El análisis de riesgos es una de las operaciones más complejas y desconocidas que han de realizar las entidades para cumplir la normativa. La base legal que nos obliga a realizarlo se puede encontrar inicialmente en el artículo 32 del Reglamento General de Protección de Datos (RGPD). Este artículo es de obligado cumplimiento tanto para responsables como para encargados de tratamiento, es decir, aquellos profesionales que por el servicio que prestan al responsable, deben acceder a datos personales; asesorías, auditores, servicios informáticos en general, etc.
De una forma u otra, un alto porcentaje de las sanciones que se imponen a PYMES, profesionales, asociaciones, federaciones y resto de sujetos obligados, están relacionadas con un mal análisis de riesgos o una mala adopción de medidas de seguridad.
¿Cómo se realiza un análisis de riesgos?
Hoy por hoy no existe, para entidades privadas, ningún texto legal que indique qué debemos hacer en cada caso concreto. Tenemos que acudir al principio de responsabilidad proactiva, es decir, que la entidad que trata los datos es responsable de cumplir con lo dispuesto en la normativa, y ser capaz de demostrarlo.
Cuando tratamos datos personales, estos deben permanecer disponibles para uso, confidenciales e íntegros. Además debemos asegurarnos de que es así. Para poder demostrarlo en caso de que el interesado, otros responsables autorizados o las autoridades públicas, nos requieran pruebas de cumplimiento.
Para poder hacer todo esto debemos realizar un análisis riguroso. Empezaremos determinando qué datos estamos tratando; para qué, de quién, durante cuánto tiempo, a quién se los tenemos que comunicar si es el caso y cuál es la justificación legal que nos permite realizar ese tratamiento.
Una vez tenemos claros todos los tratamientos y los hemos analizado al detalle, debemos decidir, para nuestro caso concreto, qué impacto tendría para los derechos del interesado (un cliente, un paciente, un empleado…) el que esos datos se hicieran públicos o llegaran a manos no autorizadas. Ese impacto para la privacidad será clave para la adopción de medidas de seguridad, pero no es el único factor a tener en cuenta.
Debemos también determinar qué elementos usamos para el tratamiento de datos; dónde los almacenamos, quién puede acceder a ellos, en qué tipo de equipos informáticos, con qué software, si usamos una nube… De esta manera describimos los activos de información, que consisten en todo aquello necesario para el tratamiento de datos, susceptible de ser atacado.
Dependiendo del tipo de activo, de su ubicación, accesos, tipo de datos a los que accede y otros factores, debemos poder determinar cuáles son las diferentes amenazas a los que están expuestos estos elementos. De este modo podemos evaluar un nivel de riesgo que nos permita decidir qué medidas de seguridad debemos adoptar y cómo, para mitigar ese riesgo lo más posible.
¿Cómo gestionamos los riesgos?
Este sistema de gestión del riesgo, debe ser monitorizado continuamente y reevaluado periódicamente. En algunos casos será necesaria una revisión cada año, en otros cada mes. Todo dependerá del tipo de entidad, tipo de datos, impacto a la privacidad, tipos de riesgos detectados, vulnerabilidades de los activos, etc.
Existen múltiples metodologías para el análisis del riesgo y determinación de medidas, multitud de guías y documentación publicadas por las Autoridades de protección de datos europeas. Tenemos mucha información que podemos encontrar con facilidad y estudiar con detenimiento para poder realizar un análisis correcto, no obstante, lo más adecuado es contar con un profesional que nos indique para nuestro caso concreto cual es la forma más rápida, barata y adecuada de preservar la integridad, disponibilidad y confidencialidad de los datos de los que somos responsables.
Para ello, Grupo CFI tiene un equipo de profesionales que le asesorarán y realizarán el trabajo necesario para que su entidad cumpla con la normativa de protección de datos.
Julio César Miguel Pérez
CEO de Grupo CFI
Delegado de Protección de Datos Certificado.
Experto en la gestión de la seguridad de la información, la ciberseguridad y la protección de datos personales.