Hace unas semanas me invitaron las buenas gentes de Pribatua a participar en una jornada. El primer ponente era Pedro Alberto González, el DPD de la Agencia Vasca de Protección de Datos.
Cuando le avisaron de que le faltaba un minuto, al más puro estilo Steve Jobs, Pedro Alberto dijo algo así como “una cosilla más: no me quiero ir de aquí sin explicarles la diferencia que existe, creo yo, entre el análisis de riesgos y la evaluación de impacto”.
Alcé mis pedúnculos auditivos: sonaba a que iba a decir algo interesante.
Y vaya si lo dijo.
Pedro Alberto tiró de su presentación con personajes de Los Simpson, -minipunto adicional- y proclamó: “el análisis de riesgos es para los malos y los tontos…
… y la evaluación de impacto es para los buenos y los listos.”
Se lo explico:
El análisis de riesgos
El análisis de riesgos identifica amenazas concretas de nuestro día a día, les asigna un nivel de riesgo, y propone medidas adecuadas para mitigar esos riesgos.
No dejes tu login y contraseña en un post-it pegado en la pantalla. Melón.
Automatiza copias de seguridad. Cifra los dispositivos portátiles.
Si no haces estas cosas, te arrepentirás: por tu culpa o por la de otros.
De verdad que lo harás.
Es decir, el análisis de riesgos se dirige contra los focos de riesgo más obvios y cotidianos, y por ello más relevantes: los usuarios.
El objetivo del usuario siempre es otro, no la seguridad de la información o la protección de datos personales en sí misma. Y claro, cuando el foco está puesto en otro sitio, es normal que pasen cosas.
Por eso el análisis de riesgos propone medidas que, al dirigirse al eslabón más débil de la cadena de la seguridad, de acuerdo con el principio de Pareto tendrán el efecto más importante en términos de mitigación.
La evaluación de impacto
La evaluación de impacto tiene básicamente el mismo enfoque, pero por su sistemática y sobre todo por dar peso al estudio de la interacción del/los tratamiento/s examinado/s con los derechos fundamentales te obliga a considerar perspectivas mucho más amplias, y riesgos como catedrales, que posiblemente estaban delante de tus mismas narices.
Lo de la paja en el ojo ajeno y la viga en el propio.
Porque cuando estás convencido de lo altos que son sus motivos o fines, más difícil será que te des cuenta de que quizá sea peor el remedio que la enfermedad.
Listo, más que listo.
Son esos riesgos, esos errores, tan difíciles de ver si estás enamorado de tu proyecto, o “empastado” con él, de tanto darle vueltas.
La simplicidad y acierto de la idea me parece deslumbrante.
Jorge García Herrero
Abogado y Delegado de Protección de Datos