Reglamento (UE) 2016/6/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento de Protección de Datos)

Por Lola Heras, consultora de sistemas de gestión de Audisec-GlobalSUITE

Con el Reglamento Europeo de Protección de Datos (RGPD), cambia el concepto que teníamos anteriormente sobre las medidas de seguridad a aplicar a los tratamientos de datos. Hasta ahora, era fácil saberlo, ya que una vez que conocíamos el nivel de seguridad del fichero, solo debíamos seguir lo dispuesto en el reglamento y aplicar las medidas correspondientes. Ahora cambia, el responsable del tratamiento tiene que aplicar las medidas oportunas y eficaces, las cuales tienen que tener en cuenta: la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas físicas. Esto conlleva la valoración de la existencia de riesgos en términos de probabilidad y gravedad para los tratamientos de datos y demostrar la eficacia de las medidas de seguridad implantadas como resultado de dicho análisis. Esta valoración es necesaria hacerla tanto en el diseño de nuevos productos, políticas, etc. Como por defecto en los que ya existen.

Este cambio normativo, supone un acercamiento a otras normativas existentes, en las que el análisis de riesgos es parte intrínseca, para determinar que controles o medidas se deben de aplicar. Haciendo un rápido repaso de algunas de ellas, nos encontramos con:

1. Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, donde se deben de valorar los servicios e información en términos de confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad, y según el nivel de riesgo, se aplican las medidas de seguridad, cuyo listado, es muy similar al anexo A de la norma ISO 27001, de seguridad de la información.
2. Real Decreto 304/2014, de 5 de mayo, por el que se aprueba el Reglamento de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, en donde se exige que para determinar el nivel de riesgo del cliente se debe de analizar sus parámetros de riesgo, entre los que se encuentran, localización geográfica u operaciones. Siendo obligatorio adicionalmente para la propia empresa analizar su propio riesgo de negocio teniendo en cuenta todo su entorno: clientes, productos, canales, etc.
3. Ley 8/2011 por la que se establecen medidas para la Protección de las Infraestructuras Críticas, para aquellos operadores que sean nombrados infraestructura crítica, estos deben de analizar el riesgo desde la perspectiva de un ataque físico y lógico, para garantizar la continuidad del servicio prestado.
4. Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, tras su reforma del año 2015, en su art. 31, bis donde se establece la responsabilidad penal de la persona jurídica. Para poder eximirse o atenuar su responsabilidad, es necesario, que entre otras medidas, se realizase un análisis de riesgos de comisión de delitos en los procesos de negocio de la organización.

Como vemos, la tendencia de los legisladores, esta orienta a que los sujetos obligados tengan que analizar sus procesos, de forma que las medidas que tengan que aplicar sean exactamente aquellas que se necesiten, ni más ni menos.

Esto es relativamente sencillo, para aquellas empresas que ya tienen cultura en la realización de los análisis de riesgos, como pueden ser aquellas que tengan una norma ISO, que ya tienen establecida una metodología. Para aquellas organizaciones que tienen que empezar de cero, existen normas que pueden servir de base, como es la ISO 31000, donde se definen los siguientes pasos de un análisis de riesgos.

Para ello, nuestra herramienta GlobalSUITE Compliance permite una gestión ágil del cumplimiento legal, contractual y normativo que nos propone este tipo de estándares, en la que podremos saber en cualquier momento el grado de cumplimiento con éstos, establecer una relación con nuestros controles del plan de tratamiento, relación de las distintas cláusulas con la última versión de cada uno de los documentos relacionados desde su gestor documental, generación de informes automáticos a partir de los resultados obtenidos, establecer planes de adecuación para los requisitos de manera automática, además de dar soporte a la realización de análisis de brecha contra cualquier marco normativo.