2.5 Gestión de riesgos
El objetivo de esta fase 5 es realizar un análisis de riesgo en cada una de las etapas del contexto de tratamiento definidas en la etapa anterior, para una adecuada gestión de dichos riesgos.
Una vez representado el ciclo de vida de los datos, debe procederse a iniciar la gestión de riesgos.
La gestión de riesgos es el proceso mediante el cual se identifica, analiza y valora la probabilidad e impacto de las ocurrencias de amenazas que, mediante la explotación de alguna vulnerabilidad, puedan materializar un riesgo para los derechos de las personas. El objetivo es establecer cuáles son las hipótesis de riesgo para, luego, en una etapa posterior, definir el plan de tratamiento necesario para minimizar aquellos riesgos que no se consideren aceptables.
Dado que el objetivo de la EIPD es proteger los derechos de las personas, la gestión de riesgos es inseparable del cumplimiento de la normativa vigente. En efecto, la EIPD es una herramienta que orienta al responsable para cumplir de manera acabada con las normas locales en materia de protección de datos, en particular, cuando la complejidad del proyecto o actividad de la organización impide una aplicación simplificada de la legislación local.
Es menester aclarar que la protección de los datos personales no sólo es un fin en sí mismo, sino además un medio legal para proteger otros derechos fundamentales, tales como la igualdad, el honor, la integridad psicofísica e incluso la libertad de expresión. Así pues, la EIPD debe evaluar no solo aquellos riesgos derivados de operaciones de tratamiento que afectan al derecho de protección de datos, sino también a todas aquellos que, afectando los datos personales, al mismo tiempo menoscaban otras garantías y bienes jurídicos de las personas que son igualmente relevantes.
En todos los casos, es recomendable que la gestión de riesgos utilice como insumo los informes y/o representaciones gráficas y conceptuales que resultaron de las etapas anteriores. Tanto el análisis preliminar como el ciclo de vida pueden contribuir a identificar las amenazas y vulnerabilidades existentes en el proyecto o en la actividad de la organización y servir como una base que luego ha de ser profundizada.
Asimismo, se describirán las tres etapas que conforman la gestión de riesgos: identificación del riesgo (en base a la identificación de amenazas); evaluación del riesgo; y plan de tratamiento del riesgo.
2.5.1 Identificación del riesgo
El riesgo en el marco de una EIPD es el potencial de que una amenaza dada explote vulnerabilidades y, por lo tanto, afecte datos personales y produzca un perjuicio a los derechos de alguna persona. En otras palabras, es el daño probable que puede producirse como resultado de una operación de tratamiento de datos y que afecta algún derecho del titular de los datos.
2.5.2 Evaluación del riesgo
La fórmula más popular y aceptada para la evaluación de riesgos es:
AGREGAR IMAGEN
Donde la probabilidad se determina en base a las posibilidades que existen de que la amenaza se materialice; y el impacto se determina en base a los daños que se pueden producir si la amenaza se materializa. En este último caso, se ha considerado una valoración de los impactos desde la perspectiva material y moral, de forma de facilitar la comprensión de cada uno de los impactos propuestos.
La fórmula es una ponderación derivada de la relevancia asignada al impacto por sobre la probabilidad de su acaecimiento. Las escalas utilizadas para la medición de probabilidad de impacto pueden ser diseñadas por cada organización. Sin perjuicio de ello, a continuación, se brinda un ejemplo de escala.
AGREGAR TABLAS
La organización deberá calcular el riesgo inherente y el riesgo residual. El cálculo del riesgo inherente se realiza sin tener en cuenta los controles ya aplicados. Por el contrario, el riesgo residual se calcula teniendo en cuenta los controles actualmente implementados en la organización. Esta práctica, entre otras cosas, nos permitirá medir la eficacia de los controles actualmente implementados, permitiendo su evaluación o mejora para el tratamiento de los riesgos.
Aquellos riesgos residuales que den por encima de 7, o sea, que están en rojo, deberán desarrollar un plan de tratamiento de riesgos. Los que estén entre 3 y 6 deberán justificar, mediante indicadores, la eficacia de los controles existentes.