El REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos (Reglamento general de protección de datos) (RGPD) parte de la base de que todos los responsables deberán realizar una ponderación del riesgo de los tratamientos que realicen para saber qué medidas están obligados a aplicar y cómo materializar el cumplimiento de esa obligación en su organización.
En algunos casos el tratamiento de datos puede tener consecuencias negativas para las personas, afectando a sus derechos y libertades. El análisis de riesgos permite realizar una valoración objetiva y decidir las medidas que se pueden utilizar para mitigarlos.
Por regla general, las medidas se tendrán que modular atendiendo al nivel y el tipo de riesgo que el tratamiento conlleve, como es el caso de las medidas de seguridad. En cualquier caso, las medidas deberán modularse en función del nivel y tipo de riesgo que el tratamiento conlleve (por ejemplo, con las medidas de Protección de Datos desde el Diseño o con las medidas de seguridad).
De acuerdo con el requisito del análisis de riesgo, algunas medidas se aplicarán solamente para tratamientos de riesgo alto, como la Evaluación de Impacto sobre la Protección de Datos.
El enfoque de riesgos en protección de datos tiene al menos dos vertientes:
- La orientada a determinar las medidas de seguridad técnicas y organizativas para proteger los datos personales.
- Los riesgos para los derechos y libertades de las personas.
El objetivo de esta fase es definir las reglas para identificar los activos, las vulnerabilidades, las amenazas, las consecuencias y las probabilidades, como también definir el nivel aceptable de riesgo.
El análisis de riesgos en el RGPD forma parte del principio de responsabilidad proactiva (accountability) por el que los responsables deben siempre estar en condiciones de demostrar la licitud de los tratamientos y permite la adecuación particularizada de cada tratamiento a sus circunstancias específicas, es decir, permite elaborar un mapa de riesgos y salvaguardas adecuados a cada tratamiento concreto teniendo en cuenta los riesgos para los derechos y libertades de las personas y los riesgos para la seguridad de la información.
Significa que, en primer lugar es necesario identificar los riesgos que afectan a la Organización, y en segundo lugar, es necesario establecer medidas de seguridad para reducir estos riesgos.
Por tanto, dentro de la Gestión de riesgos podemos diferenciar principalmente 2 etapas: Análisis y Tratamiento.
Para desarrollar todo el proceso de análisis y tratamiento de los riesgos, es imprescindible establecer una metodología, la cual definirá los pasos que se tienen que seguir para llevar a cabo la Gestión de Riesgos.
Las actividades para poder llevar a cabo los objetivos de la evaluación son las siguientes:
- Establecimiento del contexto.
- Identificación de los riesgos.
- Análisis de riesgos.
- Evaluación de los riesgos.
- Tratamiento de los riesgos y protocolo de brechas de seguridad.
- Medidas de seguridad, organizativas y recomendaciones tendentes a la minimización del riesgo.
En la elaboración del Informe de Evaluación de Riesgos se tendrán en cuenta a la hora de establecer las medidas técnicas y organizativas al menos los siguientes criterios de proporcionalidad:
- El coste de la técnica.
- Los costes de aplicación.
- La naturaleza, el alcance, el contexto y los fines del tratamiento.
- Los riesgos para los derechos y libertades.