Más contenido relacionado
La actualidad más candente (13)
Similar a Análisis de Impacto a la Privacidad (PIA) (20)
Análisis de Impacto a la Privacidad (PIA)
- 1. Introducción - problemática
La realidad empresarial actual, presidida por la innovación, la
especialización y la diferenciación, se caracteriza por la contínua
puesta en circulación o producción de nuevos elementos (productos,
servicios, iniciativas, proyectos, sistemas, etc.) apoyados, como no
podía ser de otra manera, en el tratamiento de información que,
en la mayoría de los casos, incluye datos de carácter personal
pertenecientes a diferentes colectivos de interesados.
El tratamiento de dicha información en el contexto de estos
nuevos elementos se encuentra expuesto a una serie de riesgos
cuya materialización generaría un impacto negativo, no sólo a
las organizaciones que la manejan (desde el punto de vista de
incumplimientos legales, crisis reputacionales, etc.), sino también
a los titulares de la misma, especialmente en el caso de los datos
de carácter personal (en lo relativo a pérdida de confidencialidad,
principalmente).
Así, resulta primordial, por una parte, analizar y gestionar, en una
etapa temprana, los riesgos que para la privacidad (además de para
otras disciplinas) tiene, o podría tener, la puesta en circulación o
producción de los elementos indicados anteriormente y, por la otra,
crear una cultura de hacerlo de manera instintiva. Es lo que, en
conjunto, se conoce como “privacy by design.”
Con la publicación, el pasado 4 de mayo de 2016, del Reglamento
(UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril
de 2016, relativo a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de
Análisis de Impacto a la Privacidad (PIA)
Pallars 99, planta 4, oficina 41
08018 Barcelona
Tel.: +34 902 480 580
Fax: +34 934 675 830
www.sia.es
Avda. de Europa, 2
Alcor Plaza - Edificio B - Parque Oeste Alcorcón
28922 Alcorcón - Madrid
Tel.: +34 902 480 580
Fax: +34 913 077 980
estos datos, y por el que se deroga la Directiva 95/46/CE, se introduce
la exigencia de realizar evaluaciones de impacto a la protección de
datos, especialmente cuando el tratamiento entrañe un alto riesgo
para los derechos y libertades de las personas físicas (tratamiento de
datos a gran escala, tratamiento de categorías especiales de datos,
utilización nuevas tecnologías, etc.).
Descripción de la solución
Para que las organizaciones puedan evaluar y gestionar
adecuadamente los riesgos que para la privacidad y la protección de
datos tiene la puesta en circulación de nuevos productos y servicios,
o la subida a producción de nuevas iniciativas, proyectos, o sistemas,
Grupo SIA ha desarrollado una solución articulada en torno a las
siguientes fases, descritas a continuación de forma sumaria.
• Análisis de necesidad: Evaluación de la conveniencia, o no, de
realizar un PIA sobre el elemento afectado (producto, servicio,
iniciativa, proyecto, sistema, etc.), atendiendo, tanto a los supuestos
particulares previstos en el Reglamento, como a los criterios “ad
hoc” definidos para cada organización, en atención a casuísticas
propias.
• Descripción: Determinación de la información y principales
atributos del elemento afectado, así como de los flujos de
información que lo integran.
• Riesgos: Identificación y gestión de los riesgos que se ciernen sobre
el elemento afectado, a través de MARA© (Metodología de Análisis
de Riesgos Ágil de SIA).
• Informe final: Documento que plasma, de forma ejecutiva, los
resultados derivados de las fases anteriores, describiendo, en
particular, el nivel de riesgo residual, así como el plan de acción
definido para, en su caso, mitigarlo hacia niveles aceptables.
- 2. www.sia.es
Avda. de Europa, 2
Alcor Plaza - Edificio B
Parque Oeste Alcorcón
28922 Alcorcón - Madrid
Tel.: +34 902 480 580
Fax: +34 913 077 980
Pallars 99
planta 4, oficina 41
08018 Barcelona
Tel.: +34 902 480 580
Fax: +34 934 675 830
Detalle de la fase de Riesgos
Tal y como se indicaba anteriormente la solución desarrollada por
SIA se apoya, en la fase de Riesgos, en el uso de MARA©, actuando,
a su vez, como metodología y herramienta de análisis de riesgos.
MARA© se fundamenta en tres pilares principales: metodología,
modelo y herramienta, lo que permite llevar a cabo un análisis de
riesgos siguiendo un proceso completo y definido que garantiza
que los análisis de riesgos que se realicen siguen los principios de
homogeneidad, coherencia y comparabilidad.
Por otra parte, MARA© se ha desarrollado tomando como
referencia metodologías de análisis y gestión de riesgos
internacionalmente reconocidas (ISO/IEC 27005; ISO 31010;
MAGERIT, etc.)
El proceso de análisis de riesgos a través de MARA© se estructura
en las siguientes fases:
• Caracterización del entorno: Permite conocer el entorno y sus
características, permitiendo identificar amenazas y riesgos.
La caracterización del entorno se lleva a cabo a través de un
cuestionario inicial.
• Caracterización de las amenazas: La metodología propone la
existencia de maestros que identifiquen y valoren las amenazas
en función de las respuestas seleccionadas en el cuestionario
anteriormente indicado.
• Evaluación de salvaguardas: Cuyo objetivo es determinar el estado
actual del riesgo, a partir de un catálogo de controles coherente
con el catálogo de riesgos bajo análisis y con el elemento objeto de
evaluación.
• Evaluación: Evaluación de la situación actual en comparación con la
situación objetivo, para identificar los riesgos más problemáticos y
las salvaguardas que permiten alcanzar de forma más eficiente los
objetivos deseados.
Servicios relacionados
Adecuación
LOPD
Concienciación
Privacidad
Auditoría
Regl. LOPD
Herramienta
Adecuación
Regl. Europeo
Análisis de
Impacto a la
Privacidad (PIA)
Data Privacy
Officer (DPO)
Supervisión
Encargados del
Tratamiento
SATEL®
Actuaciones y
procesos AEPD
servicios asociados a la pdcp
E
Fase 2
Caracterización
de las amenazas
Fase 3
Evaluación de
salvaguardas
Fase 4
Evaluación
Fase 1
Caracterización
del entorno
Análisis de
Impacto a la
Privacidad
[PIA]