Gestión de Riesgos y Protección de Datos

Según la Agencia Española de Protección de Datos (AEPD), el enfoque de riesgos en protección de datos tiene al menos dos vertientes: la orientada a determinar las medidas de seguridad técnicas y organizativas para proteger los datos personales y la referente a los riesgos para los derechos y libertades de las personas. La primera de estas dos vertientes existe desde hace tiempo y está demostrada su eficacia en el contexto de las medidas de seguridad de la información, ya que permite a los responsables modular las medidas de seguridad y encontrar un equilibrio razonable entre lo que se pretende proteger (el activo) y el esfuerzo empleado en ello.

No obstante, en este caso se habla de riesgos para el propio responsable y no para el interesado o el titular de los datos. Cuando hablamos de riesgos para los derechos y libertades de las personas, tenemos que tener en cuenta la necesidad de cuantificar tanto las consecuencias tangibles como las intangibles. En algunos casos el tratamiento de datos puede tener consecuencias negativas para las personasque pueden afectar a sus derechos o a sus libertades. Ejemplos de estas consecuencias negativas pueden ser la marginación, la exclusión social, las dificultades para acceder a un puesto de trabajo, problemas para contratar determinados servicios, etc.

Para la AEPD, la suma de los posibles riesgos de una organización constituye lo que podríamos llamar su mapa de riesgos. Cada tratamiento de datos personales y cada organización tendrán su propio mapa, ya que el mismo tratamiento puede tener diferente mapa en función de la organización o el espacio físico en el que tenga lugar. El mapa de riesgos no es estático, con frecuencia puede estar asociado a la tecnología y, por lo tanto, evolucionar. El catálogo o mapa de riesgos debe de estar realimentado con el resultado de cambios y experiencias de la organización (incidencias, actualizaciones de infraestructura, cambios normativos, etc.)

A cada riesgo, siempre que sea posible, se le asociará al menos una salvaguarda y, por lo tanto, existirá un mapa de riesgos y otro de salvaguardas. En la práctica esta actualización es un ciclo o proceso de mejora continua que nos garantiza la puesta al día. Este ciclo de mejora continua para el análisis de riesgos se puede resumir en cuatro fases. La fase del diseño del marco de trabajo está orientada a estructurar el análisis de riesgos dentro de una organización, teniendo en cuenta el contexto específico y las medidas organizativas necesarias para articular los procesos de análisis de riesgos. La segunda fase está encaminada a la gestión del riesgo en línea con los objetivos que se hubieran planteado en la fase anterior.

La auditoría o revisión deberá mostrar con evidencias los resultados de las salvaguardas que se hayan puesto en marcha según el diseño de la política de riesgos que se haya realizado en la fase inicial. En general se trata de abordar de forma objetiva y repetible el posible desfase entre los objetivos iniciales y los resultados obtenidos o, dicho en términos de análisis de riesgos, valorar si tras la gestión del riesgo el valor residual es aceptable y por lo tanto se encuentra dentro de los objetivos del marco de trabajo. Finalmente, en base a los resultados se debe intentar mejorar el diseño del marco de trabajo, técnicamente es lo que se denomina ciclo PDCA o ciclo de mejora continua de un sistema, en este caso, el sistema de análisis de riesgos de una organización.

Existen en el mercado estándares y normas que pueden ser tenidas en cuenta para la realización de análisis de riesgos, por ejemplo las normas ISO 31OOO y 31010 para el análisis y la gestión del riesgo o la norma ISO 27005 para los riesgos de la seguridad de la información. Teniendo en cuenta las normas mencionadas, algunas de las fases que podrían ser tenidas en cuenta para implementar una política de riesgos son:  COMUNICACIÓN: involucrar a toda la organización, identificar riesgos y probabilidades de que los mismos se materialicen, establecer prioridades y objetivos, concienciación y formación del personal. CONTEXTO: definir el marco en el que se desarrolla la política de análisis de riesgos teniendo en cuenta normativas aplicables, riesgos aceptables y el mapa de elementos implicados en los tratamientos de datos personales (activos).

Otra fase es la IDENTIFICACIÓN de RIESGOS: elaboración del mapa de riesgos de la organización, cuantificar posibles daños. ANALIZAR Y EVALUAR EL RIESGO: mediante escalas cuantitativas o cualitativas se establecen valores objetivos para cada riesgo. GESTIONAR EL RIESGO: determinar para cada riesgo las salvaguardas aplicables teniendo en cuenta la relación costo-beneficio que pueda existir en cada caso. SEGUIMIENTO DEL RIESGO: auditorías, informes, incorporación de activos, en general cualquier cambio que implique una modificación del riesgo y sus salvaguardas correspondientes. (Fuente de la información: AEPD; fuente de la imagen: pixabay).