700 - Recopilación de los riesgos vinculados al tratamiento de los datos personales

Los riesgos que pueden afectar a seguridad e integridad de los datos personales pueden ser de muy diversa índole, tales como:

• Desastres naturales.
• Errores y fallos de los sujetos autorizados para su tratamiento.
• Ataques informáticos.
• Incumplimiento de la normativa de protección de datos.

Y los precitados riesgos, pueden afectar a:

• La confidencialidad de los datos.
• La integridad de los datos.
• La disponibilidad de los datos.

Identificación de las amenazas que puedan afectar a los datos de los interesados

Una vez elaborado el conjunto de informes de ciclo de vida que sean necesarios, se ha de realizar la identificación de las amenazas que puedan afectar a la privacidad de los interesados y que vayan ligadas a las operaciones de tratamiento realizadas. Este procedimiento debe seguir el esquema de acciones de identificación, evaluación y tratamiento, que no puede confundirse con la propia EIPD, aunque pueda tratarse de una introducción a esta.

Es evidente que, para realizar este procedimiento de modo correcto, es imprescindible tener un profundo conocimiento del funcionamiento de la entidad responsable y del contexto en el que se enmarca. Con esto, debemos incluir el personal que trabaja o colabora con la empresa, la dirección de la misma y los objetivos comerciales presentes y futuros que se pretenden obtener.

De acuerdo con el esquema anterior, el procedimiento de identificación y posterior tratamiento (la gestión del riesgo) debe ir aparejada a una constante comunicación con los componentes de la entidad responsable. Esto obedece a la exigencia de un conocimiento profundo de la misma, pues si no fluye la información entre el encargado de realizar la confección del programa y el resto de la empresa, no se identificarán correctamente todas las amenazas posibles.

En efecto, una vez identificada la operación de tratamiento concreta, materializada en el registro de actividades de tratamiento y en el informe del ciclo de vida de los datos, únicamente resta por identificar el conjunto de amenazas a las que puede estar sometido el tratamiento.

Concepto de amenaza en la protección de datos y tipología

Como se recoge en la Guía práctica para las evaluaciones de impacto en la protección de los datos sujetas al RGPD de la AEPD, amenaza se define como cualquier factor de riesgo con potencial para provocar un daño o perjuicio a los interesados sobre cuyos datos de carácter personal se realiza un tratamiento, y pueden ser de diferentes formas:

• Desastres naturales: fuego, agua, desastres ambientales...
• Errores y fallos: destrucción no intencionada, programación inadecuada de un proceso de perfilado, fuga de información...
• Ataques intencionados: hacking, phishing, malware, robo...
• Incumplimiento normativo: incumplimiento del periodo de retención, ausencia de base legitimadora del tratamiento...

Si la amenaza la enfocamos desde la materia en protección de datos, se puede categorizar en 3 tipos en base a la tipología de daño que pueden producir en los datos:

• Confidencialidad: acceso ilegítimo a los datos. Ejemplos: fuga de información, uso ilegítimo de datos, pérdida de dispositivos móviles, acceso por personal no autorizado, etc.
• Integridad: modificación no autorizada de los datos. Ejemplos: errores en los procesos de recopilación y captura de datos, modificación no autorizada de datos de forma intencionada, suplantación de identidad, etc.
• Disponibilidad: eliminación de los datos. Ejemplos: error o ataque intencionado que provoque el borrado o pérdida de datos, desastres naturales, cortes en el suministro eléctrico o en los servicios de comunicación, etc.

CUESTIÓN 

¿Cómo identificamos la amenaza?

Para identificar la amenaza asociada a la actividad de tratamiento debe tenerse en cuenta todo el ciclo de vida de los datos en cada operación, desde su inicio hasta el momento en el que finaliza. 

Como indica la AEPD, en su Guía práctica para las evaluaciones de impacto en la protección de los datos sujetas al RGPD, identificar una amenaza consiste en identificar la fuente de los escenarios en los que se puede producir un daño o una violación de los derechos y libertades de los interesados.

Riesgos asociados al tratamiento de datos

Las amenazas y los riesgos asociados están directamente relacionados, en consecuencia, identificar y evaluar los riesgos siempre implica considerar la amenaza que los puede originar. Véase: la pérdida de un dispositivo móvil (amenaza) podría derivar en un acceso a los datos por parte de personal no autorizado y por tanto se produciría una vulneración de los derechos y libertades de los interesados (riesgo), lo que podría derivar en un posible daño moral, físico o material sobre el interesado (impacto).

En consecuencia, como se recoge en la Guía Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD de la AEPD, es muy importante asegurar una correcta identificación de las amenazas a las que está expuesta una actividad de tratamiento teniendo en cuenta que entre los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas se pueden diferenciar dos dimensiones:

1. Riesgos asociados a la protección de la información con foco en la integridad, disponibilidad y confidencialidad de los datos, como puede ser el acceso ilegítimo a los datos o la pérdida de datos. 

2. Riesgos asociados al cumplimiento de los requisitos legales relacionados con los derechos y libertades de los interesados, como es el uso ilegítimo de datos personales o la posibilidad de que el responsable no pueda atender el ejercicio de los derechos que el RGPD reconoce al titular de los datos porque la organización no tiene correctamente implementados y operativos los procedimientos correspondientes.

CUESTIÓN

¿Qué riesgos potenciales podrían surgir en el registro y almacenamiento de una lista de asistentes a un curso de formación en una aplicación sin elevado riesgo para los derechos y libertades de los interesados?

Los principales riesgos potenciales identificados son:

- Protección de la información:

• Integridad de los datos personales: modificación o alteración de datos personales no intencionada.

• Disponibilidad de los datos personales: pérdida o borrado no intencionado de datos personales.

• Confidencialidad de los datos personales: acceso no autorizado a los datos personales.

- Riesgos asociados al cumplimiento:

• Garantizar el ejercicio de los derechos de los interesados: ausencia de procedimientos para el ejercicio de derechos.

• Garantizar los principios relativos al tratamiento: ausencia de legitimidad para el tratamiento de los datos personales y tratamiento ilícito de datos personales.

En base a lo anterior, la asignación de medidas de seguridad podría ser:

Fuente: ejemplo recogido en la Guía Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD de la AEPD.