La gestió de riscos és un element clau en els processos de qualsevol organització, que requereix una anàlisi àmplia de molts aspectes i l'obliga a prendre decisions per protegir els seus actius.
Quan pensem en els riscos, normalment ens focalitzem en les gestions de riscos que són més habituals en una entitat i estan orientades a garantir, entre d’altres, la seguretat, el compliment normatiu, la prevenció de riscos laborals, el medi ambient o la continuïtat del negoci.
Fins i tot en l’àmbit de la protecció de dades, tendim a pensar en la gestió de riscos per a la seguretat del tractament o bé en l’elaboració de l’avaluació d’impacte relativa a la protecció de dades, especialment quan el tractament de dades comporta un alt risc per als drets i les llibertats de les persones físiques. Tanmateix, cal tenir en compte també l’anàlisi de riscos que comporta un tractament de dades personals que no sigui d’alt risc.
L’article 24 del Reglament (UE) 2016/679 del Parlament i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades i pel qual es deroga la Directiva 95/46/CE (RGPD) disposa, en el marc de les obligacions del responsable del tractament, que les mesures de compliment s’han d’aplicar en funció del risc que els tractaments de dades que facin comportin per als drets i les llibertats de les persones físiques interessades, tenint en compte la naturalesa, l’àmbit, el context i les finalitats del tractament, així com l’impacte i la probabilitat de causar un dany o perjudici a les persones.
L’anàlisi de riscos forma part de la gestió de riscos i és un procés específic que serveix per identificar, avaluar, quantificar i prioritzar els riscos que s’han detectat, en funció del seu impacte i probabilitat, per tractar-los amb posterioritat.
En atenció a això, l’anàlisi de riscos per als drets i les llibertats ha de posar el focus en les persones i en els drets fonamentals, i anar més enllà de la protecció de dades i la privacitat. Els seus marcs de referència han de ser els drets i les llibertats reconeguts en la Constitució espanyola i en la Carta dels Drets Fonamentals de la Unió Europea, i s’han d’analitzar els riscos que es deriven dels tractaments de dades en relació amb els drets i les llibertats afectats.
Així doncs, podem considerar el dret a la protecció de dades com un instrument per garantir els drets i les llibertats de les persones quan es tracten dades personals, tenint en compte el seu impacte, i per tant la protecció s’ha d’estendre també a altres drets, com la llibertat d’expressió, la llibertat de pensament, de consciència i religió, la llibertat de circulació, el dret a la informació, el dret a la igualtat, la prohibició de discriminació, el respecte de la vida privada i familiar i de les comunicacions, l’educació i la salut, la dignitat, la llibertat d'empresa, el dret a la tutela judicial efectiva i a un judici just, per posar alguns exemples.
Ara bé, com ja sabeu, cada organització ha d’analitzar i complir les obligacions derivades del RGPD tenint en compte les seves pròpies circumstàncies i el context.
En aquest sentit, d’acord amb l’article 24 del RGPD, cal tenir present el principi de responsabilitat proactiva, que exigeix que el responsable, en el compliment de les obligacions, ha d’aplicar les mesures tècniques i organitzatives apropiades per garantir i poder demostrar que un tractament és conforme al RGPD, així com el principi de l'enfocament en el risc, que comporta que aquestes mesures tinguin en compte la naturalesa, l'àmbit, el context, les finalitats del tractament i el risc per als drets i les llibertats de les persones.
Per tot això, i amb l’ànim de reforçar la importància de l'anàlisi de riscos per als drets i les llibertats de les persones en els tractaments que impliquin un risc que no sigui alt, vull compartir una sèrie de consideracions.
D’entrada, cal destacar que l’anàlisi de riscos és una eina essencial per identificar els riscos potencials i avaluar-ne les conseqüències en un context específic, que requereix un estudi meticulós, per prevenir o minimitzar possibles perjudicis. Per tant, cal entendre que l’anàlisi de riscos forma part del procés de gestió de riscos i permet a l’organització identificar i gestionar, de forma proactiva, els riscos.
Per simplificar-ho una mica, el procés d’anàlisi de riscos ha de donar resposta a les qüestions següents:
- Què cal protegir?
- De què o de qui ens hem de protegir i per què?
- Com volem protegir-nos?
En l’anàlisi de riscos per als drets i les llibertats de les persones físiques, cal protegir aquests drets i llibertats dels perills o danys que poden causar a les persones afectades quan es tractin les seves dades personals, i seleccionar, amb posterioritat, les mesures i garanties a implementar perquè els danys no arribin a materialitzar-se o, si ocorren, tinguin com menys impacte millor.
És important conscienciar els responsables i encarregats del tractament de la importància d’aquesta anàlisi de riscos per evitar que es materialitzin les amenaces derivades del tractament i emparar, d’aquesta manera, els drets i les llibertats de les persones afectades. Han de veure aquesta anàlisi de riscos com una oportunitat per prevenir possibles perjudicis amb conseqüències greus per als drets i les llibertats de les persones de qui tracten les dades personals.
El responsable ha de conèixer fins a quin punt una activitat de tractament, pel tipus de dades tractades, per les seves finalitats, pels col·lectius de qui es tracten les dades, per les característiques del tractament o pel context, entre d'altres, pot tenir conseqüències negatives per als drets i les llibertats de les persones físiques.
Recordeu que el risc zero no existeix, sempre hi ha un risc inherent o inicial en qualsevol tractament que s’ha d’avaluar i, per tant, l’anàlisi de riscos s’ha de dur a terme sempre. Pel que fa als drets i les llibertats de les persones, podem definir el risc com l’efecte o la conseqüència no desitjada o no prevista, sobre les persones interessades en el tractament de dades personals, que pot generar un dany o perjudici sobre els seus drets i llibertats.
Aquest risc o amenaça pot tenir diversos orígens, que van des del tractament mateix, les diferents operacions de tractament, les finalitats del tractament, l’ús de la tecnologia, els errors humans, els canvis normatius fins a l’aparició de nous escenaris de risc o de noves amenaces, entre d'altres.
Quins són aquests riscos per als drets i les llibertats de les persones?
El considerant 75 del RGPD enumera els tractaments de dades que poden ser considerats de risc per als drets i les llibertats de les persones interessades perquè poden provocar danys i perjudicis físics, materials o immaterials, en particular quan:
- El tractament pot donar lloc a problemes de discriminació, usurpació d'identitat o frau, pèrdues financeres, dany per a la reputació, pèrdua de confidencialitat de dades subjectes al secret professional, reversió no autoritzada de la pseudonimització o qualsevol altre perjudici econòmic o social significatiu.
- Es priva els interessats dels seus drets i llibertats o se'ls impedeix exercir el control sobre les seves dades personals.
- Les dades personals tractades revelen l'origen ètnic o racial, les opinions polítiques, la religió o les creences filosòfiques, la militància en sindicats i el tractament de dades genètiques, dades relatives a la salut o dades sobre la vida sexual o les condemnes i infraccions penals o mesures de seguretat connexes.
- S’avaluen aspectes personals, en particular l'anàlisi o la predicció d'aspectes referits al rendiment en el treball, la situació econòmica, la salut, les preferències o els interessos personals, la fiabilitat o el comportament, la situació o els moviments, amb la finalitat de crear o utilitzar perfils personals.
- Es tracten dades personals de persones vulnerables, en particular nens.
- El tractament implica una gran quantitat de dades personals i afecta un gran nombre d'interessats.
En la mateixa línia, l’article 28.2.b de la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals (LOPDGDD), detalla els riscos superiors que es poden produir en determinats tractaments, molt similars als del considerant 75 del RGPD.
D’aquesta manera, per fer l’anàlisi de riscos per als drets i les llibertats de les persones, el responsable i l'encarregat del tractament no comencen de zero, ja que tant el RGPD com la LOPDGDD identifiquen factors de risc concrets que cal avaluar i gestionar en els tractaments de dades en relació amb els diferents drets i llibertats afectats. En concret i per destacar-ne alguns, em refereixo als supòsits inclosos en els articles 32.2, 35.3, 35.4 i el considerant 75 del RGPD, així com als riscos inclosos en l’article 28.2 de la LOPDGG ja esmentat, entre d’altres.
A més, també cal tenir presents els supòsits i exemples descrits en les Directrius sobre l'avaluació d'impacte relativa a la protecció de dades (AIPD) i per determinar si el tractament "entranya probablement un risc alt" a efectes del Reglament (UE) 2016/679, del Grup de treball de l'article 29 (WP 248), adoptades pel Comitè Europeu de Protecció de Dades.
Un cop vistos els exemples de riscos que poden causar un dany o perjudici per als drets i les llibertats, com ja he comentat abans, la probabilitat i l'impacte del risc per als drets i les llibertats de la persona interessada s’ha de determinar d’acord amb la naturalesa, l'abast, el context i les finalitats del tractament de dades. Per tant, el risc s’ha de ponderar amb una avaluació objectiva, mitjançant la qual es determini si les operacions de tractament de dades suposen un risc o un risc alt.
És important tenir clar que qualsevol risc té un nivell d’impacte potencial sobre les persones afectades i té una probabilitat que transcorri de forma efectiva. Si l’impacte d’una amenaça és molt alt per als drets i les llibertats, encara que la probabilitat que ocorri sigui baixa o mínima, cal gestionar adequadament el risc per evitar vulnerar els drets i les llibertats de les persones. A més, com més probable i greu sigui el risc derivat del tractament, més mesures de protecció cal implantar per contrarestar-lo.
La gestió de riscos, que engloba l’anàlisi d’aquests, ha de ser entesa com un procés transversal que afecta a tota l’organització perquè sigui eficaç, i no un mer tràmit formal. S’ha d’integrar amb la resta de procediments, polítiques i eines de governança de l’entitat i ha de tenir també un enfocament preventiu, i no només reactiu, que tingui en compte el context present i, en la mesura que sigui possible, el context futur, anticipant escenaris que, si ocorren, podrien derivar en un perjudici difícil de superar per a les persones interessades o la societat.
Per fer l’anàlisi de riscos i la gestió posterior és convenient seguir una metodologia, que s’ha de documentar convenientment (accountability).
L’anàlisi de riscos ha d’incloure, com a mínim, les tasques següents:
- Contextualització: descriure, de forma detallada, els tractaments. Determinar el flux de les dades, les operacions de tractament, els actius a protegir, les finalitats del tractament, el tipus i quantitat de dades, els subjectes afectats, la freqüència de recollida de les dades i la seva conservació, les comunicacions de dades, les tecnologies emprades, els drets i les llibertats potencialment afectats en els tractaments, els rols de les parts que intervenen, etc., i totes les qüestions que es deriven del tractament i són necessàries per avaluar-ne el risc.
- Identificació: determinar els riscos o les amenaces concretes per als drets i les llibertats de les persones en els tractaments de dades, tenint en compte els riscos previstos al RGPD i a la LOPDGDD, les directrius del CEPD i les llistes de les autoritats de controls, entre d’altres.
- Anàlisi i avaluació: examinar i estimar o quantificar els riscos, en termes d’impacte (gravetat) i probabilitat (materialització) a través d’una matriu de riscos per prioritzar-los. S’ha de calcular el nivell de risc inherent que es deriva de cada un dels factors de risc per als drets i les llibertats de les persones, és a dir, el nivell de risc existent abans d’implementar les mesures, les garanties i els controls per reduir-lo.
A partir d’aquí, cal gestionar els riscos derivats dels tractaments de dades, que ha d’incloure, com a mínim, les tasques següents:
- Tractament: mitigar i atenuar els riscos, mitjançant l’adopció de mesures i garanties per a cada factor de risc que redueixin el nivell del risc inherent per als drets i les llibertats, fins a un nivell de risc residual que es pugui assumir i acceptar, transferir o, al contrari, eliminar. Es tracta de reduir el perjudici potencial, disminuint l’impacte que els factors de risc comporten o bé afeblint la probabilitat que els riscos es materialitzin.
- Revisió: fer el seguiment i verificar l’eficàcia de les mesures adoptades, i establir, si escau, períodes de revisió de la gestió del risc.
Cal entendre que la gestió de riscos és un procés cíclic que s’ha de repetir al llarg del cicle de vida del tractament per valorar, avaluar i tractar els canvis que es poden produir al llarg del temps i que poden modificar l’exposició al risc. Per això, és molt important reavaluar les mesures adoptades i adaptar-les al nou context i a les noves necessitats.
És un procés que ha d’assumir el responsable del tractament perquè té l’obligació última de garantir els drets i les llibertats de les persones i és qui coneix millor l’entitat. A més a més, l’encarregat del tractament i el delegat de protecció de dades l’han d’ajudar i assessorar, respectivament, en el desenvolupament de les seves funcions i, per tant, no seria adequat intentar resoldre la gestió de riscos per als drets i les llibertats amb un contracte amb un tercer, desviant la responsabilitat, o bé amb una pòlissa d’assegurances que cobreixi els perjudicis que es poden derivar del tractament.
A l'últim, vull insistir en el fet que l’anàlisi de riscos exigeix una reflexió crítica i objectiva dels diferents tractaments de dades que poden danyar els drets i les llibertats de les persones, i s’ha de dur a terme amb la diligència i la rigorositat oportunes.
Un cop es disposa del resultat de l'anàlisi, s’han d’adoptar les mesures i garanties suficients per evitar les possibles conseqüències negatives per als drets i les llibertats que els tractaments poden ocasionar a les persones interessades. Aquestes mesures i garanties no es poden limitar només a les mesures tècniques o de seguretat, sinó que també han de ser mesures organitzatives i legals. Així, per exemple, s’haurien d’implementar polítiques de protecció de dades, protocols específics, mesures de protecció de dades des del disseny, bones pràctiques, codis de conducta, procediments de gestió d’incidents o de violacions de seguretat i mesures que enforteixin la transparència i els drets de les persones, entre d’altres.
