Inicio
Protección de datos
Marginales
Recopilación de los riesg...personales
Ver Indice
»

Última revisión
07/10/2024

datos

700 - Recopilación de los riesgos vinculados al tratamiento de los datos personales

Tiempo de lectura: 6 min

Tiempo de lectura: 6 min

Relacionados:

Vademecum: datos

Fecha última revisión: 07/10/2024

Resumen:

Tras la elaboración del conjunto de informes de ciclo de vida que hubiesen sido necesario, se ha de realizar la identificación de las amenazas que puedan afectar a la privacidad de los interesados y que vayan ligadas a las operaciones de tratamiento realizadas.

Una amenaza puede definirse como una causa potencial que puede perjudicar los derechos y libertades de las personas, pudiendo originarse en el propio tratamiento, la tecnología utilizada o en efectos colaterales del contexto organizacional.

Además, se enumeran los factores de riesgo relacionados con el tratamiento de datos, que incluyen las operaciones de tratamiento, tipos de datos, alcance del tratamiento, categorías de interesados, factores técnicos, y más, todos ellos relevantes para evaluar la seguridad de los datos y proteger los derechos de los interesados.

Identificación de las amenazas que puedan afectar a los datos de los interesados

Una vez elaborado el conjunto de informes de ciclo de vida que sean necesarios, se ha de realizar la identificación de las amenazas que puedan afectar a la privacidad de los interesados y que vayan ligadas a las operaciones de tratamiento realizadas. Este procedimiento debe seguir el esquema de acciones de identificación, evaluación y tratamiento, que no puede confundirse con la propia EIPD, aunque pueda tratarse de una introducción a esta.

Es evidente que, para realizar este procedimiento de modo correcto, es imprescindible tener un profundo conocimiento del funcionamiento de la entidad responsable y del contexto en el que se enmarca. Con esto, debemos incluir el personal que trabaja o colabora con la empresa, la dirección de la misma y los objetivos comerciales presentes y futuros que se pretenden obtener.

De acuerdo con el esquema anterior, el procedimiento de identificación y posterior tratamiento (la gestión del riesgo) debe ir aparejada a una constante comunicación con los componentes de la entidad responsable. Esto obedece a la exigencia de un conocimiento profundo de la misma, pues si no fluye la información entre el encargado de realizar la confección del programa y el resto de la empresa, no se identificarán correctamente todas las amenazas posibles.

En efecto, una vez identificada la operación de tratamiento concreta, materializada en el registro de actividades de tratamiento y en el informe del ciclo de vida de los datos, únicamente resta por identificar el conjunto de amenazas a las que puede estar sometido el tratamiento.

Concepto de amenaza en la protección de datos y tipología

Como se recoge en la Guía de gestión del riesgo y evaluación de impacto en tratamientos de datos personales de la AEPD, amenaza o factor de riesgo puede definirse como una causa potencial de la que se puede derivar un perjuicio para los derechos y libertades de las personas físicas. Los factores de riesgo pueden tener su origen:

  • En el propio tratamiento.
  • En la tecnología empleada.
  • Efectos colaterales indeseados que se derivan del contexto interno o externo de la organización.

El considerando 75 del RGPD desarrolla el concepto de riesgo estableciendo al respecto «Los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales, en particular en los casos en los que el tratamiento pueda dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo; en los casos en los que se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales; en los casos en los que los datos personales tratados revelen el origen étnico o racial, las opiniones políticas, la religión o creencias filosóficas, la militancia en sindicatos y el tratamiento de datos genéticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas; en los casos en los que se evalúen aspectos personales, en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, situación o movimientos, con el fin de crear o utilizar perfiles personales; en los casos en los que se traten datos personales de personas vulnerables, en particular niños; o en los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran número de interesados».

Riesgos asociados al tratamiento de datos

El RGPD y su normativa de desarrollo, identifican múltiples factores de riesgo. La tarea de identificar y determinar si los mismos afectan o pueden afectar al tratamiento, por la persona que sea la encargada de la evaluación de riesgos, se ve facilitada por la Guía de gestión del riesgo y evaluación de impacto en tratamientos de datos personales de la AEPD, en la que se realiza una compilación de los factores de riesgo identificados. Estos factores de riesgo se han agrupado en las siguientes categorías:

  • Operaciones relacionadas con los fines de tratamiento: factores de riesgo que se derivan del fin declarado del tratamiento y otros fines vinculados al propósito principal.
  • Tipos de datos utilizados: factores de riesgos relacionados con el ámbito del tratamiento que se derivan de los datos recogidos, procesados o inferidos en el tratamiento.
  • Extensión y alcance del tratamiento: factores de riesgo relacionados con el ámbito del tratamiento relativos al número de sujetos afectados, la diversidad de datos o aspectos tratados, la duración en el tiempo, el volumen de datos, la extensión geográfica, la exhaustividad sobre la persona, la frecuencia de recogida, etc.
  • Categorías de interesados: factores de riesgo relacionados con el ámbito del tratamiento relativos a la categoría de interesados.
  • Factores técnicos del tratamiento: factores de riesgos que se derivan de la naturaleza del tratamiento al implementarse con determinadas características técnicas.
  • Recogida y generación de datos: factores de riesgo que se derivan de la naturaleza del tratamiento al recogerse o generarse datos de forma específica.
  • Efectos colaterales del tratamiento: factores de riesgo que se derivan del contexto del tratamiento al poder generarse consecuencias no contempladas en los propósitos originales previstos del tratamiento.
  • Categoría del responsable o encargado: factores de riesgo que se derivan del contexto específico del sector de actividad, modelo de negocio o tipo de entidad.
  • Comunicaciones de datos: factores de riesgo que se derivan del contexto en el que se realizan las comunicaciones de datos a terceros en el marco del tratamiento.
  • Brechas de seguridad: factores de riesgo que se derivan de la posible materialización de brechas de seguridad sobre los datos personales.

Los factores de riesgo expuestos son los previstos en el RGPD y su normativa de desarrollo, sin embargo, es preciso atender también a las peculiaridades de cada tratamiento a fin de identificar factores de riesgo para los derechos y libertades adicionales. A modo de ejemplo, entre los posibles factores de riesgo que pueden surgir en situaciones singulares podemos señalar: crisis interna de la organización, contacto frecuente y reiterado con los afectados de manera que pueda resultar intrusivo para la intimidad del interesado, tratamiento involucra a un elevado número de intervinientes, etc.