Uno de los requerimientos que establece el Reglamento General de Protección de Datos (RGPD) para responsables y encargados del tratamiento que realizan o desean realizar actividades de tratamiento con datos personales es la necesidad de llevar a cabo un análisis de riesgos de la seguridad de la información con el fin de establecer las medidas de seguridad y control orientadas a cumplir los principios de protección desde el diseño y por defecto que garanticen los derechos y libertades de las personas.
El artículo 32 del RGPD establece que las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo se definen en función del estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas. No se establecen medidas de seguridad estáticas, de forma que corresponderá al responsable determinar aquellas medidas de seguridad que son necesarias para garantizar la confidencialidad, la integridad y la disponibilidad de los datos personales.
En definitiva el primer paso para determinar las medidas de seguridad será la evaluación del riesgo, una vez evaluado el riesgo será necesario determinar las medidas de seguridad encaminadas para reducir o eliminar los riesgos para el tratamiento de los datos.
¿Qué es un riesgo?
Un riesgo se puede definir como la combinación de la posibilidad de que se materialice una amenaza y sus consecuencias negativas. El nivel de riesgo se mide según su probabilidad de materializarse y el impacto que tiene en caso de hacerlo. Las amenazas y los riesgos asociados están directamente relacionados, en consecuencia, identificar los riesgos siempre implica considerar la amenaza que los puede originar.
¿Qué es una evaluación de riesgos?
Es el análisis previo que se debe de dar a todo nuevo tratamiento de datos personales con la principal finalidad de establecer las controles y medidas de seguridad adecuadas que garanticen las libertades y los derechos de las personas afectadas. Dependiendo de los resultados de este análisis, posteriormente se establecerán los controles y medidas de seguridad pertinentes para garantizar los derechos y libertades de los interesados.
Para hacerlo, se tendrán en cuenta también los posibles riesgos que se producirían por un mal uso o un abuso de la información y por problemas técnicos o alteraciones del entorno, como accidentes meteorológicos, por ejemplo.
¿Y quién se encarga de hacerlo?
En aquellas empresas que cuente con la figura del Delegado de Protección de Datos, será este el encargado de llevarlo a cabo. En cambio sí en la empresa no se dispone de esta figura, se deberá designar a un encargado de realizar esta tarea en función de sus conocimientos en la materia. En el caso de que en tu equipo no haya ningún integrantes con los conocimientos suficientes, puedes externalizar esta gestión. Sea quien sea la persona designada deberá coordinarse con todo el personal de la entidad que pueda estar involucrado en los tratamientos y servicios.
¿Qué ley que me obliga?
Ni en el RGPD ni en la Ley Orgánica de Protección de Datos contiene un artículo expreso denominado Análisis de Riesgos, no obstante, la necesidad de la realización de dicho análisis lo podemos deducir de los siguientes artículos:
Se puede extraer de ciertos artículos presentes en estas normativas. Se tratan del apartado 1 y 2 del artículo 25 del RGPD y del apartado 2 del artículo 32.