Enfoque de Riesgos Reglamento Protección de Datos

Ciclo de mejora continua para el análisis de riesgos; Fuente: AEPD
Se publica en el blog de la AEPD un texto sobre el planteamiento de los riesgos en el Reglamento de Protección de datos,. Por su interés, nos tomamos la libertad de transcribir algunas de sus reflexiones con el fin de difundirlas. Y es que en algunos casos el tratamiento de datos puede tener consecuencias negativas para las personas, afectando a sus derechos y libertades. El análisis de riesgos permite realizar una valoración objetiva y decidir las medidas que se pueden utilizar para mitigarlos. La existencia del riesgo es inherente a cualquier actividad humana y, por lo tanto, su diversidad es tan variada como las actividades que se realizan: laborales, de salud, financieras, ambientales, de seguridad de la información o los riesgos en los tratamientos de datos personales. El análisis de riesgos es una herramienta que permite realizar una valoración objetiva de los mismos y las posibles medidas que podemos utilizar para mitigarlo.

Por su parte, el enfoque de riesgos en protección de datos tiene al menos dos vertientes: la orientada a determinar las medidas de seguridad técnicas y organizativas para proteger los datos personales y la referente a los riesgos para los derechos y libertades de las personas. La primera de estas dos vertientes existe desde hace tiempo y está demostrada su eficacia en el contexto de las medidas de seguridad de la información, ya que permite a los responsables modular las medidas de seguridad y encontrar un equilibrio razonable entre lo que se pretende proteger (el activo) y el esfuerzo empleado en ello. No obstante, en este caso hablamos de riesgos para el propio responsable y no para el interesado o el titular de los datos. Cuando hablamos de riesgos para los derechos y libertades de las personas, tenemos que tener en cuenta la necesidad de cuantificar tanto las consecuencias tangibles como las intangibles. En algunos casos el tratamiento de datos puede tener consecuencias negativas para las personasque pueden afectar a sus derechos o a sus libertades. Ejemplos de estas consecuencias negativas pueden ser la marginación, la exclusión social, las dificultades para acceder a un puesto de trabajo, problemas para contratar determinados servicios, etc.

En un tratamiento de datos personales, los riesgos para el interesado son principalmente los que puedan afectar a sus derechos y libertades. Ello se traslada al Reglamento General de Protección de Datos (aplicable el 25 de mayo de 2018) en varias formas: La protección de datos desde el diseño; la protección de datos por defecto; las evaluaciones de impacto. Estas interpretaciones del riesgo implican la necesidad de utilizar una metodología de análisis de riesgos. En este sentido, la Agencia está ultimando una Guía de análisis de riesgo que se publicará en breve junto a un catálogo de cumplimiento normativo. En la práctica, el análisis de riesgos es un estudio metódico y sistemático en el que se utilizan métricas que ayudan a cuantificar comprensivamente el grado de riesgo. Para llevar a cabo este estudio es necesario utilizar una metodología que nos ayudará a trazar los niveles de riesgo aceptables en cada caso, ya que sin la ayuda de una metodología no podrá realizarse un análisis de riesgo de forma objetiva. Estas metodologías pueden venir del sector corporativo o de negocio, del mundo normativo (ISO) o de las propias Administraciones como es el caso de la metodología de análisis de riesgos MAGERIT.

La suma de los posibles riesgos de una organización constituye lo que podríamos llamar su mapa de riesgos. Cada tratamiento de datos personales y cada organización tendrán su propio mapa, ya que el mismo tratamiento puede tener diferente mapa en función de la organización o el espacio físico en el que tenga lugar. El mapa de riesgos no es estático, con frecuencia puede estar asociado a la tecnología y, por lo tanto, evolucionar. El catálogo o mapa de riesgos debe de estar realimentado con el resultado de cambios y experiencias de la organización (incidencias, actualizaciones de infraestructura, cambios normativos, etc.) A cada riesgo, siempre que sea posible, se le asociará al menos una salvaguarda y, por lo tanto, existirá un mapa de riesgos y otro de salvaguardas. En la práctica esta actualización es un ciclo o proceso de mejora continua que nos garantiza la puesta al día.

Este ciclo de mejora continua para el análisis de riesgos se puede resumir en cuatro fases. La fase del diseño del marco de trabajo está orientada a estructurar el análisis de riesgos dentro de una organización, teniendo en cuenta el contexto específico y las medidas organizativas necesarias para articular los procesos de análisis de riesgos. La segunda fase está encaminada a la gestión del riesgo en línea con los objetivos que se hubieran planteado en la fase anterior. La auditoría deberá mostrar con evidencias los resultados de las salvaguardas que se hayan puesto en marcha según el diseño de la política de riesgos que se haya realizado en la fase inicial. En general se trata de abordar de forma objetiva y repetible el posible desfase entre los objetivos iniciales y los resultados obtenidos o, dicho en términos de análisis de riesgos, valorar si tras la gestión del riesgo el valor residual es aceptable y por lo tanto se encuentra dentro de los objetivos del marco de trabajo. Finalmente, en base a los resultados se debe intentar mejorar el diseño del marco de trabajo, técnicamente es lo que se denomina ciclo PDCA (Plan, Do, Check, Act- Planificar, Hacer, Verificar, Actuar) o ciclo de mejora continua de un sistema, en este caso, el sistema de análisis de riesgos de una organización.

Además de la metodología MAGERIT antes mencionada, existen en el mercado estándares y normas que pueden ser tenidas en cuenta para la realización de análisis de riesgos, por ejemplo las normas ISO 31OOO y 31010 para el análisis y la gestión del riesgo o la norma ISO 27005 para los riesgos de la seguridad de la información. Teniendo en cuenta las normas mencionadas, algunas de las fases que podrían ser tenidas en cuenta para implementar una política de riesgos son:  COMUNICACIÓN: involucrar a toda la organización, identificar riesgos y probabilidades de que los mismos se materialicen, establecer prioridades y objetivos, concienciación y formación del personal. CONTEXTO: definir el marco en el que se desarrolla la política de análisis de riesgos teniendo en cuenta normativas aplicables, riesgos aceptables y el mapa de elementos implicados en los tratamientos de datos personales (activos). IDENTIFICAR RIESGOS: elaboración del mapa de riesgos de la organización, cuantificar posibles daños. ANALIZAR Y EVALUAR EL RIESGO: mediante escalas cuantitativas o cualitativas se establecen valores objetivos para cada riesgo. GESTIONAR EL RIESGO: determinar para cada riesgo las salvaguardas aplicables teniendo en cuenta la relación costo-beneficio que pueda existir en cada caso. SEGUIMIENTO DEL RIESGO: auditorías, informes, incorporación de activos, en general cualquier cambio que implique una modificación del riesgo y sus salvaguardas correspondientes. 

Finalmente, el análisis de riesgos en el RGPD forma parte del principio de responsabilidad proactiva (accountability) por el que los responsables deben siempre estar en condiciones de demostrar la licitud de los tratamientos y permite la adecuación particularizada de cada tratamiento a sus circunstancias específicas, es decir, permite elaborar un mapa de riesgos y salvaguardas adecuados a cada tratamiento concreto teniendo en cuenta los riesgos para los derechos y libertades de las personas y los riesgos para la seguridad de la información  (Fuente de la información y de la imagen: blog AEPD).