Consecuencias de la RGPD: Obligatoriedad de la realización de la EIPD

Como muchos de vosotros ya sabéis, se ha publicado el Reglamento UE 2016/679 y 680 relativo a la protección a las personas físicas, en lo que respecta al tratamiento de datos personales, y que deroga la Directiva 95/46/CE sobre el mismo tema. Consagra la protección de las personas físicas en relación con el tratamiento de datos personales como un derecho fundamental del individuo.

Este nuevo Reglamento supone importantes cambios con respecto a la LOPD, ya que la nueva normativa hace mucho hincapié en el Principio de Responsabilidad Activa, esto es, en la vigilancia y supervisión periódica y proactiva de las medidas de seguridad, necesarias para garantizar que solo los usuarios autorizados tienen acceso a los datos de carácter personal. Esta medida de carácter periódico en el tiempo, se combina con otro de los grandes principios de esta nueva ley: el enfoque de riesgo. Este principio, hace relación a la necesidad de plantearse, de manera previa a la actividad, el riesgo que el tratamiento de datos supone de cara a los derechos y libertades de los afectados debiendo determinar la naturaleza, el ámbito, el contexto y el fin del tratamiento.

Como consecuencia del principio de Responsabilidad Activa, antes mencionado, se derivan las siguientes obligaciones:

  • Análisis del riesgo
  • Registro de actividades de tratamiento
  • Protección de datos desde el diseño por defecto
  • Las notificaciones de violaciones de seguridad de los datos
  • El nombramiento de un Delegado de Protección de Datos
  • Evaluación de Impacto sobre protección de datos

De las obligaciones anteriores, vamos a analizar las que, a nuestro entender, tienen una mayor importancia por el alcance que tienen, que son: el Análisis de Riesgo y la Evaluación de Impacto sobre protección de datos (EIPD), ambas muy entrelazadas entre sí.

Adaptación a la RGPD

Debemos empezar diciendo que la Gestión de Riesgos en un proceso estructurado cuya finalidad es conocer y reducir la incertidumbre relativa a las amenazas que afectan a los activos (bienes y servicios) de una organización. También debemos comentar que para abordar de manera sistemática la Gestión de Riesgos, debe aplicarse una metodología específica que permita realizar mediciones cuantitativas y cualitativas sobre el nivel de afectación de una determinada amenaza sobre un determinado activo.

Desde el punto de vista de la RGPD, los activos a identificar son aquellos directamente relacionados con los sistemas de información, o sea, aquellos elementos de hardware y de software que intervienen en el procesamiento, almacenamiento, comunicación, transformación, consulta, modificación o producción de información de carácter personal.

La RGPD establece que el análisis de riesgos en pequeñas organizaciones puede ser el resultado de una reflexión documentada, sobre las implicaciones de los tratamientos en los derechos y libertades de los afectados, pero, en aquellos casos en los que se tratan datos sensibles o de menores, o se elaboran perfiles de comportamiento, o que afectan a una gran cantidad de personas, o usan técnicas de Big Data o de enriquecimiento de datos, o utilizan tecnologías invasivas, tipo geolocalización y video vigilancia, es obligatoria la elaboración de una Evaluación de Impacto de Protección de Datos o EIPD.

La EIPD es un análisis de los riesgos, que un producto o servicio, puede entrañar para la protección de datos de los afectados y como, consecuencia de ese análisis, el tratamiento de dichos riesgos mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos.

La primera fase, la de Análisis del Riesgo, consiste en averiguar el nivel de riesgo que la organización está soportando y tiene los siguientes pasos:

  • Identificación de Activos
  • Identificación de las Amenazas de cada activo
  • Cuantificación de la probabilidad de que ocurra una determinada amenaza
  • Catalogación y cuantificación del impacto que tendría, para la organización, dicha amenaza

La siguiente fase, el Tratamiento del Riesgo, son aquellas técnicas y estrategias cuyo objetivo es la disminución del riesgo inicial, aplicando salvaguardas (medidas de carácter técnico u organizativo) para conseguir:

  • Evitar o eliminar el riesgo
  • Reducirlo o mitigarlo
  • Transferirlo, compartirlo o asignarlo a terceros
  • Aceptarlo

Por el tipo de protección las salvaguardas se clasifican en:

  • Preventivas
    • Prevención
    • Disuasión
    • Eliminación
  • Acotan la degradación
    • Minimización del impacto
    • Corrección
    • Recuperación
  • Consolidación
    • Monitorización
    • Detección
    • Concienciación
    • Administración

Y, atendiendo a su eficacia, las salvaguardas aminoran el riesgo inicial.  Tras la implantación de estas medidas de protección, se evalúa la efectividad de las mismas.

Se denomina riesgo residual al resultado de aplicar las salvaguardas a los riesgos iniciales. Este valor de riesgo residual, así como la efectividad, la naturaleza e idoneidad de las salvaguardas, aplicadas al riesgo inicial, son el punto de partida para la siguiente EIPD en un ciclo continuo como única manera de garantizar las obligaciones y derechos y libertades de los afectados.

Se hace evidente que, para que la aplicación de la metodología de Gestión de Riesgos sea eficaz, debe realizarse por personal técnico cualificado y especialista tanto en la configuración, mantenimiento y despliegue de sistemas informáticos, como en la implantación de medidas organizativas y de seguridad, propios de los proyectos de protección de datos.

Es por tanto, muy recomendable que la Gestión de Riesgos comience con una Auditoría del Sistema de Información que permita:

  • Afinar el nivel de amenaza que el uso de las infraestructuras generan cuando no se conoce en profundidad el uso que de ella, hacen los usuarios de la red, rendimiento,  dimensionamiento y escalabilidad
  • Conocer si es correcta o no, la configuración de elementos críticos del sistema como recursos compartidos, políticas de contraseñas, configuración de copias de seguridad, perfiles, roles, etc.
  • Comprobar el nivel de eficacia real de los sistemas de protección como firewalls, antivirus, y AntiSpyWare y herramientas de control de contenidos
  • Supervisión del cableado, tipología de red, e infraestructuras, como puntos de acceso, routers, etc.
  • Existencia de uso de aplicativos no autorizados, intrusiones, ataques y vulnerabilidades

Para finalizar, recordemos que el Artículo 5 de la RGPD establece que el responsable del tratamiento, además de cumplir con todas las obligaciones, debe ser capaz de demostrar que cumple con la normativa, exigiéndosele así, una actitud consciente, diligente y proactiva, cuya materialización no es otra que la Evaluación de Impacto de Protección de Datos (EIPD).

1 de febrero de 2018
Diego Echeverri Uribe
Director Tecnológico
Integra Información y Comunicación, S.L.