Por Elías Vallejo, profesor “Auditorías de protección de datos y sistemas de información” en el máster en Dirección de Compliance & Protección de Datos de la EIP International Business School ha querido compartir con nosotros un estudio analizando los diferentes riesgos mencionados en el RGPD.
Diferentes análisis de riesgos en el RGPD
El profesor Elías Vallejo comenta que la idea de hacer un análisis de riesgos en el RGPD está presente en 3 supuestos.
- 24.- Responsabilidad del Responsable de Tratamiento y Art. 35 Evaluaciones de Impacto de Protección de Datos
- 32.- Seguridad del Tratamiento
- 25.- Protección de datos desde el diseño y por defecto
En el primer post de nuestro Blog Especialistas en Protección de Datos & Cumplimiento Normativo nos habló el profesor Elias Vallejo sobre el Art. 24, Responsabilidad del Responsable de Tratamiento y sobre el Art. 35, Evaluaciones de Impacto de Protección de Datos.
En este segundo post, nos expone un análisis de riesgos en el supuesto del art. 32, Seguridad del Tratamiento.
Os dejamos las palabras de Elías Vallejo,
Art. 32.- Seguridad del Tratamiento
Si en el artículo 24 del RGPD se debe tener en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento; en este artículo, aparte de dichos elementos debe considerarse el estado de la técnica y los costes de aplicación; todo ello relacionado con los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas
Para ello se aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, es decir, hay que circunscribirse ahora sí a las medidas de seguridad.
Si bien el articulo menciona que deben incluirse aspectos como la seudonimización y el cifrado de datos personales; la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico, la resiliencia permanentes de los sistemas y servicios de tratamiento, la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
El centro de todo análisis de riesgos de seguridad de la información (incluidos los datos de carácter personal) debe centrarse en la capacidad de garantizar la confidencialidad, integridad, disponibilidad de los sistemas y servicios de tratamiento, tal como lo contempla también dicho artículo.
Esquema Nacional de Seguridad
No seré yo el que desarrolle este punto. Hay variados catálogos de amenazas (ENS; ISO 27000, Gestiona, etc.) que deben considerarse y ser desarrollado por los técnicos.
Es importante destacar en este punto, que si la organización está obligada al ENS, ese será su marco de referencia o, que si la organización quiere certificarse voluntariamente por la ISO 27000, le aplicarán sus 114 controles.
Sin embargo, no todas las organizaciones están obligadas al ENS o disponen de un presupuesto para la ISO 27000, lo que hace que se deban desarrollar catálogos de amenazas que afecten a la seguridad de los tratamientos. Deberían establecerse dos tipos de catálogos en estos casos: uno para organización grande y otro para organización pequeña, ya que el nivel de exigencia no puede ni debe ser el mismo.
También quiero enfatizar que este artículo 32 menciona que se debe garantizar la resiliencia permanente de los sistemas y servicios de tratamiento, por lo que si bien no vamos a implantar una ISO 22301 (ya que no está dentro del alcance, a menos que el cliente lo solicite), deben ser tenidas en cuenta medidas al respecto.
¿Quieres especializarte en Dirección de Compliance y protección de datos?
El Máster en Dirección de Compliance & Protección de datos te convertirá en un profesional de alta cualificación con las competencias necesarias para realizar tareas especializadas en dos de las áreas más relevantes tanto para empresas privadas como para administraciones públicas: la protección de datos y el cumplimiento normativo o Compliance.
1 comentarios en «Análisis de riesgos en el RGPD: Art. 32»