Estamos en:
- Noticias >
- Una nueva herramienta para ayudar en el análisis de riesgos y las evaluaciones de impacto
Una nueva herramienta para ayudar en el análisis de riesgos y las evaluaciones de impacto
La Agencia Española de Protección de Datos (AEPD) pone a disposición de responsables y encargados del tratamiento, así como de los profesionales en protección de datos la herramienta Gestiona EIPD.
Se trata de una herramienta dirigida a la realización de evaluaciones de impacto sobre la protección de datos (EIPD), obligatorias cuando los responsables del tratamiento llevan a cabo tratamientos de alto riesgo.
Dado que una EIPD lleva implícita la realización de un análisis de riesgos, también es posible su uso en estos casos, ofreciendo la herramienta ambas alternativas, si bien, en su «Guía práctica de análisis de riesgos para el tratamiento de datos personales», la AEPD plantea la posibilidad de no realizar una valoración de los riesgos cuando habiendo sido identificados se puede considerar que el nivel inherente de los mismos (el que tiene el tratamiento antes de aplicar cualquier tipo de medida) es medio o bajo, simplificando en esos casos el análisis a la identificación y tratamiento del riesgo.
La evaluación de riesgos es, sin duda, la obligación cuyo cumplimiento genera más incertidumbre: ¿estaremos siendo suficientemente objetivos?, ¿nos estamos limitando a aplicar un listado de cumplimiento sin tener en cuenta en realidad los riesgos?
La herramienta consiste en un cuestionario online en el que se van haciendo preguntas para definir el contexto del tratamiento, para pasar después a la gestión de los riesgos propiamente dicha que consta de varias fases:
Primero, seleccionar todas aquellas amenazas del catálogo incluido en la herramienta, que se consideren aplicables al tratamiento objeto de análisis.
Para las amenazas seleccionadas se ofrecen posibles medidas de control, que el usuario debe seleccionar para mitigar el riesgo, eligiendo entre las opciones de un desplegable para cada amenaza, si, una vez aplicadas las medidas, la probabilidad y la gravedad son despreciables, limitadas, significativas o máximas.
Si aun así el riesgo sigue sin ser aceptable se ofrece la posibilidad de «mitigar» y seleccionar nuevas medidas.
Para utilizar la herramienta será necesario aplicar criterios objetivos para valorar la probabilidad y gravedad de la materialización de cada amenaza, cuestión en la que no nos ayuda, y en todo caso, tal y como explica la AEPD, la herramienta ofrece una información básica, que deberá ser completada por el responsable o el encargado con los distintos pasos que ofrece en sus Guías.
- IEE Informáticos Europeos Expertos
- Oña 11, octavo 1. Madrid 28050
- (34) 91 350 1373
- info@iee.es
© 2009 IEE Informáticos Europeos Expertos.