El encargado del tratamiento es el que trata datos personales por cuenta del responsable del tratamiento. 

El encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que presta un servicio al responsable que conlleva el tratamiento de datos personales por cuenta de éste.

Suele ser un tercero externo a la empresa. Hablaríamos, por ejemplo, de asesorías laborales, fiscales o contables, de los transportistas, de los informáticos, mutuas de prevención de riesgos, etc.

Hay que tener muy en cuenta que la responsabilidad final siempre es del responsable, quién determina la finalidad que persigue el tratamiento de datos.

PROTOCOLO DE REGULACIÓN DE LA RELACIÓN ENTRE RESPONSABLE Y ENCARGADO DEL TRATAMIENTO (ARTÍCULO 28 RGPD)

• Modelo de Contrato de acceso a datos que la empresa deberá elaborar conforme a las Directrices para la elaboración de contratos entre responsables y encargados del tratamiento y que se utilizará para completar cada uno de los contratos de encargado del tratamiento que deban suscribirse.
• Listado de proveedores que asumen la figura de encargado del tratamiento, indicando por cada uno de ellos: Tipo de servicios que implica el acceso a datos personales, Fecha de firma del contrato con el encargado del tratamiento, Lugar de archivo del contrato de encargado del tratamiento
• Evidencias del nivel de cumplimiento del encargado del tratamiento: se propone solicitar periódicamente, evidencias del nivel de cumplimiento por parte del encargado del tratamiento e incorporar al protocolo interno la traza de las evidencias solicitadas.

¿COMO SE REGULA LA RELACIÓN ENTRE EL RESPONSABLE Y EL ENCARGADO?

Contrato

La vinculación entre ambos debe reflejarse en un contrato escrito o acto jurídico, en el que se tendrán en cuenta aspectos como:

• Objeto, duración, naturaleza y fin del tratamiento de datos.
• Qué tipo de datos personales se van a considerar y clases de interesados.
• Obligación por parte del encargado de seguir las instrucciones de responsable a lo largo de todo el tratamiento de datos.
• Necesidad de que el responsable dé siempre el consentimiento específicamente si hubiera que hacer subcontrataciones.
• Asistir al responsable cuando lo precise, sobre todo en los derechos de los interesados.

El encargado del tratamiento deberá cumplir con lo siguiente:

• Únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento.
• No aplicará ni utilizará los datos con un fin distinto al que figure en el contrato.
• No comunicará los datos, ni siquiera para su conservación, a otras personas.
• Expondrá qué hará con los datos una vez finalizado el servicio correspondiente.
• Las medidas de seguridad que  está obligado a seguir.

Para que el encargado del tratamiento pueda acceder a los datos no es necesario el consentimiento de los afectados, es decir, de las personas cuyos datos se tratan siempre, claro está,  que exista el contrato de encargo mencionado.

Especificaciones del contrato

• El encargado de tratamiento de datos debe saber y conocer el tipo de servicio que debe realizar (instrucciones claras y concretas con respecto al tratamiento de datos).
• El responsable debe determinar las personas a quien el encargado debe hacer las comunicaciones pertinentes, en su caso.
• El encargado deberá informar al responsable en el caso de que haya que hacer comunicaciones a otros países sobre los datos tratados (en caso de que el Derecho de la Unión Europea indique que esas comunicaciones son necesarias). Si alguna de las instrucciones recibidas por el encargado infringe el RGPD, u otra disposición que afecte a Protección de Datos dentro de la UE, este deberá ponerlo en comunicación del responsable de tratamiento de datos.
• Deber de confidencialidad por parte del encargado de tratamiento de datos y las personas autorizadas a tratar datos de carácter personal.

El responsable debe evaluar los riesgos del servicio, tomar las medidas oportunas para garantizar la seguridad y derechos de las personas

OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO

1. Mantener un registro de actividades.
2. Establecer medidas de seguridad sobre los datos que se tratan.
3. Designar el Delegado de Protección de Datos.
4. Asistir el responsable en las siguientes cuestiones:

• Acceder a sus datos personales.
• Rectificación de los mismos
• Suprimir lo necesario (esto es lo que se ha llamado derecho al olvido)
• Limitar el tratamiento
• Portabilidad de los datos
• Oposición a cierto tratamiento
• No querer prestar los datos para algunos automatismos, como crear perfiles, etc.

MEDIDAS ORGANIZATIVAS

Verificado todo lo anterior, comparando los riesgos y probabilidades de problemas graves que afecten a los derechos y libertades de las personas, tanto el responsable como el encargado de tratamiento, deberán tomar medidas organizativas para que la seguridad de los datos sea la más adecuada:

• Cifrado de datos
• Garantizar la confidencialidad y disponibilidad de la información cuando sea preciso.
• En caso de incidencia, restaurar lo más pronto posible la accesibilidad a los datos.
• Evaluar periódicamente la seguridad para comprobar su eficacia y así, constatar que sigue siendo la adecuada para el tratamiento. Lo ideal es que la seguridad esté certificada, de esta forma se demuestra que se cumplen los más altos requisitos o estándares.
• Todas las personas que tengan acceso a los datos personales deberán seguir escrupulosamente las medidas de seguridad y las instrucciones del responsable.

Colaboración entre Responsable y Encargado de datos

Es necesario que figure en el contrato cómo ayudará el encargado al responsable en el cumplimiento de las obligaciones necesarias para llevar a cabo unas medidas de seguridad adecuadas, notificaciones de violaciones de datos a las autoridades, a interesados, evaluaciones sobre protección de datos, etc.

Algunas funciones pueden ser delegadas por el responsable en el encargado.

Los datos personales al finalizar el trabajo

Al finalizar la prestación del servicio, los datos personales pueden ser suprimidos de la base, o devueltos por el encargado al responsable, estableciendo  la fórmula en la que se especificará cómo se llevará a cabo.

El encargado puede quedarse con una copia de los datos mientras puedan deducirse responsabilidades del servicio prestado.

Por último,  el encargado debe poner a disposición del responsable toda la información que se precise para cumplir con las obligaciones de tratamiento de datos, incluidas inspecciones y, auditorías y consultorías realizadas por el mismo responsable o personas autorizadas.

La entrada El encargado del tratamiento se publicó primero en Gestiona Abogados.

Según el art. 4 del Reglamento General de Protección de Datos, una brecha de seguridad puede ser definida como 

“aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”

Debemos señalar que, todas las brechas de datos personales son incidentes de seguridad, pero no todos los incidentes de seguridad son necesariamente brechas de datos personales, siendo éstas, en las que el incidente de seguridad pueda comprometer al del responsable de tratamiento de datos personales.

Fases para la gestión de brechas de seguridad

A continuación vamos a resumir las fases que el responsable de tratamiento debe tener en cuenta para la correcta gestión de las brechas de seguridad.

1º Fase de preparación para responder ante las brechas de seguridad.

Se realizará un análisis de riesgo o evaluación de impacto, en caso de ser necesario, para aplicar las medidas técnicas y organizativas adecuadas, para poder afrontar un incidente de seguridad y tener una efectiva capacidad de respuesta.

Se definirán los planes de respuesta a los incidentes de seguridad.

2º Fase de detección e identificación de las brechas de seguridad.

El responsable o encargado del tratamiento detectarán el incumplimiento o vulneración de las medidas de seguridad a que da lugar la brecha de seguridad.

La identificación del incidente de seguridad se hará sobre el análisis de las siguientes fuentes de información:

• Internas: medios internos de la empresa para mantener la seguridad.
• Externas: comunicación del incidente por terceras personas.

3º Fase de Registro de las brechas de seguridad.

La entidad debe mantener un registro de incidencias debidamente documentado, que contenga:

• Tipo de incidente.
• Descripción del incidente.
• Nivel de Gravedad.
• Medidas adoptadas para su resolución.

4º Fase de Clasificación y Valoración

Determinar la clasificación de la brecha de seguridad que podrá ser:

• Confidencialidad.
• Integridad.
• Disponibilidad.

Valorar la peligrosidad del incidente y la magnitud del impacto en los individuos.

Recurriremos para ello al análisis de riesgos o evaluación de impacto realizado previamente.

Para clasificar la peligrosidad de un incidente seguiremos las directrices proporcionadas por la AEPD:

• La categoría o nivel de criticidad respecto a la seguridad de los sistemas afectados: (Crítico, Muy Alto, Alto, Medio, Bajo).
• Naturaleza, sensibilidad y categorías de los datos personales afectados: (Datos de escaso riesgo, Datos de comportamiento, Datos financieros, Datos sensibles).
• Datos legibles/ilegibles: Datos protegidos mediante algún sistema de seudonimización.
• Volumen de datos personales: expresados en cantidad (registros, ficheros, documentos) y/o en periodos de tiempo (una semana, un año, etc.).
• Facilidad de identificación de individuos: facilidad con la que se puede deducir la identidad de los individuos a partir de los datos involucrados en la brecha.
• Severidad de las consecuencias para los individuos: (Baja, Media, Alta, Muy Alta).
• Características especiales de los individuos: Si afectan a individuos con características especiales o con necesidades especiales.
• Número de individuos afectados: Dentro de una escala determinada, por ejemplo, más de 100 individuos.
• Características especiales del responsable del tratamiento: En base a la actividad de la entidad.
• El perfil de los usuarios afectados, su posición en la estructura organizativa de la entidad y, en su consecuencia, sus privilegios de acceso a información sensible o confidencial.
• El número y tipología de los sistemas afectados.
• El impacto que la brecha puede tener en la organización: (Bajo, Medio, Alto).

5º Fase de notificación

La autoridad competente para recibir las notificaciones de las brechas de seguridad que sucedan en las entidades será la autoridad de control nacional de protección de datos, que en el caso de España es la Agencia Española de Protección de Datos.

¿Quién debe notificar las brechas de seguridad?

El encargado de notificarlas será el Responsable de Seguridad, o si no contamos en nuestra entidad con esa figura, la responsabilidad recaerá en el representante del Responsable del Tratamiento.

¿Y si mi empresa tiene DPO? En este caso será el Delegado de Protección de Datos el encargado de la notificación.

Plazo

• ¿Existe un plazo determinado?
• Sí, se dispone de 72 horas para notificar la violación de seguridad ante la AEPD.
• El plazo comienza en cuanto tenemos constancia del problema de seguridad, por lo que dispondremos de 72 horas para realizar todos los pasos anteriores.

Contenido mínimo de la notificación

• La naturaleza de la violación, categorías de datos y de interesados afectados.
• medidas impuestas por el responsable para resolver esa quiebra.
• si procede, las medidas adoptadas para reducir los posibles efectos negativos sobre los interesados.

Registro Electrónico

• La AEPD dispone de un registro,  mediante el cual electrónicamente, y siguiendo unos sencillos pasos, se puede notificar ante la misma la brecha de seguridad.
• En necesario, no obstante, disponer de certificado electrónico para poder acceder a dicho registro.

Notificar a las personas afectadas la brecha de seguridad

Con el nuevo principio de accountabilty, la normativa también exige que se comunique al afectado (a nuestro cliente), sin dilación indebida, la brecha de seguridad.

No obstante, en aras de no preocupar al interesado sin razón, el RGPD, en su artículo 34, enuncia una serie de casos en los cuales no será obligada esta comunicación:

• El responsable hubiera adoptado medidas técnicas u organizativas apropiadas antes de la violación de seguridad, en particular las medidas que hagan ininteligibles los datos para terceros, como seria el cifrado.
• Cuando el responsable haya tomado con posterioridad a la quiebra medidas técnicas que aseguren que ya no hay posibilidad de que el alto riesgo se materialice.
• Cuando la notificación implique un esfuerzo desproporcionado, debiendo en estos casos reemplazarse por medidas alternativas como puede ser una comunicación publica.

¿Puedo usar la misma notificación para la AEPD y para el interesado?

• No.
• La AEPD, es la mayor autoridad de protección de datos en España y te pedirá una serie de fórmulas a la hora de redactar el escrito de notificación, así como una información más exhaustiva.
• A los afectados deberé dirigirme de una forma menos oscura para ellos, utilizando términos claros y fácil entendibles, y explicándoles en que les puede afectar esta brecha y como la estamos solucionando.

¿Tengo que notificar siempre la brecha de seguridad?

Sí y no.

No hará falta comunicar la brecha de seguridad cuando no suponga riesgos para los derechos y libertades de las personas físicas.

Los casos donde no habría obligación de comunicar estas brechas son:

• Cuando el responsable del tratamiento haya tomado las medidas oportunas para una protección efectiva, como por ejemplo, habiendo cifrado los datos personales. Siempre que estas medidas sean previas a la brecha de seguridad
• Cuando el responsable del tratamiento haya tomado las medidas oportunas de protección -tras la producción de la brecha de seguridad- con la intención de causar el mínimo daño posible a los afectados
• Y cuando de la realización de esas comunicaciones se deduzca que la empresa puede verse afectada de forma organizativa.

La entrada BRECHAS DE SEGURIDAD se publicó primero en Gestiona Abogados.

¿Es posible tratar datos personales sin el consentimiento de su titular?

Si. 

La base legitimadora puede ser el interés legítimo.

En cuanto a las indicaciones claras y concretas sobre los requisitos que debe cumplir, en cada caso, el consentimiento, te recomiendo este post.

En efecto, las empresas afrontan la disyuntiva de acogerse a otra de las bases legitimadoras, o bien repetir de nuevo todo el proceso de consecución de consentimientos.

La realidad es que el interés legítimo como base de tratamiento no es algo nuevo.

Por ejemplo: la facultad de control del empresario

No es el consentimiento del trabajador (plasmado en su contrato de trabajo, o captado aparte) el que legitima la supervisión o control por la empresa del uso realizado por sus trabajadores del móvil, ordenadores o vehículos de empresa.

Este control se basa más bien en la facultad de control empresarial prevista en la ley, en el Estatuto de los Trabajadores, y en los intereses de la empresa que exceden lo que un contrato de trabajo por sí solo puede autorizar.

Aparte de lo anterior, otro ejemplo es la Videovigilancia

En una variación de lo anterior: los obvios intereses de la empresa en protegerse frente al fraude, o a acciones ilícitas, explican que la última jurisprudencia permita la videovigilancia de los trabajadores aun sin su consentimiento o información específica (por el evidente interés legítimo de la empresa en la protección de sus activos).

Sin duda, el interés legítimo siempre supone una habilitación relativa, sujeta a condiciones, dependiendo de las circunstancias concurrentes, que deben ser ponderadas caso por caso.

Por último, citamos otro ejemplo: incumplimiento de contratos.

La cesión de datos que se produce a un abogado o empresa de recobro, cuando una parte incumple un contrato.

La parte perjudicada puede ceder los datos del incumplidor a terceros (abogados, empresas de recobro) porque tiene un interés legítimo en que el que ha incumplido, cumpla.

Del mismo modo, la nueva LOPDgdd regula determinados supuestos específicos en sus artículos 12, 14, 15, 17 y 18:

• Artículo 12. Tratamiento de datos de contacto y de empresarios individuales
• Artículo 14. Sistemas de información crediticia.
• Artículo 15. Tratamientos con fines de videovigilancia.
• Artículo 17. Sistemas de información de denuncias internas en el sector privado.
• Artículo 18. Tratamientos relacionados con operaciones de re-estructuración societaria o transmisiones de negocio.

 ¿SE TRATA DE UN INTERÉS LEGÍTIMO?

Para que pueda considerarse legítimo un interés, éste debe ser:

Lícito: que sea conforme a la legislación nacional y de la UE, es decir que no se trate de materia prohibida, ni atente contra el orden público, ni sea contraria a los principios generales del Derecho.

Suficientemente concreto: Lo que requiere que quede claramente delimitado y definido, para poder ponerlo en contraposición a los intereses y los derechos fundamentales del interesado.

Representativo de un interés real y actual, es decir, que no sea especulativo.

El RGPD, nos marca ya algunos supuestos concretos de interés legítimo:

• -La prevención del fraude (Considerando 47).
• -La mercadotecnia directa (Considerando 47).

No debemos entender que con ello se permita automáticamente el envío de mensajes publicitarios o comerciales por correo electrónico, puesto que la Ley 34/2002Enlace añadido por la extensión vLex de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSIEnlace añadido por la extensión vLex) impone la obligatoriedad de obtener el consentimiento expreso del destinatario, para este tipo de comunicaciones, excepto si existía previamente una relación contractual entre remitente y destinatario, y las comunicaciones tienen por objeto publicitar productos o servicios iguales similares, a los que el destinatario había contratado.

• -Garantizar la seguridad de la red y de la información, así como de los servicios proporcionados a través de esos sistemas o redes de información (Considerando 49).
• -Compartir datos personales dentro de un mismo grupo empresarial o entre entidades afiliadas a un mismo organismo central con fines administrativos internos (Considerando 48).
• -La indicación de posibles actos delictivos o amenazas para la seguridad pública, así como la transmisión a la autoridad competente de los datos relacionados con dichos actos delictivos o amenazas para la seguridad pública (Considerando 50).
• -El ejercicio del derecho de libertad de expresión o información, incluida las situaciones en las que se ejerza dicho derecho en los medios de comunicación y en las artes.
• -La prospección convencional y otras formas de comercialización o publicidad.
• -Los mensajes no comerciales que no hayan sido solicitados, incluidos los pertenecientes a campañas políticas o de recaudación de fondos para organizaciones caritativas.
• -La ejecución de derechos reconocidos en procedimientos judiciales, incluido el cobro de deudas mediante procedimientos extrajudiciales.
• -La prevención del uso indebido de servicios o del blanqueo de dinero.
• -La supervisión de los empleados con fines de seguridad o de gestión.
• -Los regímenes internos de denuncia de irregularidades.
• -La seguridad física.
• -El tratamiento con fines históricos, científicos o estadísticos.
• -El tratamiento con fines de investigación (incluida la investigación de mercado).

A éstos habrá que añadir los recogidos por la LOPDgdd:

• -El tratamiento de los datos de las personas físicas que presten servicios en una persona jurídica, siempre que se trate de los datos mínimos imprescindibles para su localización profesional y se utilicen para mantener la relación con la persona jurídica en cuestión.
• -El tratamiento de los datos de empresarios individuales cuando se refieran a ellos en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.

No obstante, no podemos tratar estos listados con la condición de “númerus clausus”, por lo que aunque “nuestro” interés no figure entre los descritos, no significa que no pueda ser un interés legítimo. Lo será siempre que cumpla los requisitos iniciales: licitud, concreción, real y actual.

Si llegamos a la conclusión de que el interés NO es legítimo, no puede basarse el tratamiento de datos en dicho interés, y habrá que ver si concurre alguna otra base jurídica que pueda legitimar dicho tratamiento.

Sin duda, no debemos confundir el interés del responsable o de un tercero con la finalidad del tratamiento. Ésta es la que se persigue como medio que permita la satisfacción del interés legítimo, pero pueden ser cosas totalmente distintas.

También es importante que el interés legítimo quede lo mejor descrito o definido posible de cara al siguiente paso a dar: valorar si el tratamiento es necesario para poder conseguir el interés legítimo.

¿EL TRATAMIENTO DE DATOS ES NECESARIO PARA CONSEGUIR EL INTERÉS LEGÍTIMO?

Un tratamiento no será necesario si existen medios menos invasivos a través de los cuales se logra el mismo fin.

Con todo, no deberá tenerse en cuenta si esos otros medios menos invasivos le resultan más o menos apropiados o eficaces, al responsable del tratamiento.

De todos modos, habrá que valorar la conveniencia de introducir, en la determinación del interés legítimo (paso previo), ciertas características propias del resultado que se pretende obtener, tales como el coste, el tiempo, esfuerzos y recursos a emplearse en la consecución del interés legítimo (“al menor coste posible”, “en un plazo no superior a”, “con una inversión ajustada de recursos o esfuerzos” …)

PONDERACIÓN ENTRE EL INTERÉS LEGÍTIMO Y LOS INTERESES O DERECHOS Y LIBERTADES DE LOS INTERESADOS.

El RGPD marca que la ponderación debe hacerse teniendo en cuenta la expectativa razonable de los interesados en función de su relación con el responsable, por lo que éste (o en su caso, el DPD), debe formular una serie de cuestiones para sopesar los intereses en juego y que convendrá que, junto con el resto de cuestiones, deje plasmado en un informe u otro documento que justifique su decisión:

• -Expectativas de los interesados en relación con el tratamiento de sus datos.
• -Posible relación del interés legítimo con algún interés general, interés socialmente aprobado, o con un derecho fundamental.
• -Relación entre el responsable y los interesados.
• -Riesgo que conlleva el tratamiento, es decir, ¿el análisis de riesgo del tratamiento o una evaluación de impacto en protección de datos sobre el mismo, arroja un resultado de riesgo alto para los derechos y libertades fundamentales de los interesados?
• -Tipo de datos y categorías de los interesados.
• -Ventajas o beneficios para los interesados.
• -Duración del tratamiento (una semana o menos, 1 mes, 3 meses, 6 meses, 1 año, más de 1 año…).
• -Frecuencia del tratamiento (puntual, esporádico, continuo).
• -Cualquier otra cuestión que el responsable entienda que ha de ser atendida para sopesar la prevalencia del interés legítimo, o por el contrario, de los derechos y libertades de los interesados.

EL EQUILIBRIO PROVISIONAL

Una vez realizada la ponderación anterior, el responsable puede estar ya en condiciones de determinar si prevalece su interés legítimo sobre los intereses o derechos y libertades de los interesados o no.

Si claramente es así, se pueden concluir que el tratamiento de datos está legitimado y podrá llevarse a cabo, obviamente con cumplimiento del resto de exigencias que la normativa vigente impone.

Sin embargo, en caso contrario o si aún se tienen dudas, así como si sencillamente, a pesar de que claramente prevalezca el interés legítimo, se quiere reforzar éste (lo que siempre será una buena práctica), el responsable puede acudir a una serie de garantías adicionales, cuyo cumplimiento o concurrencia pueden acabar  inclinando la balanza a favor de unos intereses u otros, dependiendo de una ulterior evaluación de todas las circunstancias en conjunto.

 GARANTÍAS ADICIONALES

Se enumeran a continuación, con carácter igualmente orientativo, algunas posibles garantías adicionales:

• -Facilitar, directamente a los interesados, o en caso de que ello resulte imposible o altamente costoso, al público en general, (por ejemplo, mediante publicación en la propia web, difusión en redes sociales propias, anuncios especializados, etc.), información transparente y más amplia que la exigida legalmente sobre el tratamiento de datos y el interés legítimo.
• -Enviar periódicamente recordatorios con la información anterior.
• -Facilitar a los interesados uno o varios mecanismos viables y accesibles para garantizar la posibilidad incondicional de que se excluyan voluntariamente del tratamiento.
• -Informar a los interesados de otros mecanismos que existan, aunque no los aplique o provea directamente en responsable, a través de los cuales aquellos puedan impedir o limitar, de forma sencilla y gratuita, el tratamiento de sus datos (bloqueadores de cookies, listas Robinson, configuraciones de privacidad, etc.)
• -Aplicar en el tratamiento técnicas de anonimización o medidas que garanticen que los datos no pueden utilizarse para emprender otras acciones, en relación con los interesados.
• -Facilitar a los interesados mecanismos de empoderamiento, para que puedan de forma directa acceder, modificar, eliminar, transferir o reutilizar sus propios datos.

EQUILIBRIO FINAL

Llegados a este punto, habrá que determinar finalmente:

• -si el interés legítimo del responsable o de un tercero prevalece sobre los intereses o derechos y libertades de los interesados, en cuyo caso podrá llevarse a cabo el tratamiento.
• -si por el contrario prevalecen éstos últimos y, por lo tanto el tratamiento no puede realizarse.
• -deberá examinarse si concurre alguna otra base jurídica distinta del interés legítimo que pueda legitimar el tratamiento.

Conviene dejar documentado el proceso de determinación de la prevalencia del interés legítimo, donde queden reflejados, entre o tras cosas, los pasos que aquí se han comentado de la forma más objetiva posible, buscando un examen real y concienzudo y no un traje a medida para el tratamiento de datos en cuestión.

Con independencia de que se den los requisitos necesarios para basar un tratamiento en el interés legítimo, hay que cumplir el resto de obligaciones que nos exige la normativa sobre protección de datos, incluida la de facilitar a los interesados la información concerniente al tratamiento de sus datos.

La entrada Datos personales sin consentimiento RGPD se publicó primero en Gestiona Abogados.

Las transferencias internacionales de datos son, hoy en día y en una sociedad globalizada, un elemento clave e imprescindible para la prestación de servicios.

Se produce cuando los datos personales que son tratados por un responsable o un encargado del tratamiento en el Espacio Económico Europeo (países de la Unión Europea, Islandia, Liechtenstein y Noruega) son enviados a un tercer país u organización internacional, fuera de dicho territorio.

En la actualidad, con las mejoras informáticas y todas las herramientas en la nube, es imprescindible que la regulación de la protección de datos no deje desprotegidos aquellos datos más allá de nuestras fronteras comunitarias.

Así pues, podríamos decir que la transferencia internacional de datos es uno de los elementos más importantes de la ley y, en un futuro, quizá será el mayor.

Una pequeña pero importante novedad en el RGPD es que  el exportador de los datos podrá ser tanto el responsable como encargado del tratamiento.

Con esta apreciación, se elimina la barrera que habían puesto algunos Estados Miembros en los que el exportador debía ser siempre el responsable.

¿Cuando se puede realizar una TID?

Solo se podrán realizar transferencias internacionales de datos si el Responsable o Encargado del tratamiento pueden asegurar que el nivel de protección de datos está garantizado mediante:

• Transferencias internacionales de datos basadas en una decisión de adecuación (artículo 45 RGPD).
• Transferencias mediante garantías adecuadas (artículo 46 RGPD)
• “Binding corporate rules” (artículo 47 RGPD)

En cualquier caso, se deberá suscribir el correspondiente contrato con el receptor de datos, sea Destinatario de datos o Encargado del tratamiento, especificando en el mismo las garantías apropiadas de protección de datos en que se basa la transferencia.

Obligaciones en transferencias internacionales de datos

Registro de las actividades del tratamiento (artículo 30, apartado 1.e)

El Responsable o Encargado del tratamiento tendrán la obligación de llevar y conservar actualizado un Registro de las actividades del tratamiento cuando:

• Emplee a un mínimo de 250 personas
• Pueda suponer un riesgo para los derechos y libertades del interesado y no tenga un carácter ocasional
• Se traten categorías especiales de datos
• Se traten datos relativos a condenas y delitos penales

El Registro de actividades deberá contener, entre otra información, la identificación de las transferencias internacionales de datos a terceros países o a organizaciones internacionales con documentación de las garantías adecuadas de protección que se hayan adoptado.

Información y comunicación a los interesados (artículo 13, apartado 1.f)

El Responsable del tratamiento deberá informar al interesado de la intención de realizar transferencias internacionales, detallando la existencia o ausencia de una decisión de adecuación con una referencia a las garantías adecuadas y a los medios para obtener copia de ellas o al momento en que se hayan facilitado las mismas.

Ejercicio de los derechos de los interesados (artículo 15, apartado 2)

Cuando exista una comunicación de datos a un Destinatario ubicado fuera de la UE, el Responsable del tratamiento posibilitará y dará curso al ejercicio del derecho de acceso informando al interesado de los Destinatarios o categorías de destinatarios internacionales.

Cuando exista un encargo del tratamiento a una organización ubicada fuera de la UE, el Responsable del tratamiento posibilitará y dará curso al ejercicio del derecho de acceso informando de las garantías adecuadas de protección de datos aplicadas.

¿Se pueden transferir datos personales a países no seguros con la autorización del interesado?

El Responsable del tratamiento podrá realizar transferencias de datos personales a terceros países u organizaciones internacionales que no posean una decisión de suficiencia de la UE, cuando el tratamiento sea por interés del interesado y éste haya dado explícitamente su consentimiento para una finalidad específica y se le informe adecuadamente de los posibles riesgos debidos a la ausencia de una decisión de suficiencia o de garantías apropiadas.

Por tanto, el interés del interesado para realizar dichas transferencias solo será lícito si el tratamiento se realiza para:

• La ejecución de un contrato o pre-contrato entre el interesado y el Responsable del tratamiento.
• La ejecución de un contrato por interés del interesado, entre el Responsable del tratamiento y otra persona física o jurídica.
• Proteger los intereses vitales del interesado u otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento.

¿Se debe especificar la transferencia internacional en la estructura del fichero?

Cuando una transferencia se realiza  exclusivamente por interés del interesado y contempla los supuestos lícitos antes citados, no se debe comunicar en la notificación del fichero a la AEPD.

El sistema NOTA solo permite registrar las transferencias a terceros países diferenciando si tienen un nivel adecuado de protección según decisión de la U.E. o con autorización de la AEPD.

Si la transferencia se considera una comunicación de datos a un DESTINATARIO, se debería anotar en el apartado de cesiones de datos como “otras cesiones”.

Si la transferencia se considera un tratamiento por cuenta del Responsable, no se detallará en la estructura del fichero porque se trata de una prestación de servicios. Deberá añadirse al registro de Encargados de tratamiento y suscribir el correspondiente contrato de protección de datos.

Autorización para realizar la transferencia internacional de datos

Sólo será necesaria la autorización de la Agencia Española de Protección de Datos para realizar una transferencia internacional cuando las garantías adecuadas para realizarla se basen en:

• Cláusulas contractuales entre el responsable o encargado y el responsable, encargado o destinatario de los datos en el país u organización internacional. Deberá someterse también al mecanismo de coherencia del art. 63 del RGPD.
• Disposiciones que se incorporen a acuerdo administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.

Procedimiento de solicitud de autorización para realizar la transferencia internacional de datos

1. El procedimiento se inicia a solicitud del exportador interesado en realizar la trasferencia.
2. Se podrá requerir al solicitante que complete o modifique la documentación presentada en el plazo de 10 días LPACAP.
3. Trámite de información pública con carácter potestativo (10 días).
4. La Directora de la AEPD resolverá, si resuelve autorizar la transferencia se procederá a su inscripción.
5. El plazo máximo para dictar y notificar resolución es de 3 meses desde la fecha de entrada de la solicitud en la agencia. Si no se hubiese distado y notificado resolución expresa en dicho plazo, se entenderá autorizada la transferencia internacional.

Autorizaciones anteriores a la aplicación del RGPD

Las autorizaciones otorgadas por la AEPD antes de la aplicación del RGPD siguen siendo válidas, mientras que la agencia no proceda a la derogación, sustitución o modificación de las mismas.

En cualquier caso, si se quisiera realizar una nueva transferencia internacional por entidades autorizadas previamente, se aplicarán las reglas que contempla el RGPD al respecto.

La entrada TRANSFERENCIA INTERNACIONAL DE DATOS (TID) se publicó primero en Gestiona Abogados.

Analizar la necesidad de llevar a cabo una EIPD

La EIPD debe realizarse, en general,  cuando sea probable que un tipo de tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas, y en particular, cuando se realicen

-Operaciones de tratamiento que implican llevar a cabo una evaluación sistemática y exhaustiva de aspectos personales relativos a personas físicas que se basen en un tratamiento automatizado como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente o perjudiquen de alguna manera.

-Tratamientos a gran escala relativos a alguna categoría especial de datos, y/o de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas.

-Tratamientos que supongan un control sistemático, o monitorización, a gran escala de áreas de acceso al público, en su caso, utilizando dispositivos optoelectrónicos.

-Uso de tecnologías especialmente invasivas como la video vigilancia a gran escala, aeronaves no tripuladas (drones), la vigilancia electrónica, la minería de datos, biometría, técnicas genéticas, geolocalización o la utilización de radiofrecuencia (RFID).

-Tratamiento grandes volúmenes de datos personales a través de tecnologías como la de datos masivos (Big data), internet de las cosas (Internet of Things), o el desarrollo y la construcción de ciudades inteligentes (Smart Cities)

Formar el equipo de trabajo que desarrollará la EIPD

• Un representante con capacidad de decisión
• El Delegado de Protección de Datos (DPD)
• El responsable de seguridad
• Representante cualificado del departamento TIC
• Representante de las áreas de negocio o departamentos a los que más afecte el proyecto dentro de la organización
• Experto en protección de datos perfil jurídico
• Experto en protección de datos perfil técnico

Alcance la EIPD y Organización del trabajo (plazos, recursos y tareas)

Descripción del proyecto

Información y documentación

Flujos de información

DESCRIBIR EL TRATAMIENTO

Se deben describir las operaciones de tratamiento previstas, los fines del tratamiento, y cuando proceda, el interés legítimo perseguido por el responsable del tratamiento.

La EIPD debe establecer:

• El alcance y necesidad de la EIPD
• Personal afectado por la EIPD
• Los fines y medios del tratamiento previsto.
• Las medidas y garantías establecidas para proteger los derechos y libertades de los interesados.
• Los datos de contacto del DPD.
• Las medidas de control necesarias para tratar los riesgos identificados”
• Cualquier otra información que solicite la Autoridad de Control.

Como punto de partida, requiere plantearse las siguientes cuestiones:

¿Qué se va a hacer con los datos y con qué finalidad?

Se debe analizar qué se prevé realizar con los datos y los medios mediante los cuales se realizará el tratamiento, así como identificar las diferentes finalidades para las cuales se quieren tratar los datos.

¿Qué datos se van a tratar? ¿Son necesarios todos ellos? ¿De quién son los datos a tratar?

Se deben identificar todos los datos que puedan ser objeto de tratamiento:

• nombre, apellidos, dirección, datos de salud, correo electrónico o imágenes
• su necesidad para la finalidad con la que se recogen
•  el origen o la fuente de los mismos (clientes, potenciales clientes, empleados, pacientes, redes sociales, fuentes externas, etc.)

Base legitimadora en la que se basa el tratamiento

Supuestos en los que se considera que el tratamiento de datos personales es lícito:

1. Se  cuenta  con  el  consentimiento  del  interesado para los fines específicos del tratamiento. Cuando la base de licitud del tratamiento es el consentimiento del interesado, el responsable del tratamiento  debe  poder  garantizar  y  demostrar  que  ha  obtenido  el  consentimiento  inequívoco  y libre.
2. El tratamiento es necesario para:

• la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas pre contractuales.
• el cumplimiento de una obligación legal aplicable al responsable del tratamiento.
• proteger  intereses  vitales  del  interesado  o  de  otra  persona física
• el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
• la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan  los  intereses  o  los  derechos  y  libertades  fundamentales  del  interesado  que  requieran la protección de datos personales, en particular cuando el interesado sea un niño.

El interés legítimo se puede utilizar como base de licitud de un tratamiento «siempre que no prevalezcan los intereses o los derechos y libertades de la persona interesada» y teniendo en cuenta las expectativas razonables de las personas afectadas por el tratamiento, basadas en la relación que tienen con el responsable del tratamiento.

El uso del interés legítimo como base de licitud del tratamiento debe ser evaluado adecuadamente, tomando en consideración que cuando la licitud del tratamiento se basa en el interés legítimo del responsable del tratamiento (o de un tercero), hay que sopesar estos intereses y los de las personas que se verán afectadas.

EVALUAR LA NECESIDAD Y PROPORCIONALIDAD DEL TRATAMIENTO

Seguidamente, es necesario realizar una evaluación de la necesidad y proporcionalidad de las operaciones de  tratamiento con respecto a su finalidad.

• El principio de “minimización de datos” establece que los datos personales serán “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que serán tratados”
•  “Los datos personales sólo se deben tratar si la finalidad del tratamiento no se puede hacer razonablemente por otros medios”, es decir, sin tratar datos personales.
• “Las finalidades tienen que estar definidas de manera determinada, explícita y legítima”.
• “Cualquier tratamiento de datos personales tiene que ser lícito y leal”. Este punto está unido al análisis de las finalidades establecidas en el tratamiento y su supuesto legitimador.
• “Los datos personales tienen que ser adecuados, pertinentes y limitados a lo necesario para los fines para los cuales se tratan”.
• “El plazo de conservación se limite a un mínimo estricto”.

La proporcionalidad tiene que ver con evaluar si la finalidad que se persigue se puede conseguir por otros medios, por ejemplo: utilizando otros datos, reduciendo el universo de personas afectadas (de manera cuantitativa o cualitativa), haciendo uso de otras tecnologías menos invasivas o bien aplicando otros procedimientos o medios de tratamiento (modificando los inicialmente previstos), etc.

Las autoridades de protección de datos a menudo señalan que para comprobar si un tratamiento supone una medida restrictiva de un derecho fundamental, este debe superar los tres puntos del llamado juicio de proporcionalidad:

• Juicio de idoneidad: si la medida puede conseguir el objetivo propuesto.
• Juicio de necesidad: si, además, es necesario, en el sentido de que no existe otra más moderada para conseguir este propósito con la misma eficacia.
• Juicio de proporcionalidad en sentido estricto: si la medida es ponderada o equilibrada, porque se derivan más beneficios o ventajas para el interés general que no perjuicios sobre otros bienes o valores en conflicto.

En definitiva, a nivel práctico, se debe responder de manera argumentada a dos preguntas:

¿El tratamiento, tal y como está definido, es necesario para la finalidad prevista?

¿Las actividades de tratamiento son proporcionales a las finalidades previstas?

Si al evaluar estos aspectos, se concluye que el diseño del tratamiento no cumple con alguno de estos dos principios, tal y como recoge el artículo 39 del RGPD, «Los datos personales sólo se tratarán si la finalidad del tratamiento no se puede hacer razonablemente por otros medios», este tratamiento no se debe llevar a cabo y será necesario reformular o rediseñar dicho tratamiento.

EVALUACION Y GESTION DE RIESGOS

Identificación de Riesgos

En esta etapa inicial del proceso de gestión de riesgos se deben identificar los potenciales escenarios de riesgo que pueden afectar negativamente a los derechos y libertades de las personas derivados de un inadecuado tratamiento de sus datos.

El riesgo es la exposición a amenazas, por tanto, como punto de partida, es fundamental entender qué es una amenaza y cómo se puede identificar escenarios de riesgo a partir de la misma.

¿Qué es una amenaza?

Una amenaza es cualquier factor de riesgo con potencial para provocar un daño o perjuicio a los interesados sobre cuyos datos de carácter personal se realiza un tratamiento.

¿Qué tipos de amenazas hay?

-De forma general:

• Desastres naturales:
• Fuego, agua, desastres ambientales…
• Errores y fallos:
• Destrucción no intencionada, programación inadecuada de un proceso de perfilado, fuga de información…
• Ataques intencionados: Hacking, phishing, malware, robo…
• Incumplimiento normativo: Incumplimiento del periodo de retención, ausencia de base legitimadora del tratamiento…

-Si ponemos foco en la protección de los datos, las amenazas se pueden categorizar principalmente en 3 tipos en base a la tipología de daño que pueden producir en los datos:

• Acceso ilegitimo a los datos  confidencialidad
• Modificación no autorizada de los datos  integridad
• Eliminación de los datos  disponibilidad

¿Cómo identificar amenazas?

Para identificar de forma adecuada las amenazas asociadas a las actividades de tratamiento, se debe tener en cuenta todo el ciclo de vida de los datos en cada operación, desde su inicio hasta el momento en el que finaliza.

Identificar una amenaza consiste en identificar la fuente de los escenarios en los que se puede producir un daño o una violación de los derechos y libertades de los interesados.

Ejemplos de amenazas en función de su tipología:

• Acceso ilegítimo a los datos
•  Perdidas de dispositivos móviles
•  Fuga de información
•  Acceso intencionado por parte de personal no autorizado
•  Ataques intencionados (hacking, suplantación de identidad, etc.)
•  Uso ilegítimo de datos personales
• ¿Los dispositivos móviles y de almacenamiento están cifrados?
• ¿Existen métodos para extraer la información durante la operación de tratamiento?
• ¿Está expuesta la información al acceso por parte de terceros no autorizados?
• ¿Existe un mecanismo para dar acceso a los datos únicamente al personal autorizado?
• ¿La operación de tratamiento es susceptible de ataques de hacking? ¿es susceptible de ataques de phishing o de otros métodos de suplantación de identidad?
• ¿Existe una adecuada gestión de la configuración de los parámetros de seguridad de los elementos (elementos de red, SO y BBDD)
• ¿Existe una base legitimadora para la actividad de tratamiento? ¿Las finalidades de las actividades de tratamiento son necesarias y proporcionales?
• Modificación no autorizada de los datos
•  Ataque para la suplantación de identidad
•  Errores en los procesos de recopilación y captura de información
•  Modificación no autorizada de datos intencionada
•  Uso ilegítimo de datos personales
• ¿Existen credenciales o mecanismos de control que limiten el acceso a personal no autorizado? ¿Se revisa periódicamente la actividad realizada por los usuarios cuando acceden a los sistemas?
• ¿Existen controles sobre la integridad de la información durante el proceso de captura de datos? ¿Se identifica adecuadamente al interesado que proporciona los datos?
• ¿Los datos son modificables únicamente por el personal autorizado?
• ¿La actividad de tratamiento sobre los datos es acorde a las finalidades para las cuales existe una base legitimadora?
•  ¿Se puede realizar un perfilado o una operación de tratamiento que no esté alineada con las finalidades de la operación de tratamiento?
• Eliminación de los datos
•  Corte de suministro eléctrico o fallos en servicios de comunicaciones
•  Error humano o ataque intencionado que provoca borrado o pérdida de datos
•  Desastres naturales
• ¿Un fallo de suministro eléctrico puede implicar la pérdida de datos?
• ¿Un fallo en los servicios de comunicaciones puede ocasionar una pérdida de datos?
• ¿Los datos pueden ser eliminados únicamente por el personal autorizado? ¿Existen copias de seguridad?
• ¿Están los sistemas que almacenan datos en ubicaciones expuestas a la posibilidad de que se produzca un desastre natural?
• ¿Existe réplica de los datos en diferentes ubicaciones?

¿Qué es un riesgo?

Un riesgo se puede definir como la combinación de la posibilidad de que se materialice una amenaza y sus consecuencias negativas.

El nivel del riesgo se mide según su probabilidad de materializarse y el impacto que tiene en caso de hacerlo.

Para  evaluar  un  riesgo  es  necesario  considerar  todos  los  posibles  escenarios  con  los  que  el  riesgo se haría efectivo, incluidos aquellos que impliquen un mal uso o abuso de los datos y las alteraciones técnicas o del entorno.

¿Cómo relacionar los riesgos con las amenazas?

Las amenazas y los riesgos asociados están directamente relacionados, en consecuencia, identificar y evaluar los riesgos siempre implica considerar la amenaza que los puede originar.

Evaluación de riesgos

La evaluación de riesgos consiste en valorar y estimar la probabilidad y el impacto de que el riesgo se materialice

Como punto de partida, es necesario haber definido el criterio que se seguirá a la hora de valorar los riesgos.

Los criterios para cuantificar los riesgos, estimar el nivel de impacto y su probabilidad, se pueden basar en estándares o se pueden definir a criterio de la organización.

A la hora de definir los criterios para cuantificar los riesgos es importante destacar que, la diferencia  principal  entre  la  EIPD  y  los  análisis  de  riesgos  tradicionales  que  una  entidad  suele  realizar, reside en que la EIPD se realiza desde “el punto de vista del interés del sujeto” mientras que los análisis de riesgos se realizan desde el punto de vista del “riesgo para la entidad”.

A continuación, se describen una serie de conceptos necesarios para poder evaluar los riesgos, así como, un método estandarizado para estimar y valorar el impacto y la probabilidad asociados a un riesgo.

¿Qué es el riesgo inherente y cómo se calcula?

El riesgo inherente es el riesgo intrínseco de cada actividad, sin tener en cuenta las medidas de control que mitigan o reducen su nivel de exposición.

El riesgo inherente surge de la exposición que se tenga a la operación de tratamiento en particular y de la probabilidad de que la amenaza asociada al riesgo se materialice.

El cálculo del riesgo inherente se realiza mediante la siguiente fórmula:

La  probabilidad  se  determina  en  base  a  las  posibilidades  que  existen  de  que  la  amenaza se materialice.

A continuación, se presenta una posible metodología de valoración de la probabilidad e impacto basada en cuatro niveles (de acuerdo a la ISO 29134), aunque cada entidad podrá utilizar la metodología que mejor se ajuste a sus circunstancias (por ejemplo, el uso de alguna de las metodologías de riesgos internas).

Riesgo = Probabilidad X Impacto

Escala de posibles valores para el cálculo de la probabilidad:

• Probabilidad  despreciable: La posibilidad de ocurrencia es muy baja (por ejemplo, un evento que puede pasar de forma fortuita).
• Probabilidad limitada: La posibilidad de ocurrencia es baja (por ejemplo, un evento que puede pasar de forma ocasional).
• Probabilidad significativa: La posibilidad de ocurrencia es alta (por ejemplo, un evento que puede pasar con bastante frecuencia).
• Probabilidad  máxima: La posibilidad de ocurrencia es muy elevada (por ejemplo, un evento cuya ocurrencia se produce con mucha frecuencia).

El impacto

El impacto se determina en base a los posibles daños que se pueden producir si la amenaza se materializa.

De igual modo, el impacto también se evaluará con la misma escala de cuatro valores posibles:

• Impacto despreciable: El impacto es muy bajo (por ejemplo, un evento cuyas consecuencias son prácticamente despreciables sin impacto sobre el interesado).
• Impacto limitado: El impacto es bajo (por ejemplo, un evento cuyas consecuencias implican un daño menor sin impacto relevante sobre el interesado).
• Impacto significativo: El impacto es alto (por ejemplo, un evento cuyas consecuencias implican un daño elevado con impacto sobre el interesado).
• Impacto máximo: El impacto es muy alto (por ejemplo, un evento cuyas consecuencias implican un daño muy elevado un impacto crítico sobre el interesado).

El impacto asociado a un riesgo puede ser ocasionado por daños de diferente índole.

El daño

Para evaluar el impacto asociado a un riesgo, se recomienda realizar la evaluación considerando tres dimensiones diferentes de posibles daños que se pueden producir sobre el interesado:

• Daño  físico: Conjunto de acciones que pueden ocasionar un daño en la integridad física del interesado.
• Daño material: Conjunto de acciones que pueden ocasionar pérdidas económicas, de patrimonio, de empleo, etc.
• Daño  moral: Conjunto de acciones que pueden ocasionar un daño moral o mental en el interesado, como una depresión, fobias, acoso, etc.

La escala de impacto dependerá del tipo y cantidad de daño o perjuicio causado. El valor final de impacto deberá ser solo uno por riesgo, entre las cuatro posibilidades. A continuación, se pueden ver ejemplos prácticos de cada uno de los niveles de impacto en todas sus magnitudes:

Ejemplos de posibles daños físico, material o moral

Despreciable: Los interesados no se verán prácticamente afectados o encontrarán alguna pequeña inconveniencia

•  Molestias o irritación.
•  Se incumplen obligaciones materiales sin perjuicios relevantes.
•  No se priva de los derechos y libertades.

Limitado: Los interesados podrán encontrar inconveniencias no significativas

• Estrés o padecimientos físicos menores.
• Costes extra, denegación de acceso a algunos servicios o incumplimiento de obligaciones materiales con perjuicios económicos.
• Se priva de los derechos y libertades de los interesados, por ejemplo, por difamación de un interesado por divulgación de datos personales.

Significativo:

• Los interesados encontrarán consecuencias significativas, que deberían poder superar sin dificultades serias.
• Empeoramiento del estado de salud o agresiones físicas.
• Apropiación indebida de fondos, pérdida del empleo o incumplimiento de obligaciones materiales con perjuicios económicos relevantes.
•  Se agrede contra los derechos y libertades de los interesados, por ejemplo, una citación judicial, entrar en una lista de morosidad o divulgación de datos personales con impacto significativo en la reputación del interesado.

Máximo: Los interesados encontrarán consecuencias significativas o incluso irreversibles, que podrán no llegar a superarse.

• Agresiones físicas con consecuencias irreparables.
• Asunción de una deuda inafrontable, imposibilidad de volver a trabajar o incumplimiento de obligaciones materiales con perjuicios económicos irreparables.
• Se agrede significativamente contra los derechos y libertades de los interesados, por ejemplo, padecimiento psicológico con consecuencias a largo plazo o irreparables por la divulgación de datos sensibles.

Tomando como base las escalas de probabilidad e impacto, para poder determinar el riesgo inherente, es necesario asignar valores a cada uno de los niveles de las escalas de probabilidad e impacto. La escala de valores comprende desde el valor 1, en el caso de que la magnitud sea despreciable, hasta el valor 4 en el caso donde la magnitud es máxima:

• Despreciable
• Limitado
• Significativo
• Máximo

Si se enfrentan la probabilidad y el impacto, se forma una matriz de riesgo, tal y como se puede ver a continuación:

Si se establece un valor numérico a la probabilidad y otro valor al impacto, según la escala de valores definida, se obtiene una posición en la matriz de riesgos que se corresponde con el riesgo inherente resultado de aplicar la fórmula de estimación del riesgo. El resultado del riesgo inherente se puede considerar en los siguientes niveles en función del valor obtenido:

•  Bajo: Si el valor resultante se sitúa entre los valores 1 y 2.
•  Medio: Si el valor resultante es mayor de 2 y menor o igual que 6.
•  Alto: Si el valor resultante es mayor que 6 y menor o igual que 9.
•  Muy Alto: Si el valor resultante es mayor que 9.

Considerando los criterios establecidos, si se deseara valorar un riesgo, por ejemplo, al añadir valores numéricos a la probabilidad y al impacto, ante un riesgo con probabilidad limitada (2) e impacto significativo (3), el nivel de riesgo inherente será medio (2 x 3 = 6).

Riesgo inherente

Durante la fase de evaluación de riesgos, se debe realizar este ejercicio para cada una de las amenazas identificadas, considerando los riesgos asociados, el impacto y la probabilidad de que se materialice y determinando su riesgo inherente.

Para poder estimar y valorar el riesgo, es necesario tener contexto sobre la exposición a la que se somete el riesgo.

Supongamos una aplicación móvil con almacenamiento en la nube que captura datos a través de weareables (dispositivos como un reloj o pulsera), además de permitir la introducción manual de datos de salud por parte del usuario.

• La finalidad de la actividad de tratamiento es monitorizar la actividad del usuario y recomendar  hábitos  de  vida  saludables.
• La  aplicación  móvil  no  dispone  de  medidas  de  control de acceso, ni de detección de malware, además no se realizan copias de seguridad de los datos.
• Adicionalmente, durante la fase de registro del usuario no se solicita consentimiento expreso para ninguna finalidad adicional a la mencionada.

MEDIDAS PREVISTAS PARA AFRONTAR LOS RIESGOS

La última etapa del proceso de gestión de riesgos consiste en definir la respuesta o las medidas necesarias para tratar el riesgo y reducir su nivel de exposición.

Tratar un riesgo es el resultado de definir y establecer medidas de control para disminuir la probabilidad y/o el impacto asociados al riesgo inherente de una operación de tratamiento.

¿Qué alternativas existen para reducir o mitigar un riesgo?

El nivel de riesgo se puede tratar con el objetivo de reducir o mitigar el mismo, en función de la medida que se adopte. Existen cuatro medidas diferentes para tratar el riesgo:

• Reducción  del  riesgo: Para reducir el nivel de riesgo, se deben establecer medidas de control que reduzcan los niveles de probabilidad y/o impacto asociados al riesgo inherente.
• Retención del riesgo: Si el nivel de riesgo inherente es inferior al nivel de riesgo considerado como aceptable, no existe necesidad de implementar controles adicionales.
• Transferencia  del  riesgo:  Consiste  en  compartir  un  riesgo  con  una  organización  externa. Se puede transferir el riesgo a una aseguradora que afronte las posibles consecuencias materiales. Sin embargo, se ha de considerar que, en ocasiones, la transferencia de riesgos puede generar otros riesgos. Por ello, la transferencia puede generar la necesidad de análisis adicionales.
• Anulación del riesgo: Si el riesgo es muy elevado y no se quiere asumir el mismo, se puede decidir abandonar la actividad de tratamiento.

Las medidas  de  control  tienen  como  objetivo  mitigar  o  minimizar  el  riesgo  asociado  a  una  operación de tratamiento.

Es importante destacar que el objetivo principal de una EIPD no es eliminar completamente el riesgo asociado a las actividades de tratamiento, lo que se pretende es reducir el mismo hasta un nivel aceptable para poder llevar a cabo las mismas garantizando los derechos y libertades de los interesados.

Medidas de control

Durante el proceso de definición de las medidas de control se debe considerar de forma independiente cada riesgo identificado y establecer tantas medidas de control como sean necesarias hasta lograr un nivel de riesgo aceptable.

Existen diversos tipos de medidas de control, por ejemplo:

• Organizativas: Medidas asociadas a procedimientos, a la organización y gobierno de la entidad. En esta tipología de medidas se pueden incluir los procedimientos para ejercer los derechos de los interesados, protocolos para gestionar vulnerabilidades e incidentes, etc.
• Legales: Medidas asociadas al cumplimiento normativo. Por ejemplo, cláusulas para recogida de consentimientos expresos, etc.
• Técnicas: Medidas que permiten velar por la seguridad física y lógica de los activos de información. Por ejemplo, controles de acceso, cifrado, etc.

Riesgo residual

¿Qué es el riesgo residual y cómo se calcula?

El riesgo residual es el riesgo de cada actividad una vez se hayan aplicado las medidas de control para mitigar y/o reducir su nivel de exposición.

A diferencia del riesgo inherente, el riesgo residual contempla las medidas de control definidas sobre la actividad de tratamiento para valorar la probabilidad y/o el impacto asociado al riesgo.

Para evaluar el riesgo residual, se debe estimar de nuevo la probabilidad y el impacto considerando las medidas de control definidas.

Por ejemplo, ante un riesgo de acceso no autorizado por parte de terceros en un proceso de autenticación, el hecho de establecer un usuario y una contraseña asignados al usuario (cumplimiento con políticas de control de acceso e identificación), reduce significativamente la probabilidad de que un tercero pueda realizar un acceso no autorizado. En este caso, la medida de control reduce la probabilidad de ocurrencia del riesgo y, por tanto, minimiza el riesgo residual asociado.

Ejemplo práctico de estimación del riesgo residual:

• Ciclo  de  vida  del  dato  (fase  almacenamiento):
• Almacenamiento  de  datos  de  clientes  en  dispositivos móviles.
• Amenaza: Pérdida del dispositivo móvil.
• Riesgo: Acceso no autorizado por parte de terceros a datos de salud (violación de la confidencialidad).
• Riesgo residual  = Probabilidad X Impacto
• Impacto: Violación de derechos fundamentales (Significativo).
• Probabilidad: Se puede producir cada vez que el usuario no tiene en su poder el dispositivo móvil (Significativa).
• Riesgo inherente: Impacto x Probabilidad  x  =  (Riesgo alto).
• Medidas de control: Método de autenticación mediante usuario, contraseña y huella biométrica. Cifrado del dispositivo móvil y pseudonimización de los datos.
• Eficacia del control: Reduce la probabilidad a despreciable, debido a que, aunque se pierda el dispositivo, no será posible el acceso sin credenciales. Adicionalmente, reduce el impacto a despreciable, debido a que, aunque se pierda el dispositivo, los datos nunca serán identificables evitando producir daños sobre los interesados.
• Riesgo residual: Impacto x Probabilidad  x = (Riesgo bajo)

PLAN DE ACCION

Como último paso en la realización de una EIPD, se debe elaborar un plan  de  acción  donde se describan todas las medidas de control previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales.

Un plan de acción es el conjunto de iniciativas que se deben llevar a cabo para implantar los controles que ayudan a reducir el riesgo de una actividad de tratamiento hasta un nivel considerado aceptable.

Se recomienda que el plan de acción incluya al menos los siguientes campos de información:

• Control
• Descripción del control
• Responsable de implantación
• Plazo de implantación

Para la ejecución del plan de acción, se deben considerar dos posibilidades:

La EIPD se ha hecho sobre un nuevo tratamiento.

La EIPD se ha hecho sobre un tratamiento ya existente.

En el primer caso, el plan de acción obtenido se deberá considerar durante la fase de definición de requerimientos de la actividad de tratamiento (privacidad desde el diseño).

Si la EIPD se ha realizado sobre un tratamiento ya existente, se debe lanzar un proyecto o iniciativa para implantar las medidas incluidas en el plan de acción sobre el tratamiento actual.

El responsable del tratamiento debe establecer un plazo máximo en el cual se deben implantar las medidas de control incluidas en el plan de acción.

En caso de superar el plazo establecido, considerando que el riesgo residual actual del tratamiento no es aceptable, el responsable del tratamiento puede exigir que se interrumpa el tratamiento hasta la implantación de las medidas correspondientes.

La  conclusión  de  la  EIPD  debe  realizarse  basándose  en  el  nivel  de  riesgo  residual  obtenido  durante la fase de gestión de riesgos, valorando si este es elevado o se considera aceptable y dentro de unos límites razonables.

Si la conclusión de la EIPD, no es favorable, se debe analizar la posibilidad de incluir medidas de control adicionales que permitan reducir el nivel de exposición al riesgo, disminuyendo el mismo hasta un nivel aceptable.

Si no fuese posible el tratamiento no se podría llevar a cabo y sería necesario activar el procedimiento de consulta previa a la Autoridad de Control.

COMUNICACIÓN Y CONSULTA A LA AUTORIDAD DE CONTROL

“El responsable consultará a la Autoridad de Control antes de proceder al tratamiento cuando una evaluación de impacto relativa a la protección de los datos en virtud del artículo 35 muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo”.

Como criterio general, siempre y cuando el resultado de la EIPD suponga que el riesgo residual del tratamiento es alto o muy alto, el responsable del tratamiento debe realizar una consulta a  la  Autoridad  de  Control  mediante  los  canales  de  comunicación  establecidos.  La  consulta  a  la Autoridad de Control y en virtud de lo que se detalla en el apartado 3 del artículo 36 del RGPD, deberá incluir la siguiente información:

• Las responsabilidades respectivas del responsable, los corresponsables y los encargados implicados en el tratamiento.
• Si la conclusión de la EIPD es favorable, la actividad de tratamiento se puede llevar a cabo, siempre y cuando, las medidas de control incluidas en el plan de acción hayan sido implantadas.

Se recomienda realizar un proceso de supervisión durante la fase de implantación con el objetivo de garantizar y validar que las medidas de control definidas en el plan de acción han sido implantadas correctamente.

INFORME

 Una vez realizada la Evaluación, se emitirá un informe escrito que al menos deberá incluir:

• Identificación del proyecto, persona o personas responsables de la EIPD y sus datos de contacto, la fecha de realización del informe y su número de versión.
• Resumen del informe con indicación de los resultados.
• Introducción y descripción general del proceso de evaluación.
• Resultado del análisis de necesidad de la evaluación y su justificación.
• Descripción general del proyecto.
• Descripción detallada de los flujos de datos personales.
• Riesgos identificados.
• Identificación de partes interesadas o a las que afecta el proyecto, tanto internas como externas a la organización, y resultados de las consultas llevadas a cabo con éstas.
• Análisis de cumplimiento normativo y detalle de posibles deficiencias detectadas y propuestas para su solución.
• Recomendaciones del equipo de la EIPD y medidas adoptadas o que deben adoptarse para eliminar o evitar, mitigar, transferir o aceptar los riesgos para la privacidad.

SUPERVISION Y REVISION DE LA IMPLANTACION

La EIPD permite determinar las medidas de control necesarias para tratar los riesgos identificados, sin embargo, no deja de ser un ejercicio teórico que requiere su puesta en práctica de  forma  íntegra  para  garantizar  los  derechos  y  las  libertades  de  los  interesados.

Es  fundamental  que  se  realice  una  adecuada  supervisión  y  una  posterior  revisión  de  la  implantación  de las medidas de control definidas en la EIPD para reducir el riesgo inherente hasta un riesgo residual que permita llevar a cabo el tratamiento garantizando los derechos y libertades de las personas físicas.

A nivel práctico, es recomendable que una figura delegada supervise y garantice que las medidas de control definidas durante la EIPD se implantan adecuadamente antes de llevar a cabo las  actividades  de  tratamiento  de  datos  de  carácter  personal  por  parte  del  responsable  del  tratamiento.

La EIPD debe quedar documentada:

La metodología empleada

Cada entrada y salida que se produzca

Las reuniones de mayor importancia que se celebren y los resultados

Con ello se permite acreditar cada paso y decisión tomada de cara a posibles revisiones internas o comprobaciones por las autoridades y organismos competentes.

Gestiona Abogados

La entrada EVALUACIÓN DE IMPACTO DE PROTECCION DE DATOS. EIPD se publicó primero en Gestiona Abogados.

Antes del inicio de la EIPD, debemos considerar los siguientes factores:

• ¿Quién debe estar involucrado? (Recursos necesarios y el equipo de trabajo involucrado en la ejecución).  Es necesario definir quién va a realizar la EIPD y que figuras o personas se van a involucrar en la ejecución de la misma (por ejemplo, el área responsable del tratamiento realizará la EIPD con el asesoramiento del DPD y del área de seguridad de la información).
• ¿Qué tareas se deben realizar y cómo? (Metodología, actividades a desarrollar e hitos temporales asociados)
• ¿Qué y cómo documentar el proceso llevado a cabo?  (Documentación de análisis, conclusiones y plan de acción)

La documentación de las tareas, análisis y evaluaciones realizadas, así como las conclusiones obtenidas, deben ser documentadas.

Es importante mantener trazabilidad de las acciones realizadas y disponer de una base que justifique las conclusiones o decisiones tomadas.

La búsqueda de objetividad es un principio fundamental en una EIPD.

Es fundamental disponer de un proceso sistemático a través de una metodología o procedimiento estandarizado de trabajo que permita establecer criterios comunes para garantizar la homogeneidad, repetitividad y comparabilidad en la ejecución de una EIPD.

Contexto del tratamiento

Describir el ciclo de vida de los datos

El análisis de riesgos conlleva tener un conocimiento muy claro del contexto y de los procesos a analizar. Como punto de partida, es necesario conocer en detalle todo el ciclo de vida y el flujo de los datos personales a través del mismo y todos los actores y elementos que intervienen durante las actividades de tratamiento desde su inicio hasta su fin.

Como resultado de esta etapa, se debe obtener una visión en detalle que permita facilitar la identificación de las amenazas y los riesgos a los que están expuestos los datos de carácter personal asociados al mismo.

Adicionalmente a la descripción del tratamiento, se debe obtener una descripción clara de los elementos que intervienen en cada una de las fases del ciclo de vida de los datos del tratamiento.

El ciclo de vida de los datos se puede dividir en las siguientes etapas:

Captura de datos:

Proceso de obtención de datos para su almacenamiento y posterior procesado. Dentro de la captura de datos se pueden encontrar diversas técnicas, como por ejemplo: formularios web, formularios en papel, la toma de muestras y realización de encuestas, grabaciones de audio y video, fuentes externas o públicas como redes sociales, captación mediante sensores, etc.

Clasificación / Almacenamiento:

Establecer categorías y asignarlas a los datos para su clasificación y almacenamiento en los sistemas o archivos.

Uso / Tratamiento:

Operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos de los datos automatizados o manuales.

Cesión de los datos a un tercero para su tratamiento:

Traspaso o comunicación de datos realizada a un tercero (toda persona física o jurídica, pública o privada u órgano administrativo).

El concepto de cesión o comunicación es muy amplio, puesto que la revelación recoge tanto la entrega, comunicación, consulta, interconexión, transferencia, difusión o cualquier otra forma que facilite el acceso a los datos.

Destrucción:

Eliminar los datos que puedan estar contenidos en los sistemas o archivos, de manera que no puedan ser recuperados de los soportes.

Adicionalmente, para cada una de las etapas del ciclo de vida de los datos en las actividades de tratamiento, se deben identificar todos los elementos involucrados en cada una de las etapas.

Podríamos clasificar los elementos involucrados en las siguientes categorías:

• Etapa del tratamiento
• Actividades u operaciones
• Tecnología Interviniente
• Dato

Es necesario considerar el principio de minimización de los datos y asegurar que no existen datos que no se prevén utilizar o recopilar sin utilidad para la finalidad de las actividades de tratamiento.

Intervinientes

Durante todo el ciclo de vida de los datos pueden existir numerosos intervinientes que participen en las actividades de tratamiento.

Se deben identificar a las personas físicas o jurídicas que, de manera individual o colectiva, están implicadas en el desarrollo de las actividades del tratamiento de los datos de carácter personal.

la hora de identificar a los diferentes intervinientes, es necesario tener en cuenta todos los flujos de información de los datos previstos en el tratamiento.

Los intervinientes en el tratamiento deben estar identificados y tener delimitadas sus funciones y responsabilidades.

Dentro del grupo de los intervinientes se puede incluir el responsable del tratamiento, áreas o empleados de las organizaciones que participan activamente del procesado de los datos, encargados de tratamiento, etc.

La participación de cada uno de los intervinientes puede suponer una amenaza sobre los datos de carácter personal.

Tecnología

La tecnología y los sistemas son una capa clave que da soporte a las actividades de tratamiento de los datos de carácter personal.

Se deben identificar aquellos elementos tecnológicos que intervienen en las actividades de tratamiento de los datos de carácter personal a un alto nivel, sin llegar entrar en un análisis tecnológico pormenorizado.

Dentro de cada etapa se debe identificar el hardware y el software que sea relevante desde la perspectiva del tratamiento de los datos de carácter personal.

Las tecnologías están expuestas a diferentes riesgos, por ello, es fundamental realizar una adecuada identificación de todos los elementos tecnológicos que intervienen a lo largo del ciclo de vida de los datos asociados al tratamiento.

Se debe identificar la tecnología (cloud, BBDD, servidores), aplicaciones, dispositivos y técnicas empleadas en el procesamiento de los datos.

Por último, no hay que olvidar que, si alguna actividad del proceso implica el tratamiento no automatizado de los datos, lo hemos de identificar como una técnica más de tratamiento y se debe inventariar como un activo más.

Respecto al contenido mínimo en las EIPD:

-Una evaluación de los riesgos para los derechos y las libertades de los interesados.

-Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos para garantizar la protección de datos personales y a demostrar la conformidad con el RGPD, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

Identificar y evaluar los riesgo son  las  tareas  iniciales  del  proceso  de  gestión  de  riesgos. 

Asegurar la correcta identificación de los riesgos a los que están expuestas las actividades de tratamiento es una parte clave para poder realizar una evaluación completa. La no identificación de riesgos implica que estos no se evalúan y no se tratan, y el tratamiento podría estar más expuesto al potencial riesgo.

Las siguientes actividades permiten establecer las bases para la identificación y evaluación de los riesgos:

-Identificar el origen de los riesgos, es decir, analizar los potenciales escenarios de riesgo a los que pueden estar expuestos los datos personales.

Por ejemplo, un tratamiento que incluya un almacenamiento en la nube, es un escenario con exposición a riesgos que pueden implicar la pérdida de confidencialidad y disponibilidad, entre otros.

–El  análisis  de  las  situaciones  que  generan  riesgo, teniendo en cuenta los factores y características que pueden entrar en juego a la hora de determinar el nivel de riesgo que implican.  Continuando  con  el  anterior  ejemplo,  en  un  tratamiento  que  incluya  un  almacenamiento basado en la nube, un potencial acceso no autorizado a los datos en caso de un ataque cibernético o la pérdida de los mismos ante ausencia de medios de respaldo ante un fallo en las bases de datos que soportan la nube, podrían ser situaciones que generan riesgo y que se deben considerar en el análisis.

–La valoración de los riesgos, teniendo en cuenta la probabilidad de que un evento no deseado se produzca y el impacto que puede tener (consecuencias).

Ante el riesgo de acceso no autorizado a los datos, si no disponemos de medidas de control que limite el acceso a la nube, la probabilidad de que se materialice el riesgo será elevada y su impacto, en función de los datos almacenados, también podría ser elevado.

-El último paso del proceso de gestión de riesgos es tratar los mismos. El objetivo de tratar los riesgos es disminuir su nivel de exposición con medidas de control que permitan disminuir la probabilidad y/o impacto de que estos se materialicen.

                                                                                     Gestiona Abogados

La entrada Metodología: Evaluación de Impacto en la Protección de Datos. se publicó primero en Gestiona Abogados.

Es fundamental realizar un análisis previo.

¿Para qué?

Para determinar de forma preliminar el nivel de riesgo al que puede estar expuesto el tratamiento y tomar la decisión adecuada.

Del resultado del análisis sobre la necesidad de realizar una EIPD se puede concluir que:

Sí es necesario realizar una EIPD:

Se realizará y documentará una EIPD con todas sus fases.

No es necesario realizar una EIPD:

Se debe documentar adecuadamente los motivos por los cuales se ha llegado a esa conclusión.

En cualquier caso, se debe mantener evidencia de que se ha llevado a cabo este análisis (responsabilidad proactiva).

Tratamientos en los que es obligatorio realizar una EIPD:

• Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas, o que les afecten de modo similar.
• Tratamiento  a  gran  escala  de  las  categorías  especiales  de  datos  personales,  o  datos  sobre  condenas e infracciones penales, o medidas de seguridad conexas.
• Observación sistemática a gran escala de una zona de acceso público.
• Evaluación o scoring: Valoraciones y análisis, incluidos la elaboración de perfiles y predicciones, especialmente de “aspectos relacionados con el desempeño del interesado en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, ubicación o movimientos”.
• Toma de decisiones automatizada con efecto legal o similar:Procesamiento que tiene como objetivo la toma de decisiones sobre sujetos que producen “efectos legales sobre la persona física” o que “de manera similar afecta significativamente a la persona física”. Por ejemplo, si el procesamiento puede conducir a la exclusión o discriminación de las personas.

¿Qué debe incluir una EIPD?

• Una descripción sistemática de la actividad o actividades de tratamiento previstas.
• Una evaluación de la necesidad y proporcionalidad del tratamiento respecto a su finalidad.
• Una evaluación de los riesgos.
• Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales.

Estructura de la EIPD

Describir el ciclo de vida de los datos:

• Descripción detallada del ciclo de vida y del flujo de datos en el tratamiento.
• Identificación de los datos tratados, intervinientes, terceros, sistemas implicados y cualquier elemento relevante que participe en la actividad de tratamiento.

Analizar la necesidad y proporcionalidad del tratamiento:

Análisis de la base de legitimación, la finalidad y la necesidad y proporcionalidad del tratamiento que se pretenden llevar a cabo.

Gestión de riesgos:

• -Identificar amenazas y riesgos
• -Evaluación de la probabilidad y el impacto de que se materialicen los riesgos a los que está expuesta la organización.
• -Tratar los riesgos:

Conclusión, validación y Plan de Acción.

-Como último paso en la realización de una EIPD, se debe elaborar un plan  de  acción  donde se describan todas las medidas de control definidas para tratar los riesgos identificados y concluir con respecto al resultado obtenido.

-Un plan de acción es el conjunto de iniciativas que se deben llevar a cabo para implantar los controles que ayudan a reducir el riesgo, de una actividad de tratamiento, hasta un nivel considerado aceptable.

-Elaborar un Informe de conclusiones de la EIPD donde se documente el  resultado  obtenido  junto  con  el  plan  de  acción  que  incluya  las  medidas  de  control  a  implantar para gestionar los riesgos identificados y poder garantizar los derechos y libertades de las personas físicas y, si procede, el resultado de la consulta previa a la autoridad de control a la que se refiere el artículo 36 del RGPD.

 ¿Quién debe realizar una EIPD y a quién se debe involucrar?

• Corresponde al responsable del tratamiento la obligación de realizar la EIPD y no al DPD.
• El Delegado  de  Protección  de  Datos  (en  adelante  DPD)  proporciona  el  asesoramiento necesario al responsable del tratamiento para el adecuado desarrollo de la ejecución de una EIPD.
• Por tanto, la obligación de hacer una EIPD corresponde al responsable del tratamiento, con el apoyo y la colaboración del encargado del tratamiento, si lo hubiese, y en su caso, con el Delegado de Protección de Datos.
• Adicionalmente, el personal encargado de la seguridad, el área de tecnología, asesoría jurídica o incluso diferentes responsables de distintas áreas implicadas en el tratamiento puede ser requerido durante el proceso de evaluación.
• En lo que respecta a la ejecución de la EIPD, puede realizarse por personal interno o externo de la organización, sin que esto exima del cumplimiento de sus obligaciones al responsable del tratamiento, que debe asegurar que esta se haga de forma adecuada y se implanten los controles y medidas de control resultantes de la evaluación.
• Es fundamental que, a nivel interno de la Organización, exista una comunicación fluida con las áreas involucradas en las operaciones del tratamiento, con el objetivo de obtener informaciones relevantes sobre el ciclo de vida de los datos asociados al tratamiento.
• Será vital poder describirlo de forma clara y fidedigna, identificar sus vínculos con otros tratamientos y llevar a  cabo  la  evaluación  de  riesgos  disponiendo  de  toda  la  información  necesaria  sobre  lo  que  este realiza.
• Adicionalmente, la consulta con terceras partes encargadas de las actividades de tratamiento proporciona a la Organización la oportunidad de obtener una visión completa de cómo se verán afectados los datos por las actividades de tratamiento delegadas en terceros.
• Entre las posibles garantías para los derechos y libertades de los interesados deberá estimarse la posibilidad que el RGPD recoge también en su artículo 35.9 de pedir, cuando proceda, las opiniones de los interesados o sus representantes, como por ejemplo asociaciones, en relación con el tratamiento.

Observaciones Adicionales

• Adicionalmente a las fases que componen una EIPD, es recomendable que exista un proceso de supervisión y revisión de la implantación, o puesta en marcha, del nuevo tratamiento con el objetivo de garantizar la implantación de las medidas de control descritas en el Plan de acción.
• La EIPD debe entenderse como un proceso de mejora continua, de forma que esta se revise siempre que se modifique o actualice cualquier aspecto relevante de las actividades de tratamiento.
• Ante  cambios  en  la  descripción  del  tratamiento,  o  en  la  experiencia  que  muestre  amenazas o riesgos desconocidos hasta entonces (los fines y medios), se debe realizar una nueva evaluación de impacto, generar un nuevo informe y un plan de acción con las nuevas medidas de control.
• En caso de que los cambios sobre el tratamiento no sean significativos, y no generen por tanto nuevas amenazas y riesgos sobre los derechos y libertades de los interesados, igualmente se debe realizar una valoración de los cambios producidos y documentar claramente la no necesidad de implantar nuevas medidas de control adicionales.

Gestiona Abogados

La entrada PROTOCOLOS (PARTE XI) EVALUACIÓN DE IMPACTO (EIPD) se publicó primero en Gestiona Abogados.

• El responsable del tratamiento que realiza o desea realizar actividades de tratamiento con datos personales, debe establecer procedimientos de control que garanticen cumplir los principios de protección desde el diseño y por defecto.
• Bajo el supuesto de que las actividades de tratamiento no requieran una EIPD (Evaluación de Impacto en la Protección de Datos), el análisis de riesgos debe determinar las medidas técnicas y organizativas, que garanticen los derechos y libertades de los interesados, y se puede simplificar con un enfoque de mínimos considerando que el nivel de riesgo al que están expuestas las actividades de tratamiento no es elevado.
• Como punto de partida, de igual modo que en una EIPD, se deben describir adecuadamente las actividades de tratamiento, proceso que facilitará la documentación del registro de actividades de tratamiento.

Gestión de riesgos por defecto

Los principales riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, se pueden diferenciar en 2 dimensiones:

1. Riesgos asociados a la protección de la información con foco en la integridad, disponibilidad y confidencialidad de los datos. Por ejemplo, acceso ilegítimo a los datos o pérdida de datos.
2. Riesgos asociados  al  cumplimiento  de  los  requisitos relacionados  con  los  derechos y libertades de los interesados. Por ejemplo:

uso ilegítimo de datos personales

posibilidad de que el responsable no pueda atender el ejercicio de  los derechos (porque la organización no tiene correctamente implementados y operativos los procedimientos correspondientes).

 

Para cumplir este protocolo tenemos que seguir los siguientes pasos, documentando todo el proceso que llevemos a cabo, para lo cuál estaría bien servirse de plantillas en las que se identifique cada uno de estos puntos:

Identificar los riesgos

En el Análisis de Riesgos, se identifican las amenazas de interrupción más probables. Y se analizan las vulnerabilidades relacionadas con dichas amenazas:

• evaluando los controles de seguridad física, lógica y ambiental,
• revisando su efectividad para contener las amenazas identificadas.

Pueden ser de tres tipos:

• Sobre los afectados (como la invasión en su vida privada, comunicar datos a terceros cuando no sea necesario, no haber realizado un procedimiento adecuado de anonimización, mantener los datos más tiempo que el estrictamente necesario para la finalidad que se recogieron).
• Riesgos corporativos (como pérdida de reputación o una multa por brechas de seguridad).
• Riesgos legales (como no cumplir con la legislación de protección de datos, o servicios de la sociedad de la información).

Evaluar los riesgos

• Evaluar un riesgo implica considerar todos los posibles escenarios en los cuales el riesgo se haría efectivo.
• La evaluación de riesgos consiste en valorar el impacto de la exposición a la amenaza, junto a la probabilidad de que esta se materialice.
• El impacto, por su parte, se determina en base a los posibles daños que se pueden producir si la amenaza se materializa.

Tratar los riesgos

• El objetivo de tratar los riesgos es disminuir su nivel de exposición con medidas de control que permitan reducir la probabilidad y/o impacto de que estos se materialicen.
• A partir de la identificación de un riesgo inherente a la actividad de tratamiento de partida, se deben aplicar una serie de medidas de seguridad y, con la aplicación de estas medidas,  se obtiene un riesgo residual.

Medidas técnicas y organizativas aplicadas:

• -medidas técnicas, como por ejemplo el cifrado, la seudonomización y aquellas necesarias para garantizar el cumplimiento de lo previsto en el artículo 32.1 del RGPD
• -medidas de carácter organizativo como la firma de política de privacidad por los trabajadores, y formación periódica facilitada a los mismos, en relación con protección de datos.

Como resultado del análisis de riesgos, puede ser conveniente o necesario realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD), y este análisis es el que determinará si la misma es necesaria:

¿Cómo identificar y gestionar los riesgos potenciales asociados a una actividad de tratamiento?

• En cada actividad de tratamiento, se debe analizar y determinar cuáles de los riesgos situados dentro de las dimensiones de protección de los datos personales y derechos y libertades de los interesados son de aplicación.
• A continuación, para cada uno de los riesgos identificados, se deberán establecer tantas medidas de seguridad como sean necesarias para garantizar un nivel de seguridad y control adecuado que reduzca la exposición al riesgo.

Fase I: Análisis de las listas de tratamientos previstos en la regulación (artículos  35.3, 35.4, y 35.5 RGPD)

La regulación establece supuestos en los cuales es obligatorio realizar la EIPD sin necesidad de realizar un análisis de riesgos.

• Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado como la elaboración de perfiles y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten de modo similar.
• Tratamiento  a  gran  escala  de  las  categorías  especiales  de  datos  personales,  o  datos  sobre  condenas e infracciones penales o medidas de seguridad conexas.
• Observación sistemática a gran escala de una zona de acceso público.

Por tanto, la comprobación de las listas y supuestos incluidos en la regulación, debe ser el primer paso para determinar la necesidad de llevar a cabo una EIPD.

Si como resultado del análisis previo se considera que no es necesario llevar a cabo una EIPD, se debe documentar adecuadamente los motivos por los cuales se ha llegado a esa conclusión. En cualquier caso, se debe mantener evidencias de que se ha llevado a cabo este análisis (responsabilidad proactiva).

Fase II: Análisis de la naturaleza, alcance, contexto y fines de tratamiento (art 35.1)

La segunda fase de análisis se centra en evaluar las características de las actividades de tratamiento a realizar según los aspectos previstos en el artículo 35.1 del RGPD (naturaleza, alcance, contexto y finalidades del tratamiento).

Sobre cada uno de los aspectos, se deben tener en cuenta las siguientes consideraciones:

Naturaleza del tratamiento:

Se deben valorar las características más básicas del tratamiento y ver si estas pueden implicar un alto riesgo. Por ejemplo:

• ¿Se tratan categorías especiales de datos?
• ¿Se tratan datos a gran escala?
• Se hace un seguimiento exhaustivo de las personas?
• ¿Se combinan diferentes conjuntos de datos? (fuentes de información diferentes)
• ¿Los datos se refieren a personas en situación de vulnerabilidad?

Alcance  del  tratamiento: 

Se  deben  valorar  los  efectos  o  consecuencias  del  tratamiento, identificando hasta qué punto puede llegar y si éste puede suponer un alto riesgo. Por ejemplo:

• ¿Se realiza un proceso de toma de decisiones con efectos jurídicos?
• ¿Se realiza una valoración de riesgo crediticio?
• ¿Se valora la exclusión de beneficios sociales o fiscales?

Contexto del tratamiento:

Se debe valorar el conjunto de circunstancias bajo las cuales se realizarán las actividades de tratamiento, con el objetivo de verificar si pueden suponer un alto riesgo. Por ejemplo:

• ¿Se realiza un uso de nuevas tecnológicas?
• ¿son especialmente invasivas para la privacidad?
• ¿Existen varios responsables del tratamiento?
• ¿Existen cadenas complejas de encargados de tratamiento?
• ¿Se producen transferencias internacionales?
• ¿Existen cesiones de datos?

Finalidades del tratamiento:

Se deben identificar cada una de las finalidades del tratamiento y analizar si estas derivan en un alto riesgo. Por ejemplo, si la finalidad incluye:

• Toma de decisiones
• Elaboración de perfiles
• Análisis predictivo
• Prestación de servicios relacionados con la salud
• Seguimiento, control y observación de personas (monitorización).

Gestiona Abogados

La entrada PROTOCOLOS (PARTE VIII). ANALISIS DE RIESGOS se publicó primero en Gestiona Abogados.

• Lo primero que tiene que hacer la empresa en su Registro de Actividades de Tratamiento es definir la  naturaleza, cualificación, funciones y competencias del Delegado de Protección de Datos (DPD o DPO en sus siglas en inglés).
• Una vez se ha decidido el nombramiento de un DPD, se debe incluir en el RAT  el documento de designación, a suscribir por las partes, tanto para el caso en que sea obligatorio contar con esta figura, como en el caso en que  la empresa determine la conveniencia de su designación, aunque no fuera obligatorio.
• Se recomienda documentar, en este Protocolo, la fundamentación jurídica que justifique tanto la obligatoriedad de la designación, como la no obligatoriedad de la designación del DPD en la empresa.
• En el caso de que la empresa designe al DPD, se debe notificar su nombramiento a la Agencia Española de Protección de Datos, por lo que se recomienda incluir en el Protocolo interno la fecha de comunicación a la AEPD, y anexar el justificante de la notificación realizada.

• En base a lo anterior, la Agencia Española de Protección de Datos (AEPD) ha puesto en marcha en su Sede electrónica un procedimiento para que las Administraciones Públicas y las entidades privadas obligadas a designar un Delegado de Protección de Datos (DPD) puedan comunicar este nombramiento, tal y como la normativa establece.

• El nuevo procedimiento para la comunicación del Delegado de Protección de Datos es un formulario online al que se accede con certificado electrónico, en cumplimiento del artículo 14 de la Ley 39/2015 , del Procedimiento Administrativo Común de las Administraciones Públicas.

• Se recomienda asimismo que la Memoria Anual que realice el DPD, así como cualquier documento o proceso interno que desarrolle, se anexen a este Protocolo.

¿Cuándo es necesario un delegado de protección de datos?

Atendiendo al art. 37, RGPD, el responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

1. el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
2. las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala,
3.  las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales (art. 9, RGPD) y de datos relativos a condenas e infracciones penales (art. 10, RGPD)

En casos distintos de los contemplados anteriormente, el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen a categorías de responsables o encargados podrán designar un delegado de protección de datos o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados miembros. El delegado de protección de datos podrá actuar por cuenta de estas asociaciones y otros organismos que representen a responsables o encargados.

A menos que sea obvio que una organización no está obligada a designar un DPO, los responsables del tratamiento de datos personales deben documentar el análisis interno realizado para determinar si necesita un DPO.

Cuando una organización designa un DPO de manera voluntaria se aplican los mismos requisitos establecidos en casos de designación obligatoria.

Esto no impide que una organización, que no desee designar un DPO de manera voluntaria y no está legalmente obligado a designar, contrate personal o consultores externos con tareas relacionadas con la protección de datos personales. En este caso, es importante garantizar que no haya confusión respecto a su título, estado, cargo y tareas. Debería quedar claro, en las comunicaciones dentro de la empresa, así como con las autoridades de protección de datos, las personas y público en general, que el título de esta persona, o consultor, no es un “DPO”.

Autoridad u Organismo público

El GDPR no define qué constituye una autoridad u organismo público. La UE considera que dicha noción debe determinarse con arreglo a la legislación nacional.

En tales casos, la designación de un DPO es obligatoria.

Una tarea pública puede ser llevada a cabo no sólo por parte de Autoridades u organismos públicos, sino también por otras personas físicas o jurídicas de derecho público o sectores tales como:

• Servicios de transporte,
• Suministro de energía,
• Infraestructuras viarias,
• Servicio público de radiodifusión,
• Vivienda pública o
• Profesiones reguladas.

Datos a gran escala

Otro supuesto en el que debe designarse un DPO es cuando el tratamiento de datos personales se realice a gran escala. El GDPR tampoco define lo que constituye gran escala.

De hecho, no es posible dar un número preciso, ni con respecto a la cantidad de datos procesados ni con el número de personas afectadas.

Esto no excluye la posibilidad de que con el tiempo, una práctica estándar pueda desarrollarse, para especificar en objetivos cuantitativos lo que constituye una «gran escala» para determinados tipos de actividades.

En cualquier caso, se recomienda que se tengan en cuenta los siguientes factores:

• Número de sujetos afectados, ya sea como número específico o como proporción de población relevante.
• Volumen de datos y / o el rango de diferentes elementos de datos que se están procesando.
• Duración o permanencia de la actividad de procesamiento de datos.
• Extensión geográfica de la actividad de transformación.

Ejemplos de procesamiento a gran escala:

• Procesamiento de datos de pacientes, en el curso regular de los negocios, por un hospital.
• Tratamiento de datos de viajes de personas que utilizan el sistema de transporte público de una ciudad (por ejemplo, tarjetas de viaje).
• Procesamiento de datos geográficos, en tiempo real, de clientes de una cadena internacional de comida rápida, para fines estadísticos, por un procesador especializado en la prestación de estos servicios.
• Gestión de datos de clientes, en el curso normal de los negocios, por una compañía de seguros o un banco.
• Procesar datos personales para publicidad conductual mediante un motor de búsqueda.
• Tratamiento de datos (contenido, tráfico, ubicación) por teléfono o proveedores de servicios de Internet.

Ejemplos que no constituyen tratamiento a gran escala:

• Procesamiento de datos de pacientes por un médico individual.
• Tratamiento por un abogado de datos personales relativos a condenas penales y delitos cometidos.

Monitoreo regular y sistemático

La noción de supervisión regular y sistemática de los datos tampoco está definida en el GDPR.

El concepto de «control del comportamiento de los interesados» incluye claramente todas las formas de seguimiento y elaboración de perfiles en Internet, incluso con fines de publicidad.

La UE interpreta “regular” como:

• En curso, ocurriendo a intervalos particulares, durante un período determinado.
• Recurrentes o repetidos en horarios fijos.
• Constante o periódicamente, teniendo lugar.

Interpreta que “sistemático” como:

• Ocurren según un sistema.
• Organización previa, organizada o metódica.
• En el marco de un plan general de recogida de datos.
• Realizado como parte de una estrategia.

Ejemplos

• Operar una red de telecomunicaciones;
• Prestación de servicios de telecomunicaciones;
• Elaboración de perfiles y puntuación para fines de evaluación de riesgos;
• Seguimiento mediante aplicaciones móviles;
• Programas de lealtad;
• Publicidad conductual;
• Seguimiento de datos sobre el bienestar, la aptitud física y la salud, a través de dispositivos portátiles;
• Circuito cerrado de televisión;
• Dispositivos conectados.

¿Quién puede ser DPD?

• El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos,  y a su capacidad para desempeñar las funciones indicadas en el artículo 39 RGPD
• El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.

¿Qué funciones ha de cumplir un delegado de protección de datos?

El delegado de protección de datos tendrá como mínimo las siguientes funciones:

• a) informar y asesorar al responsable o al encargado del tratamiento,  y a los empleados que se ocupen del tratamiento, de las obligaciones que les incumben en virtud del RGPD y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
• b) supervisar el cumplimiento de lo dispuesto en el RGPD, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
• c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35 RGPD
• d) cooperar con la autoridad de control;
• e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36 RGPD, y realizar consultas, en su caso, sobre cualquier otro asunto.

El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

Obligatoriedad del DPD en las administraciones públicas

• En el artículo 37 RGPD se encuentra la obligación para las administraciones públicas que manejen datos personales de designar un DPD.
• Igualmente, el RGPD requiere que cuando el tratamiento de datos lo lleva a cabo una autoridad pública, la persona nombrada como DPD, debe acreditar «conocimientos especializados del Derecho y la práctica en materia de protección de datos». Además, debe también poseer un conocimiento sólido de las normas y procedimientos administrativos de la organización.

Fácilmente accesible desde cada establecimiento

• El RGPD permite a un grupo de empresas designar un único DPO siempre que sea “Fácilmente accesible desde cada establecimiento”.
• La noción de accesibilidad se refiere a las tareas del DPO como punto de contacto con respecto a los datos.
• A fin de garantizar que el DPO, ya sea interno o externo, sea accesible, es importante garantizar que sus datos de contacto están disponibles de acuerdo con los requisitos del RGPD.
• El DPO debe estar en una posición tal que pueda comunicarse eficientemente con los sujetos de datos y cooperar con las autoridades de supervisión de que se trate. Esto también significa que esta comunicación debe realizarse en la lengua o las lenguas utilizadas por las autoridades de supervisión y los interesados.
• También puede designarse un único DPO para varias autoridades u organismos públicos, teniendo en cuenta su estructura organizativa y su tamaño.
• Dado que la entidad es responsable de una variedad de tareas, debe asegurarse de que un solo DPO puede llevarlas a cabo eficientemente.
• El DPO está obligado por el secreto o la confidencialidad con respecto a la realización de sus tareas.  Sin embargo, la obligación de secreto/ confidencialidad no prohíbe que el DPO se ponga en contacto y solicite asesoramiento de la autoridad supervisora.

Entidades obligadas a tener un DPD

Algunas de las entidades que están obligadas a la designación de un delegado de protección de datos son:

• Colegios profesionales y sus consejos generales
• Centros docentes
• Entidades que exploten redes y presten servicios de comunicaciones electrónicas
• Prestadores de servicios de la sociedad de la información
• Entidades de crédito
• Establecimientos financieros de crédito
• Entidades aseguradoras y reaseguradoras
• Empresas de servicios de inversión
• Distribuidores y comercializadores de energía eléctrica y de gas natural
• Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude
• Entidades que desarrollen actividades de publicidad y prospección comercial
• Centros sanitarios
• Entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas.
• Operadores que desarrollen la actividad de juego
• Quienes desempeñen las actividades de Seguridad Privada
• Aquellas empresas que no figuren en este listado pueden designar voluntariamente un delegado de protección de datos.

Gestiona Abogados

La entrada PROTOCOLOS (PARTE VII). Nombramiento del DPD se publicó primero en Gestiona Abogados.

Gestiona Abogados

Para continuar con los protocolos que acrediten el cumplimiento del principio de responsabilidad activa, y poder demostrarlo, hoy veremos el protocolo de gestión y notificación de las brechas o violaciones de seguridad.

El RGPD establece que una brecha de seguridad es “toda violación que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales trasmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos”.

Asimismo el Reglamento General de Protección de Datos enuncia en los artículos 33 y 34 que las brechas de seguridad deben ser notificadas a la autoridad de control cuando la misma constituya un riesgo para los derechos y las libertades de las personas físicas.

Además, deberemos notificarla en un plazo máximo de 72 horas a contar desde que tengamos conocimiento de la brecha.

Establezcamos por tanto el protocolo de hoy en relación a los siguientes puntos:

1. Comunicación interna en la organización: es fundamental establecer un procedimiento para dar instrucciones al personal sobre cómo deberán proceder en el caso de que detecten una violación de seguridad, y a quién deberán notificarlo internamente (Responsable de Seguridad/ Delegado de Protección de Datos). Es recomendable contar con un modelo de notificación interna a disposición de los empleados, para que resulte más sencilla (y trazable) la notificación interna que realicen.
2. Comunicación a la Agencia Española de Protección de Datos: se propone detallar en el protocolo el procedimiento de notificación e incluir el enlace del sitio web de la AEPD a través de cual se iniciará el procedimiento.
3. Comunicación a los interesados: en el caso de que la violación de seguridad entrañe un alto riesgo para los derechos y libertades de las personas físicas, se les deberá informar a los interesados. A tal efecto, se recomienda contar con un modelo de notificación al interesado (cuando sea posible enviar dicha notificación uno a uno) y cuando no sea posible, el procedimiento de comunicación se realizará a través de entornos corporativos.
4. Trazabilidad y seguimiento: Asimismo, se recomienda incluir un apartado en el que, en su caso, se registre la violación de seguridad detectada y se gestione el seguimiento de la misma hasta su resolución.

Veamos cada uno de los pasos a seguir para la gestión de una brecha de seguridad

Procedimiento:

Apuntar en el registro interno la incidencia detectada

• El responsable del tratamiento debe llevar a cabo un registro en el cual se recojan el lugar, día y hora de detección de la violación de seguridad, así como también los sistemas, datos y equipos que se han visto afectados.
• Una vez resuelta la brecha se deberá también registrar la solución al problema.
• Si la entidad cuenta con Delegado de Protección de Datos será este el encargado de esta obligación.
• Averiguar si supone un riesgo para los derechos y libertades de los afectados

• ¡Este paso es clave!, ya que marca la diferencia en cuanto a si tengo que notificar el problema de seguridad a la autoridad de control o no.

¿Pero cómo saber si supone un riesgo? Pues pensemos en cada uno de los siguientes puntos:

Que pueda provocar daños y perjuicios físicos, materiales o inmateriales

• problemas de discriminación
• usurpación de identidad o fraude
• pérdidas financieras
• daño para la reputación
• pérdida de confidencialidad de datos sujetos al secreto profesional
• reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo

Que se pueda privar a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales ya que los datos personales tratados revelen

• el origen étnico o racial
• las opiniones políticas
• la religión o creencias filosóficas
• la militancia en sindicatos
• el tratamiento de datos genéticos
• datos relativos a la salud o datos sobre la vida sexual
• relativos a las condenas e infracciones penales o medidas de seguridad conexas.

En los casos en los que se evalúen aspectos personales

• en  particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo
• situación económica
• datos de salud
• preferencias o intereses personales
• fiabilidad o comportamiento, situación o movimientos, con el fin de crear o utilizar perfiles personales

En los casos en los que se traten datos personales de personas vulnerables, en particular niños

Por tanto si el problema de seguridad ha afectado a alguno de estos campos deberemos notificarlo a la AEPD.

Notificación de la brecha de seguridad

Gestiona Abogados

Sí el análisis del paso anterior nos ha llevado a la conclusión que la brecha afecta o puede suponer un riesgo para las personas físicas, no solo deberemos registrar dicha violación en el Registro también deberemos comunicarla.

La autoridad competente para recibir las notificaciones de las brechas de seguridad que sucedan en las entidades será la autoridad de control nacional de protección de datos, que en el caso de España es la Agencia Española de Protección de Datos.

¿Quién debe notificar las brechas de seguridad?

El encargado de notificarlas será el Responsable de Seguridad, o si no contamos en nuestra entidad con esa figura, la responsabilidad recaerá en el representante del Responsable del Tratamiento.

¿Y si mi empresa tiene DPO? En este caso será el Delegado de Protección de Datos el encargado de la notificación.

Plazo

• ¿Existe un plazo determinado?
• Sí, se dispone de 72 horas para notificar la violación de seguridad ante la AEPD.
• El plazo comienza en cuanto tenemos constancia del problema de seguridad, por lo que dispondremos de 72 horas para realizar todos los pasos anteriores.

Contenido mínimo de la notificación

• La naturalezade la violación, categorías de datos y de interesados afectados
• medidas impuestas por el responsable para resolver esa quiebra
• si procede, las medidas adoptadas para reducir los posibles efectos negativos sobre los interesados

Registro Electrónico

• La AEPD dispone de un registro mediante el cual electrónicamente, y siguiendo unos sencillos pasos se puede notificar ante la misma la brecha de seguridad.
• En necesario, no obstante, disponer de certificado electrónico para poder acceder a dicho registro.

Notificar a las personas afectadas la brecha de seguridad

Con el nuevo principio de accountabilty (o rendición de cuentas), la normativa también exige que se comunique al afectado (a nuestro cliente), sin dilación indebida.

No obstante, en aras de no preocupar al interesado sin razón, el RGPD, en su artículo 34, enuncia una serie de casos en los cuales no será obligada esta comunicación:

• El responsable hubiera adoptado medidas técnicas u organizativas apropiadas antes de la violación de seguridad, en particular las medidas que hagan ininteligibles los datos para terceros, como seria el cifrado.
• Cuando el responsable haya tomado con posterioridad a la quiebra medidas técnicas que aseguren que ya no hay posibilidad de que el alto riesgo se materialice.
• Cuando la notificación implique un esfuerzo desproporcionado, debiendo en estos casos reemplazarse por medidas alternativas como puede ser una comunicación publica.

Plan de actuación

Gestiona Abogados

Una vez que hemos comprobado que existe una brecha de seguridad y que ya la hayamos comunicado a quien corresponda. Debemos realizar una serie de actuaciones que nos van a servir para determinar si es necesario:

• contratación de un forense digital experto,
• adoptar medidas procesales,
• realizar un informe final sobre la brecha de seguridad y
• realizar un informe sobre cómo se va a producir el cierre de la brecha de seguridad.

Análisis de forense digital experto

En este documento se van a plasmar los hechos. Y estos informes van a tener importancia administrativa y judicial (si se da el caso).

Adoptar medidas procesales

Estas medidas nos sirvan para determinar el autor o persona responsable y para intentar conseguir la reparación del daño causado. Ahora bien, antes de iniciar acciones judiciales debemos valorar si con este procedimiento, el daño ocasionado aumenta (se considera que el perjuicio puede aumentar cuando, por ejemplo, se vea afectada la imagen de la empresa).

Informe final sobre la brecha de seguridad

Este documento debe contener toda la documentación relativa a la brecha de seguridad. Además, debe recoger un impacto final con el fin de que se facilite el estudio del incidente y que pueda servir para prevenir casos similares en un futuro.

Cierre de la brecha de seguridad

Tras la realización de todas las actuaciones anteriores se realiza el cierre de la brecha de seguridad.

A modo de resumen, es importante y necesario que las empresas tengan unas medidas para poder actuar en estos casos, activar sus protocolos y una vez que la situación esté controlada, se debe notificar a la autoridad de control (AEPD), pero nunca superando el plazo máximo establecido de 72 horas.

Respuesta a las brechas de seguridad

Responsabilidad proactiva

La mayoría de las acciones de respuesta a brechas de seguridad correrán a cargo de un equipo de respuesta a incidentes dentro del servicio de informática o del equipo de seguridad informática correspondiente, que podrá formar parte de la empresa o estar completamente externalizado.

Durante el proceso de respuesta se distinguen una serie de fases:

1. Contener el incidente,
2. Erradicar la situación generada por el incidente y
3. Acciones de recuperación oportunas.

Estas fases no están perfectamente diferenciadas y es habitual que haya cierto solapamiento entre las mismas.

Contener el incidente

• La contención del incidente proporciona tiempo para desarrollar una estrategia de respuesta a medida.
• Una parte esencial de la contención es la toma de decisiones rápidas como puede ser cerrar un sistema, aislarlo de la red, deshabilitar ciertas funciones, etc.
• Es una buena práctica que las empresas desarrollen políticas de actuación para la gestión de los incidentes en general y de los incidentes vinculados con datos personales en particular.

Erradicar la situación

• Tras la contención de un incidente, la erradicación puede ser necesaria para solventar determinados efectos del incidente de seguridad, como por ejemplo, eliminar un malware o desactivar cuentas de usuario vulneradas.
• Tras la aplicación de las medidas se debe verificar el correcto funcionamiento de éstas, confirmando su idoneidad para la erradicación del incidente. De ser así, se dará por terminada esta fase.
• Se deberán de tomar medidas que eviten o eliminen la posibilidad de que un incidente vuelva a producirse. En este sentido será necesario alimentar el plan de riesgos de la entidad afectada revisando si el mapa de riesgos contemplaba la amenaza que ha dio lugar a la brecha de seguridad y, en caso afirmativo, reevaluar las medidas de salvaguarda asociadas a fin de garantizar su efectividad.

Acciones de recuperación

Esta fase tiene como objetivo el restablecimiento del servicio en su totalidad, confirmando su funcionamiento normal y evitando en la medida de lo posible que sucedan nuevos incidentes basados en la misma causa.

Deben aplicarse acciones y controles como:

• Selección estrategia.Teniendo en cuenta el riesgo que quiera asumir la entidad así como la eficiencia y costes de las distintas opciones planteadas, se seleccionará la estrategia que deberá seguirse en el futuro.
• Implementación de medidas preventivas
• Revisar el análisis de riesgos y aplicar controles adicionales y periódicos para evitar futuros incidentes similares

¿Que ocurre si la brecha de seguridad se produce por parte del encargado de tratamiento?

• Deben notificar inmediatamente al responsable, es decir a nosotros, ya que somos nosotros los que tenemos la obligación de realizar la notificación a la AEPD y a los afectados.
• Para que no se le “olvide” al encargado, recomendamos establecer protocolos de comunicación y dejar claras las obligaciones de nuestros proveedores de servicios que acceden a datos.

¿Puedo usar la misma notificación para la AEPD y para el interesado?

• No.
• La AEPD, es la mayor autoridad de protección de datos en España y te pedirá una serie de fórmulas a la hora de redactar el escrito de notificación, así como una información más exhaustiva.
• A los afectados deberé dirigirme de una forma menos oscura para ellos, utilizando términos claros y fácil entendibles, y explicándoles en que les puede afectar esta brecha y como la estamos solucionando.

¿Tengo que notificar siempre la brecha de seguridad?

Sí y no.

No hará falta comunicar la brecha de seguridad cuando no suponga riesgos para los derechos y libertades de las personas físicas. Los casos que recoge la guía donde no habría obligación de comunicar estas brechas son:

• Cuando el responsable del tratamiento haya tomado las medidas oportunas para una protección efectiva, como por ejemplo, habiendo cifrado los datos personales. Siempre que estas medidas sean previas a la brecha de seguridad
• Cuando el responsable del tratamiento haya tomado las medidas oportunas de protección -tras la producción de la brecha de seguridad- con la intención de causar el mínimo daño posible a los afectados
• Y cuando de la realización de esas comunicaciones se deduzca que la empresa puede verse afectada de forma organizativa.

Esperamos que con este breves palabras seamos capaces de implantar un protocolo para la gestión de una brecha de seguridad y como gestionar su notificación.

Puedes completar esta información con la Guía para la gestión y notificación de brechas de seguridad publicada por la AEPD.

No obstante, si tienes alguna duda en particular y quieres contar con asesoramiento experto contáctenos en el teléfono  962915025, y uno de nuestros abogados estará encantado de atenderte.

Gestiona Abogados

La entrada PROTOCOLOS (PARTE VI). Gestión y Notificación de violaciones de seguridad se publicó primero en Gestiona Abogados.