La nueva PIA Evalúa Riesgo adopta la metodología de la guía de la Agencia para estimar la necesidad de llevar a cabo evaluaciones de impacto de protección de datos
Uno de los objetivos principales de las legislaciones de privacidad en general es proteger los derechos y libertades de los interesados en el tratamiento de datos, así como evaluar los factores de riesgo inherentes para las empresas. Para que las empresas tengan un soporte técnico ante los posibles problemas y poder así anticiparse a futuras consecuencias negativas para la organización, es imprescindible que haya una metodología de gestión de riesgos en sus evaluaciones.
En España, la Agencia Española de Protección de Datos (AEPD) ha actuado con mucha especificidad técnica en sus proposiciones de gestión de riesgo, como ya hacía con anterioridad a la aplicación del RGPD. Es por esa acumulación de experiencia previa que la agencia ha producido la Guía de Gestión del Riesgo y Evaluación de Impacto en Tratamientos de Datos Personales.
La AEPD también ha creado una serie de herramientas con el fin de ayudar a los responsables y encargados de identificar los factores de riesgo asociados al derechos y libertades de los interesados, como es el caso de Evalúa-Riesgo RGPD.
Índice de temas
La conexión entre automatización y gestión de riesgos
La gestión de riesgos en el tratamiento de datos es uno de los factores que más necesita de la implementación de herramientas de automatización. Todos los cambios normativos u organizativos relacionados con el tratamiento, impactan directamente la forma y el resultado de la evaluación de riesgos.
Además, si no hay un mecanismo de centralización de los puntos comunes entre las evaluaciones -pues muchas veces los tratamientos tienen activos comunes- los equipos de privacidad tendrán una dificultad inmensa al tener que realizar cambios manuales.
La incorporación de la metodología de la AEPD
Utilizando las capacidades de automatización de OneTrust en su módulo de Assessment Automations (Automatización de Evaluaciones), hemos creado un flujo único y específico basado en la metodología del Guía de la AEPD. Es así como ha nacido la herramienta PIA Evalúa Riesgo.
El objetivo de la plantilla es incorporar tanto la metodología de la Guía de la AEPD así como la capacidad de la herramienta Evalúa Riesgo para obtener, al final de la evaluación, una recomendación sobre la de necesidad de elaboración de un DPIA.
Pero con las capacidades de OneTrust, ha sido posible ir más lejos. La PIA Evalúa Riesgo tiene una metodología compleja en que se permite no solo reunir de una manera automatizada todo el inventario de riesgos evaluados en los factores del tratamiento, sino también generar las clasificaciones de los riesgos inherentes y la recomendación con relación a la necesidad de elaboración de la DPIA.
La plantilla posee una fórmula interna que considera los niveles de riesgo inherentes de todos los factores evaluados, como la finalidad, los interesados en el tratamiento, los factores técnicos utilizados en el tratamiento, el proceso de recogida o la extensión de la actividad, así como también los posibles efectos colaterales del tratamiento que puedan afectar a los derechos y libertades de los interesados.
Las ventajas de utilizar la nueva plantilla
Los equipos de privacidad que usen la PIA Evalúa Riesgo para evaluaciones específicas enmarcadas en el RGPD y la LOPDGDD pueden planear una estrategia de evaluación automatizada de todos los tratamientos realizados aprovechando los puntos comunes de las evaluaciones.
El nivel humano de revisión deberá ser mínimo y el trabajo manual muta de copiar y describir a efectivamente gestionar y controlar los riesgos inherentes en los tratamientos.
Entre las principales ventajas en el uso de esta plantilla están, entre otras:
- La obtención de un informe final tras la evaluación con la indicación de todos los factores de riesgos y sus clasificaciones inherentes en los niveles Bajo, Medio, Alto o Muy Alto.
- La integración con los criterios de control adecuados para posterior documentación de los medios adoptados para eliminación, transferencia o mitigación de riesgos.
- La completa integración de los factores evaluados con otras plantillas, como la EIPD Gestiona Riesgo, aprovechando la evaluación de los mismos factores en caso de posterior elaboración de la DPIA.
- La inclusión de una sección específica en que se podrá evaluar el impacto y probabilidad de una brecha de seguridad en la actividad de tratamiento.
- La clasificación automatizada del nivel de impacto en Muy Limitado, Limitado, Significativo o Muy Significativo en función de cómo una pérdida total o parcial del activo en la dimensión de la Confidencialidad, Disponibilidad, Integridad, Autenticidad, Resiliencia, Fallos en Garantías Técnicas y Errores en las Aplicaciones afecte a los derechos u libertades de los interesados.
Regístrate al webinar que OneTrust ha organizado para el miércoles, 27 de abril, para saber más sobre el producto y ver en directo cómo te puede facilitar tus procesos de evaluación.