A partir de la entrada en vigor de regulaciones como el Reglamento General de Protección de Datos de la UE, y otras normativas de seguridad de la información en diferentes regiones del planeta, cobra importancia la Evaluación de Impacto de la Protección de Datos.
El cumplimiento con RGPD, con otras normativas que persiguen similares objetivos o con estándares internacionales como ISO 27001, mueve a las organizaciones y a los profesionales en el área, a practicar evaluaciones de riesgos. Entre ellas, la Evaluación de Impacto de la Protección de Datos.
Dado que se trata de un tipo de análisis menos conocido, a continuación, explicamos qué es una Evaluación de Impacto de la Protección de Datos, por qué es importante realizarla y qué pasos se pueden seguir para llevarla a cabo.
¿Qué es una Evaluación de Impacto de la Protección de Datos?
La Evaluación de Impacto de la Protección de Datos es una herramienta que determina el riesgo que existe de que los procesos de la organización impacten o comprometan la privacidad de los clientes, los empleados, o cualquier otra persona u organización sobre la que sea preciso recopilar, procesar o almacenar datos.
Así, se puede considerar la Evaluación como un tipo de evaluación de riesgos. Como tal, la Evaluación clasifica los riesgos de acuerdo con los dos típicos criterios: probabilidad y gravedad del impacto.
Pero la Evaluación de Impacto de la Protección de Datos va un poco más allá de lo que lo haría cualquier evaluación de riesgos: ayuda a eliminar o mitigar riesgos, ajustando los procesos o sugiriendo procesos alternativos.
Los resultados de esta evaluación permiten a los encargados del área de Seguridad de la Información tomar decisiones sobre acciones que no se hayan implementado y que contribuyan a asegurar la invulnerabilidad de la privacidad de las personas.
La Evaluación de Impacto de la Protección de Datos ayuda a las organizaciones a alcanzar la conformidad con estándares como ISO 27001, mejorar su reputación y ofrecer confianza a sus clientes y partes interesadas, además de reducir o eliminar el riesgo de sanciones por infracciones a las normas.
¿Quién debe realizar la Evaluación de Impacto de la Protección de Datos?
Es importante aclarar que la Evaluación es obligatoria para algunas organizaciones, y recomendable para todas. En uno u otro caso, es el Oficial de Seguridad de la Información, o quien cumpla sus funciones, el responsable de realizar la Evaluación.
La obligatoriedad está determinada por el riesgo. Y el riesgo predomina en organizaciones, procesos, sistemas o proyectos que hacen uso de recursos tecnológicos innovadores, que han implementado procesos de transformación digital, automatizado y digitalizado sistemas de gestión.
Aunque este tipo de organizaciones, sin duda, están a la vanguardia de su industria, usualmente recopilan y procesan datos sin que necesariamente se avise a la persona afectada, por lo que el riesgo de impacto a la privacidad aumenta.
Igualmente, las organizaciones que procesan datos relacionados con delitos, o realizan actividades de venta de bienes o servicios online, también deben realizar la evaluación.
Otras organizaciones obligadas a realizar la evaluación son las que:
- Supervisan lugares de acceso público a gran escala.
- Tienen un alto riesgo de violaciones de seguridad, poniendo en peligro la salud o la integridad de una persona.
- Procesan datos biométricos o genéticos.
Finalmente, la Evaluación de Impacto de la Protección de Datos es una tarea cíclica y continua. Esto significa que se realiza de forma periódica, siempre buscando la disminución del riesgo.
¿Cómo se realiza la Evaluación de la Protección de Datos?
Usualmente, la Evaluación se realiza cuando inicia un nuevo proyecto, se adopta una nueva tecnología, se implementan procesos nuevos o se presentan cambios o indicadores que señalan la obligación y necesidad de practicarla.
De cualquier forma, la evaluación debería incluir como mínimo estos pasos:
1. Establecer la pertinencia de la Evaluación
Para un proyecto o proceso o para la organización en general.
2. Definir las formas en que se recopilará la información
Para la práctica de la Evaluación. Para esto es preciso tener en cuenta la razón por la que se realiza la tarea, el contexto, los objetivos que se persiguen y la naturaleza del negocio, entre otros elementos esenciales.
Aprende qué es la evaluación de impacto de la #ProtecciónDatos y los pasos que es preciso seguir para realizarla con éxito para la organización #ISO27001 #SeguridadInformación Share on X3. Considerar si se requerirá consultor externo o no
La naturaleza y la gravedad de los riesgos, o la complejidad tecnológica de la organización, son factores que pueden hacer necesario contratar consultoría externa. Usualmente es el Oficial de Seguridad de la Información, o el profesional especializado en Seguridad de la Información, el indicado para desarrollar la Evaluación.
4. Identificar problemas de cumplimiento
Esto incluye evaluar los requisitos para la recopilación y tratamiento de los datos, la necesidad de hacerlo y la proporcionalidad con la que se hace.
5. Identificar y evaluar los riesgos
Este es el paso medular de la Evaluación. Es en este momento en el que se identifican los riesgos, con su probabilidad de ocurrencia y la gravedad de su impacto.
6. Definir acciones para tratar los riesgos
Algunas serán medidas que eliminen el riesgo. Otras, mitigarán su impacto o la probabilidad de ocurrencia. Algunos riesgos se podrán tolerar y admitir, en tanto que un saldo residual podría ser compartido.
7. Documentar y registrar
Todo lo acontecido, que se reunirá en un informe a las áreas implicadas y, particularmente, a la Alta Dirección.
8. Integrar los resultados en la estrategia de negocio
Haciendo que se alineen con los objetivos de negocio de la organización, su misión y su visión.
9. Monitorear, revisar y reiniciar el proceso
La Evaluación de Impacto de la Protección de Datos es cíclica, periódica y continua. El punto en que termina una, es el de partida de la siguiente, siempre buscando la mejora continua.
La Evaluación de Impacto de la Protección de Datos es una tarea que está dentro de la órbita de un profesional especializado en Seguridad de la Información, como los que resultan del programa de formación que resaltamos en nuestro apartado final.
Diplomado en Seguridad de la Información – ISO 27001
El Diplomado en Seguridad de la Información ISO/IEC 27001 aborda todos los requisitos de la norma, así como la forma en que esta ayuda al cumplimiento del Reglamento General de Protección de Datos de la UE.
Los alumnos de este programa son competentes para planificar, implementar, mantener, auditar y llevar a la certificación de un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001.
Finalizado el Diplomado, los estudiantes reciben titulación como expertos en seguridad de la información, como auditores internos, pero también encuentran un camino muy fácil para obtener el certificado ERCA –Registro Europeo de Auditores Certificados. Impulsa tu carrera hacia el futuro empezando aquí.