L'enfocament de riscs de l'RGPD té una utilitat major que la que es refereix a la determinació de les mesures o controls de seguretat, però abans d'entrar en aquest detall és necessari fer una primera aproximació sobre alguns conceptes relacionats amb el risc.
El risc és un element amb què convivim habitualment. Qualsevol activitat que feim té implícit un risc. Les modalitats del risc són tan variades com la nostra pròpia activitat. Alguns dels riscs que habitualment s'analitzen són: de negoci, laborals, corporatius, de salut, mediambientals, riscs per a la seguretat de la informació, etc. A aquesta varietat de riscs es podria afegir un nou vessant: els riscs per als drets i les llibertats de les persones derivats dels tractaments de dades personals.
Alguns dels riscs per als drets i les llibertats de les persones que podrien estar implícits en els tractaments de dades personals i que posa de manifest el considerant 75 de l'RGPD són: danys i perjudicis físics, discriminació, usurpació d'identitat, reputació, confidencialitat i perjudici social. Aquesta seria una mostra inicial dels riscs dels tractaments de dades per als drets i les llibertats de les persones. Caldria tenir en compte que el mateix risc no tindria les mateixes conseqüències en els drets i les llibertats de totes les persones. Per exemple, l'aïllament social en un menor podria tenir unes conseqüències diferents de les que es podrien produir en un ancià. En el cas del menor, aquest risc d'aïllament social o discriminació podria condicionar el seu desenvolupament com a persona, mentre que, en el cas de l'ancià o adult, encara que inicialment l'impacte és el mateix, les conseqüències per al seu desenvolupament com a persona són més limitades que en el cas d'un menor.
Aquest el nou enfocament de riscs que aporta l'RGPD no avalua les conseqüències que podria tenir un risc per al meu negoci, la meva salut, la meva informació com a responsable, etc. Es tracta d'avaluar el risc que té un tractament de dades per a un tercer, els riscs o les conseqüències que podria tenir un tractament de dades que no es dugui a terme d'acord amb el que preveu l'RGPD per als mateixos interessats.
Per exemple, si no garantesc la confidencialitat dels expedients mèdics i es produeix una vulneració del deure de secret, aquesta circumstància podria causar conseqüències negatives per a mi com a responsable, però les conseqüències per a les persones les dades de les quals hagin estat revelades i l'impacte en les seves vides podrien tenir conseqüències impredictibles. Imaginem el que podria suposar per a una persona que públicament fossin conegudes les seves limitacions cognitives: potser limitaríem la seva llibertat per trobar una feina o per relacionar-se amb altres persones perquè podria estar exposada a un aïllament social amb conseqüències poc afavoridores per exercir els seus drets i llibertats com a persona.
Quan parlam de riscs sempre hem de tenir en compte tres conceptes bàsics: el que protegim (l'actiu), allò contra el qual pretenem protegir l'actiu (l'amenaça) i el que pretenem evitar (l'impacte). Les amenaces freqüents per a la seguretat de la informació poden ser naturals, fallades d'infraestructura, errors humans, vulnerabilitats davant atacs, falta de formació i conscienciació de les persones, etc.
D'altra banda, la quantificació del risc és el resultat de multiplicar l'impacte que tindria una amenaça per la probabilitat que aquesta amenaça arribi a materialitzar-se:
|
|
Per exemple, quan l'impacte és molt alt i la probabilitat que una amenaça es materialitzi també és alta, tindrem un nivell de risc molt alt. En definitiva, manejam una escala amb uns valors que són específics en cada organització. La importància de l'impacte té en compte dos tipus de danys: el dany sobre els béns materials o tangibles i el dany sobre els béns intangibles. Per exemple, la falta de mesures de seguretat podria donar lloc a la pèrdua de dades personals en una empresa. Aquesta pèrdua repercutiria sobre el negoci generant pèrdues materials. Sovint pot succeir que es produeixi també la pèrdua de clients o pèrdua de negoci, ja que aquesta possible negligència implicaria una mala imatge per a l'entitat i possiblement els clients cercarien una alternativa menys negligent o amb majors garanties per a les seves dades personals. A la possible llista de danys intangibles seria necessari afegir també la llista de danys o conseqüències per als drets i les llibertats de les persones afectades per aquesta possible negligència d'un responsable.
Sovint el risc es mesura amb valors numèrics (valoració quantitativa), però també és possible utilitzar una escala més comprensible amb valors del tipus: escàs o menyspreable, mitjà o limitat, alt o significatiu, no admissible o màxim[1]. Són escales de referència amb valors amb què mesurar el risc. Aquesta valoració dels riscs ens permet passar d'una referència abstracta i de vegades subjectiva del risc a un valor concret. En el gràfic següent es mostra un mapa de calor en què, partint de quatre nivells, es podria dur a terme la valoració quantitativa/qualitativa dels riscs. Tenint en compte aquest mapa de riscs, es podria establir una política de riscs en què únicament es duguessin a terme tractaments de dades amb riscs limitats per als drets i les llibertats de les persones (nivells 1 i 2 de risc), de manera que els responsables i els encarregats haurien d'aplicar mesures per reduir els riscs (gestió del risc) des de nivells superiors fins als nivells de risc prefixats en l'organització:
En aquest sentit, les activitats de tractament han de ser avaluades amb l'objectiu de determinar el risc potencial al qual estan exposades. El pas següent és analitzar per a cada activitat de tractament si comporta un risc alt, amb l'objectiu de determinar si es requereix una avaluació d'impacte relativa a la protecció de dades (vegeu l'apartat 3.8).
[1] Per facilitar la tasca d'avaluació del risc en el context de l'RGPD, l'AEPD ha publicat la Guia pràctica d'anàlisi de riscs en els tractaments de dades personals subjectes a l'RGPD.
En els casos en què es determina que el tractament de dades comporta un risc escàs per als drets i les llibertats de les persones, l'AEPD ha posat a disposició dels responsables de tractaments de dades personals l'eina Facilita_RGPD, destinada a persones i entitats que fan tractaments de dades personals que, a priori, implicarien un nivell de risc escàs per als drets i les llibertats dels interessats les dades dels quals tracten, tenint en compte que qualsevol tractament comporta un cert nivell de risc.