Diferentes análisis de riesgos en el RGPD
Por Elías Vallejo, profesor “Auditorias de protección de datos y sistemas de información” en el Máster en Dirección de Compliance & Protección de Datos de la EIP International Business School ha querido compartir con nosotros un estudio analizando los diferentes riesgos en el RGPD señalando que el análisis de riesgos en el RGPD está presente en 3 supuestos.
- Art. 24– Responsabilidad del Responsable de Tratamiento y Art. 35 Evaluaciones de Impacto de Protección de Datos
- Art. 32– Seguridad del Tratamiento
- Art. 25– Protección de datos desde el diseño y por defecto
En este primer post de nuestro Blog Especialistas en Protección de Datos & Cumplimiento Normativo nos habla sobre el Art. 24 Responsabilidad del Responsable de Tratamiento y sobre el Art. 35, Evaluaciones de Impacto de Protección de Datos.
Os dejamos el post de Elías Vallejo,
Art. 24.- Responsabilidad del Responsable de Tratamiento y Art. 35 Evaluaciones de Impacto de Protección de Datos
En cuanto al art. 24 del RGPD, se tiene en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, para lo cual el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento.
Esta idea de “demostrar que el tratamiento es conforme con el presente Reglamento” es el alcance de este análisis de riesgo. Cabe destacar que es el análisis de riesgo más amplio de los 4 mencionados y que son objeto de estudio en este artículo.
Se trata pues de demostrar que se cumple con todo lo establecido en el Reglamento y para ello debemos de ir minuciosamente, artículo por artículo del RGPD, para saber considerar que es conforme al Reglamento y detectar el incumplimiento de esas obligaciones establecidas en el articulado del RGPD, para considerarlo como amenazas a evaluar.
Sin embargo, para acotar esas amenazas, ya hay un trabajo hecho por la AEPD en el “Listado de cumplimiento normativo” que publicó en su momento o, en su defecto, podemos identificar como amenazas las infracciones leves, graves y muy graves de la LOPDGDD.
Vías de análisis de riesgos
Esta explicación, hasta aquí es fácil de asimilar en la parte de cumplimiento de obligaciones legales, pero deja un abanico amplio de amenazas en el apartado técnico, ya que la descripción de estas amenazas en ambos documentos es muy genérica.
Para analizar estas amenazas técnicas, derivamos su estudio al art. 32 de Seguridad del Tratamiento que veremos más adelante.
Por otro lado, hay que destacar que, a este análisis de riesgos se llega por dos vías:
- Bien, porque se trata de un tratamiento ya existente
- Bien, porque siendo un tratamiento nuevo, después de realizar un análisis de la necesidad de realizar una Evaluación de Impacto (en adelante, Pre-PIA), se llega a la conclusión de que no es un tratamiento de alto impacto y, por tanto, se realiza este análisis de riesgos sobre dicho tratamiento (y no la Evaluación de Impacto)
Llegados a este punto, hay que matizar que la información contenida en las Guías de Análisis de Riesgo y de EIPD´s de la Agencia dista mucho de la aplicación “Gestiona”. En dicha aplicación el Análisis de Riesgos se calcula con la ecuación de Riesgo = Probabilidad x Impacto, siendo una copia de lo que sería una EIPD. No existe diferencia. Sin embargo, en las Guía de Análisis de riesgos, se indica que en estos casos (y a diferencia de las EIPD´s), se identifica el riesgo que afecta a una organización y, sobre el mismo, se proponen controles; sin necesidad de pasar por una etapa intermedia de análisis del riesgo mediante la fórmula de probabilidad por impacto.
Elementos diferenciales
Esta contradicción está generando diferentes interpretaciones. Por un lado (los más técnicos), opinan que “Gestiona” es la interpretación correcta, al considerar que todo análisis de riesgo debe incluir la fórmula Riesgo = Probabilidad x Impacto, considerando errónea la interpretación de la “Guía de Análisis de Riesgos” al eliminar la etapa intermedia de análisis de riesgos propiamente dicho.
Esta corriente considera como elementos diferenciales los siguientes:
- Las propias metodologías de Análisis de Riesgos no pueden omitir la etapa de evaluación del riesgo
- Gestiona avala esa posición.
Por otro lado, hay quienes (los más jurídicos), defienden que el razonamiento de la Guía es la que debe preponderar, ya que si se realiza un Pre-PIA sobre cada tratamiento es para determinar si el tratamiento es de alto impacto o no. Si es de alto impacto hay que hacer una EIPD; en caso contrario, hay que hacer un análisis de riesgo. Si al final se decide que la metodología de ambas es la misma, no tiene sentido hacer un Pre-PIA.
También hay que abandonar la idea de que todo análisis de riesgo debe incluir la fórmula de Riesgo = Probabilidad x Impacto, ya que cuando se analizan los riesgos de privacidad desde el diseño y por defecto (como veremos más adelante) no se utiliza dicha fórmula.
Ahondando en la idea de que Riesgo no es igual a Probabilidad X Impacto, el considerando 78 del RGPD establece: “La probabilidad y la gravedad del riesgo para los derechos y libertades del interesado debe determinarse con referencia a la naturaleza, el alcance, el contexto y los fines del tratamiento de datos. El riesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto.”.
Es decir, sólo hay que saber si, en primer lugar, si existe el riesgo (identificarlo) y, en caso de que exista, saber si el riesgo es alto (esto se hace a través del Pre-PIA). No se dice nada de que hay que cuantificarlo.
Cabe destacar, que las Evaluaciones de Impacto sólo se estudiaría su necesidad en tratamientos nuevos y no en los ya existentes.
¿Quieres especializarte en Dirección de Compliance y protección de datos?
El Máster en Dirección de Compliance & Protección de datos te convertirá en un profesional de alta cualificación con las competencias necesarias para realizar tareas especializadas en dos de las áreas más relevantes tanto para empresas privadas como para administraciones públicas: la protección de datos y el cumplimiento normativo o Compliance.
3 comentarios en «Análisis de riesgos en el RGPD: Arts. 24 y 35»