730 - Procedimiento para poder llevar a cabo una evaluación de impacto del tratamiento de datos o EIPD

Tiempo de lectura: 7 min

Tiempo de lectura: 7 min

Texto

Relacionados:

Legislación

Voces

Jurisprudencia

Vademecum: Datos

Fecha última revisión: 18/04/2023

Resumen:

La Evaluación de Impacto del Tratamiento de Datos (EIPD) será personalizada por cada identidad de tratamiento de datos, para lo cual se ha de calcular el riesgo inherente mediante la fórmula «riesgo = probabilidad x impacto». La probabilidad se evalúa con cuatro niveles (de acuerdo a la ISO 29134) y el impacto también se determina con la misma escala de cuatro valores posibles. Esta evaluación nos dará una serie de resultados que permitirán la siguiente clasificación del riesgo inherente: muy alto, alto, medio y bajo, con los posibles daños físicos, materiales y morales que se pueden ocasionar.

Se ha de seguir una EIPD desde un punto de vista del interés del sujeto interesado, no focalizado en el interés de la entidad y el riesgo al que se puede ser sometido. En la evaluación será importante hacer una valoración de los riesgos, en base a la probabilidad de los mismos y su impacto, siguiendo una metodología que no se concreta por ley, por lo que será adaptada o personalizada por cada identidad de tratamiento de datos.

Valoración del riesgo como punto de partida en la EIPD

a) Valoración del riesgo inherente

El riesgo inherente hace referencia al nivel de amenaza que existe de modo intrínseco a la propia figura del responsable según su actividad, organización, estructura y planteamiento de cumplimiento. Es decir, se trata de aquellas amenazas que se localizan en la entidad sin aplicar ninguna medida de seguridad.

Acudiendo a la Guía práctica para las evaluaciones de impacto en la protección de los datos sujetas al RGPD de la AEPD, el cálculo del riesgo inherente se realiza mediante la siguiente fórmula:

RIESGO= PROBABILIDAD X IMPACTO

Haciendo una definición de estos dos factores conformadores del riesgo:

El impacto se refiere al conjunto de consecuencias que tendría el evento dañoso (riesgo inherente) en caso de que se acabase materializando.
La probabilidad es la frecuencia con la que teóricamente se podría llegar a producir el riesgo al no haber controles que la mitiguen. Se determina en base a las posibilidades que existen de que la amenaza se materialice.

Sirviendo de ejemplo, y apoyándonos en la citada guía práctica de la AEPD, presentamos una posible metodología de valoración de la probabilidad e impacto basada en cuatro niveles (de acuerdo a la ISO 29134):

Escala de posibles valores para el cálculo de la probabilidad (numerándolos según el nivel de gravedad):
- Probabilidad despreciable (1): la posibilidad de ocurrencia es muy baja (por ejemplo, un evento que puede pasar de forma fortuita).
- Probabilidad limitada (2): la posibilidad de ocurrencia es baja (por ejemplo, un evento que puede pasar de forma ocasional).
- Probabilidad significativa (3): la posibilidad de ocurrencia es alta (por ejemplo, un evento que puede pasar con bastante frecuencia).
- Probabilidad máxima (4): la posibilidad de ocurrencia es muy elevada (por ejemplo, un evento cuya ocurrencia se produce con mucha frecuencia).
El impacto se determina en base a los posibles daños que se pueden producir si la amenaza se materializa. De igual modo, el impacto también se evaluará con la misma escala de cuatro valores posibles (numerándolos según el nivel de gravedad):
- Impacto despreciable (1): el impacto es muy bajo (por ejemplo, un evento cuyas consecuencias son prácticamente despreciables sin impacto sobre el interesado).
- Impacto limitado (2): el impacto es bajo (por ejemplo, un evento cuyas consecuencias implican un daño menor sin impacto relevante sobre el interesado).
- Impacto significativo (3): el impacto es alto (por ejemplo, un evento cuyas consecuencias implican un daño elevado con impacto sobre el interesado).
- Impacto máximo (4): el impacto es muy alto (por ejemplo, un evento cuyas consecuencias implican un daño muy elevado, un impacto crítico sobre el interesado).
De lo anterior se concluye un posible daño:
- Daño físico: acciones que afecten a la integridad física del interesado.
- Daño material: acciones que producen pérdidas económicas, de patrimonio, de empleo, etc.
- Daño moral: acciones que ocasionan daño moral o mental en el interesado, depresión, fobias, acoso, etc.
Si aplicamos los numéricos anteriores conforme a la fórmula establecida, nos dará una serie de resultados, que permitirá la siguiente clasificación del riesgo inherente:
- Muy alto.
- Alto.
- Medio.
- Bajo.

Y, ¿cuál sería el tratamiento o respuesta ante estos riesgos? La AEPD nos ofrece cuatro medidas diferentes:

Reducción del riesgo: establecer medidas de control que reduzcan los niveles de probabilidad y/o impacto asociados al riesgo inherente. Las medidas de control se focalizan en mitigar o minimizar el riesgo en un tratamiento de datos personales. En una EIPD no se pretende eliminar completamente el riesgo, sino reducir el mismo hasta un nivel aceptable para poder garantizar y respetar los derechos y libertades de los interesados. Estas medidas de control pueden ser:
- Organizativas: procedimientos, organización, gobierno de la entidad, protocolos para gestionar vulnerabilidades, etc.
- Legales: medidas asociadas al cumplimiento normativo (por ejemplo: cláusulas para recogida de consentimientos expresos).
- Técnicas: medidas que permiten velar por la seguridad física y lógica de los activos de información (por ejemplo: controles de acceso o cifrado).
Retención del riesgo: cuando el nivel de riesgo inherente es inferior al nivel de riesgo considerado como aceptable, no existe necesidad de implementar controles adicionales.
Transferencia del riesgo: se comparte el riesgo con una organización externa. Por ejemplo, se transfiere el riesgo a una aseguradora para que afronte las posibles consecuencias materiales, aunque ello también puede suponer otros riesgos siendo necesario otros análisis adicionales.
Anulación del riesgo: si el riesgo es muy elevado y no se quiere asumir, se puede decidir abandonar la actividad de tratamiento.

b) Valoración del riesgo residual

El riesgo residual es el que afecta a cada actividad una vez se hayan aplicado las medidas de control para mitigar o reducir su nivel de exposición. La fórmula es la misma que para el riesgo inherente:

RIESGO RESIDUAL= PROBABILIDAD X IMPACTO

Tomando como fuente la Guía práctica para las evaluaciones de impacto en la protección de los datos sujetas al RGPD de la AEPD, un ejemplo práctico de estimación del riesgo residual (y tomando la numeración recogida en el punto anterior, establecido según el nivel de gravedad):

Ciclo de vida del dato (fase almacenamiento): almacenamiento de datos de clientes en dispositivos móviles.
Amenaza: pérdida del dispositivo móvil.
Riesgo: acceso no autorizado por parte de terceros a datos de salud (violación de la confidencialidad).
Impacto: violación de derechos fundamentales (significativo —3—) .
Probabilidad: cada vez que el usuario no tiene en su poder el dispositivo móvil (significativa—3—).
Riesgo inherente: impacto (—3—) x probabilidad (—3—) = 9 (riesgo alto).
Medidas de control: método de autenticación mediante usuario, contraseña y huella biométrica. Cifrado del dispositivo móvil y seudonimización de los datos.
Eficacia del control: reduce la probabilidad a despreciable —1—, debido a que, aunque se pierda el dispositivo, no será posible el acceso sin credenciales. Adicionalmente, reduce el impacto a despreciable —1— , debido a que, aunque se pierda el dispositivo, los datos nunca serán identificables evitando producir daños sobre los interesados.
Riesgo residual: impacto (—1—) x probabilidad (—1—) = 1 (riesgo bajo).

CUESTIÓN

¿Debe consultarse a la autoridad de control el resultado del riesgo residual?

Siguiendo lo recogido en el artículo 36 del RGPD, el responsable debe consultar a la autoridad de control antes de proceder al tratamiento, cuando la EIPD muestre que el tratamiento entraña un alto riesgo en el caso de no tomarse medidas para mitigarlo. Es lo que se denomina como consulta previa.

Plan de acción del EIPD

Siguiendo la Guía práctica para las evaluaciones de impacto en la protección de los datos sujetas al RGPD de la AEPD, se debe elaborar un plan de acción. El plan de acción es el conjunto de iniciativas que deben llevarse a cabo para implantar los controles que ayudan a reducir el riesgo de una actividad de tratamiento hasta un nivel considerado aceptable. Este plan debería incluir, al menos, alguno de los siguientes campos de información:

Control y su descripción.
Responsable de implantación.
Plazo de implantación.

Respecto a la ejecución, se tendrá en cuenta si:

La EIPD se ha hecho sobre un nuevo tratamiento: el plan de acción se debe considerar durante la fase de definición de requerimientos de la actividad de tratamiento.
La EIPD se ha hecho sobre un tratamiento ya existente: debe lanzarse un proyecto o iniciativa para implantar las medidas incluidas en el plan de acción sobre el tratamiento actual y el responsable del tratamiento establecerá un plazo máximo para implantar las medidas de control.

Conclusión de la EIPD

La evaluación del nivel de riesgo total del tratamiento se obtiene a partir del resultado de la evaluación del nivel de riesgo para cada uno de los factores de riesgo identificados en el tratamiento. Dicha evaluación podrá ser:

No favorable: en estos casos se debe analizar la posibilidad de incluir medidas de control adicionales que permitan reducir el nivel de exposición al riesgo, disminuyendo el mismo hasta un nivel aceptable. Si no fuese posible su disminución no se podría llevar a cabo el tratamiento y sería necesario activar el procedimiento de consulta previa a la autoridad de control.
Favorable: la actividad de tratamiento se puede llevar a cabo, siempre y cuando, las medidas de control incluidas en el plan de acción hayan sido implantadas.