EIPD
Guía para
Identificar los Riesgos

Cumpla con la ley y evite graves sanciones dando una garantía para sus clientes

EIPD FASE III
Identificar los riesgos

Esta es la fase de realización específica de la evaluación de impacto en la protección de datos personales, a través del análisis de riesgos.

Los riesgos pueden ser:

  • Riesgos que afectan a las personas cuyos datos son tratados y existe riesgo de la posible violación de sus derechos,
  • la pérdida de información necesaria o el daño causado por una utilización ilícita o fraudulenta de los mismos.
  • Riesgos de la propia organización por no haber implantado una correcta política de protección de datos o por haberlo hecho de forma descuidada.

Riesgos sobre los que deberíamos tener en cuenta para tomar medidas necesarias para mitigarlos o eliminarlos.

  • Riesgos derivados del incumplimiento legal sobre protección de datos o de la falta de medidas de protección así como desconocimiento de las obligaciones.
    • Perdidas económicas.
    • Daños de imagen o reputación.
    • Perdida de datos.
  • Falta de legitimación a la hora de tratar los datos personales debido a:

    • No respetar la finalidad perseguida en cesiones o tratamientos.
    • Carecer de una legitimación clara y suficiente.
    • Consentimiento dudosos, viciados o inválidos.
    • Datos personales provenientes de terceros (consentimientos, derechos de cesión, tratamiento).
    • Datos especialmente protegidos sin adoptar las salvaguardias necesarias.
    • Re-identificación de información disociada.
  • Dificultar el acceso a la información de protección de datos en entornos WEB.
  • No proporcionar la información debida en la recogida de datos.
  • Proporcionar información sobre protección de datos de forma poco clara o dudosa.
  • Recoger datos innecesarios.
  • Falta de coherencia en los datos (registros repetidos, falta de integridad etc.).
  • Utilización de técnicas para sacar conclusiones perjudiciales sobre personas (Inteligencia artificial, minería de datos, análisis biométricos etc.).
  • Usar datos para finalidades no declaradas o incompatibles.
  • Errores en recabar el consentimiento expreso.
  • Carecer de habilitación legal para el tratamiento o cesión de datos sensibles.
  • Utilización de datos sensibles identificables en procesos de investigación.
Accesos no autorizados a datos personales o violaciones de confidencialidad de los mismos.
  • Falta de contrato o contratos sin garantías adecuadas (MAS INFO ).
  • No poder demostrar los criterios de elección del encargado.
  • Falta de control y supervisión sobre encargados, subcontratistas en el cumplimiento de requisitos de protección.
  • Deficiencia o falta de procedimientos de comunicación sobre el ejercicio de derechos ARCO a los encargados.
  • Falta de fluidez en la portabilidad de datos cuando finalizan los contratos.
Dificultades en el ejercicio de derechos ARCO y o carencias en procedimientos y herramientas para gestionarlos correctamente.
  • No definir al Responsable de Seguridad y sus funciones y competencias.
  • Falta de Política de Seguridad.
  • Deficiencias en controles de acceso (violaciones de seguridad, identificación de usuarios etc.).
  • Deficiencias en la protección de la información.

EIPD FASE IV
GESTION DE LOS RIESGOS

Para poder realizar una correcta gestión de los riesgos ya identificados, el siguiente paso sería tener en cuenta las consultas tanto internas como externas en relación a las demandas y o consideraciones de las partes interesadas tanto internas como externas de cada organización.

Es decir tenemos que evaluar cuales son las demandas o intereses de los empleados mediante la consulta a los representantes laborales si la información de datos personales les afectan (por ejemplo si se trata de vigilancia laboral o control de actividades).

Deberemos tener en cuenta las opiniones del tratamiento de datos personales de los colectivos afectados como pueden ser asociaciones de consumidores etc.

Es ahora cuando comenzamos con la gestión de los riesgos identificados.

Para ello debemos tener en cuenta las siguientes reglas:

  • 1. Dependiendo del impacto que tenga la materialización del riesgo podremos:

    • Evitar el riesgo o eliminarlo.
    • Mitigarlo.
    • Transferirlo o aceptarlo.
  • 2. En todos aquellos que supongan un incumplimiento normativo la única opción aceptable es evitarlos o eliminarlos.

MEDIDAS PARA MITIGAR O EVITAR RIESGOS

Es casi imposible dar un listado completo de posibles medidas a adoptar para tratar los riesgos según los criterios anteriormente mencionados.

En el siguiente enlace les dejamos un listado que a modo de ejemplo contiene posibles medidas para un listado bastante completo de posibles riesgos y sus medidas:

LISTADO DE RIESGOS Y MEDIDAS

¿Qué obtengo al contratar a INGERTEC?

+20

años en el mercado

+4000

clientes

100%

empresas certificadas a la primera

90%

clientes que repiten

100%

consultores Seniors

Artículos
relacionados

Contacta
con INGERTEC