Example: bankruptcy

GUIA PRÁCTICA DE Análisis de - aepd.es

GUIA PR CTICA DE An lisis de riesgos en los tratamientos de datos personales sujetos al RGPD1 Guia Pr ctica de an lisis de riesgos en los tratamientos de datos personales sujetos al RGPD ndice1. Introducci n ..22. Consideraciones generales ..3 Conceptos generales sobre gesti n de riesgos ..3 Gesti n de riesgos, qu implicaciones tiene en la protecci n de los datos? ..53. Protecci n de datos desde el dise o y la gesti n de riesgos: Cu l debe ser la hoja de ruta a seguir? ..6 Definici n y dise o de las actividades de tratamiento ..9 FACILITA: Herramienta para tratamientos de escaso riesgo.

5 uia Práctica de análisis de riesgos en los tratamientos de datos ersonales sujetos al RP II Consideraciones generales des del interesado fuese crítico. Según la probabilidad y el impacto, asociados a las amenazas,

Information

Domain:

Source:

Link to this page:

Please notify us if you found a problem with this document:

Other abuse

Transcription of GUIA PRÁCTICA DE Análisis de - aepd.es

1 GUIA PR CTICA DE An lisis de riesgos en los tratamientos de datos personales sujetos al RGPD1 Guia Pr ctica de an lisis de riesgos en los tratamientos de datos personales sujetos al RGPD ndice1. Introducci n ..22. Consideraciones generales ..3 Conceptos generales sobre gesti n de riesgos ..3 Gesti n de riesgos, qu implicaciones tiene en la protecci n de los datos? ..53. Protecci n de datos desde el dise o y la gesti n de riesgos: Cu l debe ser la hoja de ruta a seguir? ..6 Definici n y dise o de las actividades de tratamiento ..9 FACILITA: Herramienta para tratamientos de escaso riesgo.

2 10An lisis de la necesidad de realizar una Evaluaci n de Impacto Sobre la Protecci n de los Datos: Cu ndo se debe realizar una EIPD? ..114. Registro de actividades de tratamiento ..17 Descripci n: Qu es un registro de actividades de tratamiento? ..17 Estructura: qu debe incluir un registro de actividades de tratamiento? 185. An lisis b sico de riesgos ..24 Descripci n de las operaciones de actividades de tratamiento ..25 Gesti n de riesgos por defecto ..286. Anexos .. Anexo I: Plantilla de an lisis de la necesidad de la realizaci n de una EIPD .. Anexo II: Plantilla de descripci n de las actividades de tratamiento.

3 Anexo III: Plantilla para documentar el an lisis b sico de riesgos .. Anexo IV: Plantilla de registro de actividades de tratamiento (Responsable de tratamiento) ..38 Anexo V: Plantilla de registro de actividades de tratamiento ..39(Encargado de tratamiento) ..397. Referencias ..402 Guia Pr ctica de an lisis de riesgos en los tratamientos de datos personales sujetos al RGPDI Introducci n Esta gu a se ha creado con el fin de establecer medidas de seguridad y control para garantizar los derechos y libertades 1. Introducci nEl 25 de mayo de 2018 se cumplen dos a os desde la entrada en vigor del Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protecci n de las personas f sicas en cuanto al tratamiento y la libre circulaci n de datos personales, en ade-lante, RGPD.

4 Desde ese momento, ser aplicable el RGPD y ser obligatorio el cumplimiento de los requerimientos y obligaciones para el responsable y el encargado de tratamiento que este incluye, entre las que destaca, la necesidad de llevar a cabo un an lisis de riesgos con el fin de establecer medidas de seguridad y control para garantizar los derechos y libertades de las la constante evoluci n tecnol gica y los procesos de transformaci n digital que sufren las actividades de tratamiento de datos personales, la reforma de la regulaci n de protecci n de datos supone un cambio del modelo tradicional para afrontar las medidas que garantizan la protecci n de los datos personales hacia un nuevo modelo m s din mico, enfocado en la gesti n continua de los riesgos potenciales asociados al tratamiento desde su dise o.

5 El dise o adecuado de las actividades de tratamiento es un aspecto clave para poder garantizar los derechos y libertades de los interesados. La fase de dise o de un tratamiento define el flujo de los datos personales, as como todos los elementos que intervendr n a lo largo del mismo. De igual modo, es el momento id neo para definir las medidas de control y seguridad para ga-rantizar los derechos y libertades de los interesados con el objetivo de que un tratamiento nazca respetando los requerimientos de privacidad asociados al nivel de riesgo a la que est expuesto.

6 La Agencia Espa ola de Protecci n de Datos (AEPD) ha elaborado la presente gu a para la rea-lizaci n de an lisis de riesgos de las actividades de tratamiento con el objetivo de establecer una hoja de ruta para afrontar un enfoque orientado a gu a persigue ofrecer directrices y orientaciones para establecer una hoja de ruta que per-mita contemplar la privacidad desde el inicio, mediante un enfoque de an lisis de riesgos, fa-cilitando el cumplimiento del RGPD. 3 Guia Pr ctica de an lisis de riesgos en los tratamientos de datos personales sujetos al RGPDII Consideraciones generales2.

7 Consideraciones generalesConceptos generales sobre gesti n de riesgosGesti n de riesgos es el conjunto de actividades y tareas que permiten controlar la incerti-dumbre relativa a una amenaza mediante una secuencia de actividades que incluyen la identi-ficaci n y evaluaci n del riesgo, as como, las medidas para su reducci n o mitigaci gesti n de riesgos se puede dividir en tres etapas diferenciadas: La identificaci n, la eva-luaci n y el tratamiento de los amenazas y riesgosEl riesgo se deriva de la exposici n a amenazas, por tanto, desde la perspectiva de la privaci-dad, es fundamental entender qu es una amenaza y c mo se pueden identificar escenarios de riesgo para los datos personales a partir de la misma.

8 Una amenaza es cualquier factor de riesgo con potencial para provocar un da o o perjuicio a los 4 Guia Pr ctica de an lisis de riesgos en los tratamientos de datos personales sujetos al RGPDII Consideraciones generales Se define riesgo como la combinaci n de la posibilidad de que se materialice una amenaza y sus consecuencias negativas interesados sobre cuyos datos de car cter personal se realiza un tratamiento. Si ponemos el foco en la protecci n de los datos, las amenazas se pueden categorizar principalmente en tres tipos: Acceso ileg timo a los datos: qu da o causar a que lo conociera quien no debe?

9 Confi-dencialidadModificaci n no autorizada de los datos: qu perjuicio causar a que estuviera da ado o corrupto? integridadEliminaci n de los datos: qu perjuicio causar a no tener un dato o no poder utilizarlo? riesgo se puede definir como la combinaci n de la posibilidad de que se materialice una amenaza y sus consecuencias negativas. El nivel de riesgo se mide seg n su probabilidad de materializarse y el impacto que tiene en caso de hacerlo. Las amenazas y los riesgos asociados est n directamente relacionados, en consecuencia, identificar los riesgos siempre implica con-siderar la amenaza que los puede originar.

10 Evaluar los riesgosEvaluar un riesgo implica considerar todos los posibles escenarios en los cuales el riesgo se har a efectivo. La evaluaci n de riesgos consiste en valorar el impacto de la exposici n a la amenaza, junto a la probabilidad de que esta se materialice. El impacto, por su parte, se de-termina en base a los posibles da os que se pueden producir si la amenaza se materializa, por ejemplo, un impacto ser a despreciable si no tuviera consecuencias sobre el interesado o, por el contrario, un impacto ser a significativo si el da o ocasionado sobre los derechos y liberta-5 Guia Pr ctica de an lisis de riesgos en los tratamientos de datos personales sujetos al RGPDII Consideraciones generalesdes del interesado fuese cr tico.