Área clientes Área clientes
PROTECCIÓN DATA

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Evaluaciones de impacto. Contenido mínimo

Hoy analizaremos el contenido mínimo que ha de tener una EIPD, según el artículo 35.7 del RGPD. Este artículo viene a completar al anterior, que dejo enlazado aquí,

Soy consciente de que este artículo puede no interesar a todos, por su carácter técnico y específico, pero confío en que resulte útil para muchos profesionales del sector. No es una lectura ligera, pero el tema requiere profundidad y precisión.

Pasos a seguir en una EIPD

Los pasos a seguir para realizar una EIPD, alineados con la Guía para la gestión del riesgo y evaluación de impacto en tratamientos de datos personales de la AEPD, se estructuran de la siguiente manera:

1º) Descripción sistemática de los activos y operaciones de tratamiento

Se entiende por activo cualquier recurso valioso para la organización y esencial para el logro de sus objetivos. Por ejemplo: equipos informáticos (hardware), aplicaciones (software), redes de comunicaciones, soportes de información o instalaciones. Para una EIPD es importante tener, todos y cada uno de ellos, inventariados. 

De tratamiento pueden darse muchas definiciones. Por ejemplo, el RGPD lo define en su artículo 4, apartado 2, como «cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción». 

Ejemplos de actividades de tratamiento incluyen la captura de datos mediante un formulario web, el filtrado de información mediante un proceso de perfilado, cualquier tarea que requiera la manipulación de datos, la destrucción de información personal, etc.

Antes de evaluar los riesgos, es necesario detallar las actividades de tratamiento:

  • Tipología de datos, estableciendo su categoría y grado de importancia dentro de las actividades de tratamiento, determinando si es imprescindible o no su inclusión.

Es indispensable conocer el ciclo de vida de los datos, cuyas etapas se resumen en:

    1. Captura.
    2. Clasificación y almacenamiento.
    3. Uso y tratamiento.
    4. Cesión o transferencia.
    5. Destrucción.

Los datos pueden ser recopilados directamente del interesado, recibidos de otras áreas de la organización, recopilados de fuentes accesibles al público, de un tercero, etc.

Dentro de la captura de datos se pueden encontrar diversas técnicas, por ejemplo: formularios web o en papel, toma de muestras y realización de encuestas, grabaciones de audio y vídeo, fuentes públicas, etc.

  • Intervinientes en las actividades de tratamiento, con delimitación de funciones y responsabilidades.
  • Finalidades del tratamiento, definidas de forma determinada, explícita y legítima.
  • Base legitimadora conforme al artículo 6 del RGPD.
  • Tecnología y sistemas empleados en las actividades de tratamiento.
  • Almacenamiento de la información (soporte físico, digital y/o virtual).
  • Cesión de los datos a terceros (entrega, comunicación, consulta, interconexión, transferencia, difusión o cualquier otra forma que facilite el acceso a los datos).
  • Transferencias internacionales, evaluando adecuación o garantías apropiadas.
  • Garantías establecidas para asegurar la calidad de los datos.
  • Protocolo de ejercicio de derechos ARCO-POL.
  • Plazos de conservación y destrucción de los datos.

Adicionalmente, recabaremos información sobre medidas:

  • Organizativas: almacenamiento de la información, ubicación, gestión de riesgos, etc.
  • Seguridad física: control de acceso físico, medidas de vigilancia y seguridad, etc.
  • Seguridad lógica: anonimización, cifrado, controles de integridad y acceso lógico, etc.

2º) Evaluación de la necesidad y proporcionalidad del tratamiento respecto a su finalidad

La proporcionalidad es clave: se debe analizar si la finalidad se puede lograr mediante alternativas menos invasivas, como usar datos agregados, reducir el alcance de afectados o emplear tecnologías con menor impacto en la privacidad (por ejemplo, IA federada en lugar de centralizada).

En este sentido, se dará respuesta a los siguientes interrogantes:

  • ¿El tratamiento es necesario para la finalidad prevista?
  • ¿La finalidad que se pretende requiere de todos los datos a recabar y para todas las personas afectadas?
  • ¿Los datos se van a usar exclusivamente para la finalidad declarada y no para ninguna otra no informada ni incompatible con la legitimidad de su uso?
  • ¿Las tecnologías empleadas para el tratamiento son adecuadas para la finalidad establecida desde el punto de vista del cumplimiento de los principios de privacidad?

3º)  Evaluación de los riesgos para los derechos y libertades de los interesados

La evaluación de riesgos implica identificar, analizar y valorar la probabilidad e impacto derivados de la posibilidad de que se materialice un riesgo.

Entre otros, como riesgos derivados del tratamiento de datos nos encontramos con la destrucción, pérdida o alteración accidental o ilícita de los datos, accesos no autorizados susceptibles de ocasionar daños y perjuicios físicos, materiales o inmateriales, a sus titulares.

Identificar y evaluar los riesgos correctamente es esencial, pues la no identificación de los riesgos derivados del tratamiento implica que estos no se evalúan y, por tanto, no se tratan.

El problema de toda evaluación de riesgos es la percepción subjetiva de quien la realiza, pues los seres humanos tendemos a maximizar las experiencias recientes, a olvidar las remotas, a obviar lo que no se percibe y a corregir lo que nos molesta. 

Para estimar la probabilidad de que ocurra un incidente hemos de tener en cuenta diversos factores, por ejemplo, desastres naturales recurrentes en el lugar como inundaciones. Los más complicados de evaluar son los que tienen a personas como origen, en cuyo caso, tendremos presente la formación recibida, la fidelidad del trabajador a la organización, las motivaciones externas que puedan influir en el trabajador, etc.  

El segundo elemento para caracterizar una amenaza es calibrar todas las consecuencias, es decir, la degradación del activo, que se traduce como la pérdida de valor de este. Se expresará en forma de porcentaje, donde 100 % implica la destrucción total del activo, 50 % daños significativos, 10 % daños apreciables, pero de segundo orden, y 1 % daños testimoniales. Actúan como factores agravantes la desmotivación o incompetencia del personal, el efecto dominó, etc. La degradación mide, en definitiva, la vulnerabilidad de la organización al ataque. 

Un incidente es, en definitiva, la materialización de una amenaza provocada por su vulnerabilidad. En este apartado cobra particular protagonismo el indicador de riesgo, que es la estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños y perjuicios a la organización. 

Suele ser buena idea priorizar los riesgos que más nos inquietan, mediante análisis someros a alto nivel, lo que se conoce en inglés como «quick and dirty». Estos análisis no son perfectos, pero señalan aquellos activos que deben recibir una atención inmediata. Atajado lo más grave, podemos hacer aproximaciones sucesivas, mejorando el análisis de riesgos en cada ciclo interactivo, lo que no significa que desatendamos los activos más básicos desde un principio. 

4º)  Salvaguardas para afrontar los riesgos existentes, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales

Una vez calculado el riesgo residual o neto, es decir, el riesgo que la organización asume o acepta después de implementar y ejecutar las medidas de prevención pertinentes, procederemos a elaborar el plan de seguridad que es el conjunto de salvaguardas e iniciativas que se deben llevar a cabo para reducir el riesgo de una actividad de tratamiento hasta un nivel de riesgo considerado como «aceptable».

Por salvaguarda se entiende cualquier medida –administrativa, técnica u organizativa– que cambia la posición de riesgo, bien alterando la degradación, bien alterando la probabilidad. 

Entre las salvaguardas encontramos las acciones preventivas, disuasorias y reductivas, que permiten minimizar el nivel de exposición al riesgo. Las acciones «ex ante» que podremos tomar sobre el riesgo pueden ser:

  • Eliminar: Suprimir el tratamiento, reduciendo la probabilidad de ocurrencia a 0 %.
  • Mitigar: Implica reducir el riesgo hasta un nivel aceptable.
  • Aceptar: Conlleva una monitorización constante y si el riesgo asumido es alto para los derechos e intereses de los interesados procede realizar una consulta previa a la autoridad de control.
  • Compartir: Transferir el riesgo a terceros, por ejemplo, mediante la contratación de un ciberseguro.

A posteriori, es decir, cuando el riesgo se ha materializado, impactando sobre los activos, tendremos medidas correctivas, de minimización del impacto y de recuperación, que ante un desastre permiten continuar operando con otros medios.

5º)  Supervisión y control del plan de seguridad

Para asegurar la eficacia, se requiere supervisión continua del plan, incluyendo revisiones periódicas (al menos anuales o tras cambios significativos).

Cuando se produzcan cambios en una actividad de tratamiento que generen nuevas amenazas, vulnerabilidades o riesgos, deberá realizarse una nueva EIPD. En cualquier caso, se debe evaluar los cambios y documentar la ausencia de necesidad de nuevas salvaguardas.

Como apunte final, la EIPD debe seguir un proceso sistemático y estandarizado para garantizar homogeneidad, repetibilidad y comparabilidad. La ausencia de metodología puede llevar a priorizar lo urgente sobre lo importante o ignorar riesgos recurrentes.

Más información

Para elaborar una EIPD, la AEPD nos propone una plantilla, que dejo enlazada aquí. Además, proporciona la herramienta EVALÚA_RIESGO para análisis preliminares de riesgos. Como alternativa, en el mercado encontramos soluciones más avanzadas, que facilitan flujos colaborativos, generación automática de informes y seguimiento normativo.

Índice de artículos
error: El contenido del blog está protegido por derechos de propiedad intelectual mediante su registro en Safe Creative. Queda prohibida la reproducción, distribución, transformación, transcripción, almacenamiento o recuperación total o parcial de este contenido, sin el permiso previa y expreso del titular de los derechos. La infracción de los derechos puede constituir un delito contra la propiedad intelectual (artículo 270 y ss. del CP). Para requerir la autorización pueden dirigirse al titular enviando un correo electrónico a info@protecciondata.es