¿Cómo realizar una evaluación de impacto sobre privacidad?

¿Desea proteger a su organización de errores que podrían costarle abundante tiempo y dinero?
En el artículo de hoy de nuestra serie de tres partes sobre evaluaciones de impacto sobre privacidad (PIA), nos referiremos a cómo hacer una PIA en su organización. Con esta guía usted aprenderá:

• Seis pasos para el éxito: las seis etapas clave de una PIA y las preguntas que tendrá que responder en cada paso.

También abordaremos las siguientes preguntas frecuentes sobre las evaluaciones de impacto sobre privacidad:

• ¿Cuándo debe hacerse una PIA?
• ¿Cuán detallada debe ser su PIA?
• ¿Con quién podría necesitar hablar durante el proceso?

Si bien las necesidades de cada organización son únicas, esperamos que al proporcionarle un marco para la realización de una PIA, usted pueda identificar y remediar los problemas pronto y así evitar costos innecesarios, quejas y daños a la reputación en el futuro.

¿Quiere leer las partes 1 y 3 de la serie? Aquí están:

• Evaluación de impacto sobre privacidad | Parte 1 ¿Por qué debe realizar una evaluación de impacto sobre privacidad?
• Evaluación de impacto sobre privacidad | Parte 3 Implemente evaluaciones de impacto sobre privacidad con CaseGuard

Paso 1: Determine si necesita realizar una evaluación de impacto sobre privacidad

Antes de comprometerse con muchas horas de trabajo, debe hacerse una pregunta directa:

¿Es necesario realizar esta evaluación de impacto sobre privacidad?

En otras palabras, ¿tiene previsto recopilar, procesar o almacenar información personal de identificación? ¿Recoge, almacena y procesa ya información personal de identificación? Si es así, debe realizar una PIA.

Es esencial tener en cuenta que lo que no es información personal de identificación puede convertirse en ello si se hace pública información adicional que, combinada con otra información disponible, pueda utilizarse para identificar a una persona. En la práctica, esto significa que si va a implantar un nuevo sistema o servicio que cambia la forma en que se recoge, registra, almacena o procesa la información de manera que alguien pudiera identificar más fácilmente a una persona y si las acciones del nuevo sistema o servicio pudieran considerarse intrusivas, entonces es posible que tenga que hacer una PIA.

Si no está seguro de si debe o no hacer una evaluación de impacto sobre privacidad, puede ser útil hablar con un especialista en privacidad o un experto en seguridad dentro de su organización. Lo más probable es que estén familiarizados con lo que usted intenta lograr y puedan orientarle en el proceso.

Paso 2: Planificar y comprender el contexto

En este paso su objetivo es establecer el contexto en torno a su proyecto. A veces realizará un análisis sencillo para una herramienta simple. En otros casos, tendrá que analizar a fondo cómo una nueva herramienta afecta los datos en todos sus sistemas.

En esta fase usted debe ser capaz de:

• Describir el proyecto.
• Comunicar el objetivo de la empresa al manejar esta información.
• Describir el contexto organizativo en el que opera.
• Saber lo que cubrirá la PIA.
• Explicar qué áreas están fuera del alcance de la PIA.
• Determinar quiénes deben participar y cuándo debe hablar con ellos.
• Identificar si habrá que involucrar a terceros en el proceso y qué necesitará de ellos.

Algunas preguntas que pueden servir de guía durante esta fase son:

• ¿Cuáles son sus objetivos para almacenar estos datos?
• ¿Cuál es la capacidad de riesgo de su organización?
• ¿Tiene una cultura de privacidad?
• ¿A quién hará responsable en caso de que se produzca una infracción?
• ¿En qué entorno técnico opera?

Paso 3: Identificar los procesos

Aquí es donde empieza la acción. Durante esta fase identificará los procesos formales e informales del ciclo de vida de la información de su proyecto.

Las principales actividades que realizará son:

• Hablar con las partes interesadas.
• Averiguar cómo funciona su sistema y cómo fluye la información a través de él, cómo se almacena y procesa la información y si hay implicaciones de seguridad.
• Identificar los riesgos y las medidas para mitigarlos.
• Identificar los marcos de cumplimiento.

Algunas preguntas que pueden ser útiles durante esta fase son:

• ¿Recogerá este proyecto información personal de identificación o datos que potencialmente puedan convertirse en la misma?
• ¿Qué información personal se recoge y utiliza actualmente?
• ¿Cómo fluye esta información a través de los sistemas?
• ¿Se compartirán los datos recogidos con otras organizaciones?
• ¿Procesará los datos un tercero?
• ¿Cómo modificará su proyecto el flujo de información? ¿Durante cuánto tiempo se conservará la información? ¿Cómo se eliminará en el futuro?

Paso 4: Gestionar la privacidad y los riesgos

En esta fase se consulta con los representantes de la empresa, los profesionales de privacidad, el personal técnico y el personal de seguridad para determinar cómo abordará su organización los riesgos. Antes de ahondar en este tema, es crucial definir a qué nos referimos cuando hablamos de riesgo. A menudo las personas confunden riesgo con vulnerabilidad. Revisemos ambos términos a continuación.

Según el Instituto Nacional de Normas y Tecnología, el riesgo es: “El grado en que una entidad se ve amenazada por una circunstancia o evento potencial y que normalmente está en función de (i) los impactos adversos que surgirían si la circunstancia o el evento ocurriesen y (ii) la probabilidad de que ocurran. Los riesgos de seguridad relacionados con los sistemas de información son aquellos que surgen de la pérdida de confidencialidad, integridad o disponibilidad de la información o de los sistemas de información y que impactan de forma adversa las operaciones de una organización (incluyendo la misión, las funciones, la imagen o la reputación), así como los activos, los individuos, otras organizaciones y la nación.”.

Por el contrario, la vulnerabilidad es: “Una debilidad en un sistema de información, en los procedimientos de seguridad del sistema, en los controles internos o en la implementación que podría ser utilizada por una fuente de amenaza.”. Entre las vulnerabilidades más comunes se encuentran las contraseñas débiles, la falta de encriptación de datos y los cortafuegos mal configurados.

Tanto las amenazas como las vulnerabilidades de su red o sistema aumentan el riesgo. Las evaluaciones de impacto sobre privacidad están pensadas para facilitar la identificación de los riesgos y la evaluación de su gravedad.

En esta fase usted podrá:

• Identificar los riesgos para la privacidad.
• Determinar los criterios de mitigación y aceptación.
• Tomar decisiones relativas a los controles de seguridad. Decidir, por ejemplo, cómo quiere controlar el acceso a sus sistemas de información.
• Decidir cómo va a supervisar y hacer un seguimiento de los incidentes que se produzcan, así como cómo va a tratar sus posibles consecuencias.

Algunas preguntas que pueden ser útiles durante esta fase son:

• ¿Cuál es la probabilidad y las consecuencias de una brecha?
• ¿Cómo se puede diseñar un sistema que ofrezca mayor seguridad?
• ¿Cómo puede minimizar la cantidad de información personal recogida?
• ¿Cómo se comprobará la información para asegurarse de que es exacta y completa?
• ¿Habrá un registro de auditoría del proyecto que pueda consultarse posteriormente?

Paso 5: Informe y recomendación

Es el momento de hallar soluciones. Durante esta fase se centrará en documentar sus conclusiones de los cuatro pasos anteriores.

En su análisis final, querrá cubrir lo siguiente:

• los objetivos y toda la información relevante sobre el proyecto
• el flujo de la información a través del sistema durante las diferentes etapas
• las personas con acceso a la información dentro del sistema
• las personas responsables de garantizar el cumplimiento de las políticas y procedimientos
• los riesgos identificados y las vías de mitigar cualquier impacto (Hacer referencia a si se tienen planeadas acciones específicas para evitar los riesgos o si se va a realizar algún tipo de prueba.)
• la frecuencia recomendada de revisión de la PIA

Hay muchas maneras de documentar los resultados. Lo más importante es que lo haga de forma que sea útil para su organización. Poner la evaluación de impacto sobre privacidad a disposición del público es una buena manera de demostrar responsabilidad y lograr que todos los miembros de su organización sean conscientes de sus esfuerzos por salvaguardar la privacidad.

Paso 6: Supervisar el cambio

Con el tiempo es posible que se encuentre recopilando datos adicionales o integrándose con otro sistema. Cuando esto ocurra, debe considerar si los cambios tendrán o no un impacto en materia de privacidad. De este modo, su PIA seguirá sirviendo a su organización.

Preguntas frecuentes sobre las evaluaciones de impacto sobre privacidad

¿En qué fase de un proyecto hay que hacer una evaluación de impacto sobre privacidad?

Lo ideal es hacer una PIA antes de iniciar un proyecto que maneje información sensible, como por ejemplo información personal de identificación (PII). El Instituto Nacional de Estándares y Tecnología refiere que la PII: “puede utilizarse para distinguir o rastrear la identidad de un individuo (por ejemplo, nombre, número de la Seguridad Social, registros biométricos, etc.) por sí sola o cuando se combina con otra información personal o de identificación que está vinculada o puede vincularse a un individuo específico (por ejemplo, fecha y lugar de nacimiento, nombre de soltera de la madre, etc.)”.

Hay que hacer una PIA antes de empezar un proyecto porque la evaluación puede echar luz sobre el futuro diseño del mismo. Esta es una herramienta útil porque nos obliga a repensar la forma en que almacenamos, manejamos o procesamos la información.

Hacer este análisis antes de diseñar un proyecto evita posteriores costosos rediseños o reconstrucciones del sistema debido a posibles riesgos que se pasaron por alto.

¿Cuánto tiempo necesito y cuán detallada debe ser la evaluación de impacto sobre privacidad?

No hay una sola manera de hacer una evaluación de impacto sobre privacidad. Dependiendo de cada organización, se puede estar sujeto a requisitos legales adicionales a la hora de realizar una PIA. Si se siente atascado, puede ser útil consultar varias plantillas de evaluaciones de impacto sobre privacidad. No tiene que seguirlas al pie de la letra, es mejor personalizar su PIA en función de las necesidades de su organización. Recuerde que puede añadir o eliminar algunos componentes para adaptar la evaluación a sus necesidades, siempre y cuando tenga claros los aspectos básicos que tratamos aquí.

¿Con quién tengo que hablar como parte de la evaluación de impacto sobre privacidad?

Depende, pero en general, los analistas de negocios, los profesionales de privacidad, el personal técnico, el personal jurídico, el personal de seguridad y los asociados externos proporcionan información valiosa a lo largo del proceso.