[MÚSICA] El tema a desarrollar es Medidas de Seguridad, Análisis de Riesgo y Evaluación de Impacto y primeramente, Análisis de Riesgo y Evaluación de Impacto porque las medidas de protección derivan de los riesgos detectados. Siempre que se tratan datos personales, se deben analizar los riesgos que esto comporta y tomar las medidas de protección pertinentes. El artÃculo 25 del Reglamento General de Protección de Datos, establece en la protección por defecto y desde diseño que ya se ha visto, asà como los riegos para los derechos y libertades de las personas interesadas. Colateralmente, se puede ver que también hay riesgos reputacionales para la [INAUDIBLE] incluso puede ser financieros. A partir del Reglamento General de Protección de Datos aparece el Análisis de Riesgos y anteriormente las medidas de protección estaban pautadas en el gran decreto 2720 2007 del 21 de diciembre, correspondÃan a los tres niveles de datos que existÃan. En este caso se tiene que hacer un análisis de riesgos y en función de estos, establecer las medidas que se van a tomar. Los riesgos son cambiantes por lo tanto deberán estos, monitorizarse y estar adecuados a los cambios que pueda haber. Hay tres fases de análisis de riesgos que son, la identificación de los riesgos, el análisis y el tratamiento de los riesgos. En cuánto a identificación, las tres dimensiones de confidencialidad, integridad y disponibilidad de los datos. Por la parte de análisis de riesgos, el riesgo siempre es el producto de las dos dimensiones de probabilidad y de impacto, en el caso de que los riesgos se materialicen y finalmente, en los tratamientos básicamente será la reducción, mitigación de los riesgos aplicando unas medidas de protección. Una parte importante es el ciclo de vida de la información o de los datos personales que estarÃa desde la factura, de los datos personales, su clasificación y almacenamiento, el uso y tratamiento en el caso de que se produzca las cesiones y finalmente la destrucción de los datos personales. Está claro que la complejidad de la tecnologÃa, nunca eximirá de el cumplimiento de la protección pertinente. Finalmente en el registro de tratamientos, debe aparecer claramente el riesgo que comportan estos tratamientos de datos personales. Como referencias, es muy útil la guÃa práctica de análisis de riesgo de los tratamientos de datos sujeto al reglamento general de protección de datos de la agencia española de protección de datos, y la ISO 27005 de Gestión de Riesgos de [INAUDIBLE] la Información, ISO 311010 de Evaluación de Riesgos y la ISO 29134 de Evaluación de Impacto de Protección de Datos como referente en Análisis de Riesgos. Está claro que en todo tratamiento de datos personales, tiene que haber un análisis de riesgos siempre y en cambio, la valuación de impacto solamente se dará en algunos casos. Es decir, el artÃculo 35 del Reglamento General de Protección de Datos establece que ante la posibilidad de que un tratamiento entrañe un alto riesgo para los derechos y libertades de las personas fÃsicas, será necesario llevar a cabo la valuación de impacto de protección de datos, antes de la puesta en marcha del tratamiento. Es decir, la ganancia de riesgo siempre, la evaluación de impacto en los casos donde el riesgo puede ser mayor. Y asà simplificando mucho, un análisis de riesgo es una versión menos profunda de una evaluación de impacto respecto a los riesgos. En el artÃculo 35 del reglamento general de protección de datos, se detallan las vistas en los casos en los cuales deberÃa realizarse la valuación de impacto, asà como la naturaleza de los tratamientos, el alcance, el contexto en los fines del tratamiento. Habrá que ver, que generalmente los fines del tratamiento justifiquen tratar esos datos. Como ejemplo de casos genéricos en los cuales habrá que realizar la evaluación de impacto estarÃa la realización de perfiles de las personas, de comportamiento, etcétera, las decisiones automatizadas y una monitorización constante de las personas. Por ejemplo, la geo localización. Asà como de tratamiento de datos altamente personales a personas vulnerables, y datos que puedan, datos de carácter, de categorÃa especiales en general. La valuación de impacto siempre conduce a la toma de decisiones de si el tratamiento de datos se va a realizar o no se va a realizar, porque una consecuencia puede ser de que realmente los riesgos sean tan grandes que no se estime oportuno realizar ese tratamiento o recuperar esa cantidad de datos personales. En las fases de la evaluación de impacto habÃa una primera que serÃa el contexto del tratamiento de datos, es decir, del ciclo de vida asà como la necesidad de proporcionalidad en el tratamiento. El segundo serÃa la gestión de riesgos que como se ha comentado anteriormente estarÃa la identificación de los riesgos, el análisis de los riesgos, y finalmente el tratamiento de los riesgos. Finalmente estarÃa la conclusión y validación de si se procede adelante con el tratamiento con un plan de acción y conclusiones y finalmente, dado que el riesgo como decÃamos es cambiante, habrÃa una supervisión de estos riesgos y del resultado. Siempre habrá un riesgo residual, es decir, el riesgo cero no existe, como la seguridad a 100 por 100 tampoco existe, pero está claro que tiene que quedar un nivel de riesgo, aceptable. En el nivel de tratamiento de riesgos antes, hemos visto la mitigación y que serÃa pues, aplicar unas medidas de protección para que el riesgo sea menor. Esta es una de las cuatro alternativas, la más habitual, pero también están las otra alternativas. Una de ellas es no realizar el tratamiento o no realizar la actividad, con lo cuál se reduce el riesgo porque no se realiza el tratamiento. Otra serÃa la transferencia, por ejemplo el caso de utilizar un seguro. Un seguro respecto a protección de datos. Y finalmente pues, la aceptación del riesgo. Puede haber casos en los cuales el riesgo sea realmente bajo y por tanto, se acepta asumir este riesgo y serÃa esta una de las alternativas en caso de que los riesgos son muy bajos. El responsable del tratamiento recabará asesoramiento para realizar la evaluación de impacto sin el delegado de protección de datos y en el caso de que haya sido nombrado, pero la responsabilidad es del responsable del tratamiento. Finalmente el artÃculo 36 del Reglamento General de Evaluación de Datos establece que el responsable consensuará a la autoridad de control, antes de proceder al tratamiento, cuanto de la evaluación de impacto relativa a protección de datos, resulte en unos riesgos muy elevados y que realmente haya una duda de si hay que proceder con el tratamiento o no. Hay también un catálogo de amenazas que encontrarÃamos en la guÃa para evaluación de impacto, realizada por la agencia española de protección de datos que es un documento muy útil y también aplican a referencias mencionadas anteriormente de la ISO de Riesgos en Seguridad en formación, de evaluación del riesgo y de evaluación de impacto y protección de datos. Avanzando ya en las medidas de protección, tengamos bien presente siempre que las medidas de protección serán para abordar los riesgos que se han detectado. Por lo que el primer paso siempre es identificar, evaluar, estos riesgos y entonces proceder a tratarlos con unas medidas de protección. El artÃculo 32 del Reglamento General de Protección de Datos establece que se aplicarán las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo y siempre las medidas estarán alineadas y en función de los riesgos detectados. Las medidas de protección no sólo son técnicas sino que siempre tenemos las tres bases que son la parte de las personas, los procesos y procedimientos y la tecnologÃa. Las mejoras medidas de prevención tecnológicas no darán buenos resultados si las personas no están concienzadas y en protección de datos hay de la misma forma que si no hay unos procedimientos bien establecidos en el tratamiento de datos. Si cada persona realiza los tratamientos de datos según su criterio y no según unos procedimientos establecidos, habrá un riesgo también más importante. Por tanto, personas, procedimientos y tecnologÃa en las medidas de protección. Para el caso de la administración pública española, en la ley orgánica de protección de datos y garantÃa de los derechos digitales, se establece que el referente para las administraciones públicas será el esquema nacional de seguridad con lo cuál aquà convergen las medidas de evaluación y es un referente a tener en cuenta en el caso de las administraciones públicas. La anominización es una excelente medida de protección y en el caso de que sea posible, si los datos personales se anonimizan es decir, no se puede asociar un dato con una persona, es la mejor medida de protección. No siempre es posible y hay casos en que es posible la [INAUDIBLE] es decir, una anonimización para parte de las personas que intervienen en el tratamiento de a dos, por ejemplo que un profesor este corrigiendo un examen con un código de barras, porque cuando el profesor corrige no sabe a qué persona corresponde. Después sà que se podrá utilizar. El uso de usuarios no individuales, es decir, que varias personas utilicen el mismo usuario, las mismas credenciales para acceder a los datos, es un riesgo importante porque no permite la trazabilidad, es decir, qué persona ha realizado qué acción y en qué momento. Pensemos que unas intenciones de seguridad, integridad, disponibilidad y [INAUDIBLE] se complementan con la trazabilidad y el no repudio, es decir que una persona no pueda decir que no ha sido él, el que ha realizado una determinada acción. Por ejemplo, consultar a unos datos personales o modificarlos. Los controles de accesos biométricos, pensemos que son datos de categorÃas especiales por tanto las medidas de protección tendrán que ser más delicadas y otro punto importante es que si se ha informado, mal interesado que sus datos serán conservados durante un tiempo concreto, los sistemas de información y aplicaciones informáticas tienen que estar preparadas para que, transcurrido ese tiempo, esta información pueda ser eliminada, que nos permanezca más allá de lo que ha sido informado el interesado. Y en este sentido, una cadena es tan fuerte como su eslabón más débil. Es decir, si tenemos uno datos personales muy protegidos en la aplicación corporativa, pero luego se hace una extracción de datos a un USB, a un correo electrónico, a un repositorio, esos datos puede que estén menos protegidos y por tanto, el riesgo será en la ubicación que estén más duplicados. Como medidas de protección, voy a comentar algunas. Por un lado tendrÃa que haber una relación muy clara de todas las personas que tienen acceso a la información. Unos procedimientos de identificación y autenticación de las personas que usualmente acceden y que realmente es esa persona, la que está accediendo. PolÃtica y seguridad de la información. Una descripción de los sistemas de información y vuelvo a insistir en que el sistema de información no solamente es la ubicación por problemas sino todos los espacios donde están los datos personales, incluido papel. Está claro que la gestión de soporte y copias de seguridad tienen que estar registrados, todos los accesos e información, lo que decimos, trazabilidad y por otro lado, el registro de incidencias. Las incidencias u obligaciones de protección de datos deberán publicarse en 72 horas y aquà pues, también los principios de minimización de datos es de no conservar datos en muchos sitios. El tema de cifrado de datos. PolÃticas de protección contra Macware, de protección perimetral y de comunicación de datos, y habrÃa pues, más medidas de protección que pueden encontrarse por ejemplo, en el decálogo de medidas de protección que incide el Instituto de ciberseguridad, y pues también en el propio esquema nacional de seguridad. Entonces hemos visto, los riesgos se detectan con el análisis de riesgo con la evaluación de impacto y a partir de aquÃ, se aplican unas medidas de protección. [MÚSICA] [AUDIO_EN_BLANCO]
