La aplicación del RGPD y el concepto de la privacidad por defecto y desde el diseño nos va a meter de lleno en la aplicación de metodologías de análisis de riesgo que no les pillará de nuevas a aquellos que venimos aplicando de hace tiempo normas estándares de seguridad como la línea de las 27K
¿Qué es un análisis de riesgos?
Es un proceso sistemático que nos permite identificar los riesgos a los que está expuesta, por ejemplo, una organización.
En líneas generales, un análisis de riesgo implica:
- Definir un alcance, es decir, el ámbito sobre el cual se va a llevar a cabo el análisis de riesgos.
- Identificar los activos que quedan incluidos dentro de dicho alcance.
- Identificar las amenazas que afectan a dichos activos.
- Identificar vulnerabilidades.
- Identificar salvaguardas.
- Evaluar el riesgo.
- Tratar el riesgo.
El INCIBE publicó un post en el que resumía éstos pasos aplicados al ámbito de la seguridad de la información que pueden servir como punto de partida para tener un contexto de ejemplo sobre lo que es el análisis de riesgos.
Si nos llevamos el análisis de riesgos al ámbito de la protección de datos, el alcance aplica a la identificación de riesgos en el tratamiento de datos personales que se van a llevar a cabo por parte de una organización.
¿Fácil no? 😀
¿Qué es un análisis de evaluación de impacto en materia de protección de datos?
Está precisamente relacionado con la realización de un análisis de riesgos. La Agencia Española de Protección publicó en el año 2014 una “Guía para la evaluación de impacto en la protección de datos personales” en la que establece:
Y entre las herramientas más útiles para avanzar en la privacidad desde el diseño se encuentran las Evaluaciones de Impacto en la Privacidad o en la Protección de Datos, más conocidas como PIAs, por sus siglas en inglés (Privacy Impact Assessments), que se han desarrollado fundamentalmente en países anglosajones, donde ya existen metodologías consolidadas para su realización.
Una PIA o una Evaluación de Impacto en la Protección de los Datos Personales (EIPD) es, en esencia, un ejercicio de análisis de los riesgos que un determinado sistema de información, producto o servicio puede entrañar para el derecho fundamental a la protección de datos de los afectados y, tras ese análisis, afrontar la gestión eficaz de los riesgos identificados mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos.
Lo que también añade la Guía es que: «no es ni puede ser el objetivo de esta Guía el proporcionar criterios ni metodologías para definir cuantitativamente los niveles de riesgo de cada una de las situaciones descritas y de cualesquiera otras que pudieran aparecer como fuentes de riesgo para la privacidad al realizar una EIPD. Estas valoraciones han de ser llevadas a cabo en función del producto o servicio de que se trate, de las circunstancias de tratamiento de los datos, de los destinatarios de los mismos, de las tecnologías utilizadas, etc.
¡Anda! ¿Y entonces?
¿Se puede entender que las actuales medidas que establece el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos y las clasificación en niveles de medidas de seguridad en «básico», «medio» y «alto» es una metodología de análisis de riesgos aplicable para la protección de datos de carácter personal?
No, no se puede. Las medidas del RDLOPD no son una metodología. Lo que viene a recoger el RDLOPD es la enumeración de medidas, pero no especifica el enfoque basado en el riesgo que está recogido en el RGPD. Esta pregunta se la han hecho también directamente a la Agencia Española de Protección de Datos en la 9ª sesión anual abierta. Ante la pregunta:
¿Puede considerarse el Título VIII del RLOPD como metodología de análisis de riesgo?
La respuesta de la Agencia fue: «Si lo que se plantea es si la división en tres niveles de seguridad efectuada por el artículo 81 del RLOPD es suficiente para valorar el riesgo la respuesta debe ser negativa. Este “enfoque” únicamente atiende a la tipología del responsable o de los datos tratados, pero no atiende a los riegos concretos que pueden afectar a los derechos de las personas ni tiene en cuenta (salvo alguna excepción, como la referida a los datos especialmente protegidos) los riesgos potenciales a los que se refiere el RGPD.»
Luego, efectivamente, tengamos muy claro que las medidas del RDLOPD no son una metodología de análisis de riesgo para analizar el impacto en materia de privacidad.
La Agencia de Protección de Datos, en la guía comentada, menciona algunas metodologías cuya aplicación puede ser posible:
Por su relevancia y adaptación al caso específico de la privacidad, se puede hacer mención a la publicación Methodology for Privacy Risk Management de la Commission Nationale de l’Informatique et des Libertés (CNIL); a MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información), herramienta creada por el Consejo Superior de Administración Electrónica para asistir a los distintos organismos públicos en este ámbito pero que es perfectamente utilizable también por el sector privado; Risk IT (ISACA) o ISO 27005.
La Agencia Española de Protección de datos está «ultimando una Guía de análisis de riesgo que se publicará en breve junto a un catálogo de cumplimiento normativo.”
En cualquier caso, la herramienta Pilar basada en la metodología Magerit ya incluye un módulo específico para el RGPD desde el pasado 12 de diciembre.
También el CNIL tiene publicada una metodología de análisis de riesgos, ahora aplicada a la privacidad. El CNIL es el equivalente a la Agencia de Protección de Datos en Francia. En este caso la metodología de análisis de riesgos está basada en EBIOS.
Además han liberado una aplicación bajo licencia GPL 3 para la elaboración de análisis de evaluación de impacto, por si tenéis curiosidad.
Recomiendo también echarle una buena lectura a la ISO/IEC 29134 sobre técnicas de seguridad y guías para la evaluación del impacto en la privacidad.
