Gestión de riesgos en protección de datos: ¿y eso qué es lo que es?
8, enero 2018

A nuestro juicio, el cambio más relevante que ha traído el nuevo reglamento europeo de protección de datos es la obligación que nos impone a todas las empresas de darle un enfoque de “gestión de riesgos”. Y ¿eso que é lo que é?
Los tratamientos de datos personales que realiza una empresa, en determinadas circunstancias, pueden suponer un riesgo para los titulares de esos datos que afecte a sus derechos y libertades. Te damos algunos ejemplos: la marginación, la exclusión social, las dificultades para acceder a un puesto de trabajo, problemas para contratar determinados servicios, etc.
Ese riesgo se puede producir, por ejemplo, si se tratan datos sensibles sin las medidas adecuadas de protección, si utilizan esos datos para perfilar automáticamente a las personas (a la hora de dar o no un préstamo o a la hora de determinar si una persona es válida o no para un puesto de trabajo, a la hora de realizar un seguimiento on-line de los comportamientos de una persona, hábitos de consumo …), etc.
Para valorar si se produce o no ese riesgo y para, en su caso, poder gestionarlo, la normativa sobre protección de datos impone diversas obligaciones a las empresas:
- La responsabilidad proactiva
- Tener en cuenta protección de datos desde el diseño de productos, servicios, actividades etc. que conlleven tratar datos personales,
- Tener en cuenta la protección de datos por defecto,
- Realizar evaluaciones de impacto en los casos en que sea procedente …
Y para poder analizar el riesgo y hacerlo de forma objetiva y sistemática hay que utilizar metodologías y métricas específicas para ello, como:
- Magerit,
- os estándares de las normas ISO 31OOO y 31010 para el análisis y la gestión del riesgo
- la norma ISO 27005 para los riesgos de la seguridad de la información
- etc.
Gestión de riesgos en protección de datos en 4 puntos básicos
Al final de lo que se trata es relativamente sencillo (otra cosa es que su ejecución práctica sea más o menos complicada):
1.- Identificar qué riesgos tiene mi empresa a la hora de tratar datos personales
2.- Analizar si esos riesgos son aceptables o no en función de las salvaguardas que podamos aplicarles
3.- Obtener el mapa de riesgos
4.- Gestionar dicho mapa y los riesgos asociados desde una perspectiva de mejora continua
¿Necesitas ayuda para implantar soluciones de protección de datos, LOPD o ciberseguridad? Echa un vistazo al área de derecho tecnológico de Grupo Vadillo Asesores.
Para cualquier duda o información adicional puedes ponerte en contacto con nuestro departamento de derecho de las nuevas tecnologías llamando al 945 22 27 62 y preguntar por Luis Jorquera o bien enviar un e-mail a l.jorquera@grupovadillo.com. También puedes utilizar nuestro Whatsapp enviando un mensaje al 689 014 530.
Comparte este artículo: