Red Seguridad 081

26 red seguridad segundo trimestre 2018 protección de datos opinión Análisis de riesgos: eje común en un enfoque holístico de gestión de seguridad y privacidad Elisa García Responsable de Estrategia de Negocio Consultoría y Seguridad de Ingenia medidas que mitiguen los riesgos no aceptables. Estas nuevas medi- das de seguridad para mitigar los riesgos no aceptables, moduladas por otros factores como son el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, servirán para planificar los mecanismos de protección del tratamiento (fase ‘Plan’ del ciclo de mejora). La implantación de estas medidas de seguridad del tratamiento, junto con la supervisión continua de las mismas, representarían de alguna forma el ‘Do’ y ‘Check’ respectiva- mente. Las actuaciones que, a la luz de los resultados de esta supervisión y bajo posibles violaciones de segu- ridad, deban acometerse, constitui- rían el 'Act'. Asimismo, ante nuevos tratamientos que puedan entrañar un alto riesgo para los derechos y libertades de las personas físicas, se deberán realizar evaluaciones de impacto, es decir, volver a repetir el ciclo de mejora. Otras regulaciones Este enfoque de la seguridad de los tratamientos orientada a riesgos es también adoptado por otras regu- laciones y estándares de seguri- dad. Así, por ejemplo, la SGSI-ISO en otros sistemas de gestión basa- dos en normas ISO, a través de un ciclo de mejora continua en el que, de forma cíclica, se analice la privacidad, se planifiquen acciones de mejora, se implanten, se super- visen y se corrijan las insuficiencias. Este ciclo de mejora utilizado en sistemas de gestión como, por ejem- plo, el SGSI (Sistema de Gestión de Seguridad de la Información) basado en la norma ISO 27001, se funda- menta en el ciclo de Deming (PDCA: Plan-Do-Check-Act). Ciclo PDCA Con respecto a la fase de plani- ficación (‘Plan’) del ciclo PDCA, para ayudar a identificar las caren- cias relativas a la seguridad de los tratamientos de datos perso- nales, conforme a lo estipulado en el artículo 32 del RGPD, se realizará un proceso de análisis de los riesgos de los tratamientos para los derechos y libertades de las personas físicas. La evaluación de estos riesgos tomando como referencia el riesgo aceptable será el indicador que sirva para decidir si las medidas actuales de seguridad del tratamiento son suficientes o si, por el contrario, es preciso llevar a cabo un proceso de gestión de los riesgos; es decir identificar nuevas D esde el 25 de mayo de 2018 es de plena aplicabilidad el nuevo Reglamento General europeo de Protección de Datos (RGPD), apro- bado el 27 de abril 2016. Esta nueva legislación, que protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de sus datos personales, establece una serie de normas relacionadas con los trata- mientos de datos personales y la libre circulación de los mismos. Con relación a la legislación espa- ñola sobre protección de datos de carácter personal, esta nueva nor- mativa europea presenta un mayor componente de gestión de la priva- cidad o, dicho en otros términos, no solo se trata de tener implantados los mecanismos de privacidad (jurídicos, técnicos y organizativos), sino tam- bién de gestionarlos. En el caso de la seguridad de los tratamientos de datos personales, la privacidad sería la dimensión asocia- da a la protección de los derechos y libertades de las personas físicas en lo relativo a dichos tratamientos. Por lo tanto, estaríamos hablando de gestionar la seguridad de la informa- ción de los datos personales. ¿Cómo se puede entender este enfoque de gestión de la seguridad de datos personales? Pues, como