En el post anterior vimos que cambios ha supuesto la nueva ley de privacidad y protecci贸n
de los datos, la RGPD a las empresas europeas. Que obligaciones tienen y que intencionalidad tiene la nueva ley.
En este post nos centraremos en los riesgo que ata帽en a la privacidad de los datos y
analizaremos diferentes formas de enfrentarnos a los mismos, mostrando una breve
introducci贸n a la herramienta FACILITA.
Un riesgo es toda aquella posibilidad de que se produzca un contratiempo o una desgracia,
que alguien o algo sufra alg煤n tipo de perjuicio o da帽o. En cuanto a la privacidad, el riesgo
que a todos se nos viene a la cabeza es el de la filtraci贸n de informaci贸n sensible, clasificada
o confidencial. Por tanto, 驴si queremos evitar que estos riesgos se cumplan que debemos
hacer? Una de las formas m谩s comunes y eficaces de combatir los riesgos es mediante el
proceso conocido como Gesti贸n de riesgos.
La gesti贸n de riesgos son el conjunto de actividades y/o tareas que permiten controlar la
incertidumbre relativa a una amenaza mediante una secuencia de actividades que incluyen la
identificaci贸n y evaluaci贸n del riesgo, as铆 como, las medidas para su reducci贸n o mitigaci贸n.[1]
Esta gesti贸n de riesgos implica por lo tanto la identificaci贸n de los riesgos, la evaluaci贸n o
categorizaci贸n de los mismos y por 煤ltimo la elaboraci贸n de planes de acci贸n para mitigar los
mismos.
La gesti贸n de riesgos se divide generalmente en 3 fases principales:
1. Identificaci贸n de Amenazas
2. Evaluaci贸n de los riesgos
3. Tratar los riesgos
Todas estas fases est谩n sometidas a una monitorizaci贸n continua, de esta forma de trata de
conseguir que por el camino no se cometan errores que puedan repercutir gravemente m谩s
tarde.
Fase 1: Identificar Amenazas y Riesgos
El riesgo viene dado por la exposici贸n a amenazas, por tanto, desde la perspectiva de la
privacidad, es fundamental comprender qu茅 es una amenaza y c贸mo se pueden identificar
escenarios de riesgo para los datos personales a partir de la misma.
Una amenaza implica cualquier factor de riesgo con potencial para provocar da帽os o
perjuicios. En el caso de la privacidad de los datos, las amenazas son principalmente de tres
tipos:
- Acceso ileg铆timo a los datos: Relacionado con la confidencialidad, son los casos en
los que personas acceden a datos a los cuales no deber铆an poder acceder, sobre los
que no tienen permisos. - Modificaci贸n No autorizada de los datos: Relacionada con la integridad, cuando los
datos con los que se trabaja tienen riesgo o han sido da帽ados o corrompidos, esto es modificaciones sobre los datos sobre las que no se tiene conocimiento o no han sido solicitadas o aprobadas. - Eliminaci贸n de los datos: Relacionado con la disponibilidad, estamos ante aquellos casos en los que se pierden o desaparecen datos.
Otra forma diferente de definir un riesgo ser铆a verlo como una posibilidad de que se cumpla
una amenaza y por lo tanto esta trajese consigo consecuencias negativas. El nivel de riesgo
se mide en funci贸n de la probabilidad de que se cumpla y del impacto que este tendr铆a en
caso de cumplirse. Lo que nos lleva a la segunda fase.
Fase 2: Evaluar los riesgos
Evaluar un riesgo implica considerar todos los posibles escenarios en los cuales el riesgo se
har铆a efectivo. La evaluaci贸n de riesgos es el mecanismo mediante el cual se valora el
impacto de la exposici贸n a la amenaza, junto a la probabilidad de que esta se cumpla.
El impacto, por su parte, se determina en base a los posibles da帽os que se pueden producir
si la amenaza se vuelve realidad, por ejemplo, un impacto ser铆a despreciable o leve si no
tuviera consecuencias sobre los usuarios (teniendo en cuenta que lo que estamos valorando
es la privacidad) o, por el contrario, un impacto ser铆a significativo o grave si el da帽o
ocasionado sobre los derechos y libertades del usuario fuese cr铆tico. Seg煤n la probabilidad y
el impacto, asociados a las amenazas, es posible determinar el nivel de riesgo. Los riesgos
se suelen categorizar en funci贸n de escalas que midan estos impactos y la probabilidad de
que sucedan, ejemplos de estas categor铆as podr铆an ser Alto, Medio, Bajo o Grave, Com煤n y Leve.
Fase 3: Tratar los riesgos
Con ello llegamos a la 煤ltima fase del proceso de gesti贸n de riesgos. En esta fase se
elaboran metodolog铆as y mecanismos que permitan reducir la probabilidad y/o el impacto de
los riesgos en caso de llegar a producirse, de forma que el valor asociado a el riesgo en
cuesti贸n pueda reducirse.
B谩sicamente ser铆a elaborar un plan de acci贸n en el cual apoyarnos para no caer en estos
riesgos o en caso de que se produzcan tener mecanismos que reduzcan el impacto de los
mismos.
Para terminar, toca hablar de la herramienta FACILITA. FACILITA es una herramienta que ha
creado la Agencia Espa帽ola de Protecci贸n de Datos (AEPD) para ayudar a las empresas a
realizar el tratamiento de datos personales, con un riesgo asociado bajo, de forma
sistem谩tica. Agilizando as铆 todo el proceso y haciendo as铆 m谩s sencillo el cumplimiento para
con la RGPD.
Su uso es muy sencillo, se basa en en tan solo tres pantallas con preguntas muy concretas
que permite a aquel que la utiliza determinar su situaci贸n en cuanto al tratamiento de datos.
En funci贸n de las respuestas que se den a las preguntas propuestas obtendremos uno de
dos posibles resultados: Si se adapta a los requisitos exigidos para utilizar FACILITA o si se
debe realizar un an谩lisis de riesgo m谩s concienzudo. En caso de que la herramienta pueda
usarse, el resultado del empleo de la misma ser谩 la obtenci贸n de diversos documentos adaptados a la empresa o cliente concretos, cl谩usulas contractuales, clausulas informativas, registro de actividades de tratamiento y un anexo con medidas de seguridad orientativas consideradas m铆nimas.
Referencias
https://www.aepd.es/herramientas/facilita.html
https://www.aepd.es/media/guias/guia-analisis-de-riesgos-rgpd.pdf
ISACA:聽GDPR Data Protection Impact Assessments
gochoadealda
Latest posts by gochoadealda (see all)
- El Perfilado de usuarios y la privacidad - 10 enero, 2019
- 驴Datos e informaci贸n son lo mismo? - 9 enero, 2019
- La privacidad de los datos en el futuro - 1 diciembre, 2018
Deja una respuesta