En algunos casos es necesario que, antes de empezar a realizar ciertos tratamientos de datos, se realice un análisis de riesgos para valorar si dichos tratamientos pueden tener consecuencias negativas para los derechos y libertades de las personas. De esta manera, mediante el análisis de riesgos podremos llevar a cabo una valoración objetiva y decidir las medidas que se pueden utilizar para mitigar los posibles efectos negativos.
El análisis de riesgos forma parte del principio de responsabilidad proactiva de los responsables, con el fin de poder demostrar la licitud de los tratamientos particularizada a sus circunstancias específicas. Es decir, permite elaborar un mapa de riesgos y salvaguardas adecuados a cada tratamiento.
¿Cuáles son los pasos para la mitigación?
- Determinar las medidas de seguridad técnica y organizativa para proteger los datos personales.
- La protección de datos desde el diseño y por defecto.
- Las evaluaciones de impacto.
En la práctica, el análisis de riesgos es un estudio metódico y sistemático para cuantificar el grado de riesgo. Para llevar a cabo este estudio es necesario utilizar una metodología que nos ayudará a trazar los niveles de riesgo aceptables en cada caso. Estas metodologías pueden venir del sector corporativo, del mundo normativo (ISO) o de las propias Administraciones. En este sentido, cabe indicar que existen en el mercado estándares y normas que pueden ser tenidas en cuenta para la realización de análisis de riesgos, por ejemplo las normas ISO 31OOO y 31010 para el análisis y la gestión del riesgo o la norma ISO 27005 para los riesgos de la seguridad de la información.
La suma de los posibles riesgos de una organización constituye su mapa de riesgos. Cada tratamiento de datos personales y cada organización tendrán su propio mapa, ya que el mismo tratamiento puede tener diferente mapa en función de la organización o el espacio físico en el que tenga lugar.
El catálogo o mapa de riesgos debe de estar actualizado con los cambios y experiencias de la organización. A cada riesgo, siempre que sea posible, se le asociará al menos una salvaguarda y, por lo tanto, existirá un mapa de riesgos y otro de salvaguardas.
¿Qué aspectos hay que tener en cuenta para preparar un mapa de riesgos/salvaguardas?
- Estructurar el análisis de riesgos dentro de una organización.
- Gestionar el riesgo en línea con los objetivos que se hubieran planteado en la fase anterior. Es decir, valorar si tras la gestión del riesgo el valor residual es aceptable y por lo tanto se encuentra dentro de los objetivos del marco de trabajo.
- Mejorar el diseño del marco de trabajo en base a los resultados.
En conclusión, las principales fases para implementar una política de riesgos son:
- COMUNICACIÓN: involucrar a toda la organización, identificar riesgos y probabilidades de que los mismos se materialicen, establecer prioridades y objetivos, concienciación y formación del personal.
- CONTEXTO: definir el marco en el que se desarrolla la política de análisis de riesgos teniendo en cuenta normativas aplicables, riesgos aceptables y el mapa de elementos implicados en los tratamientos de datos personales (activos).
- IDENTIFICAR RIESGOS: elaboración del mapa de riesgos de la organización, cuantificar posibles daños.
- ANALIZAR Y EVALUAR EL RIESGO: mediante escalas cuantitativas o cualitativas se establecen valores objetivos para cada riesgo.
- GESTIONAR EL RIESGO: determinar para cada riesgo las salvaguardas aplicables teniendo en cuenta la relación costo-beneficio que pueda existir en cada caso.
- SEGUIMIENTO DEL RIESGO: auditorías, informes, incorporación de activos, en general cualquier cambio que implique una modificación del riesgo y sus salvaguardas correspondientes.