El análisis de riesgo será obligatorio para determinadas empresas, actividades o negocios en función de los tipos de datos objeto de tratamiento
Análisis de Riesgos
El análisis de riesgo será obligatorio para determinadas empresas, actividades o negocios en función de los tipos de datos objeto de tratamiento, finalidades de uso y ámbito o sistema que los trata.
El análisis de riesgos consiste, una vez realizado el trabajo de campo y/0 requerimiento de información de los recursos y particularidades del responsable de datos, en identificar las amenazas o factores de riesgos que pueden darse en la organización (responsable de datos):
- Elaborar una matriz de riesgos, que será el resultado de la probabilidad por el impacto (la amenaza) puede ocasionar en la organización. La probabilidad vendrá determinada por las medidas implementadas o no implementadas en la empresa.
- Elaboración de un mapa de calor de acuerdo con la matriz de riesgos elaborada.
Evaluación de Impacto
La evaluación de impacto es un informe, a través de un procedimiento de análisis, que se realiza de acuerdo con una actividad de tratamiento de datos o una nueva finalidad de uso de determinados datos, conectado las tecnologías que los va a tratar, propias de la empresa o dispuesta por proveedores, con el objeto de evaluar si dicho tratamiento puede vulnerar derechos y libertades de los titulares de datos (ciudadanos, clientes, empleados, etc.).
Esta herramienta o procedimiento de análisis permite evaluar, de manera anticipada, cuáles son los potenciales riesgos a los que están expuestos los datos personales objeto de tratamiento, en función de las actividades registradas u operaciones que se llevan a cabo, y de acuerdo con el actual marco normativo conectado el mismo a los derechos y libertades del titular de datos (ciudadano).
Contenido del informe de Evaluación de Impacto debe contener
- Una descripción general de las operaciones de tratamiento previstas.
- Base de legitimación para el tratamiento
- Una evaluación de los riesgos de acuerdo en función de los derechos y libertades de los interesados (titulares de datos).
- Las medidas contempladas para mitigar o hacer frente a los riesgos y amenazas.
El informe o evaluación resultante nos determinará
- (1) si el tratamiento de datos se puede llevar a cabo, o es necesario implementar medidas o cautelas
- (2) cómo debemos llevar a cabo actividad. En función de las circunstancias, este informe puede ser requerido por la Agencia Española de Protección de Datos, por ejemplo, en un proceso de inspección, investigación y sancionador con el objeto de verificar lo realizado por la empresa.
Amplie información sobre nuestros servicios