La protección de datos es algo trasversal, que exige una perspectiva holística y que involucra a todo y a todos en una organización.

Documentación de PRL

El primer paso es analizar qué tipo de datos de carácter personal forman parte de la documentación que los técnicos de prevención, ya sea de servicios propios o ajenos, manejan a diario:

• Aptos de vigilancia de la salud y expedientes médicos (en caso de asumir la Vigilancia de la Salud).
• Historia clínica del trabajador (en caso de asumir la especialidad de Medicina en el Trabajo).
• Títulos de formación.
• Investigación de accidentes.
• Evaluaciones de riesgos, trabajadores sensibles, embarazadas.
• Registros de entrega de EPIs.
• Documentación de Coordinación de Actividades Empresariales de diferentes empresas (títulos de formación, aptos, e incluso el RNT ó relación nominal de trabajadores).
• Documentos de PRL de las ETTs (contrato de puesta a disposición, certificados de aptitud y de formación).

¿Qué documentos son los susceptibles de contener datos personales?

• Nombre.
• Dirección y el número de teléfono.
• Registros sanitarios.
• Ingresos y la información bancaria, etc.

¿A quién afecta?

Para las organizaciones de menor tamaño y con tratamientos de poca complejidad: el análisis será el resultado de una reflexión, documentada mínimamente, sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados.

En cambio, para grandes organizaciones, como regla general, el análisis deberá llevarse a cabo utilizando alguna de las metodologías de análisis de riesgo existentes.

Todos los responsables de PRL deberán realizar una valoración del riesgo de los tratamientos que realicen, a fin de poder establecer qué medidas deben aplicar y cómo deben hacerlo.

El tipo de análisis variará en función de:

• -Los tipos de tratamiento.
• -La naturaleza de los datos que se traten.
• -El número de interesados afectados.
• -La cantidad y variedad de tratamientos que una misma organización lleve a cabo.

Errores más frecuentes

La ley de Protección de DatosEnlace añadido por la extensión vLex, nos exige que todos estos datos de carácter personal, estén a buen recaudo, y que su uso sea pertinente, adecuado y proporcional, que se informe a la persona o interesado de su uso, manipulación y cesión.

Los errores más frecuentes que se cometen tanto por parte de las empresas, de los Servicios de Prevención (PRL),  como de los técnicos y personal sanitario son:

Envíos de los resultados médicos a la empresa: 

Los archivos en formato papel que contengan datos de salud, deberán enviarse en un sobre precintado que contenga la palabra “confidencial”.

En caso de ser enviados por correo electrónico, deberá estar encriptado o bien a través de una plataforma con acceso de seguridad, facilitando un usuario y contraseña para cada trabajador.

Cesión indebida de datos en la coordinación de actividades empresariales:

Previa a la cesión de datos de nuestros trabajadores a terceros, (TC1y TC2, formación, aptitud médica, etc) el trabajador deberá estar informado.

Cesión de datos a terceros en las Plataformas de Coordinación a cuenta de la empresa cliente: 

Cuando el servicio de prevención (PRL) gestione plataformas de coordinación a cuenta de sus empresas clientes, el servicio de prevención deberá tener firmado el correspondiente contrato a terceros con la plataforma que manipule o almacene los datos de carácter personal de los trabajadores.

En el mismo sentido, el servicio de prevención (PRL) deberá disponer del contrato a terceros con la empresa cliente, en el cual quede constancia de dicha gestión y de la cesión de datos de sus trabajadores a las plataformas.

-Salida de soportes (ordenadores portátiles) fuera de las dependencias: 

Los ordenadores que contengan datos personales que salgan de las dependencias, instalaciones o empresa, deberán disponer de control de accesos (usuario y contraseña).

Además, estos equipos deberán estar registrados en el documento de seguridad de la empresa y autorizados por el responsable de seguridad.

-Acceso indebido a información confidencial en archivos informatizados: 

Los equipos u ordenadores que contengan datos confidenciales y de salud, deberán estar encriptados y solo podrán acceder a sus sesiones el personal médico y personal autorizado que consten en el documento de seguridad.

-Acceso indebido a información confidencial en archivos físicos: 

Todos los archivos físicos (formato papel) que contengan datos confidenciales y de salud, deben estar cerrados con llave y con acceso restringido al personal autorizado, así como, mantener un control de accesos físico (huella dactilar, iris, papel…) riguroso y mantenerlo registrado en el documento de seguridad.

-Falta de formación e información en el uso, manipulación y almacenamiento de datos de carácter personal: 

Las personas y en especial, el departamento administrativo y los técnicos que manipulen datos de carácter personal, deberán estar formados e informados en materia de protección de datos,  con la finalidad de saber cómo gestionar los datos que les proporcionen y de cómo cederlos con seguridad.

-Carencia de seguridad en los soportes informáticos (usuario y contraseñas): 

El usuario y contraseña son personales e intransferibles.

En los equipos informáticos que contengan datos de carácter personal, las contraseñas se deberán cambiar de forma frecuente.

-Periodicidad o inexistencia de copias de seguridad: 

Las copias de seguridad de los archivos que contengan datos de carácter personal de nivel básico, deberán realizarse como mínimo cada 30 días.

Las copias de seguridad de los datos de salud deberán hacerse a diario y como mínimo realizar una copia externa a las instalaciones con medidas de seguridad altas.

Estas copias deberán ejecutarse siempre encriptadas y/o anonimizadas, con la finalidad de que nadie pueda reconocer al paciente.

Es importante recordar

La ley 31/1995, en particular en su art 22 sobre Vigilancia de la Salud:

-en su apdo 2 dice “Las medidas de vigilancia y control de la salud de los trabajadores se llevarán a cabo respetando siempre el derecho a la intimidad y a la dignidad de la persona del trabajador y la confidencialidad de toda la información relacionada con su estado de salud”, y

-en su apdo 4 que “El acceso a la información médica de carácter personal se limitará al personal médico y a las autoridades sanitarias que lleven a cabo la vigilancia de la salud de los trabajadores, sin que pueda facilitarse al empresario o a otras personas sin consentimiento expreso del trabajador”.

Así pues, ante peticiones que supongan el ceder esa información de datos de salud, y salvo la comunicación a la propia persona titular de esos datos, los mismos sólo podrían ser comunicados a otros facultativos médicos si el propio usuario solicitara la transmisión de su historia a su nuevo médico, sin perjuicio del deber de conservación del anterior. En ese caso, ese nuevo médico se encontraría vinculado por los mismos deberes legales.

Para finalizar, recordar que a ninguna persona, con las salvedades de a la autoridad sanitaria y a la autoridad judicial (si al respecto hay una orden requisitoria fundamentada), se le puede facilitar ninguno de esos datos especialmente protegidos por la vigente legislación.

La entrada PRL Y PROTECCIÓN DE DATOS se publicó primero en Gestiona Abogados.

«Cuando el campeón mundial de ajedrez Gary Kasparov cayó ante la supercomputadora de IBM Deep Blue».

Dos décadas después, los avances en este tipo de tecnología se han sucedido a pasos agigantados:

AlphaGo, un programa de ordenador desarrollado por Google Deep Mind, ganó a uno de los mejores jugadores de Go, un juego de estrategia que se caracteriza por tener más combinaciones posibles de las que pueden calcularse.

Ahora, la inteligencia artificial va haciéndose un hueco en nuestro día a día:

Desde los avances en coches autónomos, aplicaciones de música que hacen sugerencias en base a nuestro historial de reproducciones, o chatbots en páginas web que nos ofrecen su ayuda.

TECNOLOGÍAS DEL BIG DATA

Dentro de la Ciencia de Datos, las dos tecnologías de las que más se está hablando, ambas englobadas en el campo de la inteligencia artificial, son:

• el Aprendizaje Automático (Machine Learning)
• el Aprendizaje profundo (Deep Learning),

En los dos casos se busca la construcción de sistemas que sean capaces de aprender a resolver problemas sin la intervención de un humano.

Sistemas que van desde la predicción ortográfica o traducción automática , hasta los coches autónomos, o los sistemas de visión artificial, aplicados a casos de uso tan espectaculares como las tiendas de Amazon Go.

PROTECCIÓN DE DATOS Y BIG DATA

En este escenario,  hay quien piensa que la normativa sobre protección de datos supondrá un freno a estos avances tecnológicos, cuando la información analizada contenga datos personales.

Sin embargo, de cara a que el progreso de esta tecnología se construya de manera eficiente, es necesario considerar la privacidad, como la base en la que debe apoyarse, y no como el techo que frene su crecimiento.

La inteligencia artificial es una forma de explotar Big Data, siendo actualmente el llamado «machine learning»,  o aprendizaje automático, su rama más comercializada.

El machine learning

Esta técnica supone la creación de algoritmos matemáticos basados en el análisis de grandes cantidades de datos, extrayendo correlaciones para crear modelos, que posteriormente se aplican a nueva información.

Así, esta herramienta es capaz de aprender de su propia experiencia, incluso con independencia del aporte de información por parte del hombre.

Podemos afirmar que los datos son la gasolina de la inteligencia artificial.

Es por ello que las empresas sienten rechazo a eliminar información, y almacenan un abanico de datos mayor del necesario, pues consideran que en algún momento podrán sacarle rendimiento.

Conflicto con el RGPD

Pero ya deberíamos saber que cuando se utilizan datos personales, no eliminar la información que no es necesaria, entra en conflicto con dos principios de la protección de datos:

• la minimización de datos 
• la limitación de la finalidad.

De acuerdo con el RGPD, únicamente podrán tratarse aquellos datos adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados, que a su vez deben ser: determinados, explícitos y legítimos.

Elaboración de perfiles

Una de las aplicaciones que se da al «machine learning» es en relación con la toma de decisiones automatizadas basadas en «profiling»,  o elaboración de perfiles de los interesados.

Cuando esta decisión produce efectos jurídicos en el interesado, o le afecta de manera significativa, se añaden obligaciones adicionales al genérico deber de informar del tratamiento de sus datos.

Es decir, que, deberá trasladarse al interesado, información relevante sobre la lógica implicada en la toma de decisiones.

¿Cuál es el problema?

El problema es que, por la naturaleza de esta tecnología, no siempre es posible determinar cómo se ha llegado a ese resultado, o razonarlo en términos entendibles al ser humano.

El Grupo de Trabajo del artículo 29 ha entendido que esta complejidad no es excusa suficiente para evitar cumplir con la obligación de informar, aunque interpretó de manera suavizada este requisito entendiendo que:

«lo que se traslade al interesado debe ser suficientemente comprensible para que pueda entender las razones detrás de la decisión, pero sin necesidad de dar una explicación compleja sobre los algoritmos utilizados, o revelar el algoritmo completo».

¿CÓMO SE APLICA LA NORMATIVA DE PROTECCIÓN DE DATOS AL BIG DATA?

Sin que seamos conscientes de ello, los nuevos tipos de datos se recopilan a través de diversos sensores, cookies, o se producen utilizando algoritmos de «machine learning»,  y métodos analíticos.

¿A quién no le ha pasado que tras buscar algo en la web, se muestra repetidamente en sus búsquedas?

Muchos sitios web insisten en mostrar el mismo objeto, o servicio, sobre el que el usuario hizo clic una vez.

Remarketing y retargeting. Las cookies

Remarketing y retargeting son variantes de la publicidad de segmentación por comportamiento, que selecciona a los destinatarios más adecuados para recibir la publicidad de un producto.

Los anunciantes cuentan, como aliadas, con las cookies:

Esos pequeños archivos de texto que, cada vez más webs, guardan en el ordenador o el móvil y que, en su versión más inocente, simplemente ayudan a que el dispositivo recuerde qué edición local de un diario prefiere el usuario o en qué idioma suele consultar una web.

La  complejidad de los grandes análisis de datos no debe impedir que las empresas cumplan con las normas de protección de datos.

Las webs están obligadas a informar a los usuarios, y a obtener su consentimiento.

En el caso de que un aviso de cookies no cumpla con la normativa, el usuario puede acudir a la Agencia Española de Protección de Datos para poner una reclamación.  

Base legitimadora

Si se invoca el consentimiento o los intereses legítimos, como fundamento jurídico para el tratamiento de los datos personales en el Big Data, deben cumplirse todas las condiciones pertinentes para dicho procesamiento, establecidas en la normativa de protección de datos.

Es improbable que el contrato sea una base válida para el análisis de datos de gran tamaño, ya que será difícil demostrar que el nivel de procesamiento de los grandes datos analíticos sea «necesario» para el desempeño de un contrato.

Dado que los grandes datos analíticos generalmente reutilizan los datos personales, las empresas necesitarán obtener el consentimiento informado para cualquier uso secundario de los datos personales, cumpliendo este escenario, también, cuando los datos personales se obtienen de otras organizaciones y no directamente de los individuos.

Pautas a cumplir

Aunque los principios de minimización de datos y retención de estos, podrían ser difíciles de cumplir, las empresas que realizan Big Data deben:

• definir el objetivo de dicho análisis desde el principio
• garantizar que los datos personales que utilizan no son excesivos
• que los datos son relevantes para el objetivo por el cual se entregaron o cedieron.

RECOMENDACIONES CLAVE

• Principio de Privacy by Design, entendiéndose que, desde el diseño de la tecnología, se deberá tener en cuenta el concepto de privacidad.
• La pseudonimización, o en la medida de lo posible,  anonimización de los datos personales, cuando no sean necesarios para el análisis.
• Los tratamientos de datos en los que se utilicen herramientas de inteligencia artificial, deberán ser objeto de una evaluación de impacto o PIA,  para analizar los efectos sobre los derechos y libertades de los interesados, al tratarse de tecnologías innovadoras e ir asociados normalmente a la elaboración de perfiles.
• Transparencia en el uso de datos personales en Big Data, proporcionando avisos de privacidad en las etapas apropiadas, y a lo largo de todo el proyecto de obtención de datos.
• Implementar auditorias internas, y externas, de los algoritmos de «machine learning», para verificar si hay sesgo, discriminación y errores.

Recordemos que más que poner frenos, lo que debe hacerse es equilibrar los avances de la inteligencia artificial con la privacidad.

La entrada BIG DATA y RGPD se publicó primero en Gestiona Abogados.

Análisis de riesgos

Paralelamente al desarrollo de los trabajos de auditoría, es necesario que realicemos un análisis de riesgos a los que está expuesta nuestra organización.

El proceso para realizar un análisis de riesgos consta de los siguientes pasos:

1.Identificar los activos de información de nuestra organización, cada uno de los cuales estará expuesto a unas amenazas determinadas y tendrá unas vulnerabilidades asociadas.

Un servidor web puede estar expuesto a una denegación de servicio y tener como vulnerabilidad poca tolerancia a una carga de tráfico excesiva.

2. Del paso anterior, que nos describe el estado del activo, obtenemos el riesgo intrínseco. Es decir, el riesgo al que está expuesto el activo «por defecto» antes de la aplicación de los controles específicos.

3. En el paso siguiente, determinamos la probabilidad de materialización de un riesgo intrínseco, que dará como resultado un impacto, es decir, las consecuencias que tiene para nuestra organización la materialización de la amenaza.

4. A continuación, debemos identificar aquellos riesgos que, por su probabilidad, impacto o ambos, no son aceptables para nuestra organización. Esta decisión debemos tomarla de acuerdo a nuestra estrategia corporativa y en función de los riesgos que estemos dispuestos a asumir.

Para aquellos riesgos que no sean aceptables, debemos proponer diferentes iniciativas para la implantación de controles o salvaguardas, que tendrán un coste asociado.

En algunos casos, este coste es determinante para escoger controles menos eficaces pero con un menor coste o para asumir el riesgo debido al alto coste del control mitigante.

5. Como resultado de la aplicación de los controles, obtendremos el riesgo residual del activo, que nos indicará el grado de exposición del activo a las amenazas después de haber implantado los controles seleccionados así como las consecuencias de la materialización de la amenaza.

Tendremos en cuenta que los elementos y valores anteriores son dinámicos y podrán cambiar a medida que nuestra infraestructura evolucione, se añadan nuevos activos, ofrezcamos nuevos servicios, surjan nuevas amenazas o apliquemos unos controles determinados.

La sustitución de un sistema de copias tradicional, por un sistema de replicación de datos en diferido, puede eliminar riesgos de disponibilidad pero incrementar los riesgos de disponibilidad e integridad de los datos, al propagarse éstos en la réplica de manera automática.

También podemos crear nuestra propia metodología específica a partir de las existentes. En este sentido, puede resultar interesante adaptar diversas metodologías para obtener una que se adapte a la naturaleza de nuestra organización.

Nivel de riesgo aceptable

Tras la identificación de los riesgos, debemos establecer y documentar el nivel de riesgo aceptable: el valor umbral que determina los riesgos que deben ser tratados y los riesgos que son asumibles.

¿Cómo podemos tratar un riesgo?

A través de cuatro posibles estrategias:

•  Transferir el riesgo a un tercero. Por ejemplo, contratando un seguro.
•  Eliminar el riesgo. Eliminando un proceso que ya no es necesario.
•  Asumir el riesgo, siempre justificadamente. El coste de instalar un grupo electrógeno o disponer de un centro de respaldo en caso de interrupción del suministro eléctrico puede ser demasiado alto y por tanto, puede ser necesario asumir el riesgo durante varias horas, a pesar de su impacto.
•  Implantar medidas para mitigarlo. Instalando un sistema de alimentación ininterrumpida o SAI para hacer frente a los cortes de electricidad más breves, o tener algún tipo de acuerdo recíproco con otra compañía para en caso de que se produzca un incidente grave poder usar sus servidores o instalaciones.

En resumen, el análisis de riesgos desarrollado en el contexto del Plan Director de Seguridad está enfocado principalmente a identificar aquellos riesgos que exceden unos límites aceptables para la organización.

Todos los trabajos desarrollados hasta el momento están fuertemente relacionados y en todos los casos requieren de la intervención de múltiples personas que conozcan la organización.

En este sentido, nuevamente destacamos la importancia de contar con el apoyo de la Dirección para garantizar el éxito del proyecto.

En nuestro próximo post finalizaremos nuestro Plan Director de Seguridad con las últimas fases del mismo:

• 4.Definir los proyectos e iniciativas
• 5.La Aprobación del Plan Director
• 6.Puesta en marcha del mismo.

La entrada ELABORAR UN PDS. FASE 3 se publicó primero en Gestiona Abogados.

En la elaboración del Plan Director de nuestra organización, hemos decidido clasificarlo en seis fases:

• 1.Análisis previo
• 2.Objetivos del Plan
• 3.Análisis de Riesgos
• 4.Definir proyectos e iniciativas
• 5.Aprobación del Plan Director
• 6.Puesta en marcha

Análisis previo

Para realizar el Plan Director de Seguridad (PDS) es necesario realizar un análisis previo, que debe estar basado en un análisis de riesgos donde se identifiquen las principales amenazas que afectan a la organización y el riesgo asociado a cada una de ellas, en función de la probabilidad y el impacto que tengan de materializarse.

En consecuencia, para mitigar el riesgo de estas amenazas, se deben establecer unos puntos de acción, concretados en proyectos y actividades que serán parte del plan director de seguridad o PDS.

Objetivos del Plan

Adicionalmente a lo anterior, es necesario entender las necesidades del negocio y mantener conversaciones con los responsables de las diferentes áreas de la organización, incluido el máximo nivel, para entender qué se espera de la función de seguridad y su aportación al negocio.

En efecto, esto nos ayudará a establecer los objetivos de seguridad de la información en la empresa.

Claro que en la identificación de los proyectos y actividades, es importante diferenciar entre los proyectos a largo plazo y los de corto plazo.

Es decir, que los proyectos a corto plazo nos ayudarán a obtener “quick wins”, que son muy buenos para mostrar a la Dirección de la organización la validez y el progreso del Plan Director de Seguridad o PDS.

Definición, coste y responsables

También es clave para el éxito del Plan Director o PDS definir el detalle de cada uno de los proyectos a realizar, indicando el coste asociado y la persona o departamento responsable de su consecución.

En caso contrario, será un documento a muy alto nivel que se olvidará con el tiempo.

Aprobación del Plan Director

Después de haber concretado detalles, proseguiremos con la aprobación del plan. El Plan Director o PDS debe ser aprobado por al máximo nivel posible dentro de la organización, como puede ser el Comité de Dirección o Consejo de Administración.

Por consiguiente, la aprobación del plan será fundamental para dotarlo, tanto de dotación presupuestaria, como de autoridad, una cosa tan importante como la otra.

Métricas y control

Una vez identificados los objetivos, así como los proyectos y actividades que ayuden a conseguirlo, es necesario establecer unas métricas o indicadores para poder medir con el tiempo la buena marcha y la ejecución del Plan Director de Seguridad de la Información o PDS.

Existen indicadores de consecución de objetivos (KGI=Key Goal Indicator) e indicadores de rendimiento (KPI=Key Performance Indicator).

Por cada indicador es necesario detallar cómo se mide, quien lo mide, cada cuanto se mide y una meta asociada.

Los KPIs son habilitadores o te dan una idea de cómo bien o mal se está haciendo para conseguir alcanzar la meta del KGI.

Por ejemplo, un KGI puede ser “número de incidentes de seguridad por malware” (cuya meta debe ser 0) y un KPI podría ser “porcentaje de PCs con antivirus” (cuya meta debe ser 100%).

En la medida que el KPI anterior se aproxime a su meta, el KGI también lo hará.

Resultados

Por lo tanto, el resultado del Plan Director será:

• Un conjunto de objetivos alineados con la estrategia de la empresa. A cada objetivo se le puede asociar un conjunto de indicadores, preferentemente KGIs, que nos den una idea del cumplimiento del objetivo.
• Un análisis de riesgos previo que justifique las necesidades que se van a cubrir con los proyectos identificados en el plan de acción.
• Un conjunto de proyectos y actividades a poner en marcha para la consecución de los objetivos anteriores. A cada proyecto se le puede asociar un conjunto de indicadores, preferentemente KPIs
• El detalle de cada uno de los proyectos anteriores, especificando las fases, las tareas, las fechas de compromiso, el responsable de cada actividad o tarea y el coste asociado.

Con todo lo anterior, el Plan Director de Seguridad de la Información será nuestra guía y herramienta estratégica a 2 o 3 años para fundamentar las acciones e inversiones realizadas en seguridad de la información.

La entrada ELABORAR UN PLAN DIRECTOR DE SEGURIDAD (PDS) se publicó primero en Gestiona Abogados.

• El responsable del tratamiento que realiza o desea realizar actividades de tratamiento con datos personales, debe establecer procedimientos de control que garanticen cumplir los principios de protección desde el diseño y por defecto.
• Bajo el supuesto de que las actividades de tratamiento no requieran una EIPD (Evaluación de Impacto en la Protección de Datos), el análisis de riesgos debe determinar las medidas técnicas y organizativas, que garanticen los derechos y libertades de los interesados, y se puede simplificar con un enfoque de mínimos considerando que el nivel de riesgo al que están expuestas las actividades de tratamiento no es elevado.
• Como punto de partida, de igual modo que en una EIPD, se deben describir adecuadamente las actividades de tratamiento, proceso que facilitará la documentación del registro de actividades de tratamiento.

Gestión de riesgos por defecto

Los principales riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, se pueden diferenciar en 2 dimensiones:

1. Riesgos asociados a la protección de la información con foco en la integridad, disponibilidad y confidencialidad de los datos. Por ejemplo, acceso ilegítimo a los datos o pérdida de datos.
2. Riesgos asociados  al  cumplimiento  de  los  requisitos relacionados  con  los  derechos y libertades de los interesados. Por ejemplo:

uso ilegítimo de datos personales

posibilidad de que el responsable no pueda atender el ejercicio de  los derechos (porque la organización no tiene correctamente implementados y operativos los procedimientos correspondientes).

 

Para cumplir este protocolo tenemos que seguir los siguientes pasos, documentando todo el proceso que llevemos a cabo, para lo cuál estaría bien servirse de plantillas en las que se identifique cada uno de estos puntos:

Identificar los riesgos

En el Análisis de Riesgos, se identifican las amenazas de interrupción más probables. Y se analizan las vulnerabilidades relacionadas con dichas amenazas:

• evaluando los controles de seguridad física, lógica y ambiental,
• revisando su efectividad para contener las amenazas identificadas.

Pueden ser de tres tipos:

• Sobre los afectados (como la invasión en su vida privada, comunicar datos a terceros cuando no sea necesario, no haber realizado un procedimiento adecuado de anonimización, mantener los datos más tiempo que el estrictamente necesario para la finalidad que se recogieron).
• Riesgos corporativos (como pérdida de reputación o una multa por brechas de seguridad).
• Riesgos legales (como no cumplir con la legislación de protección de datos, o servicios de la sociedad de la información).

Evaluar los riesgos

• Evaluar un riesgo implica considerar todos los posibles escenarios en los cuales el riesgo se haría efectivo.
• La evaluación de riesgos consiste en valorar el impacto de la exposición a la amenaza, junto a la probabilidad de que esta se materialice.
• El impacto, por su parte, se determina en base a los posibles daños que se pueden producir si la amenaza se materializa.

Tratar los riesgos

• El objetivo de tratar los riesgos es disminuir su nivel de exposición con medidas de control que permitan reducir la probabilidad y/o impacto de que estos se materialicen.
• A partir de la identificación de un riesgo inherente a la actividad de tratamiento de partida, se deben aplicar una serie de medidas de seguridad y, con la aplicación de estas medidas,  se obtiene un riesgo residual.

Medidas técnicas y organizativas aplicadas:

• -medidas técnicas, como por ejemplo el cifrado, la seudonomización y aquellas necesarias para garantizar el cumplimiento de lo previsto en el artículo 32.1 del RGPD
• -medidas de carácter organizativo como la firma de política de privacidad por los trabajadores, y formación periódica facilitada a los mismos, en relación con protección de datos.

Como resultado del análisis de riesgos, puede ser conveniente o necesario realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD), y este análisis es el que determinará si la misma es necesaria:

¿Cómo identificar y gestionar los riesgos potenciales asociados a una actividad de tratamiento?

• En cada actividad de tratamiento, se debe analizar y determinar cuáles de los riesgos situados dentro de las dimensiones de protección de los datos personales y derechos y libertades de los interesados son de aplicación.
• A continuación, para cada uno de los riesgos identificados, se deberán establecer tantas medidas de seguridad como sean necesarias para garantizar un nivel de seguridad y control adecuado que reduzca la exposición al riesgo.

Fase I: Análisis de las listas de tratamientos previstos en la regulación (artículos  35.3, 35.4, y 35.5 RGPD)

La regulación establece supuestos en los cuales es obligatorio realizar la EIPD sin necesidad de realizar un análisis de riesgos.

• Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado como la elaboración de perfiles y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten de modo similar.
• Tratamiento  a  gran  escala  de  las  categorías  especiales  de  datos  personales,  o  datos  sobre  condenas e infracciones penales o medidas de seguridad conexas.
• Observación sistemática a gran escala de una zona de acceso público.

Por tanto, la comprobación de las listas y supuestos incluidos en la regulación, debe ser el primer paso para determinar la necesidad de llevar a cabo una EIPD.

Si como resultado del análisis previo se considera que no es necesario llevar a cabo una EIPD, se debe documentar adecuadamente los motivos por los cuales se ha llegado a esa conclusión. En cualquier caso, se debe mantener evidencias de que se ha llevado a cabo este análisis (responsabilidad proactiva).

Fase II: Análisis de la naturaleza, alcance, contexto y fines de tratamiento (art 35.1)

La segunda fase de análisis se centra en evaluar las características de las actividades de tratamiento a realizar según los aspectos previstos en el artículo 35.1 del RGPD (naturaleza, alcance, contexto y finalidades del tratamiento).

Sobre cada uno de los aspectos, se deben tener en cuenta las siguientes consideraciones:

Naturaleza del tratamiento:

Se deben valorar las características más básicas del tratamiento y ver si estas pueden implicar un alto riesgo. Por ejemplo:

• ¿Se tratan categorías especiales de datos?
• ¿Se tratan datos a gran escala?
• Se hace un seguimiento exhaustivo de las personas?
• ¿Se combinan diferentes conjuntos de datos? (fuentes de información diferentes)
• ¿Los datos se refieren a personas en situación de vulnerabilidad?

Alcance  del  tratamiento: 

Se  deben  valorar  los  efectos  o  consecuencias  del  tratamiento, identificando hasta qué punto puede llegar y si éste puede suponer un alto riesgo. Por ejemplo:

• ¿Se realiza un proceso de toma de decisiones con efectos jurídicos?
• ¿Se realiza una valoración de riesgo crediticio?
• ¿Se valora la exclusión de beneficios sociales o fiscales?

Contexto del tratamiento:

Se debe valorar el conjunto de circunstancias bajo las cuales se realizarán las actividades de tratamiento, con el objetivo de verificar si pueden suponer un alto riesgo. Por ejemplo:

• ¿Se realiza un uso de nuevas tecnológicas?
• ¿son especialmente invasivas para la privacidad?
• ¿Existen varios responsables del tratamiento?
• ¿Existen cadenas complejas de encargados de tratamiento?
• ¿Se producen transferencias internacionales?
• ¿Existen cesiones de datos?

Finalidades del tratamiento:

Se deben identificar cada una de las finalidades del tratamiento y analizar si estas derivan en un alto riesgo. Por ejemplo, si la finalidad incluye:

• Toma de decisiones
• Elaboración de perfiles
• Análisis predictivo
• Prestación de servicios relacionados con la salud
• Seguimiento, control y observación de personas (monitorización).

Gestiona Abogados

La entrada PROTOCOLOS (PARTE VIII). ANALISIS DE RIESGOS se publicó primero en Gestiona Abogados.

Despachos de abogados, gabinetes de psicología o logopedia, clínicas de todo tipo (dentistas, podólogos, fisioterapia…), etc.

Este tipo de actividades, por norma general, estaban sujetas a realizar la auditoria de protección de datos cada 2 años.

Con la entrada en vigor de del RGPD, las auditorias y los niveles de seguridad (básico, medio y alto) desaparecen.

Sin embargo, esta figura ha sido sustituida por una evaluación de impacto (EIPD).

Un ejercicio de análisis de los riesgos que un determinado sistema de información, producto o servicio puede suponer para el derecho a la protección de datos de los afectados cuyos datos se tratan.

Como resultado de ese análisis, la gestión de riesgos mediante la adopción de las medidas necesarias para eliminar o atenuar en lo posible aquellos que se hayan identificado.

Análisis de riesgos de protección de datos

El objetivo del análisis de riesgos es determinar la probabilidad de que se produzcan situaciones no deseadas y su gravedad.

Por lo tanto, concretaremos y describiremos qué medidas se han previsto para los procesos clave del tratamiento que estamos evaluando.

Se deberá analizar también las diferentes medidas que se han previsto inicialmente para reducir los riesgos del tratamiento (en sus dos dimensiones: probabilidad y gravedad).

De esta forma, podemos valorar el nivel de riesgo inicial de las operaciones de tratamiento que se han diseñado.

Si no se toma ningún tipo de medida para mitigar la probabilidad y la gravedad de un potencial escenario de riesgo, es altamente probable que se produzca y, a priori, puede tener unas  consecuencias muy graves.

Finalidad de una EIPD

Sus siglas en inglés son PIA, que corresponden a Privacy Impact Assessment.

El objetivo de una EIPD es permitir a los responsables del tratamiento tomar medidas adecuadas para reducir dicho riesgo (minimizar la probabilidad de su materialización y las consecuencias negativas para los interesados).

En consecuencia, las EIPD deben realizarse antes de iniciar las operaciones de tratamiento; siendo el primer paso la determinación de la necesidad (o no) de la propia evaluación de impacto.

Las evaluaciones de impacto  se deben realizar una sola vez, antes del comienzo de la actividad (o antes de la adaptación al RGPD, si la actividad ya ha comenzado), y únicamente en determinados casos.

El RGPD no especifica exactamente qué tipo de empresas deben pasarla, sino que da unas directrices para que cada país decida.

¿Cuándo debe realizarse una Evaluación de Impacto?

Es recomendable que en el momento de realizar un nuevo tratamiento se analicen los posibles riesgos que puede entrañar el mismo.

Las autoridades nacionales de protección de datos (APD), junto con el Comité Europeo de Protección de Datos, pueden proporcionar listas de casos en los que se exige una EIPD.

Esta debe realizarse antes del tratamiento y se considerará como una herramienta viva y no únicamente un ejercicio puntual.

Cuando existan riesgos residuales que no puedan mitigarse mediante las medidas aplicadas, deberá consultarse a la APD antes de iniciar el tratamiento.

No obstante, la nueva regulación europea establece que la EIPD  es obligatoria cuando se dé:

• Alto riesgo
• Evaluación sistemática
• Tratamiento a gran escala de datos especialmente protegidos
• Uso de tecnologías invasivas

Alto riesgo

Cuando el tratamiento vaya a entrañar un alto riesgo para los derechos y libertades de las personas físicas.

Por ejemplo en el empleo de nuevas tecnologías, o si atendemos a su naturaleza, contexto y alcance.

Evaluación sistemática

En el momento que, sistemáticamente, se evalúe aspectos personales de personas físicas basadas en un tratamiento automatizado

Es el caso de la elaboración de perfiles.

Tratamiento a gran escala de datos especialmente protegidos

Si se realiza un tratamiento a gran escala de las categorías especiales de datos del artículo 9, apartado 1 del RGPD, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10 del RGPD.

Incluimos en este apartado también los datos personales relativos a menores.

Uso de tecnologías invasivas

Siempre que se vayan a utilizar tecnologías que se consideran especialmente invasivas con la privacidad.

Nos referimos a:

• Videovigilancia a gran escala
• Aeronaves no tripuladas (drones)
• Vigilancia electrónica
• Minería de datos
• Biometría
• Técnicas genéticas
• Geolocalización

Empresas obligadas a realizar una Evaluación de Impacto

Algunas de las entidades que tienen que realizar una evaluación de impacto son:

• Farmacéuticas
• Hospitales y clínicas
• Seguridad privada, vigilancia y control
• Comercializadoras de energía
• Empresas que realicen e-commerce
• Colegios

Continuando con la descripción de las circunstancias que obligan a hacer la evaluación de impacto, el Reglamento también establece que las autoridades de supervisión están obligadas a elaborar y publicar una lista con los tipos de operaciones de tratamiento que están sujetos a la exigencia de llevar a cabo una EIPD.

¿Cual es el papel del Delegado de Protección de Datos con respecto a las EIPD?

En primer lugar, hay que decir que el RGPD determina que cuando el responsable del tratamiento debe llevar a cabo una EIPD tiene que buscar el asesoramiento del DPO.

Bajo mi punto de vista, junto con la privacidad por defecto y desde el diseño, las evaluaciones de impacto en protección de datos es una de las herramientas que, bien aplicada y sobre todo en aquellos supuestos en que resulte obligatorio realizarlas, contribuye en gran medida a acreditar que la entidad cumple con el principio de responsabilidad proactiva (accountability) que exige el Reglamento.

Tarifas

No hay un precio definido ni cerrado para la contratación de una Evaluación de Impacto.

El precio dependerá del alcance que el sistema de información, producto o servicio tenga en relación con el tratamiento de los datos personales, así como las categorías de datos que se traten.

Si necesitas realizar una EIPD puedes solicitarnos una propuesta económica.

Consúltenos en el teléfono 962915025 o en el correo electrónico protecciondatoscertificado@gmail.com,  para que podamos darle una información más precisa.

La entrada Auditorías – Evaluaciones de Impacto se publicó primero en Gestiona Abogados.