Los Análisis de riesgos ¿Qué deberías saber?

Los Análisis de riesgos ¿Qué deberías saber? | PRODATOS

Los Análisis de riesgos ¿Qué deberías saber?

Con la entrada del nuevo RGPD, los requerimientos y obligaciones por parte de los responsables y encargados de tratamiento han aumentado. Un ejemplo son lo análisis de riesgos. Más adelante los explicaremos.

¿Qué son y por quién deben ser ejecutados?

A raíz del desarrollo de la tecnología, se precisan de unas medidas enfocadas a la gestión de los potenciales riesgos que estén destinados a estas tecnologías.

Podríamos decir entonces que, el análisis de riesgos, es un análisis realizado de forma previa para todo nuevo tratamiento de datos personales con el fin de establecer los controles y medidas de seguridad adecuadas.

Para una correcta gestión de riesgos se precisa realizar un profundo proceso de identificación, evaluación y tratamiento de los riesgos derivados de cualquier actividad de tratamiento. Para realizar estas evaluaciones, tendremos que considerar todos aquellos posibles escenarios con los que el riesgo podría hacerse efectivo.

Podrá realizarse por dos figuras dentro de la empresa:

  • El Delegado de Protección de Datos (DPD) si la empresa dispone de esta figura.
  • El Encargado de Tratamiento si la empresa no dispone del anterior.

Además, esta persona designada Encargado de Tratamiento, deberá coordinarse con todo el personal de la empresa que esté involucrado en el tratamiento.

¿Es lo mismo que una Evaluación de Impacto?

No, pero son complementarios.

Como explicamos en nuestro post de las Evaluaciones de impacto este proceso:

  • Busca determinar el impacto que podría tener un evento en la empresa.
  • Identificar los medios de los que dependen, es decir, las personas, infraestructuras físicas o tecnológicas, información y terceros.

En cambio, en el análisis de riesgos, se busca identificar las amenazas más probables y posteriormente analizar las vulnerabilidades relacionadas con las mismas:

  • Haciendo una evaluación de los controles de seguridad física, lógica y medioambiental.
  • Realizando una revisión de su efectividad para contener esas amenazas identificadas.

¿Cómo realizarlo?

Para realizar un análisis de riesgos tendremos que seguir una serie de pasos. Estos son:

Necesidad de realizar el análisis

Esta necesidad la identificará el DPO de la sociedad en cuestión, pero, si no se dispone de esta figura, podremos hacernos las siguientes preguntas para saber si necesitamos realizar un análisis de riesgos:

  • ¿Son recabados datos de carácter personal?
  • ¿Estos datos son comunicados a terceros?
  • ¿La tecnología escogida para la privacidad del tratamiento es considerada invasiva?
  • ¿Existe el tratamiento de datos considerados especialmente protegidos?
  • ¿Los datos recabados serán utilizados con fines de acciones de marketing de forma masiva?

En el caso de responder afirmativamente a las preguntas anteriores, deberemos realizar un análisis de riesgos

Descripción de la información a tratar

Se deberá conocer todo acerca del tratamiento de los datos personales:

  • Cómo serán recabados
  • Para qué serán utilizados
  • Qué finalidad tendrán
  • Qué personas tendrán acceso a los mismos

Identificación de los posibles riesgos contra la privacidad

Se identificarán los riesgos que afecten al tratamiento de los datos personales. Podrán ser:

Riesgos sobre los afectados

  • Invasión de su vida privada
  • Comunicación de datos a terceros cuando no proceda
  • No realizar un proceso de anonimización adecuado
  • El mantenimiento de los datos más tiempo del estipulado para su finalidad

Riesgos corporativos

  • Pérdida de la reputación
  • Sanciones derivadas de brechas de seguridad

Riesgos legales

  • No cumplir con la actual ley de protección de datos
  • Servicios de la sociedad de la información

Establecer unas soluciones que garanticen la privacidad

Una vez se hayan identificado los riesgos, se procederá a desarrollar una serie de soluciones para mitigar(suavizar) o eliminar estos riesgos.

En muchas ocasiones, no es necesario eliminar el riesgo por completo, si no que la ley permite mitigar este mismo hasta los niveles que permitan que la sociedad pueda tratar de forma segura los datos personales.

Implementar soluciones

Una vez establecidas las posibles soluciones, se deberán escoger las cuales serán implementadas.

Habrá que llevar un registro de los riesgos y soluciones adoptadas, además del responsable que las pondrá en funcionamiento.

Por último deberá realizarse un informe final del análisis con todos los datos anteriores.

Participación de los medios implicados

En las fases anteriores, la información entre los diferentes medios implicados de como resultado un análisis total y absoluto de los tratamientos de datos de carácter personal.

Integración de este análisis en la gestión

Finalmente, se deberá intentar que el Análisis de Riesgos forme parte de la propia gestión de la empresa u organización. Ya que es la forma más segura de garantizar la privacidad de productos y servicios.

 

Esperamos que te haya sido de interés este post, recuerda que somos especialistas en la materia de protección de datos y podrás pedirnos información a través de nuestro correo info@prodatosalcarria.es o en nuestro número de teléfono 949 87 13 58.



¿Necesitas más información sobre nuestros servicios?
¿Te gustaría conocer todas las novedades acerca de nuestra empresa?
Abrir popup