Diario del AltoAragón - Imágenes del Día
  
LUNES
10
DICIEMBRE
 
Establecer Diario del Altoaragon como página de inicio Añadir a favoritos   Buscar    B. Avanzada 

Economía

OPINIÓN

El análisis de riesgos en el nuevo reglamento europeo de protección de datos

Roberto L. Ferrer Serrano.

Robert L. Ferrer Serrano
07/03/2018

Vota 
Vota 1 de 5 Vota 2 de 5 Vota 3 de 5 Vota 4 de 5 Vota 5 de 5
 Resultado 
1 de 52 de 53 de 54 de 55 de 5 0 votos


Tener documentado un análisis de los riesgos para los derechos de sus clientes, usuarios o de sus trabajadores es una de las principales obligaciones que a partir del día 25 de mayo asumirán las empresas en materia de protección de datos de carácter personal

Este análisis no se aplica solamente en casos de un nivel de riesgo elevado, sino que todas las empresas deberían realizar uno, aunque sea básico. Como nos indica la nueva Guía de Análisis de riesgos editada por la Agencia Española de Protección de Datos "El análisis básico de riesgos es un análisis de mínimos que tiene como objetivo simplificar el proceso de análisis de riesgos en aquellas actividades de tratamiento con baja exposición al riesgo".

Los datos tienen un ciclo de vida que deberá ser nuestro punto de partida para comprender su función dentro de la información que se utiliza en una empresa.

Este ciclo de vida de los datos se puede dividir en 5 principales etapas:

- Captura de datos

- Clasificación/Almacenamiento

- Uso/Tratamiento

- Transmisión a un tercero

- Destrucción

Teniendo en cuenta lo anterior, deberemos analizar los riesgos de los datos en cada una de estas etapas en las que se deben realizar las siguientes tareas:

Documentar las actividades de tratamiento y realizar el obligatorio registro de actividades de tratamiento (artículo 30 del Reglamento Europeo de Protección de Datos).

Describir que acciones realizamos en cada una de esas actividades de tratamiento

Aunque en realidad el nuevo Reglamento Europeo de Protección de Datos no contiene expresamente la necesidad de realizar dicho análisis de riesgos, es criterio de la Agencia Española de Protección de Datos que dicha obligación se encuentra implícitamente contenida en el artículo 32 así como en el Considerando 74 de dicha norma que nos indica que "...el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas que tendrán que tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas físicas."

Especialmente relevante también es el Considerando 76 que nos indica que "La probabilidad y la gravedad del riesgo para los derechos y libertades del interesado debe determinarse con referencia a la naturaleza, el alcance, el contexto y los fines del tratamiento de datos. El riesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto.".

Este análisis de riesgos se asimila a los ya conocidos por todos aquellos que trabajen con normas técnicas, especialmente la serie ISO 27000, pero como se nos indica en la mencionada Guía, introduce una nueva visión, donde el foco de atención no se centra en las amenazas para la Entidad sino en las que afectan a los derechos y libertades de los interesados, ya que "la evaluación de los riesgos debe ser el resultado de una reflexión sobre las implicaciones que los tratamientos de datos de carácter personal tienen sobre los interesados. Se trata de establecer hasta qué punto una actividad de tratamiento, por sus características, el tipo de datos a los que se refiere o el tipo de operaciones puede causar un daño a los interesados. Este enfoque implica estimar el daño y la tipología de daño que se puede producir sobre los interesados, por ejemplo, un daño material derivado de la vulneración de sus derechos y libertades"

Para realizar este análisis debe establecerse un proceso específico que tiene tres pasos fundamentales:

Identificar amenazas

Estas amenazas pueden provocar riesgos a la privacidad o a la confidencialidad. De estos riesgos los primeros están más vinculados a vulneraciones de normas que garanticen derechos de los ciudadanos, mientras que los segundos se encuentran más propiamente dentro de lo que se conoce la seguridad de la información

Evaluar los riesgos

Lo primero que tenemos que tener en cuenta es considerar todos los posibles escenarios en los cuales va a darse un riesgo. Después valoraremos el impacto de la exposición a la amenaza, junto a la probabilidad de que esta se materialice, pero para hacerlo correctamente esa valoración conllevará asignar tanto a la probabilidad como a dicha amenaza de una magnitud (por ejemplo alto, medio, bajo, o todavía mejor valorarla del 1 al 5 por ejemplo).

Tratarlos riesgos hasta alcanzar el nivel de seguridad necesario

El objetivo de tratar los riesgos es disminuir el nivel de exposición de la empresa a estos aplicando salvaguardas, hasta situar el riesgo residual (el que queda después de aplicar las salvaguardas) en un nivel admisible.

De esta forma tenemos los aspectos fundamentales para aplicar las medidas que habrán de garantizar un nivel de seguridad adecuado al riesgo que es aquello que nos reclama la nueva normativa.



Enviar a un amigo Enviar Imprimir Imprimir
 
Enviar a: Facebook Meneame Digg Wikio Del.icio.us Technorati Yahoo Fresqui


Comentarios



Escribe un comentario
  Escribe un comentario


Diario del Altoaragón no se hace responsable de las opiniones emitidas por nuestros lectores en los comentarios de las noticias de nuestra página web.

Facebook

Diario del Altoaragón no se hace responsable de las opiniones emitidas por nuestros lectores en los comentarios de las noticias de nuestra página web.

Enlace interno 6

Enlace interno 7


Encuesta
¿Considera que hay que cambiar la Constitución?
•  Sí.
•  No.
•  Me es indiferente.
•  No sabe, no contesta.

Redes Sociales

Enlace interno 5

Enlace interno 4

Imágenes del día
197 y 198 de 431

Enlace interno 1

X


 
SUSCRIPCION WEB PLUS
SUSCRÍBETE  
COMPRA DE BONOS
COMPRA TUS BONOS
COMPRA 1 DIA POR SMS
Envía DIARIO PAPEL al 25511
Para comprar la edición del día 20 de junio de 2009 envíe DIARIO PAPEL 20/06/2009 al 25511.
Coste del mensaje 1.45€ IVA Incl. Válido para España y todas las operadoras.
Código:  
COMPRA FOTOS EN HD
Envía DIARIO FOTO + código al 25511
Coste del mensaje 1.45€ IVA Incl. Válido para España y todas las operadoras.
Código:  

Política de privacidad y aviso legal
Acesso  WEB PLUS
 
 
Nuevo Usuario
Recordar Contraseña
Bolsa Trafico Sorteos Farmacias Cine Horoscopo Agenda Regístrese pulsando aquí