El análisis de riesgos como elemento nuclear en materia de seguridad al amparo de la nueva normativa en materia de protección de datos
Autor | Víctor Cazurro Barahona |
Cargo del Autor | Doctor en Derecho con Mención Europea, con sobresaliente cum laude por unanimidad, por la Universidad de Valladolid |
Páginas | 77-99 |
COLECCIÓN MONOGRAFÍAS | PROTECCIÓN DE DATOS PERSONALES
CAPÍTULO SEGUNDO
77
El análisis de riesgos como elemento
nuclear en materia de seguridad al
amparo de la nueva normativa en
materia de protección de datos
I. Análisis de riesgos
Antes de comenzar con el estudio del análisis de riesgos, resulta con-
veniente analizar terminológicamente el concepto de gestión de riesgos, que
alude a aquellas actividades y tareas que hacen posible el control de la in-
certidumbre provocada por una amenaza a través de la aplicación de un
conjunto ordenado de actividades que incorporan la identicación y eva-
luación del riesgo, así como el conjunto de medidas necesarias para que este
se reduzca o suprima. En este sentido, la gestión de riesgos se puede dividir
en tres etapas bien diferenciadas:
SUMARIO: I . ANÁLISIS DE RIESGOS. 1. Protección de datos
desde el diseño. 2. Determinación de la necesidad de realizar una
Evaluación de Impacto. 3. Contenido mínimo exigible de una Eva-
luación de Impacto y función consultiva de la Agencia Española de
Protección de Datos. 4. Análisis básico de riesgos.
COLECCIÓN MONOGRAFÍAS | PROTECCIÓN DE DATOS PERSONALES
SEGURIDAD DEL TRATAMIENTO: ASPECTOS TÉCNICOS (PARTE I)
VÍCTOR CAZURRO BARAHONA
78
1) Identificación de riesgos
La primera fase del proceso de gestión de riesgos consiste en iden-
ticar los mismos. El riesgo es una consecuencia de la exposición frente a
amenazas.
Una amenaza alude a todo factor de riesgo con potencial para pro-
vocar un daño o perjuicio a los titulares de los datos personales objeto de
tratamiento, es decir, a los interesados. Si prestamos atención a la protección
de los datos, las amenazas se pueden clasicar, en esencia, en tres tipos:
• Acceso ilegítimo a los datos personales, haciendo referencia al
daño que provocaría que los datos fueran conocidos por individuos
no autorizados, afectando, con ello, a la dimensión de la conden-
cialidad.
• Modicación no autoriz ada de los datos, aludiendo al perjuicio que
causaría que el dato personal estuviera dañado o corrupto, afectando
a la dimensión de la integridad.
• Eliminación de los datos, atendiendo al perjuicio que se desenca-
denaría por no tener un dato personal determinado o por no poder
utilizarlo, afectando, con ello, a la dimensión de la disponibilidad.
Por su parte, el riesgo puede ser denido como la combinación de la
posibilidad de que se materialice una amenaza y las consecuencias ne-
gativas que ello comportaría. El nivel de riesgo se mide en función de la
probabilidad de materializarse y el impacto que tiene en caso de hacerlo. De
este modo, las amenazas y los riesgos asociados están intrínsecamente rela-
cionados, de tal suerte que la identicación de los riesgos siempre comporta
la consideración de la amenaza que los puede originar.
A la vista de lo anterior, resulta imprescindible que, desde el punto de
vista de la privacidad, se entienda qué es una amenaza y cómo se pueden
detectar escenarios que comporten un riesgo para los datos personales a
partir de dicha amenaza.
Para continuar leyendo
Solicita tu prueba