Todas las organizaciones deberán identificar los activos con riesgo potencial, especialmente para la gestión de la privacidad de datos personales

privacidad de datos personales

El Nuevo Reglamento Europeo de Protección de Datos, que entra en vigor el próximo mes de mayo, adopta el enfoque de riesgo ya presente en múltiples normativas, como la seguridad y salud en el trabajo o la legislación del ámbito medioambiental. Como consecuencia de ello, todas las organizaciones deberán identificar los activos con riesgo potencial, especialmente para la gestión de riesgos de la privacidad de datos personales, para tratarlos acorde con lo establecido en la Ley y nuevo reglamento.

Concretamente, podemos identificar en el nuevo reglamento europeo de protección de datos tres aspectos: los activos a proteger, los posibles eventos de riesgo para los datos personales y las consecuencias potenciales de dichos eventos.

Los activos de riesgo potencial serían:

  • Los datos personales del individuo
  • Los procesos que tratan los datos
  • El ejercicio de los derechos legales de información y control

Los eventos de riesgo:

  • Los que implican la inexistencia o el mal funcionamiento de los procesos legales
  • El desvío de los propósitos originales de tratamiento
  • El acceso no autorizado
  • La modificación de los datos intencionadamente o no
  • La destrucción de los datos

Las consecuencias de los eventos:

  • Para el responsable de tratamiento daño reputacional, pérdida de credibilidad, sanciones, costes de reparación, pérdida de oportunidades de negocio
  • Para el titular afectado directas (robo de identidad, fraude, pérdida de oportunidades laborales) y subjetivas (ansiedad, imagen…)

Los cuestionarios de evaluación de los eventos para la gestión de riesgos de la privacidad de datos personales se basan en medir la probabilidad de impacto y el impacto de dichos eventos. A partir del marco general de eventos de riesgo descrito anteriormente, los cuestionarios que deben preparar las entidades pueden ser más o menos extensos y detallados. Una matriz de riesgos de ejemplo podría seguir el siguiente formato (sólo se ha incluido un activo clave y los valores de probabilidad e impacto se han puesto al azar):

privacidad de datos personales

A partir de los resultados obtenidos se tomarían, en su caso, las medidas técnicas y organizativas que mitigaran el riesgo detectado.

En cualquier caso, las organizaciones pueden optar por la metodología más adecuada a su estructura y control interno, siempre que asegure la correcta identificación y gestión de riesgos de la privacidad de datos personales de acuerdo al nuevo reglamento de protección de datos.

Luis Fernández de Heredia

Director TIC

Botón Riesgo Cumpl