Área clientes Área clientes
Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Evaluaciones de impacto. Contenido mínimo

Este artículo viene a completar al anterior, en cuanto al contenido mínimo que ha de tener una EIPD según lo dispuesto en el artículo 35 apartado 7 del RGPD.

Soy consciente de que este artículo no interesará a todos, por ser demasiado técnico o específico, pero estoy seguro que interesará a más de uno. No es una lectura fácil, pero el tema tampoco lo es.  

Pasos a seguir en una EIPD

Los pasos a seguir para realizar una EIPD serían los siguientes:

1º) Descripción sistemática de los activos y operaciones de tratamiento

La definición de activo es esquiva. De hecho, en muchos ámbitos de seguridad es una definición que se evita por obvia. En la práctica, se entiende por «activo» cualquier recurso que tenga valor para la organización y que sea necesario para el logro de sus objetivos. Por ejemplo: equipos informáticos (hardware), aplicaciones (software), redes de comunicaciones, soportes de información, instalaciones, etc. Para una EIPD es importante tener, todos y cada uno de ellos, inventariados. 

De tratamiento pueden darse muchas definiciones. Por ejemplo, el RGPD lo define en su artículo 4 apartado 2 como «cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción». 

Ejemplos de actividades de tratamiento: captura de datos mediante un formulario web, el filtrado de información mediante un proceso de perfilado, cualquier tarea que requiera la manipulación de datos, la destrucción de información personal, etc.

Antes de evaluar los riesgos sobre las distintas actividades de tratamiento de datos hemos de conocer éstas al detalle:

  • Tipología de datos, estableciendo su categoría y grado de importancia dentro de las actividades de tratamiento, determinando si es imprescindible o no su inclusión.

Resulta indispensable conocer el ciclo de vida de los datos, cuyas etapas se resumen en:

    1. Captura.
    2. Clasificación y almacenamiento.
    3. Uso y tratamiento.
    4. Cesión o transferencia.
    5. Destrucción.

Los datos a tratar pueden ser recopilados directamente del interesado, recibidos de otras áreas de la organización, recopilados de fuentes accesibles al público, de un tercero, etc.

Dentro de la captura de datos se pueden encontrar diversas técnicas como, por ejemplo: formularios web o en papel, toma de muestras y realización de encuestas, grabaciones de audio y vídeo, fuentes públicas, etc.

  • Intervinientes en el desarrollo de las actividades de tratamiento, con delimitación de funciones y responsabilidades.
  • Finalidades del tratamiento, que tienen que estar definidas de forma determinada, explícita y legítima.
  • Base legitimadora de acuerdo al artículo 6 del RGPD.
  • Tecnología y sistemas empleados en las actividades de tratamiento.
  • Almacenamiento de la información (soporte físico, digital y/o virtual).
  • Cesión de los datos a terceros (entrega, comunicación, consulta, interconexión, transferencia, difusión o cualquier otra forma que facilite el acceso a los datos).
  • Transferencias internacionales.
  • Garantías establecidas para asegurar la calidad de los datos.
  • Protocolo de ejercicio de derechos.
  • Plazos de conservación y destrucción de los datos.

Por otra parte, recabaremos información sobre medidas:

  • Organizativas: almacenamiento de la información, ubicación, gestión de riesgos, etc.
  • Seguridad física: control de acceso físico, medidas de vigilancia y seguridad, etc.
  • Seguridad lógica: anonimización, cifrado, controles de integridad y acceso lógico, etc.

2º) Evaluación de la necesidad y proporcionalidad del tratamiento respecto a su finalidad

La proporcionalidad es importante. Para ello hemos de analizar si la finalidad que se persigue se puede conseguir por otros medios, o no, por ejemplo: utilizando otros datos, reduciendo el universo de personas afectadas o haciendo uso de tecnologías menos invasivas.

En este sentido, se dará respuesta a los siguientes interrogantes:

  • ¿El tratamiento es necesario para la finalidad prevista?
  • ¿La finalidad que se pretende cubrir requiere de todos los datos a recabar y para todas las personas afectadas?
  • ¿Los datos se van a usar exclusivamente para la finalidad declarada y no para ninguna otra no informada ni incompatible con la legitimidad de su uso?
  • ¿Las tecnologías empleadas para el tratamiento son adecuadas para la finalidad establecida desde el punto de vista del cumplimiento de los principios de privacidad?

3º)  Evaluación de los riesgos para los derechos y libertades de los interesados

La evaluación de riesgos es el proceso de identificar, analizar y valorar la probabilidad e impacto derivados de la posibilidad de que se materialice un riesgo.

Entre otros, como riesgos derivados del tratamiento de datos nos encontramos con la destrucción, pérdida o alteración accidental o ilícita de los datos, accesos no autorizados susceptibles de ocasionar daños y perjuicios físicos, materiales o inmateriales, a sus titulares.

Identificar y evaluar los riesgos correctamente es esencial, pues la no identificación de los riesgos derivados del tratamiento implica que éstos no se evalúan y, por tanto, no se tratan.

El problema de toda evaluación de riesgos es la percepción subjetiva de quien la realiza, pues los seres humanos tendemos a maximizar las experiencias recientes, a olvidar las remotas, a obviar lo que no se percibe y a corregir lo que nos molesta. 

Para estimar la probabilidad de que ocurra un incidente hemos de tener en cuenta diversos factores, por ejemplo, desastres naturales recurrentes en el lugar como inundaciones. Los más complicados de evaluar son los que tienen a personas como origen, en cuyo caso, tendremos presente la formación recibida, la fidelidad del trabajador a la organización, las motivaciones externas que puedan influir en el trabajador, etc.  

El segundo elemento para caracterizar una amenaza es calibrar todas las consecuencias, es decir, la degradación del activo, que se traduce como la pérdida de valor de éste. Se expresará en forma de porcentaje, donde 100% implica la destrucción total del activo, 50% daños significativos, 10% daños apreciables, pero de segundo orden, y 1% daños testimoniales. Actúan como factores agravantes la desmotivación o incompetencia del personal, el efecto dominó, etc. La degradación mide, en definitiva, la vulnerabilidad de la organización al ataque. 

Un incidente es, en definitiva, la materialización de una amenaza provocada por su vulnerabilidad. En este apartado cobra particular protagonismo el indicador de riesgo, que es la estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños y perjuicios a la organización. 

Suele ser buena idea priorizar los riesgos que más nos inquietan, mediante análisis someros a alto nivel, lo que se conoce en inglés como «quick and dirty». Estos análisis no son perfectos, pero señalan aquellos activos que deben recibir una atención inmediata. Atajado lo más grave, podemos hacer aproximaciones sucesivas, mejorando el análisis de riesgos en cada ciclo interactivo, lo que no significa que desatendamos los activos más básicos desde un principio. 

4º)  Salvaguardas para afrontar los riesgos existentes, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales

Determinado el riesgo residual o neto, es decir, el riesgo que la organización asume o acepta después de implementar y ejecutar las medidas de prevención pertinentes, procederemos a elaborar el plan de seguridad que es el conjunto de salvaguardas e iniciativas que se deben llevar a cabo para reducir el riesgo de una actividad de tratamiento hasta un nivel de riesgo considerado como «aceptable».

Por salvaguarda se entiende cualquier medida –administrativa, técnica u organizativa– que cambia la posición de riesgo, bien alterando la degradación, bien alterando la probabilidad. 

Entre las salvaguardas encontramos las acciones preventivas, disuasorias y reductivas, que permiten minimizar el nivel de exposición al riesgo. Las acciones «ex ante» que podremos tomar sobre el riesgo pueden ser:

  • Eliminar: La eliminación total del tratamiento deja la probabilidad de ocurrencia en 0%.
  • Mitigar: Implica reducir el riesgo hasta un nivel considerable como aceptable.
  • Aceptar: Conlleva una monitorización constante y si el riesgo asumido es alto para los derechos e intereses de los interesados procede realizar una consulta previa a la autoridad de control.
  • Compartir: Por ejemplo, mediante la contratación de un ciberseguro.

A posteriori, es decir, cuando el riesgo se ha materializado, impactando sobre los activos, tendremos medidas correctivas, de minimización del impacto y de recuperación, que ante un desastre permiten continuar operando con otros medios.

5º)  Supervisión y control del plan de seguridad

Para garantizar el éxito del plan de seguridad es indispensable que exista un proceso de supervisión y control del mismo.

Cuando se produzcan cambios que afecten a una actividad de tratamiento y que se traduzcan en nuevas amenazas, vulnerabilidades y riesgos debe realizarse una nueva EIPD. En caso contrario, debe realizarse, igualmente, una valoración de los cambios y documentar la «no necesidad» de implantar nuevas salvaguardas.

Como apunte final, decir que a la hora de realizar una EIPD resulta indispensable disponer de un proceso sistemático, a través de un procedimiento estandarizado de trabajo que permita establecer criterios comunes para garantizar la homogeneidad, repetividad y comparabilidad de resultados. La falta de metodología hace que lo urgente supere a lo importante o que olvidemos que los problemas ya resueltos requieren mantener la atención para no resurjan.

Conclusión

Protegerse cuesta dinero. Hay que adquirir herramientas, instalarlas y mantenerlas y hay que formar al personal, lo que resta tiempo de trabajo a la organización. El gran hándicap es que no se advierte el retorno de la inversión en seguridad, vamos que no es como comprar una maquinaria que vemos como produce para la empresa, pero es igual de necesaria que la inversión en seguridad privada, en alarmas, etc.

Cualquier plan de seguridad está abocado al fracaso sin el compromiso y la complicidad de quienes lo deben cumplir. Si la seguridad se enfrenta a la productividad, probablemente prime esta última en el corto plazo, haciendo fracasar el plan de seguridad previsto para la organización.

La seguridad tiene un coste y debe contemplarse una partida en el presupuesto anual para mantener el plan y mejorarlo. 

Más información

La Agencia Española de Protección de Datos ha publicado una guía práctica para las EIPD sujetas al RGPD. A diferencia de otras guías, esta resulta compleja, desordenada y caótica. Haciendo clic aquí pueden consultar dicha guía.

Para elaborar una EIPD, la AEPD nos propone una plantilla, que dejo enlazada aquí, si bien me parece más intuitiva la plantilla de la Autoridad Catalana de Protección de Datos, que dejo enlazada aquí.

En la práctica, podemos prescindir de dichas plantillas, pues existen herramientas informáticas que nos facilitan, enormemente, el proceso de elaboración de una EIPD, si bien no son gratis. 

Índice de artículos
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).