Qué es el análisis de riesgo en el RGPD

Cualquier empresa, como unidad económica que opera en el medio social, está expuesta en el desarrollo de su actividad a numerosos factores —tanto endógenos como exógenos— que contribuyen de forma fundamental al éxito y al fracaso de sus proyectos. En la vertiente negativa de estos factores nos encontramos con los denominados riesgos empresariales, esto es, aquellos eventos o circunstancias hipotéticas que, de llegar a materializarse, tienen la capacidad de poner en peligro la consecución de los objetivos empresariales y, en el peor de los casos, de hacer desaparecer a la propia organización. Precisamente, la actividad del análisis y la gestión de riesgos consiste en desarrollar y poner en marcha procedimientos y políticas de identificación, evaluación y control de tales riesgos, que deben involucrar a todos los miembros de la organización con el fin último de que se genere en su seno una cultura empresarial de prevención del riesgo.  

Aunque algunos factores son inherentes al desarrollo de la actividad empresarial, la naturaleza de muchos otros varía según los mercados y sectores en los que actúa la compañía. En función del ámbito en el que se manifiesten, los riesgos pueden agruparse, entre otros, en los siguientes tipos: estratégicos, de mercado, operacionales, financieros y legales-regulatorios.  

Los riesgos RGPD de origen legal-regulatorio 

Centrándonos en los riesgos de origen legal-regulatorio, el desconocimiento de la legislación que afecta a la empresa o a su actividad puede traer consigo graves consecuencias. Un ejemplo paradigmático de aparición de riesgo normativo empresarial con enorme impacto —me atrevo a decir con impacto de carácter global— ha sido la entrada en vigor en mayo de 2018 del Reglamento General de Protección de Datos de la Unión Europea (RGPD). Desde entonces, las organizaciones afectadas —esto es, todas aquellas empresas que en el mundo procesen datos personales de ciudadanos europeos independientemente del país en el que radiquen— se han visto obligadas a adecuarse al cumplimiento de esta normativa europea en tres vertientes fundamentales: tecnológica, jurídica y organizativa.  

El análisis de riesgos RGPD y la tecnología 

En lo que se refiere a la vertiente tecnológica, la ciberseguridad aplicable a un tratamiento determinado de datos personales ha dejado de abordarse por parte del RGPD en categorías cerradas y delimitadas por niveles de riesgo tipificado para dar paso a un proceso de autoevaluación continuada de las empresas. Ahora las organizaciones deben realizar una revisión constante de los riesgos que en materia de seguridad de la información plantean los diversos tratamientos de datos que efectúan y decidir por sí mismas el nivel de ciberseguridad que deben implantar o, en su caso, reclamar ese determinado nivel de cumplimiento a sus proveedores tecnológicos.  

El análisis de riesgos RGPD en lo jurídico 

En lo jurídico, para dar cumplimiento a esta norma, las organizaciones han debido iniciar un proceso de transformación dirigido a tratar los datos personales mediante prácticas más dinámicas y autorresponsables con el fin de cumplir —entre otros— con principios tales como la «protección de datos desde el diseño y por defecto». 

El análisis de riesgos RGPD en el plano organizativo 

En el plano organizativo, las empresas han debido reestructurar procedimientos, procesos y políticas internas de forma que, a modo de ejemplo, existan mecanismos eficaces para el ejercicio por parte de los ciudadanos de los derechos que los asisten.  

En otro orden de cosas, pero sin duda íntimamente ligada a los riesgos legales y regulatorios a los que nos referimos, se encuentra una categoría de riesgos a la que no suele prestarse demasiada atención: la de los riesgos reputacionales. 

El análisis de riesgos RGPD hoy en día  

Resulta innegable que el proceso de transformación digital ha contribuido de forma fundamental a que las empresas logren una mayor presencia y visibilidad en la sociedad en la que desarrollan sus actividades. Grandes y pequeñas compañías han forjado, gracias al uso de herramientas digitales, una identidad y una reputación empresarial sólidas. Sin embargo, las ventajas competitivas que otorgan la buena reputación en los mercados pueden verse amenazadas por no atender de forma adecuada los riesgos derivados de los incumplimientos normativos. Si estamos de acuerdo en que el activo más importante con el que cuentan las empresas en la era digital es precisamente la información que manejan (compuesta tanto por datos personales como no personales), la pérdida de datos o su uso no autorizado —además de dar lugar a la potencial imposición de considerables sanciones administrativas de carácter económico— puede repercutir de forma decisiva en el deterioro de la reputación empresarial y, como consecuencia, en la depreciación económica de cualquier entidad productiva.  

En definitiva, es preciso que las empresas establezcan procedimientos y políticas que contemplen tanto la ejecución habitual de análisis de riesgos como la asignación de aquellos activos humanos y materiales necesarios para su correcta gestión. Aunque es cierto que la identificación y delimitación de los riesgos empresariales no es una tarea exenta de complejidad, resulta esencial abordarla de forma adecuada y recurrente. No hacerlo así conducirá inexorablemente a la necesidad de recurrir a fórmulas jurídicas de reparación y, también, a realizar nuevas inversiones económicas destinadas a recuperar el terreno perdido en materia de reputación empresarial.