Riesgos

¿Qué es y cómo elaborar un RAT, análisis de riesgo y evaluación de impacto?

🕑 4 minutos de lectura

RAT, análisis de riesgo y evaluación de impacto en RGPD

La entrada en vigor tanto del Reglamento General de Protección de Datos (RGPD), como de la Ley Orgánica de Protección de Datos personales y garantía de los derechos digitales (LOPDGDD), trajo consigo importantes cambios en la gestión de la protección de datos personales en las empresas.

Existen numerosos temas a considerar cuando hablamos de importantes cambios en materia de protección de datos. No obstante, y de manera concreta, en este artículo se pretende dar una serie de claves en lo relativo a la gestión del Registro de Actividades de Tratamiento (RAT), así como del análisis de riesgo y evaluación de impacto (PIA) de los diferentes tratamientos de datos personales responsabilidad de una persona jurídica.

Definición y Registro de actividades de tratamiento (RAT)

Para comenzar a definir lo que sería un sistema de gestión de protección de datos personales en la empresa, se debe configurar el Registro de Actividades de Tratamiento (RAT).

Si bien esta exigencia no es obligatoria para la totalidad de las empresas, desde GlobalSuite Solutions se recomienda siempre cumplimentar dicho registro dado que nos permitirá conocer el ciclo de vida de los tratamientos de datos personales llevados a cabo por la organización. Asimismo, esto facilitara una gestión más eficiente y adecuada en lo relativo a la protección de datos personales de los interesados.

Este ciclo de vida incluirá aspectos como el origen de los datos, la finalidad para la que se recaban, dónde se almacenan, qué terceros acceden a la información y finalmente, cómo se procede con la destrucción de la información.

Por cada actividad llevada a cabo se deberá configurar un tratamiento. Entre estas actividades se incluyen habitualmente la gestión de clientes, gestión de proveedores, de recursos humanos o la videovigilancia de las instalaciones, por señalar algunos ejemplos.

Cada registro de actividades de tratamiento identificado deberá contener la información requerida por el art. 30 del RGPD, que debe incluir, entre otras, las siguientes cuestiones:

  • Las finalidades del tratamiento.
  • Descripción de las categorías de interesados y de las categorías de datos personales que se tratan.
  • Existencia de transferencias internacionales.
  • Plazos de conservación previstos.

Realización del Análisis de riesgo

Una vez se han identificado los tratamientos de datos personales llevados a cabo por la empresa, se deberá proceder con la realización de un análisis de riesgo de cada uno de los tratamientos.

Este análisis de riesgo será lo que nos permita decidir si se debe realizar una evaluación de impacto, en un proceso posterior, de cada tratamiento. El análisis de riesgo deberá tener en cuenta, entre otros, aspectos como:

  • La finalidad llevada a cabo, teniendo en especial consideración actividades como la elaboración de perfiles o la monitorización sistemática de interesados.
  • El tipo de datos personales que se tratan, teniendo una especial criticidad el tratamiento de datos especialmente protegidos, datos genéticos o datos biométricos.
  • La cantidad de datos tratados
  • La existencia de transferencias internacionales de datos

Para la realización de este análisis de riesgo es útil apoyarse en los supuestos definidos por el Art. 35.3 del RGPD, en la lista de tratamientos que requieren una evaluación de impacto emitida por la AEPD, así como en los supuestos del Art. 28.2. de la LOPDGDD

Evaluación de impacto

Posteriormente, se deberá proceder con la realización de una evaluación de impacto de aquellos tratamientos que así lo requieran en virtud del análisis de riesgo efectuado. Este proceso consiste en la evaluación de una serie de amenazas definidas previamente, considerando dos aspectos: La probabilidad de ocurrencia de la amenaza y el impacto que tendría dicha amenaza en caso de producirse. La combinación de estas dos cuestiones nos dará un nivel de riesgo en base a la metodología definida y se valorarán, entre otras, amenazas como:

  • Acceso no autorizado a los datos
  • Robo o pérdida de soportes
  • Carencia de base legitimadora para el tratamiento.
  • Dificultar o no tramitar ejercicios de derechos de los interesados.

Si el riesgo resultante fuera superior al nivel de riesgo aceptable definido, deberemos proceder con una gestión de dicho riesgo, a través de la implantación de un plan de reducción del riesgo, cuyo objetivo es la mitigación del riesgo de la amenaza que así lo requiera.

La adaptación de una empresa a la normativa vigente en materia de protección de datos requerirá, además de los aspectos señalados en el presente artículo, de una serie de actuaciones que garanticen que se lleva a cabo en todo caso un adecuado cumplimiento legal.

Desde GlobalSuite Solutions le ofrecemos un servicio de consultoría que tiene como objetivo ayudarle a asegurar el cumplimiento con los requerimientos legales en protección de datos, así como la gestión del sistema de forma centralizada a través de una herramienta como es GlobalSuite®