La evaluación de riesgos es el primer paso hacia la adopción de medidas de seguridad apropiadas para la protección de datos personales. Esta herramienta presenta un enfoque simplificado que puede guiar a las pymes a través de su operación específica de procesamiento de datos y ayudarlas a evaluar los riesgos de seguridad relevantes. Como tal, el enfoque propuesto no presenta una nueva metodología de evaluación de riesgos, sino que se basa en el trabajo existente en el campo ( CNIL – Metodología de gestión de riesgos de privacidad , ENISA – Recomendaciones para una metodología de evaluación de la gravedad de las infracciones de datos personales , ENISA – Gestión de riesgos y evaluación de riesgos para pymes ) para proporcionar orientación a las pymes. Cabe señalar que el enfoque propuesto está destinado a admitir controladores / procesadores de datos y no a actuar como un mecanismo de cumplimiento.
También debe tenerse en cuenta que el trabajo se centra únicamente en la evaluación de riesgos de seguridad en el contexto de las operaciones de procesamiento de datos personales, y no debe confundirse con la evaluación de impacto de protección de datos (DPIA – Artículo 35 GDPR). De hecho, mientras que el primero es una parte crítica del segundo, un DPIA tiene en cuenta varios otros parámetros que están relacionados con el procesamiento de datos personales y van más allá de la seguridad. Aun así, el enfoque propuesto también podría ser útil en el contexto de un DPIA y/o podría extenderse en el futuro para cubrir también la conducción del DPIA.
Fuente: ENISA
Si te haces socio de ISMS Forum, formarás parte de la mayor red activa de organizaciones y expertos comprometidos con la Seguridad de la Información en España.
