Desde el 25 de mayo de 2018 es de plena aplicabilidad el nuevo Reglamento General europeo de Protección de Datos (RGPD), aprobado el 27 de abril 2016. Esta nueva legislación, que protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de sus datos personales, establece una serie de normas relacionadas con los tratamientos de datos personales y la libre circulación de los mismos.
Con relación a la legislación española sobre protección de datos de carácter personal, esta nueva normativa europea presenta un mayor componente de gestión de la privacidad o, dicho en otros términos, no solo se trata de tener implantados los mecanismos de privacidad (jurídicos, técnicos y organizativos), sino también de gestionarlos.
En el caso de la seguridad del tratamiento de datos personales, la privacidad sería la dimensión asociada a la protección de los derechos y libertades de las personas físicas en lo relativo a dichos tratamientos. Por lo tanto, estaríamos hablando de gestionar la seguridad de la información de los datos personales.
¿Cómo se puede entender este enfoque de gestión de la seguridad de datos personales? Pues, como en otros sistemas de gestión basados en normas ISO, a través de un ciclo de mejora continua en el que, de forma cíclica, se analice la privacidad, se planifiquen acciones de mejora, se implanten, se supervisen y se corrijan las insuficiencias. Este ciclo de mejora utilizado en sistemas de gestión como, por ejemplo, el SGSI (Sistema de Gestión de Seguridad de la Información) basado en la norma ISO 27001, se fundamenta en el ciclo de Deming (PDCA: Plan-Do-Check-Act).
Ciclo PDCA
Con respecto a la fase de planificación (‘Plan’) del ciclo PDCA, para ayudar a identificar las carencias relativas a la seguridad de los tratamientos de datos personales, conforme a lo estipulado en el artículo 32 del RGPD, se realizará un proceso de análisis de los riesgos de los tratamientos para los derechos y libertades de las personas físicas. La evaluación de estos riesgos tomando como referencia el riesgo aceptable será el indicador que sirva para decidir si las medidas actuales de seguridad del tratamiento son suficientes o si, por el contrario, es preciso llevar a cabo un proceso de gestión de los riesgos; es decir identificar nuevas medidas que mitiguen los riesgos no aceptables. Estas nuevas medidas de seguridad para mitigar los riesgos no aceptables, moduladas por otros factores como son el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, servirán para planificar los mecanismos de protección del tratamiento (fase ‘Plan’ del ciclo de mejora).
La implantación de estas medidas de seguridad del tratamiento de datos, junto con la supervisión continua de las mismas, representarían de alguna forma el ‘Do’ y ‘Check’ respectivamente. Las actuaciones que, a la luz de los resultados de esta supervisión y bajo posibles violaciones de seguridad, deban acometerse, constituirían el ‘Act’. Asimismo, ante nuevos tratamientos que puedan entrañar un alto riesgo para los derechos y libertades de las personas físicas, se deberán realizar evaluaciones de impacto, es decir, volver a repetir el ciclo de mejora.
Otras regulaciones
Este enfoque de la seguridad de los tratamientos orientada a riesgos es también adoptado por otras regulaciones y estándares de seguridad. Así, por ejemplo, la SGSI-ISO 27001 y el Esquema Nacional de Seguridad, ENS (RD 3/2010 modificado por el RD 951/2015), requieren de un análisis de riesgos de seguridad de la información.
Por lo tanto, en una organización en la que deba implantarse el RGPD, el ENS y/o la norma ISO 27001, podrá realizarse un análisis de riesgos conjunto, que sea el eje común a todo el marco regulatorio y que integre las amenazas de seguridad de la información con las asociadas a los tratamientos de datos personales para los derechos y libertades de las personas físicas.
La propia herramienta de análisis de riesgos PILAR (Programa Informático Lógico de Análisis de Riesgos, que implementa la metodología Magerit) ya incluye esta posibilidad.
La evaluación tomando como referencia el riesgo aceptable será el indicador que sirva para decidir si las medidas actuales de seguridad del tratamiento de datos son suficientes
Además, en el caso de las administraciones públicas, el propio proyecto de Ley Orgánica Protección de Datos española menciona en su disposición adicional primera (Medidas de seguridad en el ámbito del sector público) que el ENS incluirá las medidas de seguridad de tratamiento, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el mencionado artículo 32 del Reglamento (UE) 2016/679. Esto refuerza el argumento para realizar un proceso de análisis de riesgos conjunto RGPD-ENS.
Así, pues, una organización sujeta a diferentes requisitos regulatorios y estándares de seguridad (RGPD, ENS, ISO 27001) podría seguir el enfoque anteriormente descrito, desarrollando un proceso de análisis y gestión de riesgos en la seguridad y privacidad como eje común y punto de partida, y aprovechando las sinergias y coincidencias entre las distintas normas y leyes aplicables, a modo de simplificar los esfuerzos tanto de implantación como de mantenimiento.
