetivo de poder mitigar los niveles de riesgo del tratamiento como un todo.
2. Transparencia y derechos como medidas para disminuir el riesgo
Las obligaciones de transparencia e información determinan un conjunto de derechos que el responsable ha de proporcionar a los interesados de manera que garanticen un tratamiento leal y transparente. Estas obligaciones no son medidas para disminuir el riesgo del tratamiento, sino que forman parte del cumplimiento normativo al que debe someterse el responsable.
Sin embargo, pueden considerarse medidas para disminuir el riesgo, por ejemplo, publicar información que resulte relevante sobre la EIPD o atender los derechos de los interesados garantizando una diligencia más allá de lo establecido en el Reglamento.
Es obligatorio determinar el riesgo que puede suponer el que se materialice una brecha de seguridad, es decir, un tratamiento no autorizado o accidental sobre los datos.
Figura 10. La gestión de la seguridad como una parte de la gestión del riesgo
Abordar los riesgos no puede limitarse a aplicar exclusivamente medidas de seguridad. La gestión de los riesgos de seguridad es una más de las actividades para la gestión de los riesgos y se tiene que supeditar a esta última.
Las medidas de mitigación deben orientarse a reducir el impacto y la probabilidad de que afecten al interesado.
Figura 11. Las medidas de seguridad en la gestión del riesgo
1. La seguridad por defecto
Las Directrices sobre el artículo 25 Protección de datos desde el diseño y por defecto del Comité Europeo de Protección de Datos, en su párrafo 47, manifiesta que las medidas de seguridad siempre se han de incluir por defecto. O sea, aunque el riesgo del tratamiento para los derechos y libertades sea escaso, el responsable o encargado:
2. Ámbito de las medidas de seguridad
El artículo 32 está dedicado a las medidas de carácter preventivo que han de garantizar la seguridad del tratamiento y los artículos 33 y 34 a medidas correctivas de contingencia en caso de que se produzca una brecha de datos personales.
Se deberá evaluar el impacto para los derechos y libertades que puede tener un incidente que afecte al sistema de información, tanto con relación a la materialización de ataques, intrusiones o cualquier tipo de proceso no autorizado. Lo mismo en caso de incidentes accidentales, tanto tecnológicos como humanos o asociados a eventos naturales.
Además, se deberán gestionar los posibles errores o fallos que pudieran derivarse de las distintas medidas técnicas y organizativas que implementan estrategias de protección de datos por defecto, desde el diseño u otras garantías como:
También será necesario gestionar los errores técnicos derivados de la implementación automatizada de tratamientos que se pudieran derivar de, por ejemplo:
Los fallos y errores anteriores pueden derivar en problemas específicos de confidencialidad, integridad, disponibilidad, trazabilidad o autenticación, pero también otros más específicos como de calidad de datos, discriminación, etc.
Figura 12. Fuentes de brechas de datos personales
3. Estimación del nivel de riesgo de una brecha de datos personales
Para estimar el impacto que pudiera tener una brecha de datos personales hay que plantearse las consecuencias que se derivarían de la materialización de la brecha. Una forma de hacerlo es:
Ante esas consecuencias, hay que determinar medidas para disminuir la probabilidad de que suceda la brecha. Dado que la posibilidad de materialización de la brecha siempre existe, también hay que considerar medidas para eliminar, disminuir o revertir las consecuencias de la misma sobre el interesado.
Un ejemplo: consideremos el marco de aplicaciones de domótica o de control de consumo que podrían recoger la actividad doméstica de personas físicas. Se pueden plantear varios escenarios de brecha, uno de los cuales, podría ser el siguiente:
Escenarios |
|
Brecha materializada |
|
Datos comprometidos |
|
Perjuicios al interesado |
|
Evaluación del impacto sobre el interesado |
|
Medidas para reducir el impacto |
|
Medidas para reducir la probabilidad |
|
Tabla 7. Ejemplo de escenario de brechas de datos personales
De este ejemplo podemos concluir:
4. La probabilidad de una brecha de datos personales
No existen sistemas 100% seguros. Por tanto, no se pueden plantear tratamientos bajo el supuesto de que la seguridad nunca va a ser violada. Más aún, cuando el periodo de tiempo en el que el tratamiento estará activo (ciclo de vida del tratamiento) tiende a infinito, el que se produzca una brecha de datos personales es sólo cuestión de tiempo. Por tanto, a la hora de evaluar la probabilidad, hay que tener en cuenta el plazo de tiempo que se pretender tener activo el tratamiento.
Figura 13. Evolución de la probabilidad de una brecha en el tiempo
5. Resiliencia
La resiliencia es la capacidad que tiene un sistema de continuar dando servicio ante un imprevisto, aunque sea con pérdida de eficacia o eficiencia. O sea, que se refiere a la capacidad de adaptación de un organismo, organización, sistema o sociedad a los cambios sin que sus características básicas estructurales y funcionales se vean alteradas. Estas, han de adaptarse sin alcanzar el punto de ruptura, parálisis o crisis.
Tras esa adaptación, la entidad puede volver a su estado original o incluso haber mejorado su adecuación al entorno. Esto significa la capacidad de asumir, con flexibilidad, situaciones límites y sobreponerse a ellas.
La resiliencia organizativa persigue anticiparse, prepararse, responder y adaptarse a los cambios o eventos que se puedan producir. Estos pueden ser cambios en el contexto económico, político, legal, social, ambiental, etc.; así como daños en la infraestructura, actos de terrorismo, cibercrimen, etc.
La resiliencia es inherente, relativa y ninguna organización, red o sistema puede ser totalmente resiliente. El grado de resiliencia dependerá de:
Capacitación de las personas |
El personal, tanto del nivel más alto al más bajo, ha de tener la capacidad de detectar los cambios, la capacidad de comunicarlos, la capacidad de entenderlos, la capacidad de innovar ante ellos, la capacidad de actuar y la voluntad de actuar de forma proactiva, en tiempo real. |
Flujo adecuado de información |
Ha de ser ágil, específico, mínimo, completo y desde y hacia las personas adecuadas. |
Liderazgo |
Han de existir puntos claros de toma de decisión con responsabilidades bien definidas. |
Adaptabilidad estratégica |
Las estructuras físicas, tecnológicas y organizativas han de poder evolucionar en tiempo real hacia nuevos objetivos o formas de actuar. |
Tabla 8. Factores que determinan el grado de resiliencia de una organización
A su vez, resiliencia y sostenibilidad son conceptos relacionados. La resiliencia está vinculada al grado de preparación para la reacción de la organización ante un contexto variable. La sostenibilidad está relacionada con las acciones para evitar o mitigar sus impactos en el interior y exterior a la empresa, en su entorno, asegurando su propia viabilidad a largo plazo, y de contribuir, a su vez, a la del entorno.
6. Integración de los requisitos de gestión del riesgo para los derechos y libertades en el SGSI
La gestión de la seguridad de la información es una disciplina muy madura, con modelos de gestión (SGSI o Sistema de Gestión de la Seguridad de la Información) y directrices (normas ISO 27000 o ENS) bien conocidas e implantadas que pueden considerarse estándares de seguridad.
Los sistemas de información son una proyección de los tratamientos de la entidad, en tanto que son los medios que le dan soporte y, por ello, las políticas de los sistemas de información deberían ser una proyección de las políticas de información de la entidad. A su vez, las políticas de seguridad son un subconjunto de las políticas de información de la entidad.
El modelo de responsabilidad proctiva se basa en la toma de decisiones de abajo a arriba, o sea, desde el diseño de los tratamientos y con una visión holística. Los administradores de los sistemas de información deben implementar los requisitos de seguridad que proporcione el responsable de seguridad con una visión integral de la organización, pero no deben tomar decisiones con relación a la seguridad más allá de las cuestiones técnicas y operativas relacionadas con la propia administración de los sistemas.
En particular, el conjunto de requisitos de seguridad, con relación a los derechos y libertades, ha de ser una de las entradas al proceso de análisis de riesgos general de los sistemas de información que ha de llegar al departamento TIC.
Los requisitos no funcionales de seguridad pueden provenir de distintos objetivos de la entidad en general y de los tratamientos de datos que se realizan, en particular: seguridad de las personas, robo, fraude, etc. A su vez, será necesario tener en cuenta otros requisitos funcionales y no funcionales, además de los que se deriven de normativas, obligaciones contractuales, certificaciones, etc.
La forma de implementar dichos requisitos ha de balancearse entre los distintos objetivos. Por ejemplo, si con objeto de proteger la seguridad de las personas se plantea una solución basada en identificación biométrica, ha de valorarse que puede colisionar con protección de datos o con la imagen que la empresa quiere proporcionar.
Figura 14. Integración de los requisitos de seguridad para la protección de los derechos y libertades
7. Medidas de gestión brechas de datos personales
La gestión de brechas es una obligación del responsable, que debe incluir el establecimiento de medidas preventivas y reactivas en función del riesgo y que repercute en el ciclo de gestión del riesgo del tratamiento.
La normativa establece una serie de obligaciones ante una brecha de seguridad que no dependen de la realización de un análisis de riesgos como, por ejemplo, la obligación del encargado del tratamiento de notificar, sin dilación indebida, al responsable del tratamiento las brechas de datos personales que afecten a los tratamientos encargados (art.33.2 RGPD).
Lo que sí depende de la gestión del riesgo es la dimensión de las medidas técnicas y organizativas para la gestión de incidentes, como podrían ser:
La verificación de la correcta aplicación de las medidas y garantías, así como la revisión del nivel de riesgo y su gestión, es un proceso que hay que realizar a lo largo de todo el ciclo de vida del tratamiento. Se recomienda realizar un proceso de verificación durante la fase de implantación con el objetivo de garantizar y validar que las medidas de control definidas en el Plan de acción se han puesto en marcha correctamente. Lo ideal es que estas tareas, con carácter general, estén reflejadas en un plan de acción de gestión del tratamiento.
Son varias las referencias del RGPD a esta necesidad de introducir la gestión del riesgo a lo largo de las distintas etapas del ciclo de vida del tratamiento (arts. 24, 25, 32, 35).
La gestión del riesgo es un proceso continuo y cíclico. Dicha gestión ha de realizar su primer ciclo con las primeras fases del tratamiento: antes de determinar los medios del tratamiento (en su concepción, análisis, diseño, prototipado e implementación) y antes de ejecutar el tratamiento (pruebas y preparación/despliegue). Además, la gestión del riesgo ha de repetirse a lo largo del ciclo de vida del tratamiento para evaluar y tratar los cambios que se puedan producir en las fases siguientes (operación, mantenimiento, evolución y retirada.)
Figura 15. La gestión del riesgo en el ciclo de vida del tratamiento
La organización debe implementar procedimientos que detecten problemas, cambios o eventos en el tratamiento o en su entorno que sean susceptibles de desencadenar la necesidad de iniciar un ciclo de revisión de la gestión del riesgo. Si no se detectan, será necesario establecer periodos de revisión que podrían estar fijados en el marco de las políticas de protección de datos del responsable.
La iteración de un ciclo de gestión del riesgo no ha de suponer un esfuerzo desproporcionado, sino que ha de ser una actividad eficaz y eficiente. Lo único que exige es reflexionar, aunque sea por un momento, si se sigue teniendo el tratamiento bajo control ante condiciones cambiantes del propio tratamiento y/o del contexto en el que este se desenvuelve. Además, esta reflexión, ha de estar integrada en los procesos de gestión del tratamiento para que sea realmente efectiva.
A. Políticas de protección de datos
Cuando se trata de datos personales, la gobernanza de los datos establecida en la organización debe garantizar el cumplimiento de los derechos y libertades conforme al RGPD. Para ello, los tratamientos de datos personales deben estar respaldados por la implementación efectiva de los principios relativos al tratamiento (art.5 RGPD), tomando las medidas adecuadas y ofreciendo garantías suficientes.
En virtud del principio de responsabilidad proactiva, las políticas han de ser compromisos establecidos a nivel de la dirección de la organización. Las políticas de protección de datos son el conjunto de directrices que rigen un modo de actuar de la organización ante los tratamientos de datos personales a lo largo de todo su ciclo de vida.
Figura 16. Las políticas de protección de datos
La aplicación práctica del RGPD precisa integrar directrices específicas en la documentación de los procedimientos aprobados por la entidad. Dependiendo de la complejidad de la organización, es recomendable que no se creen políticas nuevas, sino que la protección de datos se integre con las políticas corporativas ya existentes para disminuir la carga administrativa y de gestión.
En organizaciones complejas, se recomienda disponer de un documento marco, siempre que se emplee como guía para la adopción de las directrices señaladas en procedimientos específicos, como, por ejemplo, los procedimientos de recursos humanos, teletrabajo, contratación de productos y servicios, desarrollo de aplicaciones, etc. En cualquier caso, deberá garantizar la eficacia en la protección de datos y no deberá limitarse a una pura declaración formal en un documento desvinculado de la realidad de los procedimientos de la entidad.
Figura 17. Relación entre gobernanza, políticas y procedimientos
Como establece el artículo 24, la implementación de dichas políticas y gobierno de los datos dependerá de la estructura orgánica de cada entidad. De igual forma, tendrán que adoptarse dichas políticas en las organizaciones que pudieran actuar como encargadas del tratamiento con la finalidad de abordar una gestión y control eficaces que garanticen al responsable el cumplimiento del RGPD.
Las políticas de protección de datos se deberán verificar, revisar, actualizar y mejorar de forma continua, de acuerdo con los criterios y métodos implantados en la organización.
Figura 18. Marco de la ejecución de las políticas de protección de datos
B. Documentación
La obligación de documentar el proceso de gestión del riesgo está relacionada con el cumplimiento de la obligación de “accountability”. La documentación tiene dos objetivos generales:
Por tanto, la documentación de la gestión del riesgo:
Es una herramienta de trabajo |
|
Ha de ser eficiente |
|
Ha de ser completa |
|
Ha de ser dinámica |
|
Ha de ser trazable |
|
Ha de comunicarse |
|
Ha de transmitir información |
|
No es monolítica |
|
Ha de estar integrada en la gestión de la organización |
|
Tabla 9. Características de la documentación para la gestión del riesgo
La documentación no es la gestión del riesgo, aunque la gestión de riesgo ha de estar documentada. A su vez, la documentación no exige escribir un único documento compacto, sino tener un sistema de registro de los análisis, decisiones y seguimiento de las acciones.
La complejidad de este sistema, como interpreta la Declaración WP218, se deberá adaptar a la complejidad y el impacto del tratamiento, y podría tomar diferentes formas, desde una hoja de cálculo hasta una base de datos o, incluso, un sistema de gestión documental.
La documentación de la gestión del riesgo tampoco es un informe jurídico. En la medida que la documentación adquiera un volumen engorroso que no permita la gestión eficaz y eficiente del riesgo, no será adecuada. De esta forma, ha de recogerse toda la información necesaria para una gestión eficiente y solo dicha información.
Figura 19. La documentación del proceso de gestión del riesgo
La documentación de la gestión del riesgo tendrá que contener estos elementos mínimos:
|
|
|
|
|
|
|
|
|
|
|
Tabla 10. Contenido mínimo de la documentación de gestión del riesgo
Esta información podría ser un documento aislado o estar integrado en la documentación de gestión de los tratamientos de la organización. A su vez, la descripción del tratamiento tendrá que ser congruente con la información registrada en las herramientas sobre las que se ha implementado el RAT.
Adicionalmente, con relación a la documentación sobre las metodologías seguidas, se podría documentar:
En cuanto al grado de trasparencia a aplicar a la documentación, las Directrices WP248 estipulan que no hay obligación de publicar esta información, pero que podría fomentar la confianza publicar un resumen, y que, en caso de consulta previa, se deberá comunicar la EIPD completa a la Autoridad de control.
Por tanto, la publicación o no, puede depender de las políticas de transparencia de la entidad. Habrá que valorar si la transparencia puede ayudar a la gestión de los riesgos para los derechos y libertades. No obstante, no es justificable ni recomendable la publicación si se detallan elementos concretos de las medidas para la gestión del riesgo que pudieran aumentar dicho riesgo.
Una correcta gestión del riesgo para los derechos y libertades exige conocer los detalles del tratamiento. Los requisitos para que la descripción de los tratamientos sea adecuada, son:
La granularidad que se debe alcanzar en la descripción del tratamiento ha de ser la suficiente para que sea posible realizar dicha gestión. En este sentido se podría estudiar el tratamiento hasta en tres niveles de detalle:
La profundidad en el estudio dependerá del posible nivel de riesgo y de la complejidad del tratamiento.
Figura 20: Niveles en la descripción del tratamiento
Cuando existan dudas sobre la profundidad del estudio que se debería realizar, se recomienda llevar a cabo el análisis estructurado, como mínimo. En cualquier caso, cualquier aproximación que se adopte para la descripción del tratamiento ha de tener como objetivo disponer de un instrumento útil para “garantizar y poder demostrar”, de forma eficiente, la gestión del riesgo para los derechos y libertades.
A. Estudio a alto nivel del tratamiento
Un estudio a alto nivel del tratamiento aborda a este como un elemento monolítico, sin divisiones ni partes. Este estudio debe permitir realizar un análisis del riesgo con la formalidad que sea necesaria, y también puede servir para conseguir la información suficiente que permita cumplir con las obligaciones del art. 30 del RGPD y 31 de la LOPDGDD (RAT e Inventario). Dicho análisis debería poder proporcionar, al menos, la siguiente información:
TRATAMIENTO |
|
Nombre o descripción |
|
Responsable/s |
En caso de corresponsabilidad, determinar dichas corresponsabilidades y sus límites. |
FINES DE TRATAMIENTO |
|
Finalidad del tratamiento |
|
Fines intermedios y secundarios |
Con frecuencia no es posible determinar totalmente los fines de investigación científica en el momento de su recogida. Por consiguiente, debe permitirse a los interesados dar su consentimiento, en la medida en que lo permita la finalidad, para determinados ámbitos de investigación científica que respeten las normas éticas reconocidas para la investigación científica. |
ALCANCE Y ÁMBITO DEL TRATAMIENTO |
|
Datos personales |
|
Datos personales tratados |
Agrupados por categorías. |
Precisión de los datos |
Incluyendo, al menos:
|
Ciclo de vida de los datos |
Una descripción breve de su ciclo de vida, incluyendo:
|
Sujetos interesados |
|
Categorías de sujetos afectados |
Establecer las posibles categorías de interesados para las que se pretende diseñar el tratamiento (menores, personas en riesgo de exclusión social, pacientes, alumnos, etc.). Se recomienda analizar posibles desequilibrios de poder entre los interesados y el responsable del tratamiento (Directrices WP248). |
Volumen de sujetos |
Cantidad de sujetos afectados. |
Extensión geográfica |
Local, regional, nacional o internacional. Especificando dicha extensión. |
Duración del tratamiento |
|
Extensión en el tiempo del tratamiento |
Tanto desde la puesta en producción hasta la propuesta de retirada del tratamiento. Descripción de circunstancias que podrían motivar la retirada del tratamiento. |
NATURALEZA |
|
Implementación del tratamiento |
|
Operaciones ejecutadas en el tratamiento |
Por ejemplo: recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción. |
Casos de uso |
|
Inventario de activos que implementan el tratamiento |
Bienes o recursos que pueden ser necesarios para implantar y mantener una operación de tratamiento en cualquier etapa de su ciclo de vida, desde su concepción y diseño hasta la retirada del tratamiento:
|
Recogida y generación de datos |
|
Origen de los datos |
Externos al tratamiento (otros tratamientos, responsables, o entidades) o internos al tratamiento. |
Datos inferidos o generados |
Categorías de datos inferidos con relación a los fines del tratamiento. |
Acceso a los datos |
|
Categorías de intervinientes en el tratamiento |
Con relación a las fases del tratamiento, definir las categorías de intervinientes que participan en las operaciones. |
Intervinientes externos y sus roles |
Encargados, subencargados, desarrolladores, etc. Fases o etapas del tratamiento en las que intervienen y operaciones de tratamiento que tienen encomendadas por el responsable, así como el vínculo jurídico con el responsable del tratamiento. |
Roles de acceso a los datos de los intervinientes |
Para cada interviniente, definir sus roles con relación a las operaciones de tratamiento identificadas. |
Flujos de información con otros tratamientos del responsable |
Es necesario tener en cuenta los procesos de la organización relacionados con el tratamiento (gestión de calidad, inteligencia de negocio, directorios, agendas, etc.) a fin de identificar la relación de los procesos con los tratamientos de la organización en un único mapa de procesos/tratamientos. |
Comunicaciones de datos |
Identificación de las entidades a las que se transfieren datos, con sus localizaciones geográficas, habilitaciones legales y garantías establecidas para esa comunicación, así como cualquier otra información que sea relevante para la gestión del riesgo. |
Debilidades |
|
Características/limitaciones y factores de riesgo relevantes de las tecnologías intervinientes |
|
Vulnerabilidades |
Derivadas de los elementos técnicos, pero también humanos u organizativos, que pueden provocar accesos no autorizados o pérdida de calidad de datos, exactitud, disponibilidad, resiliencia, etc. |
Medidas y garantías implementadas |
|
Políticas de protección de datos |
|
Medidas y garantías de privacidad y seguridad por defecto y desde el diseño del tratamiento |
Conjunto de garantías jurídicas, organizativas y técnicas incorporadas al tratamiento con independencia del nivel de riesgo que pudiera asociarse al tratamiento. |
Medidas y garantías de privacidad y seguridad adoptadas en función del riesgo. |
Conjunto de garantías jurídicas, organizativas y técnicas que se adoptan en función del riesgo. Este apartado, podría estar vacío en la primera iteración del ciclo de gestión del riesgo. En función de que se vayan abordando los riesgos con distintas medidas, este apartado se iría completando. |
Garantías en las transferencias internacionales |
Cláusulas contractuales, BCR’s u otras. |
CONTEXTO |
|
Sector de actividad |
|
Mercado o sector económico |
|
Marco normativo |
|
Marco normativo de aplicación |
Se tendrán en cuenta, además de las normativas de protección de datos, las normativas sectoriales que fueran de aplicación al tratamiento. |
Estándares, certificación, códigos de conducta aplicables al tratamiento |
|
Posibles efectos colaterales/no deseados del tratamiento |
|
Derivados del alcance y ámbito |
|
Derivados de la naturaleza de los datos |
|
Derivados del mercado o sector |
|
Otros efectos colaterales del tratamiento |
|
Brechas de seguridad |
|
Incidentes conocidos ocurridos en tratamientos similares |
Por incidentes conocidos deben entenderse tanto incidentes de la propia organización como incidentes de otras organizaciones con similares o idénticos medios técnicos, organizativos, humanos, etc. En este contexto, puede resultar de ayuda la consulta del microsite de brechas de seguridad de la AEPD. |
Potenciales amenazas |
Derivadas de los elementos técnicos, humanos u organizativos, así como de situaciones o contextos sociales determinados (crisis económica, pandemia, inestabilidad política o social, etc.) que aprovechando una vulnerabilidad de uno de los activos identificados pudieran dar lugar a brechas con consecuencias no deseadas para los derechos y libertades. |
Tabla 11. Información derivada de un análisis a alto nivel del tratamiento
B. Análisis estructurado del tratamiento
Para realizar un análisis estructurado del tratamiento, se precisa identificar las distintas operaciones que lo forman y la relación que existe entre ellas:
Figura 21. Elementos que describen una fase del tratamiento
Las operaciones de tratamiento están definidas, de forma no exhaustiva, en los artículos 4.2, 4.4 y 4.5 del RGPD; aunque el tratamiento “típico” incluirá, de forma general, las siguientes fases: captura, clasificación y almacenamiento, uso y explotación, cesiones y transferencias de a terceros, bloqueo y/o supresión.
Figura 22. Estructuración en fases de un tratamiento genérico
Esta es una aproximación simplista pero que podría ser un punto de inicio para realizar el análisis estructurado del tratamiento, el cuál podría ser más complejo e incluir varios casos de uso. Por ejemplo:
Figura 23. Ejemplo simplificado de una actividad de tratamiento relativa a la selección de personal.
En este ejemplo, se detallan las operaciones realizadas para cada fase. En sombreado, las fases que no tratarían datos de carácter personal.
El grado de descripción de cada fase tendría que ser acorde al impacto en el riesgo de dicha fase. Como orientación, con el objeto de gestionar el riesgo, se podrían identificar los siguientes elementos para cada fase:
Nombre de la fase |
|
Fases anteriores |
|
Fases posteriores |
|
Operación u operaciones realizadas |
En una misma fase podrían ejecutarse varias operaciones. |
Activos que implementan la operación |
Entendiendo activos tal y como se han definido en el apartado anterior. |
Características relevantes de la implementación de la fase |
La implementación se puede realizar con medidas organizativas y/o elementos técnicos. Las medidas organizativas pueden incluir aspectos como la distribución física de las instalaciones (por ejemplo, el aislamiento de zonas de entrevista) o la generación y destrucción de informes físicos. Por otro lado, en el caso de componentes técnicos, se podrían identificar tecnologías disruptivas o uso novedoso de determinadas técnicas, entre otros. |
Datos tratados |
|
Datos inferidos o generados |
|
Origen de los datos |
Externos al tratamiento (otros tratamientos, responsables, o entidades) o internos al tratamiento. |
Destino de los datos |
Externos al tratamiento (otros tratamientos, responsables, o entidades) o internos al tratamiento. |
Intervinientes externos, sus roles y funciones |
Encargados, subencargados, desarrolladores, etc. y con distintas funciones: editor, soporte web, administrador, análisis, BBDD, marketing, etc. |
Incidentes conocidos de fases implementadas con características similares, propios o ajenos |
|
Vulnerabilidades y amenazas |
Derivadas de los elementos técnicos, pero también humanos u organizativos, que pueden provocar accesos no autorizados o pérdida de calidad de datos, exactitud, disponibilidad, resiliencia, etc. |
Medidas y garantías de privacidad y seguridad por defecto |
Conjunto de garantías jurídicas, organizativas y técnicas ya adoptadas. |
Medidas y garantías de privacidad y seguridad adoptadas en función del riesgo |
Conjunto de garantías jurídicas, organizativas y técnicas que se adoptan en función del riesgo. Este apartado, podría estar vacío o tener una primera aproximación, en la primera iteración del ciclo de gestión del riesgo. En función de que se vayan abordando los riesgos con distintas medidas, este apartado se iría completando. |
Tabla 12. Descripción de una fase del tratamiento
C. Descripción del ciclo de vida de los datos
El ciclo de vida de los datos es un análisis complementario al análisis estructurado del tratamiento. Por tanto, este estudio podría limitarse a una categoría de datos, por ejemplo, datos biométricos procesados en un tratamiento, o extenderse a todas las categorías de datos, en función del ejercicio de la responsabilidad proactiva en la gestión del riesgo.
Figura 24: Ciclo de vida básico de los datos.
A continuación, se muestra un posible modelo con el que documentar el ciclo de vida de una categoría de datos:
Figura 25: Ejemplo de ciclo de vida de los datos
En el ejemplo mostrado en el gráfico anterior se ha incluido información adicional como referencia a las fases que intervienen, encargados, terceros, tecnologías u otra que pudiera ser relevante para la descripción y gestión del riesgo.
D. Inventario de activos
Activo se define como todo bien o recurso que puede ser necesario para implantar y mantener una operación de tratamiento en cualquier etapa de su ciclo de vida, desde su concepción y diseño hasta la retirada del tratamiento.
La gestión de riesgos para los derechos y libertades debería integrar un inventario de activos debidamente organizados y actualizados. Este inventario no es sólo pertinente desde el punto de vista de protección de datos, sino que tiene aplicación en otras funciones básicas para la gestión de la entidad: contabilidad, amortización, mantenimiento, asignación de recursos, seguridad, etc. de modo que su existencia recomienda en aquellas organizaciones que tienen implementados modelos de calidad.
El nivel de detalle a incluir en el inventario de activos debería ser el necesario para identificar y gestionar el riesgo de manera eficiente y, al mismo tiempo, poder demostrar dicha gestión. Un correcto inventario de activos a nivel de organización, no solo circunscrito a las actividades de tratamiento, permitirá identificar relaciones o efectos colaterales entre distintos tratamientos.
Es habitual que varios tratamientos compartan activos para acceder a datos comunes (recogida de datos, procesamiento, comunicación, etc.). También suele pasar que compartan componentes estándar de terceros para un uso común de acceso a servicios de proceso de datos (por ejemplo, la implementación de apps en sistemas móviles).
Figura 26. En este caso, los tratamientos 1 y 2 incluyen fases de conservación de datos personales, que se implementan en los servicios de bases de datos de la entidad, mientras que los tratamientos 2 y 3 incluyen fases de recogida de datos implementadas sobre las mismas librerías de captura de datos (por ejemplo, una API en Android).
Con relación a cada activo, sería posible documentar los mismos atendiendo al siguiente modelo:
Activo |
Un identificador del activo |
Tecnologías involucradas |
|
Tratamientos y fases en las que se emplea |
Puede utilizarse el mismo activo en distintos tratamientos |
Operaciones de tratamiento en las que es necesario |
|
Datos que son tratados |
|
Datos que son generados |
|
Roles con acceso al activo y su nivel de privilegio |
|
Vulnerabilidades (inherentes al activo) |
|
Amenazas (internas y externas) asociadas al activo |
|
Tabla 13. Modelo para documentar los activos
E. Casos de uso
En la descripción del tratamiento en sus distintos niveles de detalle, se deberá identificar a qué caso de uso se refiere y marcar sus diferencias. La identificación de casos de uso, con ejemplos, se ha tratado en la Guía de Protección de Datos por Defecto.
6 IDENTIFICACIÓN Y ANÁLISIS DE FACTORES DE RIESGO
La identificación y el análisis de los factores de riesgo para los derechos y libertades de las personas físicas es el paso previo a la evaluación del nivel de riesgo del tratamiento.
En el contexto de la “accountability”, la identificación y análisis de factores de riesgo estará siempre documentado y justificado a fin de demostrar que, las decisiones tomadas en cada momento con relación a la gestión del riesgo han sido las más adecuadas en función de la información de la que se disponía
A. Identificación factores de riesgo
El responsable no puede ni debe limitarse a tratar los factores de riesgo identificados explícitamente en la normativa, sino que también debe identificar y evaluar los que derivan del tratamiento concreto en función de su naturaleza, ámbito o extensión o los fines que persigue, sin olvidar, tampoco, los que se derivan del contexto presente (interno y externo a la organización) y futuro del tratamiento.
B. El análisis de los factores de riesgo
Para cada uno de los factores de riesgo identificados, se deberá determinar el impacto inherente, o sea, el que resulta de no considerar las medidas y garantías para los derechos y libertades. El impacto dependerá del daño que se pueda ocasionar a los interesados en particular y a la sociedad en su conjunto.
A su vez, también será necesario determinar la probabilidad de que el riesgo identificado se materialice.
Como aproximación general para alcanzar un equilibrio entre la facilidad y la eficacia del proceso de gestión del riesgo, se propone establecer cuatro niveles de impacto del riesgo (muy significativo, significativo, limitado y muy limitado) así como cuatro niveles de probabilidad de ocurrencia (muy alta, alta, baja e improbable), de modo que sus valores combinados permiten establecer los siguientes niveles de riesgo: muy alto, alto, medio y bajo.
Como propuesta, para determinar el nivel de un riesgo específico en función de su impacto y probabilidad se puede establecer el siguiente mapa de calor:
Probabilidad |
Muy alta |
Medio |
Alto |
Muy alto |
Muy alto |
Alta |
Bajo |
Alto |
Muy alto |
Muy alto |
|
Baja |
Bajo |
Medio |
Alto |
Muy alto |
|
Improbable |
Bajo |
Bajo |
Medio |
Muy alto |
|
|
|
Muy limitado |
Limitado |
Significativo |
Muy significativo |
|
|
Impacto |
Tabla 14. Matriz Probabilidad x Impacto para determinar el nivel de riesgo
Nivel de Impacto |
Descripción |
Derechos fundamentales |
Muy significativo |
|
|
Significativo |
|
|
Limitado |
|
|
Muy limitado |
|
Tabla 15. Criterios para determinar el nivel de impacto
Cuando existan dos o más factores de riesgo que apunten a un determinado nivel de impacto, podríamos hablar de un coeficiente de impacto acumulado dando lugar a un nivel de impacto mayor al inicialmente estimado.
Para la determinación de la probabilidad, se podrían utilizar los siguientes criterios.
Probabilidad |
Criterios |
Muy alta |
|
Alta |
|
Baja |
|
Improbable |
|
Tabla 16. Criterios para determinar la probabilidad de materialización de un factor de riesgo
Para evaluar correctamente la tabla anterior es importante:
Cuando existan dos o más indicios que apunten a un determinado nivel de probabilidad, hablaremos de un coeficiente de probabilidad acumulado, dando lugar a una tasa de probabilidad mayor a la inicialmente estimada.
C. Lista de factores de riesgo identificados en la normativa
En esta lista se realiza una compilación de los factores de riesgo identificados, agrupados por categorías, determinando un nivel de riesgo mínimo para cada una de ellas, las categorías son las siguientes:
Categorías |
Factores de riesgo |
Operaciones relacionadas con los fines de tratamiento |
Derivados del fin declarado del tratamiento y otros fines vinculados al propósito principal. |
Tipos de datos utilizados |
Relacionados con el ámbito del tratamiento que se derivan de los datos recogidos, procesados o inferidos en el tratamiento. |
Extensión y alcance del tratamiento |
Relacionados con el ámbito del tratamiento relativos al número de sujetos afectados, la diversidad de datos o aspectos tratados, la duración en el tiempo, el volumen de datos, la extensión geográfica, la exhaustividad sobre la persona, la frecuencia de recogida, etc. |
Categorías de interesados |
Relacionados con el ámbito del tratamiento relativos a la categoría de interesados, como empleados, menores, mayores, personas en situación de vulnerabilidad, víctimas, discapacitados, etc. |
Factores técnicos del tratamiento |
Derivados de la naturaleza del tratamiento al implementarse con determinadas características técnicas o tecnologías. |
Recogida y generación de datos |
Derivados de la naturaleza del tratamiento al recogerse o generarse datos de forma específica. |
Efectos colaterales del tratamiento |
Derivados del contexto del tratamiento al poder generarse consecuencias no contempladas en los propósitos originales previstos del tratamiento. |
Categoría del responsable/encargado |
Derivados del contexto específico del sector de actividad, modelo de negocio o tipo de entidad. |
Comunicaciones de datos |
Derivados del contexto en el que se realizan las comunicaciones de datos a terceros en el marco del tratamiento. |
Brechas de seguridad |
Derivados de la posible materialización de brechas de seguridad sobre los datos personales. |
Tabla 17. Categorías de factores de riesgo identificados en el RGPD o en su desarrollo
El nivel de riesgo, determinado para cada factor de riesgo de forma aislada, agrupado por categorías, es el siguiente:
1. Operaciones relacionadas con los fines de tratamiento
Factor de riesgo |
Ejemplos |
Nivel de riesgo |
Perfilado |
|
Alto |
Evaluación de sujetos |
|
Alto |
Predicción |
|
Alto |
Control del empleado |
|
Medio
|
Control del acceso a de Internet |
|
Medio |
Observación |
|
Alto |
Monitorización |
|
Alto |
Supervisión |
|
Alto
|
Rastreo de contactos |
|
Muy alto |
Control físico de acceso |
|
Bajo |
Localización |
|
Medio |
Identificación unívoca |
|
Bajo |
Decisiones automatizadas sin intervención humana |
|
Alto |
Tratamiento automatizado para soporte a la toma de decisiones |
|
Medio |
Decidir sobre o impedir el ejercicio de derechos fundamentales |
|
Muy Alto |
Decidir sobre el control del interesado de sus datos personales |
|
Alto |
Decidir sobre el acceso a un servicio |
|
Alto |
Decidir sobre la realización o ejecución de un contrato |
|
Alto |
Decidir sobre el acceso a servicios financieros |
|
Alto |
Efectos jurídicos sobre las personas |
|
Alto |
Evaluación y/o predicción de posibilidad de enfermedad/salud genéticamente. |
|
Muy Alto |
Conservación con fines de archivo |
|
Medio |
Tabla 18. Factores de riesgo asociados a las operaciones relacionadas con los fines del tratamiento.
2. Tipos de datos utilizados
Factor de riesgo |
Ejemplos |
Nivel de riesgo |
Documentos personales |
|
Medio |
Información de aplicaciones de registro de actividades vitales |
|
Alto |
Aspectos personales |
|
Medio |
Preferencias de consumo, hábitos, gustos, necesidades, etc. que no permitan inferir informaciones relacionadas con categorías especiales de datos |
|
Medio |
Rendimiento laboral |
|
Medio |
Situación económica |
|
Medio |
Estado financiero |
|
Medio |
Datos de medios de pago |
|
Alto |
Datos de comportamiento |
|
Medio |
Datos de localización |
|
Medio |
Datos muy personales no recogidos en clasificaciones anteriores* |
* Wp248: incluye las categorías especiales de datos personales (art. 9) y datos personales relativos a condenas e infracciones penales (art. 10). Por ejemplo, un hospital general que guarda historiales médicos de pacientes o un investigador privado que guarda datos de delincuentes. También puede considerarse que algunas categorías de datos aumentan el posible riesgo para los derechos y libertades de las personas porque están vinculados a hogares y actividades privadas (como comunicaciones electrónicas cuya confidencialidad debe ser protegida), porque afectan al ejercicio de un derecho fundamental (como datos de localización cuya recogida compromete la libertad de circulación) o porque su violación implica claramente graves repercusiones en la vida cotidiana del interesado (como datos financieros que podrían usarse para cometer fraude en los pagos). En este sentido, puede resultar relevante que los datos ya se hayan hecho públicos por el interesado o por terceras personas. El hecho de que los datos personales sean de acceso público puede considerarse un factor en la evaluación si estaba previsto que estos se usaran para ciertos fines. Este criterio también puede incluir datos tales como documentos personales, correos electrónicos, diarios, notas de lectores de libros electrónicos equipados con opciones para tomar notas e información muy personal incluida en aplicaciones de registro de actividades vitales. |
Alto |
Datos sanitarios |
|
Muy Alto |
Datos biométricos |
|
Alto |
Datos genéticos |
|
Muy Alto |
Categorías especiales de datos o que permitan inferirlos |
|
Muy Alto |
Categorías especiales de datos seudonimizados |
|
Alto |
Datos personales relativos a condenas e infracciones penales |
|
Muy Alto |
Metadatos |
|
Medio |
Identificadores únicos |
|
Medio |
Datos y metadatos de las comunicaciones electrónicas y datos inferidos de las comunicaciones electrónicas |
|
Medio |
Datos de navegación web |
|
Medio |
Tabla 19. Factores de riesgo asociados a los tipos de datos utilizados en el tratamiento.
3. Extensión y alcance del tratamiento
Relativos al número de sujetos afectados, la diversidad de datos o aspectos tratados, la duración en el tiempo, el volumen de datos, la extensión geográfica, la exhaustividad sobre la persona, la frecuencia de recogida, etc.
Factor de riesgo |
Ejemplos |
Nivel de riesgo |
Sistemático |
|
Alto |
Exhaustivo sobre las personas |
|
Alto |
Involucra a gran número de sujetos |
|
Muy Alto |
El volumen de datos tratados es muy elevado |
|
Muy Alto |
La duración del tratamiento es elevada |
|
Medio |
La actividad de tratamiento tiene un gran alcance geográfico |
|
Medio |
Tratamiento a gran escala |
|
Alto |
Recopilación excesiva de datos con relación al fin del tratamiento |
|
Alto |
Tabla 20. Factores de riesgo asociados a la extensión y alcance del tratamiento
4. Categorías de interesados
Factor de riesgo |
Nivel de riesgo |
Menores de 14 años |
Muy Alto |
Víctimas de violencia de género |
Muy Alto |
Menores dependientes de sujetos vulnerables |
Muy Alto |
Personas bajo guardia y custodia de víctimas de violencia de género |
Muy Alto |
Mayores con algún grado de discapacidad |
Alto |
Personas mayores |
Medio |
Personas con enfermedades mentales |
Muy Alto |
Discapacitados |
Alto |
Personas que acceden a servicios sociales |
Medio |
Sujetos en riesgo de exclusión social |
Alto |
Empleados |
Bajo |
Solicitantes de asilo |
Alto |
Pacientes |
Alto |
Sujetos vulnerables
|
Muy Alto |
Tabla 21. Factores de riesgo asociados a la categoría de interesados
5. Factores técnicos del tratamiento
Factor de riesgo |
Nivel de riesgo |
Sistema de información hospitalaria |
Alto |
TV interactiva |
Medio |
Servicios web |
Medio |
Aplicaciones móviles |
Medio |
Sistemas de registro de localización |
Alto |
Reconocimiento facial |
Alto |
Huella dactilar |
Alto |
Internet de las cosas (IoT) |
Muy Alto |
Uso innovador o nuevas soluciones organizativas |
Alto |
Uso innovador de tecnologías consolidadas, por ejemplo:
|
Alto |
Tecnologías combinadas con otras |
Medio |
Nuevas tecnologías, por ejemplo:
|
Alto |
Alto grado de fragmentación de los actores que intervienen en el desarrollo e implementación de los productos/servicios que implementan el tratamiento |
Alto |
Tratamientos automatizados, por ejemplo:
|
Medio |
Sistema Inteligente |
Medio |
Videovigilancia |
Alto |
Tabla 22. Factores de riesgo asociados a los factores técnicos del tratamiento
6. Recogida y generación de datos
Factor de riesgo |
Nivel de riesgo |
Acceso a base de datos de referencia de crédito |
Medio |
Acceso a base de datos sobre fraudes |
Medio |
Acceso a base de datos sobre blanqueo de capitales o financiación del terrorismo |
Alto |
Datos personales obtenidos en zonas de acceso público, por ejemplo:
|
Medio |
Recogida de datos de los medios sociales públicos |
Bajo |
Recogida de datos de redes de comunicaciones. |
Medio |
Recogida de datos de aplicaciones |
Medio |
Datos procedentes de dos o más tratamientos con finalidades diferentes |
Medio |
Datos procedentes de dos o más responsables distintos |
Medio |
Asociación de conjuntos de datos |
Medio |
Combinación de conjuntos de datos, por ejemplo:
|
Alto |
Enlace de registros de bases de datos de dos o más tratamientos con finalidades o responsables diferentes |
Medio |
Recogida de datos por un responsable distinto al que trata y aplica excepción de información 14.5 (b, c, d) |
Medio |
Falta de transparencia del momento preciso de la recogida de datos, por ejemplo:
|
Alto |
Nuevas formas de recogida de datos con riesgos para los derechos y libertades |
Alto |
Tabla 23. Factores de riesgo asociados a la recogida y generación de datos
7. Efectos colaterales del tratamiento
El responsable tendrá que evaluar la probabilidad de que estas amenazas se materialicen en su tratamiento, por lo que se deja la columna “Probabilidad” vacía. Una vez completada, podrá determinar el nivel de riesgo empleando, por ejemplo, la matriz de riesgo “probabilidad x impacto”.
Factor de Riesgo |
Impacto |
Probabilidad |
Excede las expectativas del interesado, por ejemplo:
|
Medio |
|
Posible reversión no autorizada de la seudonimización |
Muy Alto |
|
Posible pérdida de control por el responsable de los datos procesados por el encargado del tratamiento |
Alto |
|
Podría determinar la situación financiera |
Medio |
|
Podría determinar la solvencia patrimonial |
Medio |
|
Podría deducir información relacionada con categorías especiales de datos |
Alto |
|
Pudiera privar a los afectados de sus derechos y libertades |
Muy Alto |
|
Pudiera impedir el control sobre sus datos personales |
Muy Alto |
|
Puede provocar exclusión |
Alto |
|
Puede provocar discriminación |
Muy Alto |
|
Posible usurpación de identidad |
Muy Alto |
|
Posible fraude |
Muy Alto |
|
Posible daño reputacional |
Muy Alto |
|
Posible perjuicio económico significativo |
Muy Alto |
|
Posible perjuicio moral significativo |
Muy Alto |
|
Posible perjuicio social significativo |
Muy Alto |
|
Posible pérdida de confidencialidad de datos sujetos al secreto profesional |
Muy Alto |
|
Podría impedir el ejercicio de un derecho |
Alto |
|
Podría impedir el acceso a un servicio |
Alto |
|
Podría impedir el acceso a un contrato |
Alto |
|
Podría recoger datos personales distintos de los usuarios de servicio, por ejemplo:
|
Alto |
|
Posible manipulación de las personas, por ejemplo:
|
Alto |
|
Posibilidad de autocensura |
Alto |
|
Posibilidad de provocar un cambio cultural para claudicar derechos y libertades |
Alto |
|
Usos imprevistos o no deseados que pudieran afectar a derechos fundamentales |
Alto |
|
Tabla 24. Factores de riesgo asociados a los efectos colaterales del tratamiento
8. Categoría del responsable/encargado
Factores de riesgo que se derivan del contexto específico del sector de actividad, modelo de negocio o tipo de entidad.
Factor de riesgo |
Nivel de riesgo |
Sociedad de la Información |
Medio |
Empresa de biotecnología |
Alto |
Empresa de mercadotecnia |
Medio |
Hospitales |
Alto |
Investigadores privados |
Medio |
Entidad de evaluación de información crediticia |
Medio |
Entidad de evaluación de fraude |
Medio |
Entidad financiera |
Medio |
Empleador |
Bajo |
Proyectos de investigación |
Bajo |
Ensayos clínicos |
Alto |
Tabla 25. Factores de riesgo asociados a categoría de responsable/encargado
9. Comunicaciones de datos
Factor de riesgo |
Nivel de riesgo |
Transferencia habitual a estados u organizaciones en otros países sin un adecuado nivel de protección |
Muy Alto |
Falta de trasparencia de los actores involucrados en el tratamiento, por ejemplo:
|
Medio |
Difusión libre de identificadores únicos, por ejemplo:
|
Alto |
Tabla 26. Factores de riesgo asociados a las comunicaciones de datos
D. Riesgo derivado de brechas de datos personales
En la práctica, el proceso de evaluación del nivel de riesgo no puede llevarse a cabo sin tener en cuenta las posibles consecuencias de las brechas de datos personales sobre los interesados.
En la identificación y análisis de factores de riesgo, es necesario determinar los perjuicios que puede tener la materialización de brechas de datos personales en sus distintas dimensiones.
1. Análisis básico
Un análisis básico para determinar el nivel de riesgo sería considerar el tratamiento a alto nivel, sin entrar en el detalle de los activos que implementan el tratamiento de la información y, a partir de ahí, evaluar el impacto que produciría una brecha de datos personales en cada una de las siguientes dimensiones:
Para realizar el análisis, se pueden plantear los distintos escenarios de materialización de una brecha de datos personales de cara a determinar que impactos se podrían producir en los interesados. Para ello, y en cada uno de los escenarios, se podría completar la siguiente tabla:
Tratamiento |
|
Escenario |
|
Brecha materializada |
Descripción del tipo de brecha |
Datos comprometidos |
Relación de datos comprometidos en la brecha |
Perjuicios al interesado |
Detallar que perjuicios se podrían producir al interesado en sus derechos y libertades, y en general a sus intereses También definiendo la extensión en personas afectadas. |
Tabla 27. Descripción de un escenario de brechas de datos personales
A partir de los perjuicios que se provocan a los interesados, es posible determinar el impacto. Por ejemplo, si estimamos que una brecha de confidencialidad afecta de forma irreversible a derechos constitucionales, determinaríamos que el impacto es máximo.
Dimensión de la brecha |
Impacto para los derechos y libertades |
Confidencialidad |
? Máximo ? Alto ? Medio ? Bajo |
Integridad |
O Máximo O Alto O Medio O Bajo |
Disponibilidad |
O Máximo O Alto O Medio O Bajo |
Trazabilidad |
O Máximo O Alto O Medio O Bajo |
Autenticidad/Identidad |
O Máximo O Alto O Medio O Bajo |
Resiliencia |
O Máximo O Alto O Medio O Bajo |
Brechas en medidas y garantías técnicas y organizativas de protección de datos |
O Máximo O Alto O Medio O Bajo |
Errores en las operaciones técnicas de tratamiento de datos |
O Máximo O Alto O Medio O Bajo |
Tabla 28. Recopilación de nivel de impacto para casos de brechas de datos personales
A su vez, es necesario determinar la probabilidad de que dichas brechas se materialicen y obtener el siguiente resultado para cada dimensión:
Dimensión de la brecha |
Probabilidad de materialización |
Confidencialidad |
O Máximo O Alto O Medio O Improbable |
Integridad |
O Máximo O Alto O Medio O Improbable |
Disponibilidad |
O Máximo O Alto O Medio O Improbable |
Trazabilidad |
O Máximo O Alto O Medio O Improbable |
Autenticidad/Identidad |
O Máximo O Alto O Medio O Improbable |
Resiliencia |
Máximo O Alto O Medio O Improbable |
Brechas en medidas y garantías técnicas y organizativas de protección de datos |
O Máximo O Alto O Medio O Improbable |
Errores en los sistemas de tratamiento de datos |
O Máximo O Alto O Medio O Improbable |
Tabla 29. Recopilación de probabilidad de materialización de brechas de datos personales
En el análisis de probabilidad habrá que considerar si el tratamiento tiene una expectativa de operatividad a corto, medio o largo plazo, pues hay que ser consciente, como ya se ha indicado, que la probabilidad de materialización aumentará con el tiempo. Por ejemplo:
Probabilidad Hoy |
Evolución de la Probabilidad |
||
Máxima |
Máxima |
Máxima |
Máxima |
Alta |
Alta |
Máxima |
Máxima |
Media |
Media |
Alta |
Máxima |
Baja |
Baja |
Media |
Alta |
|
Corto plazo < 1 año |
Medio Plazo < 5 años |
Largo Plazo > 5 años |
Tabla 30. Evolución de la probabilidad de materialización de una brecha en el tiempo
El nivel de riesgo para cada dimensión de la brecha se evaluaría con la siguiente tabla para cada dimensión:
Dimensión (Confidencialidad, Integridad, Disponibilidad, Autenticación, Trazabilidad, Resiliencia, Fallos en las garantías de privacidad, Errores en las operaciones técnicas del tratamiento) |
|||||
Probabilidad |
Muy alta |
Medio |
Alto |
Muy alto |
Muy alto |
Alta |
Bajo |
Alto |
Muy alto |
Muy alto |
|
Baja |
Bajo |
Medio |
Alto |
Muy alto |
|
Improbable |
Bajo |
Bajo |
Medio |
Muy alto |
|
|
|
Muy limitado |
Limitado |
Significativo |
Muy significativo |
|
|
Impacto |
Tabla 31. Matriz Probabilidad x Impacto para determinar el nivel de riesgo de una brecha de datos personales
2. Tratamiento de grandes conjuntos de datos
Será necesario analizar el impacto y las probabilidades de que las amenazas se materialicen sobre distintos conjuntos de datos de diferentes formas:
A priori, parecería menos probable una brecha que afecte a una gran extensión de datos e interesados que una brecha que afecte a pocos datos o pocos interesados.
Brecha de poca extensión |
< Impacto |
> Probabilidad |
Brecha de gran extensión |
> Impacto |
< Probabilidad |
Tabla 32. Posible relación entre impacto y probabilidad en brechas en función del volumen de datos
Pero dicha presunción debería ser confirmada mediante un análisis basado en evidencias y determinar si las variaciones son del mismo orden de magnitud, de forma que un incremento en el impacto se compensaría con la disminución en el mismo grado de la probabilidad.
3. Análisis de los activos identificados en el tratamiento
Se debería realizar una tabla para cada dimensión y se incluiría el conjunto de activos identificados en la descripción del tratamiento. A partir de ahí, se determinaría, para cada activo, si es posible la ocurrencia de una brecha en la dimensión.
Dimensión |
Confidencialidad, Integridad, Disponibilidad, Autenticación, Trazabilidad, Resiliencia, Fallos en las garantías de privacidad, Errores en las operaciones técnicas del tratamiento |
|
Activos |
Probabilidad |
Impacto |
Activo 1 |
Probabilidad de materialización |
Nivel de impacto en función de cómo una pérdida total o parcial del activo en la dimensión pudiera afectar a los derechos y libertades de los interesados |
… |
… |
… |
Activo N |
… |
… |
Tabla 33. Análisis de los activos implicados en el tratamiento
El nivel de riesgo para cada dimensión se podría determinar por el peor caso de los pares (Impacto, Probabilidad). Además, este tipo de análisis permitiría identificar sobre qué activos realizar el mayor esfuerzo en implementación de medidas y garantías para reducir ese nivel de riesgo.
E. Factores de riesgo no explícitos en la normativa
Los factores de riesgo identificados en el apartado “C” de este capítulo son, exclusivamente, aquellos identificados explícitamente en el RGPD y en su desarrollo.
A continuación, se muestra una lista de otros posibles factores de riesgo, sin intención de ser exhaustiva, sino como ejemplo de que podrían existir otros factores en tratamientos específicos. El propósito de esta lista es de servir de ayuda para la reflexión de responsables y encargados:
Factor de riesgo |
Impacto |
Probabilidad |
Contexto interno de la organización |
||
Falta de madurez en la gobernanza y procesos de la organización |
|
|
Crisis interna de la organización |
|
|
Existencia de otros tratamientos de alto riesgo en la organización |
|
|
Actuar como encargado de numerosos (cientos o miles) de responsables |
|
|
Operaciones relacionadas con los fines |
||
Se produce un contacto frecuente y reiterado con los afectados de manera que pueda resultar intrusivo para la intimidad del interesado |
|
|
Exista una probabilidad real de que, en el futuro, se vayan a tratar los datos para finalidades distintas de las que se previeron en el momento de recabarlos, en particular, si estas finalidades son más intrusivas o exceden las expectativas de los afectados |
|
|
Moldeado o presentación de la realidad digital en función de un perfilado |
|
|
Nudging o refuerzo positivo para influir en el comportamiento, explotando sesgos cognitivos o debilidades psicológicas |
|
|
Extensión y alcance del tratamiento |
||
El tratamiento involucra a un elevado número de intervinientes y/u organizaciones pudiendo representar un riesgo de pérdida de control de los datos personales |
|
|
Factores técnicos del tratamiento |
||
Plataformas educativas |
|
|
Internet de los cuerpos/Wearables |
|
|
Interfaces neurológicos |
|
|
Inteligencia Artificial |
|
|
Blockchain |
|
|
Categoría de responsable/encargado (con relación, generalmente, a los procesos que no sean de soporte) |
||
Organismos públicos y Administraciones Públicas |
|
|
Centros docentes y de educación |
|
|
Entidad aseguradora |
|
|
Recogida y generación de datos |
||
Tasas de falsos positivos |
|
|
Tasas de falsos negativos |
|
|
Efectos colaterales |
||
Posible inferencia de categorías especiales de datos a partir de la información acumulada del usuario |
|
|
Afecta o puede afectar al interés superior del menor |
|
|
Discriminación en la oferta de opciones, productos o servicios a causa del perfilado del usuario |
|
|
Limitación de la libertad de autonomía |
|
|
Sesgos en la toma de decisiones |
|
|
Discriminación algorítmica |
|
|
Aspectos culturales que afectan a la percepción de intrusión o a la interpretación de los datos |
|
|
Comunicaciones de datos |
||
Transferencia puntual a estados u organizaciones en otros países sin un adecuado nivel de protección |
|
|
Otros |
||
Previstos en códigos de conducta a los que la entidad está adherida |
|
|
Previstos en los esquemas de certificación |
|
|
Cualquier otro factor de riesgo |
|
|
Tabla 34. Ejemplos de otros posibles factores de riesgo
F. Análisis de un alto impacto
Se debería realizar un análisis de alto impacto en los casos en los que haya tratamientos masivos de datos de la población.
Algunos tratamientos con dichas características se podrían encontrar, por ejemplo, en:
En esos supuestos, sería necesario evaluar el riesgo relativo asociado a la materialización de los siguientes eventos:
Factor de riesgo |
Nivel de Riesgo |
Quiebras del Estado de Derecho |
|
Alteración radical de las garantías jurídicas |
|
Cambios geoestratégicos |
|
Avances tecnológicos disruptivos |
|
Situaciones de emergencia nacional |
|
Otros |
|
Tabla 35. Ejemplos de casos de alto impacto
Se espera que la probabilidad de materialización de estos eventos sea mínima, pero nunca se puede considerar de nivel cero o imposible, por lo que es preciso determinar el nivel de riesgo para este tipo de situaciones.
La evaluación del nivel de riesgo total de un tratamiento se obtiene a partir de los niveles de riesgo de cada uno de los factores de riesgo identificados. La interdependencia de los distintos factores de riesgo podría elevar el nivel de riesgo por encima del peor caso de cada factor de riesgo tomado individualmente.
El objetivo es tanto para determinar la obligatoriedad/necesidad de realizar una EIPD como para determinar el nivel concreto de riesgo del tratamiento de cara a implementar las medidas y garantías que resulten adecuadas.
Cuando hay distintos factores de riesgo, es necesario interpretar cómo dichos factores, considerados de forma independiente, podrían interactuar entre sí para incrementar el nivel de riesgo del tratamiento (factor de riesgo acumulado), mediante el análisis de sus dependencias y efectos combinados o las interacciones mutuas que existan entre ellos.
Se pueden utilizar distintas metodologías. En cuanto a la metodología concreta para determinar el nivel de riesgo del tratamiento para los derechos y libertades de los individuos, se recomienda que esté integrada dentro de la metodología general de la organización.
Por definición, en cualquier metodología, el nivel de riesgo del tratamiento no será inferior al nivel del riesgo de mayor valor que haya alcanzado un factor de riesgo identificado en ese tratamiento de forma individual.
A. Aproximación simplificada
Se establece una formula sencilla para evaluar la acumulación de factores de riesgos:
Figura 27. Una forma simplificada de calcular el riesgo del tratamiento
El resultado final del Nivel de riesgo se podría interpretar de la siguiente forma:
B. Aproximación mediante análisis de dependencias
Los factores de riesgo pueden tener relaciones entre sí, tanto con otros factores de riesgo dentro del tratamiento como con otros tratamientos que se ejecutan en la misma entidad, que tengan efectos aditivos, multiplicativos o incluso exponenciales.
El análisis de dichas dependencias se utiliza en el análisis de riesgo de seguridad con relación a los activos y está estudiada de forma restringida a este campo, aunque se puede ampliar a todos los factores de riesgo en protección de datos.
En este caso, los activos son, con frecuencia, recursos compartidos entre varios tratamientos o procesos de la organización, por lo que podríamos hablar del factor del riesgo repercutido como el riesgo heredado por unos activos de aquellos otros activos de los que dependen, en particular, el resultado de acumular el riesgo heredado entre activos en términos de probabilidad e impacto. En este sentido, será necesario, cuando proceda, llevar a cabo el análisis de dependencias de los activos y asignar el valor del riesgo repercutido al activo de superior nivel en función de los riesgos de los activos de un nivel inferior de los que depende.
8. CONTROLES PARA DISMINUIR EL RIESGO
A continuación, se describe un listado no exhaustivo ni obligatorio de medidas y garantías, denominadas controles, que podrían adoptarse para gestionar el riesgo para los derechos y libertades de los interesados en las siguientes dimensiones:
El responsable o encargado han de gestionar el riesgo afrontando las peculiaridades concretas de su tratamiento.
A. Medidas sobre el concepto y diseño del tratamiento
Medidas sobre la esencia del tratamiento tal y como está concebido y diseñado. Entre las posibles medidas o garantías que se podrían adoptar estarían:
En cuanto a la naturaleza |
Cambiar, reordenar o reorganizar las fases del tratamiento. |
Eliminar alguna fase del tratamiento. |
Aislar y segregar fases del tratamiento entre sí para que traten datos de una forma más limitada. Por ejemplo, haciendo que algunas fases no traten datos personales (anonimizados) o recurriendo a su seudonimización. |
Revisar los procedimientos de tratamiento de datos. |
Cambio de las elecciones técnicas para implementar las operaciones del tratamiento por tecnologías menos invasivas y/o más maduras. |
Cambio, en el sentido anterior, por tecnologías con mayor fiabilidad desde el punto de vista de protección de datos recurriendo, por ejemplo, al empleo de PETs (Privacy Enhanced Technologies). |
Reemplazar tratamientos automatizados por tratamientos manuales que incorporen procedimientos de supervisión y control. |
Llevar a cabo la supervisión humana de las decisiones automatizadas. |
Utilizar personal especialmente cualificado en determinadas fases del tratamiento, especialmente en su supervisión. |
Rediseñar los procedimientos de recogida, enriquecimiento o generación de datos personales. |
Reorganizar los espacios físicos donde se ejecuta el tratamiento. |
Rediseñar la orientación del trabajo en local, online o teletrabajo. |
Verificar la posibilidad de implementar medios alternativos de tratamiento: automático/manual, opciones de automatización, … |
Limitar el acceso a los datos personales que es necesario que estén bajo la gestión de encargados. |
En cuanto al ámbito |
Orientar el tratamiento a un número menor de sujetos. |
Orientar el tratamiento a cubrir un menor número de ámbitos de la vida de los sujetos. |
Orientar el tratamiento a una extensión geográfica limitada. |
Limitar el número de intervinientes o participantes. |
Limitar, en la concepción del tratamiento, el tiempo en el que se tratan datos de los mismos interesados. |
Limitar el grado interacción o vinculación del tratamiento con otros tratamientos de la misma entidad. |
Limitar de la extensión del tratamiento a sujetos considerados vulnerables (ancianos, menores, personas con discapacidad, etc.) |
Definir, dentro del tratamiento, casos de uso concretos con ámbitos disjuntos. |
En cuanto al contexto |
Delimitar los contextos sociales o económicos en los que se aplicará el tratamiento. |
Definir casos de uso restrictivos orientados a sectores específicos. |
Seleccionar los encargados de tratamiento para minimizar riesgos legales, sociales o políticos. |
Limitar vínculos o relaciones con tratamientos de otros responsables. Por ejemplo, cuando los tratamientos de seguimiento de clientes en centros comerciales son soportados por un mismo servicio que da soporte a distintos responsables con una tecnología que permite vincular la actividad de una misma persona. |
En cuanto a los fines |
Limitar o redefinir los fines del tratamiento. |
Eliminar fines secundarios en el tratamiento. |
Definir, dentro del tratamiento, casos de uso concretos con fines independientes. |
Tabla 36. Ejemplos de posibles medidas sobre el concepto del tratamiento
B. Medidas de gobernanza y las políticas de protección de datos
Estos controles están a caballo entre medidas específicas diseñadas para el tratamiento y las medidas establecidas como parte de la gobernanza de la organización.
En cuanto al marco de gobernanza |
Existe un mandato y compromiso concreto de la dirección de la organización con relación a la gestión del riesgo para los derechos y libertades. |
Está integrada la gestión del riesgo para los derechos y libertades de los interesados en los procesos de gestión de la organización. |
Existe una referencia explícita a la política de gestión del riesgo para los derechos y libertades en el marco de gestión del riesgo de la organización. |
Están diferenciadas las medidas que implementan las políticas de gestión de riesgos para los derechos y libertades de las políticas de gestión del riesgo de cumplimiento, legal o del riesgo de responsabilidad civil y penal. |
Están definidos los roles y asignación de responsabilidades y recursos necesarios para garantizar la protección de datos en la organización. |
Existen los recursos necesarios para garantizar la protección de datos. |
Está procedimentado el ciclo de mejora continua que permita garantizar la efectividad y adecuación de las políticas de protección de datos a la naturaleza, el contexto, el alcance y los objetivos de los distintos tratamientos a lo largo de su ciclo de vida. |
Existen indicadores tangibles sobre la implementación efectiva de las políticas de protección de datos. |
En cuanto a la asesoría en materia de protección de datos |
Se ha realizado el nombramiento del DPD o la definición del órgano colegiado que ejercerá las funciones del DPD en la organización (artículos 37, 38 y 39 RGPD) aun no siendo obligatorio. Cuando el nombramiento de un DPD es obligatorio, este nombramiento no está sujeto al resultado o la necesidad derivada de la gestión del riesgo. |
Está establecida la implicación del DPD en los procedimientos de decisión y definición de los tratamientos. |
Están definidos los canales internos para la comunicación con el DPD, la asesoría en protección de datos y/o los responsables de la gestión de los riesgos para los derechos y libertades. |
Se han implementado acciones para que los integrantes de la organización conozcan el rol del DPD, la asesoría en protección de datos y/o el responsable de la gestión de los riesgos para los derechos y libertades sus funciones y los canales para comunicarse con él. |
Las obligaciones de asesoría y supervisión (art. 39.1.a y b) del DPD o de la asesoría en protección de datos se extienden al desarrollo, mantenimiento y supervisión de las políticas de protección de datos. |
En cuanto a las políticas de protección de datos integradas en los procedimientos |
Están incluidas, en los procedimientos de concepción, diseño e implementación de nuevos tratamientos, estrategias de responsabilidad activa para la protección de datos: la gestión del riesgo para los derechos y libertades, la protección de datos desde el diseño y por defecto, la transparencia del tratamiento y la seguridad desde el diseño y por defecto. |
Están incluidas en los procedimientos de adquisición de productos, sistemas o servicios que van a implementar operaciones dentro de la actividad de tratamiento el requerir información y garantías* para asegurar y poder demostrar que dicho tratamiento cumple con el RGPD. * Las garantías pueden ser de diverso tipo: auditorias independientes, certificaciones u otras; tanto a nivel técnico, cumplimiento, procedimiento u otros. |
Están designados los puntos de contacto dentro de la organización para cada tratamiento de datos personales. |
Los canales de denuncia implementan la gestión de abusos en temas de protección de datos. |
La protección de datos está integrada en los procedimientos de trabajo en local, remoto y teletrabajo. |
Existe una política BYOD en la que se integran los requisitos de protección de datos. |
En la política del tratamiento se establecen condiciones para verificación y tratamiento de la gestión del riesgo para los derechos y libertades. |
En la política de gestión del tratamiento se establecen cláusulas de caducidad en las condiciones del tratamiento. |
Con relación a la atención a los interesados* * Los interesados no son solo los clientes, sino también los empleados, otras personas físicas con las que la entidad tiene relación y cualquier otra persona afectada indirectamente por el tratamiento. |
En la medida que puedan resultar en una disminución del riesgo, ofrecer procedimientos para la atención de derechos que vayan más allá de los mínimos establecidos en el Capítulo III del RGPD. |
En la medida que puedan resultar en una disminución del riesgo, disponer de políticas de transparencia que vayan más allá de los mínimos establecidos en el Capítulo III del RGPD y que deberán concretarse en cada tratamiento como estrategias de protección de datos desde el diseño. |
Disponer de canales de comunicación con los interesados con relación a la protección de su privacidad. |
Existen procedimientos de consulta a los interesados con relación a la protección de sus derechos. |
Con relación a la seguridad (tanto de la organización como de la información) |
Una referencia a la gestión del riesgo para los derechos y libertades en la política de la seguridad aplicable a los tratamientos de datos personales, así como en la política general de seguridad que fuera aplicable a la organización. |
Una integración de la protección de los derechos y libertades en el SGSI. |
Una correcta diferenciación de roles entre el DPD y los responsables TIC o de seguridad de la información. |
Una implementación de la necesaria coordinación entre el DPD y el responsable de seguridad de la organización, del sistema de información y otros en función de la entidad. |
Una clara definición del alcance de la participación del DPD en los comités de seguridad. |
Respecto de las garantías jurídicas |
Están establecidos compromisos de confidencialidad para aquellos que tengan acceso a datos personales. |
Establecimiento de garantías a los encargados que vayan más allá de lo establecido en el artículo 28 del RGPD. |
Están establecidos compromisos para no llevar a cabo esfuerzos que pudieran dar lugar a la reidentificación de las personas en conjuntos de datos disociados. |
Están habilitados instrumentos con validez jurídica que protejan los derechos y libertades de los interesados en caso de materialización de riesgos específicos. |
Están habilitados instrumentos con validez jurídica que compensen equilibradamente a los interesados (no al responsable) de los daños a sus derechos y libertades en caso de materialización de riesgos específicos. |
En relación con la formación y preparación del personal con relación a la protección de datos |
Están establecidas medidas de concienciación y formación del personal implicado en la definición o concepción de nuevos tratamientos |
Establecimiento de medidas de concienciación y formación del personal implicado en las operaciones de tratamiento de datos personales. |
En las guías para trabajadores, según sus roles específicos, está incluida información con relación a las obligaciones relativas a la protección de datos. |
En las guías para trabajadores, según sus roles específicos, está incluida información con relación a cómo actuar ante reclamaciones de derechos. |
En las guías para trabajadores, según sus roles específicos, está incluida información con relación a cómo actuar ante una brecha de datos personales. |
En las guías para trabajadores, según sus roles específicos, está incluida información con relación a sus derechos y canales de denuncia de privacidad. |
Respecto a la relación responsable-encargado |
Está incluida en los modelos de contratos la referencia a las cláusulas contractuales (CC) aplicables en las relaciones responsable-encargado. |
En los procedimientos de contratación de encargados están incluidas las obligaciones del artículo 28 del RGPD. |
En los procedimientos de contratación de encargados están detallados procedimientos de evaluación del encargado que garantizarán que se elegirá únicamente al que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas en función del riesgo del tratamiento. |
Las CC se extenderán más allá de los requisitos del artículo 28 del RGPD para la adecuada gestión del riesgo del tratamiento. |
Las CC incluyen elementos que pueden ayudar al encargado a comprender los riesgos para los derechos y libertades de los datos derivados del tratamiento. |
Las CC contemplan las medidas de seguridad aplicables al tratamiento. |
Las CC contemplan la obligación del encargado de tener autorización del responsable antes de realizar cualquier cambio en las medidas de seguridad. |
Las CC contemplan la obligación del responsable de revisar dichas medidas periódicamente en función del riesgo. |
Están incluidos en los procedimientos de contratación diligencias adicionales para garantizar el cumplimiento de la normativa de datos personales. |
El responsable realiza auditorías a los encargados con relación al tratamiento. |
Terceros independientes auditan al encargado con relación al tratamiento. |
En cuanto a las comunicaciones de datos |
Existen mecanismos para tener trazabilidad de las comunicaciones de datos personales realizadas por el responsable y encargado a encargados, subencargados y terceros. |
Está procedimentado la definición de mecanismos, garantías y límites aplicables a las transferencias internacionales de datos para cada tratamiento. |
Está procedimentado la referencia a las normas corporativas vinculantes que se aplicasen a la organización, con el detalle de aquellos ámbitos y tratamientos específicos aplicables, así como sus límites. |
Dentro de la política de gestión documental |
Existe una definición de documentos que permiten al responsable demostrar el cumplimiento |
Está incluida la gestión del riesgo para los derechos y libertades. |
Existe trazabilidad y control de versiones de la documentación de gestión del riesgo para los derechos y libertades que se vaya generando. |
En relación con los procedimientos para la gestión de brechas de datos personales e incidentes en el tratamiento |
Están definidos procedimientos para detectar brechas, incidentes o errores en los tratamientos de datos personales. |
El papel del DPD está claramente definido en los procedimientos relativos a la gestión de brechas de datos personales, garantizando, al menos, que cumple con 39.1. |
Existen procedimientos definidos para reaccionar ágilmente, a nivel de organización, ante brechas, incidentes o errores en los tratamientos de datos personales. |
Están definidos canales de comunicación, información y consulta sobre brechas de datos e incidentes con las partes implicadas en los tratamientos de datos personales. |
Están definidas medidas para identificar, en las comunicaciones de los propios interesados al responsable/encargado, información sobre brechas, incidencias o errores. |
Existen procedimientos para la notificación de brechas de datos personales a la Autoridad de control. |
Existen procedimientos para la comunicación a los interesados de brechas de datos personales. |
Se han planteado escenarios concretos de potenciales brechas, errores o incidentes de especial gravedad, y se ha definido la forma de gestionarlos, específicamente, para proteger los derechos y libertades de los interesados. |
Existe conexión entre los procedimientos para la gestión de brechas e incidentes en el tratamiento y el proceso de gestión riesgos, incluyendo la gestión de los controles asociados. |
En cuanto a la profundidad de la gestión del riesgo |
Realizar una EIPD aun no siendo esta obligatoria. |
Existen procedimientos internos que hacen necesaria la EIPD con independencia de que exista o no obligación legal de llevarla a cabo. |
Respecto a las actividades de seguimiento y verificación de las medidas de gobernanza |
Están implementados planes de auditorías internas o externas que evalúen el cumplimento de las políticas de protección de datos. |
Están establecidas políticas de certificación en protección de datos. |
Están identificados, en su caso, los mecanismos de adhesión a códigos de conducta. |
Están implantados mecanismos, normas y procedimientos, para detectar cambios en la naturaleza, ámbito, contexto o fines del tratamiento. |
Están implementados mecanismos de decisión para que, en función de los cambios anteriores o incidencias detectadas, se realice un nuevo ciclo de revisión del riesgo. |
Tabla 37. Ejemplos de posibles medidas de gobernanza y políticas de protección de datos
C. Medidas de protección de datos desde el diseño
Los objetivos de protección de datos personales desde el diseño que deben ser tenidos en cuenta para productos, aplicaciones y servicios que se desarrollen son seis. Por un lado, están los tres orientados a proteger la seguridad de la información: confidencialidad, integridad y disponibilidad. Por otro lado, están los específicos de desvinculación, transparencia y control.
OBJETIVOS DE LA PROTECCIÓN DE LA PRIVACIDAD |
||
DESVINCULACIÓN |
TRANPARENCIA |
CONTROL |
|
|
|
Tabla 38. Objetivos de protección de la privacidad desde el diseño
La Guía de Privacidad desde el Diseño contiene un desarrollo de los seis objetivos. A continuación, se expone un breve resumen que condensa la información de los relacionados con desvinculación, transparencia y control.
ESTRATEGIAS ORIENTADAS A DATOS |
|||
Estrategias |
Tácticas |
Controles y patrones de diseño |
|
MINIMIZAR Evitar el tratamiento de datos personales innecesarios |
|
|
|
OCULTAR Limitar la exposición de los datos personales para garantizar la protección de los objetivos de confidencialidad y desvinculación |
|
|
|
SEPARAR Mantener separados los conjuntos de datos personales utilizándolos en tratamientos independientes |
|
|
|
ABSTRAER Limitar al máximo el nivel de detalle utilizado en los tratamientos de datos personales |
|
|
|
ESTRATEGIAS ORIENTADAS A PROCESOS |
|||
INFORMAR Proporcionar información extendida del tratamiento cuando los mecanismos adicionales implementados permitan disminuir los riesgos |
|
|
CONTROLAR Proporcionar a los interesados un control extendido sobre sus datos personales permitiéndoles gestionar el riesgo
|
|
|
CUMPLIR Aplicación de las garantías procedimentales, de las políticas y las medidas de gobernanza como parte del tratamiento concreto |
|
|
DEMOSTRAR Poder demostrar que los tratamientos se han desarrollado de acuerdo con las políticas de la entidad |
|
|
Tabla 39. Estrategias, descripción, tácticas, controles y patrones de protección de datos desde el diseño
D. Medidas de seguridad para la protección de los derechos y libertades
Las medidas de seguridad para la protección de los derechos y libertades han de entenderse en sentido amplio. Es decir, no solo cubriendo aspectos relativos, por ejemplo, a accesos no autorizados, sino otras posibles amenazas, por ejemplo, las causas naturales, los accidentes, los errores humanos y posibles errores en el funcionamiento de los tratamientos automatizados, en particular aquellos que se derivan de sistemas que infieren nuevos datos personales o toman decisiones automatizadas sobre los individuos.
1. Tratamientos sometidos al ENS
En el caso de tratamientos sometidos al Esquema Nacional de Seguridad (ENS) se podría realizar la siguiente correspondencia en función del nivel de riesgo para los derechos y libertades determinado en el tratamiento:
Nivel de riesgo para los derechos y libertades |
Categoría ENS |
Muy Alto |
Alto |
Alto |
Alto |
Medio |
Medio |
Bajo |
Bajo |
Tabla 40. Correspondencia entre el nivel de riesgo para los derechos y libertades y la categoría ENS
El responsable es quien, en última instancia, siempre tiene la obligación de aplicar las medidas necesarias para garantizar los derechos y libertades atendiendo a la naturaleza, el ámbito o alcance, el contexto y la finalidad de los tratamientos.
2. Aproximación básica a la implementación de medidas de seguridad
En el caso de tratamientos no sometidos al cumplimiento del ENS, se tendrán que implementar las medidas necesarias para gestionar el nivel de riesgo de los activos que dan soporte al tratamiento. Guías que enumeran posibles medidas se pueden encontrar en distintos estándares internaciones, como la ISO-27002 o en la extensión para temas de protección de datos en la ISO-27701.
Como orientación, se recomienda no implementar un nivel menor de seguridad que el criterio establecido en el Anexo II del Esquema Nacional de Seguridad, y que se traslada aquí, de forma íntegra, con las siguientes claves:
Dimensión |
C: Confidencialidad D: Disponibilidad I: Integridad T: Trazabilidad A: Autenticidad |
Nivel |
B: Básico M: Medio A: Alto |
aplica |
Indica que una determinada medida de seguridad se debe aplicar a una o varias dimensiones de seguridad |
n.a. |
Significa “no aplica” |
= |
Indica que las exigencias de un nivel son iguales a las del nivel inferior |
+ ++ |
Indican un incremento de las exigencias, graduado en función del nivel inferior de la dimensión de seguridad |
Colores |
Verde: indica que una medida se aplica en sistemas de categoría básica o superior Amarillo: las medidas que empiezan a aplicarse en categoría media o superior Rojo: las medidas que sólo se aplican en categoría alta |
Medidas |
Se ha marcado en rojo la variación respecto al listado original del ENS para reflejar la obligación marcada en los artículos 33 y 34 del RGPD de gestionar y documentar brechas de datos personales |
Dimensión |
Nivel |
MEDIDAS DE SEGURIDAD |
|||
B |
M |
A |
|||
|
|
|
|
org |
Marco organizativo |
Todas |
aplica |
= |
= |
Política de seguridad |
|
Todas |
aplica |
= |
= |
Normativa de seguridad |
|
Todas |
aplica |
= |
= |
Procedimientos de seguridad |
|
Todas |
aplica |
= |
= |
Proceso de autorización |
|
|
|