El pasado 4 de Junio tuvo lugar la 10ª Jornada Abierta de la Agencia Española de Protección de Datos a la que asistieron consultores de Áudea.
Una de las ponencias, versó sobre la importancia del Análisis de Riesgos a la hora de demostrar una correcta gestión de los activos de información que contienen datos de carácter personal.
La ponencia titulada «Análisis de Riesgos, Evaluación de Impacto y Brechas de Seguridad» estuvo a cargo de Andrés Calvo y Claro Heras, de la Unidad de Evaluación y Estudios Tecnológicos de la AEPD.
En ella se comentaron los siguientes aspectos:
- Se explica la aparición del término Accountability como responsabilidad proactiva que debe de llevar a cabo el Responsable de Tratamiento. Este aspecto, supone la obligación por parte de cualquier empresa de hacer un seguimiento del nivel de cumplimiento incorporando las mejoras que sean necesarias en el proceso de gestión y utilización de los datos de carácter personal dentro de un proceso de mejora continua.
- Las medidas se deben de revisar y actualizar, de manera que sería necesario establecer un programa y plan de auditoría.
- Ya no hay niveles de Seguridad. Las medidas de seguridad han de ir enfocadas al riesgo resultante del análisis de los tratamientos.
- La novedad en el GDPR está en que el análisis del riesgo está en que en su elaboración ha de tenerse en cuenta en base a la relación de los derechos y libertades de los ciudadanos a la hora del tratamiento que hace la Empresa sobre sus datos de carácter personal. Este aspecto supone que la Empresa tiene la obligación de realizar un Registro de Actividades de tratamiento donde se indiquen los datos que se recogen, indicando: el fin, las medidas de seguridad aplicadas, el nivel de seguridad que corresponde , si el fichero es manual, mixto o automatizado y si esos datos van a ser transferidos fuera del Espacio Europeo. El análisis del riesgo ha de realizarse sobre el Registro de Actividades de Tratamiento.
- La evaluación del impacto debe realizarse a ser posible antes de realizar el tratamiento. En relación al PIA no se detallaron las listas de tratamiento, derivando como única referencia a éste aspecto lo indicado en el artículo 35.
- La evaluación del impacto no es responsabilidad del DPO, es responsabilidad del Responsable del tratamiento, aunque el DPO podrá ayudar en su desarrollo.
Otro de los contenidos fue la presentación de la herramienta Facilita, herramienta disponible en español e inglés, y que ha puesto la Agencia a disposición de todas las empresas con el objeto de que puedan realizarse las evaluaciones de riesgo que realizan tratamientos de datos personales que, a priori, implican escaso nivel de riesgo; como por ejemplo podrían ser: tratamientos de datos de contacto y facturación de los clientes o proveedores de una pequeña empresa, o el tratamiento de los datos de sus empleados con la finalidad del mantenimiento de una relación laboral. Los datos introducidos a través de la herramienta, no son conservados por al AGPD.
También se presentó la Guía para la realización del Análisis de Riesgos junto con la Guía de Evaluación de Impacto.
En relación a las brechas de seguridad, se aclara la obligación de la notificación en 72h por parte del Responsable de Tratamiento de aquellos incidentes que puedan suponer un riesgo para los derechos y libertades de las personas. No es necesario notificar el resto de incidencias que no supongan este tipo de riesgos.
Se puede ver la ponencia en su integridad en el siguiente enlace:
https://www.youtube.com/watch?v=j5UHLPtAuMU