Consecuencias de la RGPD: Obligatoriedad de la realización de la EIPD

Como muchos de vosotros ya sabéis, se ha publicado el Reglamento UE 2016/679 y 680 relativo a la protección a las personas físicas, en lo que respecta al tratamiento de datos personales, y que deroga la Directiva 95/46/CE sobre el mismo tema. Consagra la protección de las personas físicas en relación con el tratamiento de datos personales como un derecho fundamental del individuo.

Este nuevo Reglamento supone importantes cambios con respecto a la LOPD, ya que la nueva normativa hace mucho hincapié en el Principio de Responsabilidad Activa, esto es, en la vigilancia y supervisión periódica y proactiva de las medidas de seguridad, necesarias para garantizar que solo los usuarios autorizados tienen acceso a los datos de carácter personal. Esta medida de carácter periódico en el tiempo, se combina con otro de los grandes principios de esta nueva ley: el enfoque de riesgo. Este principio, hace relación a la necesidad de plantearse, de manera previa a la actividad, el riesgo que el tratamiento de datos supone de cara a los derechos y libertades de los afectados debiendo determinar la naturaleza, el ámbito, el contexto y el fin del tratamiento.

Como consecuencia del principio de Responsabilidad Activa, antes mencionado, se derivan las siguientes obligaciones:

Análisis del riesgo
Registro de actividades de tratamiento
Protección de datos desde el diseño por defecto
Las notificaciones de violaciones de seguridad de los datos
El nombramiento de un Delegado de Protección de Datos
Evaluación de Impacto sobre protección de datos

De las obligaciones anteriores, vamos a analizar las que, a nuestro entender, tienen una mayor importancia por el alcance que tienen, que son: el Análisis de Riesgo y la Evaluación de Impacto sobre protección de datos (EIPD), ambas muy entrelazadas entre sí.

Debemos empezar diciendo que la Gestión de Riesgos en un proceso estructurado cuya finalidad es conocer y reducir la incertidumbre relativa a las amenazas que afectan a los activos (bienes y servicios) de una organización. También debemos comentar que para abordar de manera sistemática la Gestión de Riesgos, debe aplicarse una metodología específica que permita realizar mediciones cuantitativas y cualitativas sobre el nivel de afectación de una determinada amenaza sobre un determinado activo.

Desde el punto de vista de la RGPD, los activos a identificar son aquellos directamente relacionados con los sistemas de información, o sea, aquellos elementos de hardware y de software que intervienen en el procesamiento, almacenamiento, comunicación, transformación, consulta, modificación o producción de información de carácter personal.

La RGPD establece que el análisis de riesgos en pequeñas organizaciones puede ser el resultado de una reflexión documentada, sobre las implicaciones de los tratamientos en los derechos y libertades de los afectados, pero, en aquellos casos en los que se tratan datos sensibles o de menores, o se elaboran perfiles de comportamiento, o que afectan a una gran cantidad de personas, o usan técnicas de Big Data o de enriquecimiento de datos, o utilizan tecnologías invasivas, tipo geolocalización y video vigilancia, es obligatoria la elaboración de una Evaluación de Impacto de Protección de Datos o EIPD.

La EIPD es un análisis de los riesgos, que un producto o servicio, puede entrañar para la protección de datos de los afectados y como, consecuencia de ese análisis, el tratamiento de dichos riesgos mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos.

La primera fase, la de Análisis del Riesgo, consiste en averiguar el nivel de riesgo que la organización está soportando y tiene los siguientes pasos:

Identificación de Activos
Identificación de las Amenazas de cada activo
Cuantificación de la probabilidad de que ocurra una determinada amenaza
Catalogación y cuantificación del impacto que tendría, para la organización, dicha amenaza

La siguiente fase, el Tratamiento del Riesgo, son aquellas técnicas y estrategias cuyo objetivo es la disminución del riesgo inicial, aplicando salvaguardas (medidas de carácter técnico u organizativo) para conseguir:

Evitar o eliminar el riesgo
Reducirlo o mitigarlo
Transferirlo, compartirlo o asignarlo a terceros
Aceptarlo

Por el tipo de protección las salvaguardas se clasifican en:

Preventivas
- Prevención
- Disuasión
- Eliminación

Acotan la degradación
- Minimización del impacto
- Corrección
- Recuperación

Consolidación
- Monitorización
- Detección
- Concienciación
- Administración

Y, atendiendo a su eficacia, las salvaguardas aminoran el riesgo inicial. Tras la implantación de estas medidas de protección, se evalúa la efectividad de las mismas.

Se denomina riesgo residual al resultado de aplicar las salvaguardas a los riesgos iniciales. Este valor de riesgo residual, así como la efectividad, la naturaleza e idoneidad de las salvaguardas, aplicadas al riesgo inicial, son el punto de partida para la siguiente EIPD en un ciclo continuo como única manera de garantizar las obligaciones y derechos y libertades de los afectados.

Se hace evidente que, para que la aplicación de la metodología de Gestión de Riesgos sea eficaz, debe realizarse por personal técnico cualificado y especialista tanto en la configuración, mantenimiento y despliegue de sistemas informáticos, como en la implantación de medidas organizativas y de seguridad, propios de los proyectos de protección de datos.

Es por tanto, muy recomendable que la Gestión de Riesgos comience con una Auditoría del Sistema de Información que permita:

Afinar el nivel de amenaza que el uso de las infraestructuras generan cuando no se conoce en profundidad el uso que de ella, hacen los usuarios de la red, rendimiento, dimensionamiento y escalabilidad
Conocer si es correcta o no, la configuración de elementos críticos del sistema como recursos compartidos, políticas de contraseñas, configuración de copias de seguridad, perfiles, roles, etc.
Comprobar el nivel de eficacia real de los sistemas de protección como firewalls, antivirus, y AntiSpyWare y herramientas de control de contenidos
Supervisión del cableado, tipología de red, e infraestructuras, como puntos de acceso, routers, etc.
Existencia de uso de aplicativos no autorizados, intrusiones, ataques y vulnerabilidades

Para finalizar, recordemos que el Artículo 5 de la RGPD establece que el responsable del tratamiento, además de cumplir con todas las obligaciones, debe ser capaz de demostrar que cumple con la normativa, exigiéndosele así, una actitud consciente, diligente y proactiva, cuya materialización no es otra que la Evaluación de Impacto de Protección de Datos (EIPD).

1 de febrero de 2018
Diego Echeverri Uribe
Director Tecnológico
Integra Información y Comunicación, S.L.

Cookie	Duración	Descripción
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookie	Duración	Descripción
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
NID	6 months	NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Duración	Descripción
wp_api	past	No description
wp_api_sec	past	No description

Consecuencias de la RGPD: Obligatoriedad de la realización de la EIPD

Artículos relacionados

eCiber PicoEmpresa Filter: Monitorización de la red y filtrado de contenidos para colegios con pocos recursos

Balance 2023 y Plan para 2024

eCanal: La gestión de tu Canal de Denuncias en tu bolsillo

La influencia de las Redes Sociales en la Educación y las Empresas

Dónde estamos

Contacta