Análisis de riesgos y evaluaciones de impacto
En congruencia con el “enfoque de riesgo” que inspira su regulación, el RGPD establece que se “aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo” (art. 32). De ello se deriva la necesidad de evaluar de continuo los riesgos que los tratamientos de datos comportan para los derechos y las libertades de las personas, con el fin de implantar las medidas de seguridad idóneas para eliminarlos o, al menos, reducirlos a un nivel aceptable.
Para valorar la adecuación del nivel de seguridad se han de tener particularmente en cuenta los riesgos derivados de la “destrucción, pérdida o alteración accidental o ilícita” de los datos y “la comunicación o acceso no autorizado” a los mismos, lo cual obliga a evaluar la eficacia de las medidas técnicas y organizativas para garantizar la confidencialidad, la integridad y la disponibilidad permanentes de los datos.
La gestión de riesgos es un proceso dinámico que integra tres actividades en un ciclo continuo: (a) identificar las amenazas, (b) evaluar los riesgos inherentes y (c) tratarlos con medidas de control que permitan reducir la probabilidad y/o el impacto, dejando el riesgo residual en niveles aceptables.
La complejidad de los análisis de riesgos depende de la naturaleza, el alcance, el contexto y los fines de los tratamientos. En función de ello, puede resultar suficiente un “análisis básico de riesgos” (vid. Guía) o precisar una EIPD, una “Evaluación de impacto en la protección de datos”, (vid. Guía).
- ¿Qué debo hacer?
⇒ El análisis de riesgos y las evaluaciones de impacto se han de realizar por la Unidad de Seguridad y Protección de la Información (USPI) o por personal cualificado, con el asesoramiento y la supervisión del DPD.