La evaluación de impacto en la privacidad como nueva responsabilidad en el RGPD

Una de las novedades que impone el nuevo Reglamento en materia de protección de datos al responsable de los datos, a través del Delegado de Protección de Datos o  DPO (Data Protection Officer) es la elaboración de evaluaciones de impacto de riesgos en la protección de datos personales (“Privacy Impact Assessment” o PIA, por sus siglas en inglés).

El DPO debe analizar cada uno de los tratamientos de datos personales que se realicen en su empresa para poder identificar los riesgos que estos tratamientos originan.

GESTIóN DE RIESGOS

La gestión de riesgos o “risk management” es un proceso por el que se pretende mitigar los impactos de los riesgos que toda operación conlleva.

Es un proceso complejo que implica analizar detalladamente los objetivos que pretendemos alcanzar, y, en base a ellos, conocer los posibles riesgos que éstos conllevan.

Normalmente se distinguen 5 fases en la gestión de riesgos:

1. La identificación de objetivos

En esta fase se pretende tener un conocimiento detallado y en profundidad del tratamiento de los datos para entender los objetivos a los que aspira.

2. La evaluación de los riesgos

Es en esta fase en la que se produce una clasificación y categorización de cada uno de los riesgos. Como veremos más adelante es preciso tener en cuenta dos aspectos: la probabilidad y el impacto de que los riesgos lleguen a materializarse.

3. Selección de las respuestas más adecuadas para mitigar/evitar los riesgos que puedan producirse

Ante cada riesgo es posible cuatro tipos de respuestas: aceptar, transferir, mitigar o evitar. Debemos analizar cada una de las posibles repuestas o remedios a aplicar a cada riesgo para minimizar las pérdidas y maximizar las ganancias.

4. La aplicación de las respuestas a los riesgos

Una vez definidas las respuestas a aplicar a cada uno de los riesgos, el siguiente paso es la implementación en la práctica de estas medidas.

5. La supervisión y control de la propia gestión

Cada una de las anteriores etapas debe estar documentada para posteriormente analizar todas las decisiones adoptadas y revisar en un futuro lo ocurrido. Atender a las lecciones aprendidas con experiencias pasadas y verificar el impacto de las decisiones en los riesgos son los principales objetivos en esta fase.

riesgos grafica

 

Tradicionalmente los riesgos se analizan teniendo en cuenta dos aspectos:

  • la probabilidad de que ocurran y
  • el impacto de los mismos en caso de que se materialicen.

La dimensión de la probabilidad responde a la pregunta de cuán probable es que se materialice el riesgo detectado. Deben tenerse en cuenta la presencia de factores internos y externos que puedan propiciar el riesgo.

La dimensión del impacto atiende a las consecuencias que se producirían si el riesgo tiene lugar. Se deben tener en cuenta la magnitud de los efectos identificados y registrados para cada uno de los tratamientos a corto y largo plazo ya que serán determinantes a la hora de decidir la respuesta a adoptar para reducir los riesgos.

Las escalas suelen considerar una puntuación del 1 al 5 en donde 5 es la puntuación mayor y el 1 la menor. Un ejemplo de evaluación de impacto podría ser el siguiente:

grafica

En la gráfica vemos que hay algunos riesgos, denominados bajos porque se encuentran  debajo de nuestro nivel de aceptación. En este caso no es necesario adoptar ninguna medida de prevención, bastaría con vigilarlos para que no se incrementen las posibilidades de que ocurran. En el extremo opuesto se encuentran los riesgos catastróficos que son aquéllos sobre los cuales es urgente adoptar medidas que reduzcan su impacto y probabilidad.

La gestión de riesgos forma parte de las de prácticas de “buen gobierno” de las empresas ya que ayuda al equipo directivo a conocer sus objetivos, valorar los riesgos y mejorar su capacidad organizativa tan necesarios a la hora de tomar decisiones.

La gestión de riesgos es un proceso continuo, sistemático e integrador que involucra a todo el personal de la empresa.

Para saber más:

¿Quién es el Delegado de Protección de Datos o DPO?

¿Cuáles son las principales novedades del nuevo Reglamento de protección de datos personales?

 

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

WordPress.com.

Subir ↑

A %d blogueros les gusta esto: