Realizar un análisis de riesgos de seguridad
Home » Redes sociales » Integridad y confidencialidad » Realizar un análisis de riesgos de seguridad

Según el principio de confidencialidad, los responsables deben minimizar los riesgos para los derechos, intereses y libertades de los interesados. Para ello, deben trabajar con un enfoque basado en el riesgo (véase la subsección “Integridad y confidencialidad” en la sección “Principios fundamentales” de la Parte general de estas Directrices). En todos los casos, los responsables deben asegurarse de que cumplen con los requisitos de protección de datos y de que pueden demostrar su cumplimiento, por ejemplo, mediante documentación (véase la subsección “Rendición de cuentas” en la sección “Principios fundamentales” de la Parte general de estas Directrices).

Para gestionar los riesgos para las personas que se derivan del tratamiento de los datos personales recogidos en las redes sociales, es importante que los responsables desarrollen una comprensión y una articulación maduras de los derechos fundamentales, los riesgos y la forma de equilibrar estos y otros intereses. En última instancia, es necesario que los responsables evalúen los riesgos para los derechos de las personas que plantea el uso de los datos, y determinen cómo deben abordarlos y establecer el impacto que esto tiene en su uso con fines de investigación. Para ello, hay dos factores clave que deben tenerse en cuenta:[1]

  • Los riesgos derivados del propio tratamiento, como la aparición de sesgos asociados a la elaboración de perfiles o a los sistemas automatizados de toma de decisiones.
  • Riesgos derivados del tratamiento en relación con el contexto social, y los efectos secundarios indirectamente relacionados con el objeto del tratamiento que puedan producirse.

Con el fin de minimizar dichos riesgos, Los responsables deben garantizar la aplicación de medidas técnicas y organizativas adecuadas para eliminar, o al menos mitigar, el riesgo de seguridad, reduciendo la probabilidad de que las amenazas identificadas se materialicen, o reduciendo su impacto. Es necesario tener en cuenta las normas de seguridad que ya existen en el mercado, así como las normas de cumplimiento en materia de protección de datos que se aplicarán al tratamiento. Además, los desarrolladores deben recordar siempre que el artículo 32, apartado 4, del RGPD aclara que un elemento importante de la seguridad es garantizar que “toda persona física que actúe bajo la autoridad del responsable o del encargado del tratamiento y que tenga acceso a los datos personales no los trate salvo siguiendo instrucciones del responsable, a menos que esté obligada a hacerlo en virtud del Derecho de la Unión o de los Estados miembros” (véase la subsección “Integridad y confidencialidad” en la sección “Principios fundamentales” de la parte general de estas directrices).

La descripción general de las medidas de seguridad técnicas y organizativas debe formar parte de los registros de tratamiento, siempre que sea posible (artículo 30, apartado 1, letra g), para los responsables, y 30, apartado 2, letra d), para los encargados del tratamiento) y todas las medidas aplicadas deben formar parte de la EIPD, como medidas de apoyo para limitar el riesgo. Por último, una vez aplicadas las medidas seleccionadas, el riesgo residual restante debe evaluarse y mantenerse bajo control. Tanto el análisis de riesgos como el EIPD son las herramientas que se aplican. La evaluación del riesgo y las decisiones adoptadas “deben documentarse para cumplir el requisito de la protección de datos desde el diseño” (del artículo 25 del RGPD) (véase la subsección “Protección de datos desde el diseño y por defecto (DPbDD)” en la sección “Conceptos y herramientas” de la parte general de estas directrices”).

Por último, los responsables del tratamiento deben ser siempre conscientes de que, según el artículo 32, apartado 1, letra d), del RGPD, la protección de datos es un proceso. Por lo tanto, deben probar, valorar y evaluar la eficacia de las medidas técnicas y organizativas con regularidad. En este momento deberían crearse procedimientos que ayuden a los responsables a identificar los cambios que desencadenen una revisión de la EIPD. Siempre que sea posible, los responsables deben tratar de imponer un modelo dinámico de supervisión de las medidas en cuestión (véase la subsección “Integridad y confidencialidad” en la sección “Principios fundamentales” de la parte general de estas directrices).

Lista de control: integridad y confidencialidad

☐ Los responsables del tratamiento han introducido los procedimientos necesarios para garantizar que los derechos de los interesados se satisfagan adecuadamente, independientemente de que los interesados sean los usuarios finales o terceros.

☐ Los responsables del tratamiento han introducido los procedimientos necesarios para garantizar que los derechos de los interesados se satisfagan a tiempo (como máximo un mes después de la solicitud).

☐ Los responsables han introducido herramientas eficaces para garantizar que los interesados puedan ejercer sus derechos de forma práctica, por ejemplo, introduciendo normas de interoperabilidad de datos.

☐ Los interesados están en condiciones de acceder a todos sus datos personales, incluidos los datos brutos que se recogen de las redes sociales

☐ Los responsables del tratamiento han implementado herramientas para leer, editar y modificar localmente los datos antes de transferirlos a cualquier responsable del tratamiento. Además, los datos personales tratados por un dispositivo se almacenan en un formato que permite la portabilidad de los datos

☐ Los responsables del tratamiento han implantado herramientas capaces de comunicar los datos rectificados a cada destinatario al que se hayan comunicado los datos personales, salvo que ello resulte imposible o suponga un esfuerzo desproporcionado.

☐ Los responsables del tratamiento han introducido herramientas capaces de garantizar la supresión eficaz de todos los datos a petición de los interesados si no hay razones legales para oponerse a esa petición.

☐ Los responsables se han asegurado de que los sistemas de retirada sean de grano fino y abarquen:

  1. cualquier dato recogido por un medio específico;
  2. un tipo específico de datos recogidos por cualquier medio;
  3. un tratamiento de datos específico

☐ Los responsables han documentado toda la información relativa a estas cuestiones.

 

 

  1. AEPD (2020) Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción. Agencia Española Protección Datos, Madrid, p.30. Disponible en: www.aepd.es/sites/default/files/2020-02/adecuacion-rgpd-ia.pdf (visitado el 15 de mayo del 2020).

 

Ir al contenido