Carga de trabajo que supone el análisis del riesgo y la actividad preventiva en relación a los riesgos jurídicos y de seguridad del RGPD

Este artículo forma parte de un análisis del peso real que las medidas jurídicas y las medidas de seguridad tienen en un proyecto RGPD (GDPR por sus siglas en inglés).

Acceso a las conclusiones del análisis

La parte jurídica de un proyecto RGPD está sujeta a la interpretación constante de la empresa que se adapta, de sus asesores, de las autoridades de control y de las autoridades judiciales.

La parte de seguridad contiene una obligación de resultado consistente en que no tiene que producirse ninguna violación de datos.

Tanto en las obligaciones jurídicas como en las relativas a la seguridad de los datos personales, intervienen factores y variables que van mucho más allá de la carga de trabajo que suponga el proyecto.

Ello hace que, aunque un proyecto mayor en duración y recursos debería, aparentemente, ser más eficaz en la prevención de infracciones que uno pequeño, en la práctica no tiene por qué ser así. Puede darse perfectamente el caso de que un gran proyecto no consiga impedir que se produzcan infracciones y uno pequeño sí. Ocurre lo mismo que en las campañas de publicidad, que no permiten saber dónde se está tirando el dinero.

Entre los factores que pueden contribuir a que haya o no infracciones, independientemente del esfuerzo realizado y los recursos invertidos en un proyecto RGPD, destacan los siguientes:

  1. La metodología aplicada
  2. La experiencia de las personas que lideran el proyecto
  3. El conocimiento de las medidas más eficaces
  4. La priorización de los datos más sensibles
  5. La priorización de las obligaciones con mayor sanción
  6. La concentración del esfuerzo en los riesgos con mayor probabilidad e impacto
  7. La cultura de cumplimiento de la empresa
  8. La voluntad de cumplimiento del negocio
  9. El apetito de riesgo
  10. Los objetivos económicos del negocio
  11. La presión comercial y en materia de marketing
  12. El sector al que pertenece la empresa
  13. La tipología de los datos
  14. La tipología de los interesados
  15. El valor de los datos en el mercado
  16. El nivel de interés de eventuales atacantes en los datos
  17. El factor humano
  18. La suerte

Debe tenerse en cuenta que un proyecto de RGPD no parte de cero, ya que acumula el trabajo realizado y la experiencia adquirida en 25 años de protección de datos en España. Por ello debe evitarse caer en los mismos errores que se cometieron en los primeros años.

Por ejemplo, en materia de análisis de tratamientos, una metodología que siga descubriendo tratamientos tres meses después del inicio del proyecto no puede ser una buena metodología, ya que demuestra una gestión caótica y sin autoridad del modelo de datos. Pasaba lo mismo en los años 90 con los ficheros.

El análisis y registro de los tratamientos no puede quedar permanentemente dependiendo de las múltiples iniciativas que tenga cada departamento (metodología pull) sino que debe establecer un modelo de datos que vaya acompañado de procedimientos que garanticen la privacidad desde el diseño y por defecto (metodología push), de manera que, una vez implantado el modelo de datos, cualquier modificación del mismo deba iniciar este procedimiento, con la correspondiente evaluación de impacto, si es necesario.

Este simple cambio de una metodología pull a una metodología push puede ahorrar muchas horas de proyecto y prevenir los riesgos de nuevos tratamientos sin consentimiento o de nuevas finalidades no informadas con una mayor eficacia.

En materia de seguridad ocurre algo parecido.

Por todo ello es muy difícil compararar la carga de trabajo de las dos disciplinas en términos meramente cuantitativos.

Acceso a las conclusiones del análisis

Un pensamiento en “Carga de trabajo que supone el análisis del riesgo y la actividad preventiva en relación a los riesgos jurídicos y de seguridad del RGPD

  1. Pingback: La seguridad es el 20% de un proyecto RGPD | Xavier Ribas

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s