Transcription of GUIA PRÁCTICA DE Análisis de - aepd.es
1 guia PR CTICA DE An lisis de riesgos en los tratamientos de datos personales sujetos al RGPD1 guia Pr ctica de an lisis de riesgos en los tratamientos de datos personales sujetos al RGPD ndice1. Introducci n ..22. Consideraciones generales ..3 Conceptos generales sobre gesti n de riesgos ..3 Gesti n de riesgos, qu implicaciones tiene en la protecci n de los datos? ..53. Protecci n de datos desde el dise o y la gesti n de riesgos: Cu l debe ser la hoja de ruta a seguir? ..6 Definici n y dise o de las actividades de tratamiento ..9 FACILITA: Herramienta para tratamientos de escaso riesgo ..10An lisis de la necesidad de realizar una Evaluaci n de Impacto Sobre la Protecci n de los Datos: Cu ndo se debe realizar una EIPD? ..114. Registro de actividades de tratamiento ..17 Descripci n: Qu es un registro de actividades de tratamiento? ..17 Estructura: qu debe incluir un registro de actividades de tratamiento?
2 185. An lisis b sico de riesgos ..24 Descripci n de las operaciones de actividades de tratamiento ..25 Gesti n de riesgos por defecto ..286. Anexos .. Anexo I: Plantilla de an lisis de la necesidad de la realizaci n de una EIPD .. Anexo II: Plantilla de descripci n de las actividades de tratamiento .. Anexo III: Plantilla para documentar el an lisis b sico de riesgos .. Anexo IV: Plantilla de registro de actividades de tratamiento (Responsable de tratamiento) ..38 Anexo V: Plantilla de registro de actividades de tratamiento ..39(Encargado de tratamiento) ..397. Referencias ..402 guia Pr ctica de an lisis de riesgos en los tratamientos de datos personales sujetos al RGPDI Introducci n Esta gu a se ha creado con el fin de establecer medidas de seguridad y control para garantizar los derechos y libertades 1. Introducci nEl 25 de mayo de 2018 se cumplen dos a os desde la entrada en vigor del Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protecci n de las personas f sicas en cuanto al tratamiento y la libre circulaci n de datos personales, en ade-lante, RGPD.
3 Desde ese momento, ser aplicable el RGPD y ser obligatorio el cumplimiento de los requerimientos y obligaciones para el responsable y el encargado de tratamiento que este incluye, entre las que destaca, la necesidad de llevar a cabo un an lisis de riesgos con el fin de establecer medidas de seguridad y control para garantizar los derechos y libertades de las la constante evoluci n tecnol gica y los procesos de transformaci n digital que sufren las actividades de tratamiento de datos personales, la reforma de la regulaci n de protecci n de datos supone un cambio del modelo tradicional para afrontar las medidas que garantizan la protecci n de los datos personales hacia un nuevo modelo m s din mico, enfocado en la gesti n continua de los riesgos potenciales asociados al tratamiento desde su dise o. El dise o adecuado de las actividades de tratamiento es un aspecto clave para poder garantizar los derechos y libertades de los interesados.
4 La fase de dise o de un tratamiento define el flujo de los datos personales, as como todos los elementos que intervendr n a lo largo del mismo. De igual modo, es el momento id neo para definir las medidas de control y seguridad para ga-rantizar los derechos y libertades de los interesados con el objetivo de que un tratamiento nazca respetando los requerimientos de privacidad asociados al nivel de riesgo a la que est expuesto. La Agencia Espa ola de Protecci n de Datos (AEPD) ha elaborado la presente gu a para la rea-lizaci n de an lisis de riesgos de las actividades de tratamiento con el objetivo de establecer una hoja de ruta para afrontar un enfoque orientado a gu a persigue ofrecer directrices y orientaciones para establecer una hoja de ruta que per-mita contemplar la privacidad desde el inicio, mediante un enfoque de an lisis de riesgos, fa-cilitando el cumplimiento del RGPD.
5 3 guia Pr ctica de an lisis de riesgos en los tratamientos de datos personales sujetos al RGPDII Consideraciones generales2. Consideraciones generalesConceptos generales sobre gesti n de riesgosGesti n de riesgos es el conjunto de actividades y tareas que permiten controlar la incerti-dumbre relativa a una amenaza mediante una secuencia de actividades que incluyen la identi-ficaci n y evaluaci n del riesgo, as como, las medidas para su reducci n o mitigaci gesti n de riesgos se puede dividir en tres etapas diferenciadas: La identificaci n, la eva-luaci n y el tratamiento de los amenazas y riesgosEl riesgo se deriva de la exposici n a amenazas, por tanto, desde la perspectiva de la privaci-dad, es fundamental entender qu es una amenaza y c mo se pueden identificar escenarios de riesgo para los datos personales a partir de la misma. Una amenaza es cualquier factor de riesgo con potencial para provocar un da o o perjuicio a los 4 guia Pr ctica de an lisis de riesgos en los tratamientos de datos personales sujetos al RGPDII Consideraciones generales Se define riesgo como la combinaci n de la posibilidad de que se materialice una amenaza y sus consecuencias negativas interesados sobre cuyos datos de car cter personal se realiza un tratamiento.
6 Si ponemos el foco en la protecci n de los datos, las amenazas se pueden categorizar principalmente en tres tipos: Acceso ileg timo a los datos: qu da o causar a que lo conociera quien no debe? confi-dencialidadModificaci n no autorizada de los datos: qu perjuicio causar a que estuviera da ado o corrupto? integridadEliminaci n de los datos: qu perjuicio causar a no tener un dato o no poder utilizarlo? riesgo se puede definir como la combinaci n de la posibilidad de que se materialice una amenaza y sus consecuencias negativas. El nivel de riesgo se mide seg n su probabilidad de materializarse y el impacto que tiene en caso de hacerlo. Las amenazas y los riesgos asociados est n directamente relacionados, en consecuencia, identificar los riesgos siempre implica con-siderar la amenaza que los puede originar. Evaluar los riesgosEvaluar un riesgo implica considerar todos los posibles escenarios en los cuales el riesgo se har a efectivo.
7 La evaluaci n de riesgos consiste en valorar el impacto de la exposici n a la amenaza, junto a la probabilidad de que esta se materialice. El impacto, por su parte, se de-termina en base a los posibles da os que se pueden producir si la amenaza se materializa, por ejemplo, un impacto ser a despreciable si no tuviera consecuencias sobre el interesado o, por el contrario, un impacto ser a significativo si el da o ocasionado sobre los derechos y liberta-5 guia Pr ctica de an lisis de riesgos en los tratamientos de datos personales sujetos al RGPDII Consideraciones generalesdes del interesado fuese cr tico. Seg n la probabilidad y el impacto, asociados a las amenazas, es posible determinar el nivel de riesgo los riesgosLa ltima fase del proceso de gesti n de riesgos es tratar los mismos. El objetivo de tratar los riesgos es disminuir su nivel de exposici n con medidas de control que permitan reducir la probabilidad y/o impacto de que estos se materialicen.
8 El riesgo inherente se puede tratar con el objetivo de reducir o mitigar el mismo, en funci n de la medida que se adopte, hasta situar el riesgo residual en un nivel que se considere razonable. Gesti n de riesgos, qu implicaciones tiene en la protecci n de los datos?La gesti n de riesgos es una actividad com n hoy en d a en las compa as, utilizada en m lti-ples mbitos y con un enfoque dirigido a los potenciales da os o riesgos a los que est expues-ta la compa a con respecto a una tipolog a concreta de RGPD busca aprovechar las ventajas que ofrece la gesti n de riesgos, pero introduce una nueva visi n, donde el foco de atenci n no se centra en las amenazas que se ciernen so-bre la compa a, centrando su atenci n en las amenazas sobre los derechos y libertades de los interesados. La evaluaci n de los riesgos debe ser el resultado de una reflexi n sobre las implicaciones que los tratamientos de datos de car cter personal tienen sobre los interesados.
9 Se trata de establecer hasta qu punto una actividad de tratamiento, por sus caracter sticas, el tipo de datos a los que se refiere o el tipo de operaciones puede causar un da o a los interesa-dos. Este enfoque implica estimar el da o y la tipolog a de da o que se puede producir sobre los interesados, por ejemplo, un da o material derivado de la vulneraci n de sus derechos y libertades. El RGPD busca aprovechar las ventajas que ofrece la gesti n de riesgos 6 guia Pr ctica de an lisis de riesgos en los tratamientos de datos personales sujetos al RGPDIII Protecci n de datos desde el dise o y la gesti n de riesgos: cu l debe ser la hoja de ruta a seguir?3. Protecci n de datos desde eldise o y la gesti n de riesgos: cu l debe ser la hoja de ruta a seguir?La exposici n a los riesgos con impacto en la protecci n de datos se produce desde el inicio o puesta en marcha de los tratamientos, evolucionando en funci n de las variaciones del contex-to y de factores o elementos que intervienen en las mismas.
10 El RGPD, consciente de que un tratamiento nace expuesto a riesgos con impacto en la protecci n de los datos, introduce los conceptos de protecci n de datos desde el dise o y por defecto . Apartado 1 del art culo 25 del RGPD: Teniendo en cuenta el estado de la t cnica, el coste de la aplicaci n y la natura-leza, mbito, contexto y fines del tratamiento, as como los riesgos de diversa probabilidad y gravedad que entra a el tratamiento para los derechos y liber-tades de las personas f sicas, el responsable del tratamiento aplicar , tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas t cnicas y organizativas apropiadas, como la seudonimi-zaci n, concebidas para aplicar de forma efectiva los principios de protecci n de datos, como la minimizaci n de datos, e integrar las garant as necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.
