• logo eip blanco logo web
  • Logo UEMC 1 hor color acreditado blanco

Análisis de riesgos en el RGPD: Art. 32

Elías Vallejo | 1 julio, 2020

Por Elías Vallejo, profesor “Auditorías de protección de datos y sistemas de información” en el máster en Dirección de Compliance & Protección de Datos de la Escuela Internacional de Posgrados ha querido compartir con nosotros un estudio analizando los diferentes riesgos mencionados en el RGPD.

Diferentes análisis de riesgos en el RGPD

El profesor Elías Vallejo comenta que la idea de hacer un análisis de riesgos en el RGPD está presente en 3 supuestos.

  1. 24.- Responsabilidad del Responsable de Tratamiento y Art. 35 Evaluaciones de Impacto de Protección de Datos
  2. 32.- Seguridad del Tratamiento
  3. 25.- Protección de datos desde el diseño y por defecto

En el primer post de nuestro Blog Especialistas en Protección de Datos & Cumplimiento Normativo nos habló el profesor Elias Vallejo sobre el Art. 24, Responsabilidad del Responsable de Tratamiento y sobre el Art. 35, Evaluaciones de Impacto de Protección de Datos.

En este segundo post, nos expone un análisis de riesgos en el supuesto del art. 32, Seguridad del Tratamiento.

Os dejamos las palabras de Elías Vallejo,

Art. 32.- Seguridad del Tratamiento

Si en el artículo 24 del RGPD se debe tener en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento; en este artículo, aparte de dichos elementos debe considerarse el estado de la técnica y los costes de aplicación; todo ello relacionado con los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas

Para ello se aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, es decir, hay que circunscribirse ahora sí a las medidas de seguridad.

Si bien el articulo menciona que deben incluirse aspectos como la seudonimización y el cifrado de datos personales; la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico, la resiliencia permanentes de los sistemas y servicios de tratamiento, la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

El centro de todo análisis de riesgos de seguridad de la información (incluidos los datos de carácter personal) debe centrarse en la capacidad de garantizar la confidencialidad, integridad, disponibilidad de los sistemas y servicios de tratamiento, tal como lo contempla también dicho artículo.

Esquema Nacional de Seguridad

No seré yo el que desarrolle este punto. Hay variados catálogos de amenazas (ENS; ISO 27000, Gestiona, etc.) que deben considerarse y ser desarrollado por los técnicos.

Es importante destacar en este punto, que si la organización está obligada al ENS, ese será su marco de referencia o, que si la organización quiere certificarse voluntariamente por la ISO 27000, le aplicarán sus 114 controles.

Sin embargo, no todas las organizaciones están obligadas al ENS o disponen de un presupuesto para la ISO 27000, lo que hace que se deban desarrollar catálogos de amenazas que afecten a la seguridad de los tratamientos. Deberían establecerse dos tipos de catálogos en estos casos: uno para organización grande y otro para organización pequeña, ya que el nivel de exigencia no puede ni debe ser el mismo.

También quiero enfatizar que este artículo 32 menciona que se debe garantizar la resiliencia permanente de los sistemas y servicios de tratamiento, por lo que si bien no vamos a implantar una ISO 22301 (ya que no está dentro del alcance, a menos que el cliente lo solicite), deben ser tenidas en cuenta medidas al respecto.

¿Quieres especializarte en Dirección de Compliance y protección de datos?

El Máster en Dirección de Compliance & Protección de datos te convertirá en un profesional de alta cualificación con las competencias necesarias para realizar tareas especializadas en dos de las áreas más relevantes tanto para empresas privadas como para administraciones públicas: la protección de datos y el cumplimiento normativo o Compliance.

 

Etiquetas: DPO, Protección de datos

Si te ha gustado compártelo

Share on facebook
Share on linkedin
Share on twitter
Share on whatsapp
Share on email
Share on facebook
Facebook
Share on linkedin
LinkedIn
Share on twitter
Twitter
Share on whatsapp
WhatsApp
Share on email
Correo


Otros post relacionados

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

 

Pide Información

Escuela Internacional de Posgrados te informa que los datos del presente formulario serán tratados por Mainfor Soluciones Tecnológicas y Formación, S.L. como responsable de esta web. La finalidad de la recogida y tratamiento de los datos personales es para dar respuesta a la consulta realizada así como para el envío de información de los servicios del responsable del tratamiento. La legitimación es el consentimiento del interés.
Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en cumplimiento@mainfor.edu.es así como el derecho a presentar una reclamación ante la autoridad de control. Puedes consultar la información adicional y detallada sobre Protección de datos en la Política de Privacidad que encontrarás en nuestra página web eiposgrados.edu.es