Gobernar el riesgo, proteger la dignidad - Entrada 5 — Medidas para reducir el riesgo: del análisis a la decisión responsable
Gobernar el riesgo,
proteger la dignidad
“Evaluaciones de Impacto y
Gestión del Riesgo en Protección de Datos: una guía práctica desde el
Compliance”
Entrada 5 — Medidas para
reducir el riesgo: del análisis a la decisión responsable
Hasta ahora hemos descrito el
tratamiento, identificado factores de riesgo y evaluado su nivel inherente. Ese
trabajo revela una verdad incómoda: todo tratamiento genera riesgo. La
cuestión no es eliminarlo —eso es imposible—, sino reducirlo a un nivel
aceptable para los derechos y libertades de las personas.
Aquí comienza el verdadero
ejercicio de responsabilidad proactiva: seleccionar medidas que no sean
cosméticas, sino eficaces.
La guía de la AEPD insiste en
que las medidas no son un catálogo fijo, sino un conjunto de decisiones
adaptadas al contexto. El profesional de Compliance debe aprender a elegirlas
con criterio, justificarlas y documentarlas.
1. Medidas de diseño:
intervenir en la arquitectura del tratamiento
Las medidas más eficaces no
son las que se aplican al final, sino las que se integran desde el diseño.
Actúan sobre la estructura del tratamiento, no sobre sus síntomas.
a) Minimización de datos
Reducir datos reduce riesgo.
Preguntas clave:
- ¿Todos estos datos son necesarios?
- ¿Podemos usar menos?
- ¿Podemos usar datos menos sensibles?
b) Limitación de finalidades
Una finalidad clara evita usos
secundarios que generan riesgos ocultos.
c) Separación lógica o física
de datos
Evita correlaciones indebidas
y accesos amplios.
d) Abstracción y encapsulación
Diseñar sistemas que no
expongan más información de la necesaria.
e) Pseudonimización
Una de las medidas más
potentes para reducir impacto, especialmente en análisis, investigación o IA.
Estas medidas definen la
arquitectura del tratamiento y condicionan todo lo que vendrá después.
2. Medidas organizativas:
gobernar el tratamiento desde dentro
Una vez intervenido el diseño,
toca gobernar el tratamiento desde la organización.
a) Políticas claras y
actualizadas
No políticas decorativas, sino
operativas:
- accesos,
- conservación,
- uso aceptable,
- gestión de proveedores,
- revisión periódica.
b) Formación específica
No cursos genéricos: formación
adaptada al rol y al riesgo.
c) Segregación de funciones
Evita que una sola persona
concentre poder sobre los datos.
d) Procedimientos de revisión
y auditoría
El riesgo cambia; las medidas
deben revisarse.
e) Gestión de cambios
Cada modificación del
tratamiento debe activar una revisión del riesgo.
Estas medidas crean cultura
de protección, no solo cumplimiento.
3. Medidas técnicas: proteger
el tratamiento en su ejecución
Son las más visibles, pero no
sustituyen a las medidas de diseño ni a las organizativas. Son el tercer nivel
de defensa.
a) Control de accesos
Principio de mínimo
privilegio. Accesos basados en rol. Revisión periódica.
b) Cifrado en tránsito y en
reposo
Reduce impacto en caso de
brecha.
c) Registro de actividades y
trazabilidad
Permite detectar usos
indebidos y reconstruir incidentes.
d) Autenticación robusta
MFA, tokens, certificados.
e) Seguridad por defecto
Configuraciones seguras desde
el inicio, no después.
f) Resiliencia y continuidad
Copias de seguridad,
redundancia, recuperación ante desastres.
Estas medidas reducen la
probabilidad de incidentes y, en algunos casos, el impacto.
4. Medidas específicas para
tratamientos avanzados (IA, perfilado, decisiones automatizadas)
Los tratamientos complejos
requieren medidas complejas. Aquí la guía de la AEPD es especialmente clara.
a) Validación de modelos
Evitar sesgos, errores y
decisiones injustas.
b) Explicabilidad
El interesado debe entender la
lógica del tratamiento.
c) Supervisión humana
significativa
No un humano decorativo, sino
con capacidad real de intervenir.
d) Evaluación continua del
rendimiento
Los modelos cambian; el riesgo
también.
e) Limitación de datos de
entrenamiento
Evitar sobreexposición y
reutilización indebida.
Estas medidas no son
opcionales: son esenciales para proteger derechos en entornos algorítmicos.
5. Medidas sobre proveedores:
el eslabón más débil
Muchos riesgos no están dentro
de la organización, sino fuera.
a) Due diligence previa
Evaluar garantías,
certificaciones, historial, jurisdicción.
b) Contratos claros y
exigentes
Cláusulas sobre seguridad,
subencargados, auditorías, localización de datos.
c) Supervisión continua
No basta con firmar: hay que
verificar.
d) Planes de contingencia
¿Qué ocurre si el proveedor
falla?
La dependencia tecnológica es
uno de los factores de riesgo más infravalorados.
6. Cómo justificar las
medidas: el criterio es tan importante como la medida
La autoridad no evalúa solo qué
medidas se aplican, sino por qué.
La justificación debe
responder a tres preguntas:
1. ¿Qué
riesgo concreto mitiga esta medida?
2. ¿Por
qué esta medida es adecuada para este tratamiento?
3. ¿Por
qué no se ha elegido otra medida más estricta?
Una medida sin justificación
es una medida débil. Una medida justificada es una decisión defendible.
La autoridad no evalúa la
medida: evalúa el razonamiento.
7. El error más común: aplicar
medidas estándar sin adaptarlas
Muchas organizaciones aplican
“paquetes de medidas” iguales para todos los tratamientos. Eso contradice el
RGPD.
El RGPD exige proporcionalidad
contextual, no uniformidad.
- Un tratamiento de datos de salud no puede
tener las mismas medidas que un boletín informativo.
- Un sistema de IA no puede tener las mismas
medidas que un registro de clientes.
La protección de datos no es
un menú fijo: es un diseño a medida.
Cierre de la Entrada 5
Seleccionar medidas es el
momento en el que la organización demuestra si ha entendido el riesgo o
si solo lo ha documentado. Es el punto donde el análisis se convierte en decisión
responsable y donde la protección de datos se transforma en gobernanza
real.
En la próxima entrada
avanzaremos al siguiente paso: valorar el riesgo residual y decidir si el
tratamiento puede ejecutarse o si requiere una EIPD.
Comentarios
Publicar un comentario