Gobernar el riesgo, proteger la dignidad - Entrada 3 — Identificar los factores de riesgo: ver lo que otros no ven


 

Gobernar el riesgo, proteger la dignidad

“Evaluaciones de Impacto y Gestión del Riesgo en Protección de Datos: una guía práctica desde el Compliance”

Entrada 3 — Identificar los factores de riesgo: ver lo que otros no ven

Una vez descrito el tratamiento —su finalidad, su ciclo de vida, sus activos y sus escenarios de uso— llega el momento decisivo: identificar los factores de riesgo que pueden afectar a los derechos y libertades de las personas.

Este paso es crucial porque determina todo lo que vendrá después: la valoración del riesgo, la necesidad de medidas adicionales, la obligación o no de realizar una EIPD y la capacidad de la organización para defender sus decisiones.

Identificar factores de riesgo no es un ejercicio de imaginación ni una lista de comprobación mecánica. Es un acto de lectura profunda del tratamiento, de comprensión de su contexto y de anticipación de sus consecuencias.

1. Qué es un factor de riesgo en protección de datos

Un factor de riesgo es cualquier elemento del tratamiento que pueda aumentar la probabilidad o el impacto de un daño para una persona.

Ese daño puede ser:

  • económico,
  • físico,
  • psicológico,
  • reputacional,
  • social,
  • o relacionado con la pérdida de control sobre sus datos.

El RGPD no define el riesgo por la gravedad del incidente, sino por la vulnerabilidad del individuo ante ese incidente.

Por eso, identificar factores de riesgo exige pensar desde la perspectiva del interesado, no desde la comodidad de la organización.

Un factor de riesgo no es una certeza: es una posibilidad razonable que debe ser comprendida y gestionada.

2. Tres grandes familias de factores de riesgo

La guía de la AEPD ofrece múltiples categorías, pero para un profesional de Compliance es más útil agruparlos en tres grandes familias. Este enfoque evita perderse en listas interminables y permite analizar el tratamiento con criterio.

a) Factores derivados del propio tratamiento

Son los que nacen de la naturaleza del tratamiento:

  • tipos de datos tratados (especialmente sensibles o no),
  • volumen de datos,
  • número de interesados,
  • perfilado o decisiones automatizadas,
  • observación sistemática,
  • uso de nuevas tecnologías,
  • combinación de datos de distintas fuentes,
  • tratamiento de datos de colectivos vulnerables.

Estos factores describen qué hace el tratamiento y a quién afecta.

b) Factores derivados del contexto organizativo y técnico

Son los que dependen de cómo la organización ejecuta el tratamiento:

  • complejidad de los sistemas,
  • número de actores implicados,
  • dependencia de proveedores,
  • accesos internos amplios o mal definidos,
  • falta de segregación de funciones,
  • ausencia de controles de seguridad robustos,
  • procesos manuales propensos a error,
  • infraestructuras distribuidas o externalizadas.

Estos factores describen cómo se hace el tratamiento.

c) Factores derivados del entorno externo

Son los que no controla directamente la organización, pero que influyen en el riesgo:

  • amenazas tecnológicas,
  • cambios regulatorios,
  • expectativas sociales,
  • riesgos geopolíticos,
  • exposición mediática,
  • presión comercial o competitiva.

Estos factores describen dónde vive el tratamiento. El riesgo no depende solo de la organización, sino del ecosistema en el que opera.

3. El error habitual: confundir factores de riesgo con incidentes

Un factor de riesgo no es un incidente. No es “una brecha”, ni “un acceso indebido”, ni “una filtración”.

Es la condición que podría permitir que ese incidente ocurra.

Ejemplos:

  • No es “un empleado accede a datos sin autorización”. Es “accesos internos excesivamente amplios”.
  • No es “un proveedor expone datos”. Es “dependencia crítica de un proveedor sin garantías suficientes”.
  • No es “un algoritmo discrimina”. Es “uso de modelos opacos sin validación de sesgos”.

El análisis de riesgos no se hace sobre el daño, sino sobre las condiciones que lo hacen posible.

4. Cómo identificar factores de riesgo de forma operativa

La identificación debe seguir un método claro y estructurado:

a) Revisar el ciclo de vida del dato

Cada fase revela factores distintos:

  • en la recogida: legitimidad, transparencia, expectativas;
  • en el uso: decisiones, algoritmos, accesos;
  • en la comunicación: terceros, transferencias, responsabilidades;
  • en la conservación: plazos, acumulación, obsolescencia;
  • en la supresión: destrucción, trazabilidad, reutilización.

b) Revisar los activos implicados

Cada activo introduce un vector de riesgo:

  • sistemas,
  • personas,
  • proveedores,
  • procesos,
  • documentación,
  • infraestructuras.

c) Revisar los escenarios de uso

Los escenarios revelan riesgos que no aparecen en los formularios:

  • errores humanos,
  • usos secundarios,
  • accesos indebidos,
  • fallos de diseño,
  • decisiones automatizadas mal calibradas.

d) Revisar el contexto externo

El riesgo no vive en el vacío:

  • amenazas tecnológicas,
  • cambios regulatorios,
  • expectativas sociales,
  • sensibilidad del tratamiento.

5. Factores de riesgo que suelen pasar desapercibidos

Hay factores que casi nunca se identifican, pero que son críticos:

  • asimetría de poder entre la organización y el interesado,
  • dependencia tecnológica de proveedores opacos,
  • sesgos algorítmicos no detectados,
  • acumulación histórica de datos sin revisión,
  • tratamientos que evolucionan sin documentación,
  • interoperabilidad entre sistemas que genera riesgos no previstos,
  • procesos manuales que introducen errores invisibles.

El profesional de Compliance debe aprender a ver lo que otros no ven.

6. Documentar la identificación: claridad, no exhaustividad

La documentación no debe ser una lista interminable. Debe ser:

  • clara,
  • comprensible,
  • justificable,
  • y directamente vinculada al tratamiento.

Un buen análisis no es el que enumera más factores, sino el que identifica los relevantes.

Cierre de la Entrada 3

Identificar factores de riesgo es el paso que transforma la descripción del tratamiento en un análisis real. Es el momento en el que la organización deja de ver datos y empieza a ver personas.

Y es también el punto donde comienza la madurez institucional: la capacidad de anticipar, comprender y gobernar el riesgo antes de que se materialice.

En la próxima entrada avanzaremos al siguiente nivel: evaluar el nivel de riesgo —probabilidad, impacto y riesgo inherente.

Comentarios

Publicar un comentario