El tratamiento de datos ha sido siempre un tema delicado porque una filtración puede dar a conocer determinadas circunstancias de una persona que afecten a sus derechos y libertades. Para limitar estos riesgos de la protección de datos, tanto la Unión Europea como los distintos países que la forman han instaurado leyes como la LOPD española (articulada en el posterior reglamento LOPD), que prevé cuantiosas sanciones para quienes atenten contra la privacidad de las personas. Estas multas afectan especialmente a las empresas.
Ley de Protección de Datos en las empresas
No en balde, las corporaciones mercantiles manejan millones de datos personales de sus clientes y deben tener mucho cuidado con ellos. De difundirse aspectos como las creencias religiosas o la ideología política de uno de aquellos, en según que circunstancias, podrían lesionar sus derechos y libertades. En consecuencia, es muy importante que las empresas hagan un adecuado enfoque de los peligros que conlleva manejar tan amplia información. Y este se hace mediante una herramienta que, entre las empresas de protección de datos, se conoce como análisis de riesgos.
Se trata de un sistema al cual podríamos definir como la investigación metódica y sistemática realizada a través de métricas que permiten cuantificar el grado de riesgo. Dicho con otras palabras, un estudio basado en determinados parámetros que ayuda a saber hasta dónde se pueden utilizar esos datos personales sin peligro para sus titulares.
Para realizar un buen análisis de riesgos deben estudiarse al menos dos vertientes: de una parte, las medidas de seguridad tanto técnicas como organizativas que la empresa utiliza para proteger esos datos, y, de otra, hasta dónde puede utilizarlos sin atentar contra la intimidad de los propietarios de los mismos. Ambas son importantes. La primera porque afecta a la entidad que maneja los datos, pues corre el riesgo de sufrir una fuerte sanción. Y la segunda porque afecta a los individuos a quien pertenecen y su difusión puede tener consecuencias negativas para ellos.
Y, volviendo a las metodologías utilizadas para realizar estos análisis, son de tres tipos en función de su procedencia. Una primera clase es la que viene del propio sector de negocio en que se inscribe la empresa en cuestión. Un segundo tipo procede del mundo normativo. Un buen ejemplo de este serían las normas ISO 31000 y 31010, o la más específica para la seguridad de la información ISO 27005. Finalmente, una tercera clase viene del propio Consejo Superior de Administración Electrónica: es el caso de la llamada metodología MAGERIT, especialmente centrada también en la utilización de las Tecnología de la Información.
Fases del análisis de riesgos de la protección de datos
Por otra parte y siguiendo los parámetros de las normas citadas, todo buen análisis de riesgos debe presentar, a grandes rasgos, estas fases:
– La de comunicación: hacer que todo el personal de la empresa sea consciente de los peligros que conlleva manejar datos. Igualmente, formarlo y dotarlo de las herramientas necesarias para prevenir esos riesgos.
– La del contexto: concretar el marco en el que ha de desarrollarse ese análisis de riesgos. Ello se hace a partir de cuestiones como el sector en que se desenvuelve la empresa, la legislación que le es aplicable y la cantidad de empleados que van a manejar los datos personales.
– La de identificación de riesgos: realizadas con éxito las dos anteriores, la empresa está en condiciones de elaborar un mapa de riesgos general. Con él, sabrá tanto los puntos más vulnerables de su organización como el alcance de posibles daños.
– La de análisis: llegará así a la propia etapa de analizar esos riesgos y, mediante una técnica de escalas (cualitativas y cuantitativas), desarrollar valores reales para cada uno de aquellos.
– La de gestión: establecer protecciones para cada riesgo considerando el coste-beneficio de las mismas.
– La de seguimiento: finalmente, una vez que se han tomado todas las medidas, debe realizarse una vigilancia continua de los riesgos. Se hace mediante auditorías o informes y permite observar cualquier modificación que requiera, a su vez, cambiar la estrategia de protección.
Es necesario incidir en el mapa de riesgos a que aludíamos en la fase de identificación, pues se trata de un elemento de vital importancia. Debe estar constituido por la suma de cada uno de los riesgos. Pero, además, dentro de la propia empresa, tiene que haber un mapa de riesgos para cada departamento que maneje datos personales. La razón es que no hace el mismo uso de ellos uno que otro. Por ejemplo, recursos humanos utilizará esos datos para una cosa, mientras que contabilidad lo hará para otra.
Además, ese mapa de riesgos debe ser dinámico, tiene que evolucionar. En el normal desarrollo de la actividad de una empresa se producen incidencias, cambios en las leyes y otras circunstancias que obligan a revisar la situación de esos riesgos. En este sentido, para que el mapa sea correcto, es conveniente asignar a cada riesgo una salvaguarda, de tal forma que, en paralelo a aquel, habrá también un mapa de salvaguardas.
El Reglamento General de Protección de Datos incluye el análisis de riesgos en el llamado «principio de responsabilidad proactiva». Significa esto que los responsables de manejar los datos tienen que poder demostrar siempre que el tratamiento que hacen de los mismos es lícito. Dicho con otras palabras, que cada vez que tratan unos datos lo hacen en el contexto adecuado y debidamente protegidos. No en balde, esa información, de ser manipulada, puede atentar contra los derechos y la libertad de sus titulares e incluso, en determinados casos, contra la seguridad de la información en general.
En conclusión, las empresas deben tener muy en cuenta los riesgos de la protección de datos. Y, para ejercer un debido control sobre ellos, cuentan con herramientas como el análisis de riesgos que aquí hemos caracterizado. El resultado del mismo debe ser preciso, ya que tiene que mantener un equilibrio entre el lógico uso comercial de esos datos y la privacidad de su titular. Así lo establecen la Ley General de Protección de Datos junto a sus normativas afines y, además, es lo razonable.
