¿En qué se diferencia una EIPD de una evaluación de seguridad?
Home » RGPD » Principales herramientas y acciones » Evaluación de Impacto relativa a la Protección de Datos (EIPD)  » ¿En qué se diferencia una EIPD de una evaluación de seguridad?

Muchas personas están más familiarizadas con la seguridad informática que con la protección de datos y utilizan metáforas de seguridad para pensar también en la protección de datos. Dado que esto es muy engañoso y puede dar lugar a EIPD inaceptables, esta sección explica la diferencia entre la protección de datos y las evaluaciones de impacto sobre la seguridad.

En el RGPD, la protección de datos y, por tanto, su cumplimiento, requiere la aplicación de medidas técnicas y organizativas[1]. Resulta un tanto engañoso que los registros de tratamiento que deben demostrar el cumplimiento[2] incluyan únicamente información sobre las medidas de seguridad técnicas y organizativas[3]. Por lo tanto, es importante tener en cuenta que una EIPD va más allá de la mera descripción de las medidas y que las medidas de las que se informa en una EIPD (artículo 35, apartado 7, letra d) del RGPD) no se limitan en absoluto a los aspectos de seguridad.

Desde el punto de vista de la seguridad, los datos deben estar protegidos contra los ataques externos e internos y los acontecimientos indeseables (como los fallos técnicos). A menudo se habla de proteger los datos en reposo, en tránsito y en uso. El hecho de que un riesgo residual sea aceptable se decide en función de la organización del responsable del tratamiento. Esta perspectiva no es aplicable a la protección de datos, aunque la expresión “proteger los datos contra los ataques” pueda entenderse como tal.

Aunque la protección de datos también contempla la protección contra ataques y sucesos indeseables, es decir, la seguridad[4], este aspecto sólo abarca uno [5]de los seis[6] principios de la protección de datos (véase “Integridad y confidencialidad” en la sección “Principios” de la Parte II de estas Directrices). En otras palabras, la seguridad informática es un requisito previo para el tratamiento conforme, pero dista mucho de la conformidad total.

Si miramos más allá de la seguridad, los principales riesgos para los derechos y libertades de las personas físicas se originan en el tratamiento tal y como está previsto, es decir, incluso en ausencia de acontecimientos y ataques indeseables. La protección de datos exige que se minimicen los impactos negativos del tratamiento para las personas afectadas. Por lo tanto, una EIPD tiene que demostrarlo justificando que todas las operaciones de tratamiento son realmente necesarias y proporcionales en relación con los fines. Evidentemente, esto es muy diferente de una evaluación de seguridad: una actividad de tratamiento puede ser muy segura contra incidentes y ataques y, sin embargo, entrañar riesgos inaceptables para los derechos y libertades de las personas.

En materia de seguridad, las medidas de mitigación son en su mayoría técnicas y evitan los ataques o mitigan el efecto de eventos indeseables en los activos del responsable del tratamiento. En cambio, en la protección de datos, las medidas organizativas son igualmente importantes y minimizan el impacto negativo en las personas afectadas. Algunos ejemplos de medidas organizativas son las campañas de formación y concienciación de los empleados, los acuerdos de no divulgación y las cláusulas contractuales específicas para la informática subcontratada a los encargados del tratamiento.

En seguridad, el riesgo de violar los derechos y libertades de sólo unas pocas personas puede tener un efecto insignificante en los activos de una organización y, por tanto, ser aceptable para un controlador. En la protección de datos, la atención se centra en las personas afectadas y, aunque sólo sean unos pocos los afectados, el riesgo puede no ser en absoluto aceptable para ellos[7].

Mientras que en la seguridad las medidas están diseñadas para defenderse de ataques y eventos, en la protección de datos minimizan el impacto negativo en las personas afectadas. Esto es evidente, por ejemplo, en la limitación del periodo de almacenamiento, que limita temporalmente el posible impacto. Del mismo modo, la seudonimización impide la fácil identificación de los interesados y, por lo tanto, disminuye el riesgo de los mismos. Otras medidas tienen por objeto crear transparencia, de modo que los interesados no estén indefensos ante las decisiones de los responsables del tratamiento, sino que tengan la posibilidad de proteger sus derechos en caso de que sus derechos y libertades se vean excesiva o ilegítimamente vulnerados. Las medidas que implementan los derechos de los interesados hacen posible que éstos intervengan para proteger sus derechos. Estos ejemplos de medidas de protección de datos ilustran el carácter ampliamente diferente en comparación con las medidas de seguridad.

 

 

  1. El artículo 24, apartado 1, del RGPD establece que “…el responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas para garantizar y poder demostrar que el tratamiento se realiza de conformidad con el presente Reglamento.” (Subrayado añadido por los autores).
  2. El considerando 82 del RGPD establece que “Para demostrar el cumplimiento del presente Reglamento, el responsable o el encargado del tratamiento deben mantener registros de las actividades de tratamiento bajo su responsabilidad.” (Resaltado añadido por los autores).
  3. La letra g) del apartado 1 del artículo 30 establece que los registros de las actividades de tratamiento contendrán, “siempre que sea posible, una descripción general de las medidas de seguridad técnicas y organizativas mencionadas en el apartado 1 del artículo 32“. (Subrayado añadido por los autores).
  4. En particular, el artículo 32 del RGPD “Seguridad del tratamiento” se refiere a la seguridad.
  5. Véase el artículo 5(1)(f) del RGPD, que enumera la seguridad como uno de los seis principios de la protección de datos.
  6. Los seis principios de la protección de datos se enumeran en las letras a) a f) del apartado 1 del artículo 5 del RGPD.
  7. El Grupo de Trabajo del Artículo 29 afirma: “Nota: la EIPD en el marco del RGPD es una herramienta para gestionar los riesgos para los derechos de los interesados y, por tanto, adopta su perspectiva, como ocurre en determinados ámbitos (por ejemplo, la seguridad de la sociedad). Por el contrario, la gestión de riesgos en otros ámbitos (por ejemplo, la seguridad de la información) se centra en la organización. “, wp248rev.01, página 17, sección III.D.c), tercer párrafo.

 

Ir al contenido