EN LAS ORGANIZACIONES Y LA SEGURIDAD
DE LA INFORMACIÓN
Seguridad de datos personales orientada al riesgo
Nacho Alamillo (
[email protected]
)
personales
▪
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos
de Carácter Personal
– LOPD
▪
Real Decreto 1720/2007, de 21 de diciembre, por el que se
aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999,
de 13 de diciembre, de protección de datos de carácter personal
–
RLOPD
▪
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo,
de 27 de abril de 2016, relativo a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la
libre circulación de estos datos y por el que se deroga la Directiva
95/46/CE (Reglamento general de protección de datos)
– RGDP
Enfoque en LOPD/RLOPD
▪
Artículo 9 LOPD
– Seguridad de los datos
▪
1. El responsable del fichero, y, en su caso, el encargado del tratamiento
deberán adoptar las medidas de índole técnica y organizativas necesarias
que garanticen la seguridad de los datos de carácter personal y eviten su
alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del
estado de la tecnología, la naturaleza de los datos almacenados y los
riesgos a que están expuestos, ya provengan de la acción humana o del
medio físico o natural.
▪
2. No se registrarán datos de carácter personal en ficheros que no reúnan
las condiciones que se determinen por vía reglamentaria con respecto a su
integridad y seguridad y a las de los centros de tratamiento, locales,
equipos, sistemas y programas.
▪
3. Reglamentariamente se establecerán los requisitos y condiciones que
deban reunir los ficheros y las personas que intervengan en el tratamiento
de los datos a que se refiere el artículo 7 de esta Ley.
Enfoque en LOPD/RLOPD
▪
Artículo 10 LOPD
– Deber de secreto
▪
El responsable del fichero y quienes intervengan en cualquier fase del
tratamiento de los datos de carácter personal están obligados al
secreto profesional respecto de los mismos y al deber de guardarlos,
obligaciones que subsistirán aun después de finalizar sus relaciones
con el titular del fichero o, en su caso, con el responsable del mismo.
▪
Refuerza la dimensión de confidencialidad de los datos personales.
▪
La divulgación sin consentimiento de datos personales podría
suponer la comisión del delito previsto en el artículo 197 del Código
Penal, inclusive en modalidad de persona jurídica.
Enfoque en LOPD/RLOPD
▪
Medidas de seguridad en el tratamiento de datos de carácter
personal (Título VIII del RLOPD)
▪
Enfoque reglamentista: 35 artículos, con controles detallados.
▪
Definición de tres niveles de seguridad (artículo 80 RLOPD), en
función del tipo de fichero (artículo 81 RLOPD).
▪
Artículo 81.7 RLOPD
▪ Las medidas incluidas en cada uno de los niveles descritos anteriormente tienen la condición de mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias específicas vigentes que pudieran resultar de aplicación en cada caso o las que por propia iniciativa adoptase el responsable del fichero.
▪ Cabe imaginar que con base en un análisis de riesgos.
▪ Obligación (absurda) de aplicar controles con independencia de que los mismos sean requeridos o útiles.
Enfoque en RGPD
▪
Protección de datos desde el diseño y por defecto
▪
Considerandos (78) y (108)
▪
Artículo 25
▪ 1. Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.
Enfoque en RGPD
▪
Protección de datos desde el diseño y por defecto
▪
Artículo 25
▪ 2. El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.
▪ 3. Podrá utilizarse un mecanismo de certificación aprobado con arreglo al artículo 42 como elemento que acredite el cumplimiento de las obligaciones establecidas en los apartados 1 y 2 del presente artículo.
Enfoque en RGPD
▪
Evaluación de riesgos y medidas de seguridad
▪
Considerando (83)
▪
Artículo 32. Seguridad del tratamiento
▪ 1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
▪ a) la seudonimización y el cifrado de datos personales;
▪ b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
▪ c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
▪ d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Enfoque en RGPD
▪
Evaluación de riesgos y medidas de seguridad
▪
Considerando (83)
▪
Artículo 32. Seguridad del tratamiento
▪ 2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
▪ 3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo.
Enfoque en RGPD
▪
Evaluación de impacto
▪
Considerandos (83), (84) y (90) a (94)
▪
Artículo 35. Evaluación de impacto relativa a la protección de datos
▪ 1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.
▪ 2. El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos.
La aportación de la gestión de riesgos
▪
Sistemas de apreciación de riesgos necesarios para el RGPD
▪
Artículo 32
– Dado el uso generalizado de sistemas de información, con
base tecnológica, para la gestión de los procesos de negocio, en general
es preciso siempre realizar una adecuada gestión de riesgos de TIC,
empleando metodologías como MAGERIT, EBIOS, OCTAVE, CRAMM...
▪
Artículo 25
– Enfoque a análisis de riesgos en el diseño del sistema de
información y, en concreto, del software. Excede de metodologías como
MAGERIT, que no considera estas técnicas. Apuesta por la reducción de
los modelos de datos, la aplicación de seudónimos o la aplicación de
controles orientados a datos en relación con la limitación de su
conservación y control de acceso.
▪
Artículo 35 (sólo en determinados casos)
– Añade a los anteriores, un
enfoque a análisis de riesgos para los derechos y libertades de los
interesados, y la justificación de la necesidad y la proporcionalidad de las
operaciones de tratamiento con respecto a su finalidad.
La aportación de la gestión de riesgos
▪
Análisis de
impacto de
privacidad
(AEPD,
2014)
La aportación de la gestión de riesgos
▪
Análisis de riesgos de re-identificación (microdatos o macrodatos)
▪
Riesgo de singularización. Posibilidad de extraer de un conjunto de
datos algunos registros que identifiquen a personas.
▪
Riesgo de vinculabilidad. Posibilidad de establecer vínculos entre
diferentes registros de un mismo sujeto, incluso aunque no se pueda
singularizar a dicho sujeto.
▪
Riesgo de inferencia. Posibilidad de obtener con una elevada
probabilidad el valor de un atributo de un sujeto a partir de los valores
de otros atributos del mismo sujeto.
▪
Necesidad de establecer metodologías adecuadas, para garantizar
– caso que sea posible – la anonimización o, cuando menos, la
seudonomización.
La aportación de la gestión de riesgos
▪
Análisis de riesgos de TI con MAGERIT 3
▪
1. Determinar los activos relevantes para la Organización, su
interrelación y su valor, en el sentido de qué perjuicio (coste) supondría
su degradación.
▪
2. Determinar a qué amenazas están expuestos aquellos activos.
▪
En este momento tenemos el impacto y riesgo potencial, en ausencia
de salvaguardas.
▪
3. Determinar qué salvaguardas hay dispuestas y cuán eficaces son
frente al riesgo.
▪
4. Estimar el impacto, definido como el daño sobre el activo derivado
de la materialización de la amenaza.
▪
5. Estimar el riesgo, definido como el impacto ponderado con la tasa
de ocurrencia (o expectativa de materialización) de la amenaza.
[email protected] Tel. +34 915 145 800 Avenida de la Industria, 49. 28108. Alcobendas-Madrid