Para asegurarte de estar cumpliendo la normativa, también debes estar seguro de que no estás poniendo datos personales en riesgo.
El primero de los conceptos que tenemos que explorar es: ¿qué es un riesgo? Un riesgo, como sabrás por otros ámbitos de la vida, es la posibilidad de que algo salga mal. Así que, el nivel de riesgo se medirá dependiendo de la probabilidad de este de hacerse real y del impacto que tendrá si se materializa. Ahora, subamos un escalón más: ¿qué es un análisis o evaluación de riesgos?
¿Qué es una evaluación de riesgos?
Se trata de un paso previo al establecimiento del tratamiento de los datos personales que hará una empresa. Es decir, antes de decidir cómo se gestionará la información personal en una compañía, se debe realizar una evaluación de riesgos para establecer cómo debe ser esta gestión. Dependiendo de los resultados de este análisis, posteriormente se establecerán los controles y medidas de seguridad pertinentes para garantizar los derechos y libertades de los interesados.
Para hacerlo, se considerarán todos los posibles escenarios, sobre todo el peor, en los que el riesgo tendría lugar. Se tendrán en cuenta también los posibles riesgos que se producirían por un mal uso o un abuso de la información y por problemas técnicos o alteraciones del entorno, como accidentes meteorológicos, por ejemplo. Así es, se trata de una previsión catastrofista para asegurarse de que se está preparado para todo lo que pueda surgir en relación a la seguridad de los datos. Algo parecido a cuando antes de salir de casa tu madre te vestía para todas las posibilidades meteorológicas posibles.
¿Y quién se encarga de hacerlo?
Ahora que sabes qué es, te preguntarás quién puede ayudarte a realizar una evaluación de riesgos en tu empresa. Si internamente cuentas con un delegado de protección de datos, ya tienes a la persona correcta. En el caso de que la respuesta sea no, no te preocupes. Solo debes designar a uno. En el caso de que en tu equipo no haya ningún integrantes con los conocimientos suficientes, puedes externalizar esta gestión.
¿Cuál es la ley que me obliga?
Te lo creas o no, ni el RGPD ni la LOPD plasman este requerimiento de forma expresa. Pero (siempre hay un pero), se puede extraer de ciertos artículos presentes en estas normativas. No te los escribiremos en este artículo, pero si quieres leerlos, se tratan del apartado 1 y 2 del artículo 25 del RGPD y del apartado 2 del artículo 32.
Ahora que ya sabes en qué consiste una evaluación de riesgos, puedes empezar a adaptar tu gestión de datos a la nueva normativa, si no lo habías hecho ya.
