Imagina que tienes un tesoro muy valioso: tus datos personales. Al igual que un banco protege tu dinero, las organizaciones deben proteger los datos personales de sus usuarios y clientes porque son su activo de información más importante. Sin embargo, a veces ocurren robos por accesos no autorizados o pérdidas de información.
El Pd-VaR (The Personal Data Value at Risk) es una herramienta que nos ayuda a entender qué tan grave puede ser, por ejemplo, un robo de datos. Es como un seguro que te dice cuánto podrías perder si te roban algo. En el caso de los datos personales, lo que se pierde, principalmente es la intimidad o privacidad o los derechos de su titular. De ahí la dificultad de su estimación, pues cada persona valora diferente sus derechos y por ende no existen modelos únicos que permitan un análisis unívoco.
Para las organizaciones también es difícil desarrollar un modelo. Si bien, muchas de ellas, se toman la protección de datos personales en serio, no solo por evitar sanciones por parte de las entidades competentes, sino porque han podido percibir el retorno de la inversión en la implementación real de sistemas de gestión de protección de datos personales. Sin embargo, no existen guías o directrices que ayuden a las organizaciones a identificar, mitigar o eliminar posibles riesgos, medir la eficacia y el impacto de los controles mitigantes y tampoco se ha podido cuantificar posibles daños causados por un tratamiento inadecuado, como en el ejemplo, un robo de datos.
La identificación y gestión de riesgos para la protección de datos personales es una de las principales obligaciones de todas las organizaciones que realizan tratamiento de datos personales. Su importancia radica en la necesidad de minimizar o incluso eliminar posibles riesgos en el tratamiento de datos personales que pudieran afectar los derechos y libertades de los titulares. De ahí que, esta metodología resulta indispensable para cumplir con la normativa vigente y mantener una aplicación ética de las tecnologías.
Luis Enríquez, profesor de la Universidad Andina Simón Bolívar, de la Université de Lille (Francia) e Intendente General de Innovación Tecnológica y Seguridad de Datos Personales de la Superintendencia de Protección de Datos Personales (Ecuador) ha realizado una investigación novedosa sobre la elaboración de modelos de riesgos en protección de datos personales para reducir la incertidumbre y mejorar el esquema de protección.
Para comprender la importancia de su investigación le preguntamos lo siguiente:
1. ¿Por qué se realiza análisis de riesgos en protección de datos personales?
Por cuanto existen riesgos operacionales en el marco de las actividades del tratamiento de datos. Los riesgos de seguridad de la información son potenciales riesgos contra los derechos y libertades de los titulares de los datos. Por ejemplo, una vulneración de la confidencialidad de mis datos médicos puede generar otras consecuencias, además de la violación de mi vida privada, tales como ser discriminado, o no conseguir un empleo.
2. ¿Cuáles son los retos de implementar análisis de riesgos en derechos y libertades?
El primer gran desafío es que los responsables y encargados del tratamiento no son expertos en estimar impactos jurídicos, pues no son jueces ni autoridades administrativas. El segundo gran desafío es considerar que existen grupos de titulares de datos que son especialmente vulnerables como los niños, los discapacitados, personas sin educación digital, entre otros. El impacto en estos grupos vulnerables puede ser aún mayor que en las personas naturales promedio y es necesario calibrar su nivel de vulnerabilidad en modelos de riesgo.
3. ¿Por qué hacer modelos de riesgos específicos para protección de datos personales y cuáles son sus ventajas y desventajas?
Los modelos de riesgo permiten descomponer un escenario de riesgo en factores. El riesgo se lo puede descomponer en la frecuencia de la ocurrencia y la magnitud del impacto. Estas dos dimensiones del riesgo pueden subdividirse también. Para ponerlo simple, en un escenario de riesgo de confidencialidad de tus datos, la frecuencia de ocurrencia es calibrar cuantas veces al año las comunidades de amenaza (como los cibercriminales) pueden hackear tus datos. Así mismo, en el evento de que ocurriera la vulneración de la seguridad de tus datos, cuáles serían las consecuencias que sufrirían tanto tú, como los otros titulares de datos personales.
4. ¿Qué está haciendo la academia para investigar sobre modelos de riesgos específicos en protección de datos personales?
Las Universidades son fundamentales en este proceso de transformación hacia una cultura de manejo de riesgos. Por ello, ya hemos suscrito varios convenios con Universidades públicas y privadas del Ecuador. Es importante sincronizar las formaciones académicas y profesionales que las Universidades dictan, con las directrices emitidas por la Superintendencia de Protección de Datos Personales. Esto sobre todo en roles nuevos en el Ecuador, como el Delegado de Protección de Datos.
5. ¿Qué está haciendo la Superintendencia de Protección de Datos Personales ecuatoriana respecto de modelos de riesgos específicos en protección de datos personales?
Hemos empezado con la guía de gestión de riesgos y evaluación de impacto del tratamiento de datos personales, que saldría la luz ya en este mes de enero de 2025. En esta guía se establecerán los principios fundamentales a considerar para realizar una gestión de riesgos para la protección de derechos y libertades, y recomendaciones para desarrollar métricas significativas, construir escenarios de riesgo y plasmarlos en modelos de riesgo adecuados. Todos los datos de entrada deben ser justificados con sus respectivos “rationales”, sean de naturaleza cuantitativa, cualitativa, o híbrida.” La implementación de modelos de gestión de protección de datos personales basados en análisis de riesgos es fundamental para las organizaciones: evitan sanciones y permiten cuantificar retornos de inversión en seguridad de datos personales.
