Existen diversas definiciones de riesgo. La más sencilla es definirlo como la probabilidad de que un bien pueda sufrir un daño.
El riesgo se deriva de la exposición a amenazas; por tanto, desde la perspectiva de la privacidad, es fundamental entender qué es una amenaza y cómo se pueden identificar escenarios de riesgo para los datos personales a partir de la misma.
Una amenaza es cualquier factor de riesgo con potencial para provocar un daño o perjuicio a los interesados sobre cuyos datos de carácter personal se realiza un tratamiento. Si ponemos el foco en la protección de los datos, las amenazas se pueden categorizar principalmente en tres tipos:
- Acceso ilegítimo a los datos: ¿qué daño causaría que lo conociera quien no debe?
- Modificación no autorizada de los datos: ¿qué perjuicio causaría que estuviera dañado o corrupto?
- Eliminación de los datos: ¿qué perjuicio causaría no tener un dato o no poder utilizarlo? u
Un riesgo se puede definir como la combinación de la probabilidad de que se materialice una amenaza y sus consecuencias negativas. El nivel de riesgo se mide según su probabilidad de materializarse y el impacto que tiene en caso de hacerlo.
Las amenazas y los riesgos asociados están directamente relacionados; en consecuencia, identificar los riesgos siempre implica considerar la amenaza que los puede originar.
El análisis de riesgo en el RGPD es el conjunto de actividades y tareas que permiten controlar la incertidumbre relativa a una amenaza mediante una secuencia de actividades que incluyen la identificación y evaluación del riesgo, así como, las medidas para su reducción o mitigación.
El análisis de riesgos se define como un proceso iterativo, enfocado en identificar las vulnerabilidades y amenazas para los activos de la información que son utilizados por una organización para alcanzar sus objetivos de negocio, y decidir qué medidas son necesarias para reducir el riesgo a un nivel aceptable, según el valor de ese activo para la organización.
Lo que el RGPD pide es que:
- Se evalúen los riesgos para la confidencialidad, integridad y disponibilidad de la información; y
- se implementen las medidas de seguridad necesarias para proteger la información.
El análisis de riesgo en el RGPD se puede dividir, por tanto, en tres etapas diferenciadas:
- La identificación y valoración de riesgos (activos y amenazas). Una vez definido el alcance [1], debemos identificar los activos más importantes que guardan relación con el departamento, proceso, o sistema objeto del estudio.
- La evaluación. Evaluar un riesgo implica considerar todos los posibles escenarios en los cuales el riesgo se haría efectivo. La evaluación de riesgos consiste en valorar el impacto de la exposición a la amenaza, junto a la probabilidad de que esta se materialice.
El impacto, por su parte, se determina en base a los posibles daños que se pueden producir si la amenaza se materializa. Por ejemplo, un impacto sería despreciable si no tuviera consecuencias sobre el interesado o, por el contrario, un impacto sería significativo si el daño ocasionado sobre los derechos y libertades del interesado fuese crítico. Según la probabilidad y el impacto, asociados a las amenazas, es posible determinar el nivel de riesgo inherente.
- El tratamiento de los riesgos. La última fase del proceso de gestión de riesgos es tratar los mismos. El objetivo de tratar los riesgos es disminuir su nivel de exposición con medidas de control que permitan reducir la probabilidad y/o impacto de que estos se materialicen.
A partir de la identificación de un riesgo inherente a la actividad de tratamiento de partida, se aplican una serie de medidas de seguridad y control que reduzcan su nivel de exposición, y se obtiene un riesgo residual.
[1] Recomendamos que el análisis de riesgos cubra la totalidad del alcance de los tratamientos, donde se han seleccionado las áreas estratégicas sobre las que mejorar la seguridad. Por otra parte, también es posible definir un alcance más limitado atendiendo a departamentos, procesos o sistemas. Por ejemplo, análisis de riesgos sobre los procesos del departamento Administración, análisis de riesgos sobre los procesos de gestión de Recursos Humanos o análisis de riesgos sobre los sistemas TIC relacionados con la página web de la empresa, etc.