Informe de Análisis de Riesgos Simplificado

INFORME DEL ANÁLISIS DE RIESGOS

ADAPTADO AL RGPD

8 de mayo de 2019

Página 1 de 10
Informe de Análisis de Riesgos Simplificado

Índice
Pulsar el botón derecho del ratón encima de esta línea y seleccionar
"Actualizar campos" si desea ver el índice de contenidos

Página 2 de 10
Informe de Análisis de Riesgos Simplificado

1. Introducción
El 4 de mayo de 2016, fue publicado en el Diario Oficial de la Unión
Europea el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO
EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la
protección de las personas físicas en lo que respecta al tratamiento
de datos personales y a la libre circulación de estos datos y por el
que se deroga la Directiva 95/46/CE (Reglamento general de
protección de datos, RGPD). El RGPD recoge la obligación para el
Responsable del Tratamiento de realizar un Análisis de Riesgos con
el fin de establecer medidas de seguridad y control para garantizar
los derechos y libertades de las personas.
Asimismo las autoridades de protección de datos han elaborado
guías de ayuda con el objetivo de ofrecer directrices y orientaciones
para establecer una hoja de ruta que permita contemplar la
privacidad desde el inicio, mediante un enfoque de análisis de
riesgos, facilitando el cumplimiento del RGPD.
Con el fin de cumplir con las obligaciones del RGPD, se elabora este
documento, el cual contiene el análisis de riesgos según el estado
de +++ ++++, y aquellas actuaciones que debe acometer como
Responsable del Tratamiento de datos personales.
La Gestión de riesgos es el conjunto de actividades y tareas que
permiten controlar la incertidumbre relativa a una amenaza
mediante una secuencia de actividades que incluyen la
identificación y evaluación del riesgo, así como, las medidas para su
reducción o mitigación.
La gestión de riesgos se puede dividir en tres etapas diferenciadas:
La identificación, la evaluación y el tratamiento de los riesgos.
Identificar amenazas y riesgos
El riesgo se deriva de la exposición a amenazas, por tanto, desde la
perspectiva de la privacidad, es fundamental entender qué es una
amenaza y cómo se pueden identificar escenarios de riesgo para los
datos personales a partir de la misma.
Una amenaza es cualquier factor de riesgo con potencial para
provocar un daño o perjuicio a los interesados sobre cuyos datos de
carácter personal se realiza un tratamiento.
Un riesgo se puede definir como la combinación de la posibilidad de
que se materialice una amenaza y sus consecuencias negativas. El
nivel de riesgo se mide según su probabilidad de materializarse y el
impacto que tiene en caso de hacerlo. Las amenazas y los riesgos
asociados están directamente relacionados, en consecuencia,
identificar los riesgos siempre implica considerar la amenaza que

Página 3 de 10
Informe de Análisis de Riesgos Simplificado

los puede originar.

Evaluar los riesgos
Evaluar un riesgo implica considerar todos los posibles escenarios
en los cuales el riesgo se haría efectivo. La evaluación de riesgos
consiste en valorar el impacto de la exposición a la amenaza, junto a
la probabilidad de que esta se materialice. El impacto, por su parte,
se determina en base a los posibles daños que se pueden producir si
la amenaza se materializa, por ejemplo, un impacto sería
despreciable si no tuviera consecuencias sobre el interesado o, por
el contrario, un impacto sería significativo si el daño ocasionado
sobre los derechos y libertades del interesado fuese crítico. Según la
probabilidad y el impacto, asociados a las amenazas, es posible
determinar el nivel de riesgo inherente.
Tratar los riesgos
La última fase del proceso de gestión de riesgos es tratar los
mismos. El objetivo de tratar los riesgos es disminuir su nivel de
exposición con medidas de control que permitan reducir la
probabilidad y/o impacto de que estos se materialicen. El riesgo
inherente se puede tratar con el objetivo de reducir o mitigar el
mismo, en función de la medida que se adopte, hasta situar el riesgo
residual en un nivel que se considere razonable.

2. Identificación del Proyecto

RESPONSABLE DEL TRATAMIENTO

TÍTULO DE PROYECTO DE AARR

Tarea

NÚMERO DE REGISTRO DE AARR

1-2019

FECHA AARR

1 de mayo de 2019 - 31 de mayo de 2020

RESPONSABLE/S DEL PROYECTO

Cargo: Delegado de Protección de Datos (DPD)

3. Tratamientos incluídos en el Análisis de Riesgos

Página 4 de 10
Informe de Análisis de Riesgos Simplificado

TRATAMIENTOS INCLUIDOS EN EN ANÁLISIS PERO QUE DEBEN

REALIZAR UNA EIPD

- FINES ESTADÍSTICOS, HISTÓRICOS O CIENTÍFICOS

- GESTIÓN DE CLIENTES, CONTABLE, FISCAL Y ADMINISTRATIVA
- SERVICIOS ECONÓMICOS-FINANCIEROS Y SEGUROS

4. Flujos de Datos Personales 08-05-2019

A continuación se muestra la información relativa a las siguientes

categorías de actividades de tratamiento, llevadas a cabo por parte de
conforme a lo dispuesto en el artículo 30 RGPD.

4.1. Tratamiento - FINES ESTADÍSTICOS, HISTÓRICOS O

CIENTÍFICOS

FICHEROS CON DATOS ASOCIADOS

Proveedores

ARCHIVOS AUTOMATIZADOS

Bbdd fines estadísticos, históricos o científicos

CATEGORÍAS DE DATOS PERSONALES

CATEGORÍAS DE DATOS DE CARÁCTER IDENTIFICATIVO

NIF/DNI
Nombre y Apellidos
Firma (manual o digitalizada)

CATEGORÍAS DE DATOS NO SENSIBLES

Información comercial

CATEGORÍAS ESPECIALES DE DATOS

Origen racial o étnico
Opiniones políticas
Creencias filosóficas
Afiliación sindical
Datos genéticos

Página 5 de 10
Informe de Análisis de Riesgos Simplificado

EXTENSIÓN GEOGRÁFICA DEL TRATAMIENTO

Nacional

4.2. Tratamiento - GESTIÓN DE CLIENTES, CONTABLE, FISCAL Y

ADMINISTRATIVA

FICHEROS CON DATOS ASOCIADOS

Clientes

ARCHIVOS AUTOMATIZADOS

Bbdd gestión de clientes, contable, fiscal y administrativa

CATEGORÍAS DE DATOS PERSONALES

CATEGORÍAS DE DATOS DE CARÁCTER IDENTIFICATIVO

NIF/DNI
Nombre y Apellidos
Firma (manual o digitalizada)

CATEGORÍAS DE DATOS NO SENSIBLES

Características personales
Información comercial

CATEGORÍAS ESPECIALES DE DATOS

Origen racial o étnico
Opiniones políticas
Opiniones religiosas
Creencias filosóficas
Datos genéticos

EXTENSIÓN GEOGRÁFICA DEL TRATAMIENTO

Nacional

4.3. Tratamiento - SERVICIOS ECONÓMICOS-FINANCIEROS Y

SEGUROS

FICHEROS CON DATOS ASOCIADOS

Página 6 de 10
Informe de Análisis de Riesgos Simplificado

Proveedores

ARCHIVOS AUTOMATIZADOS

Bbdd servicios económicos-financieros y seguros

CATEGORÍAS DE DATOS PERSONALES

CATEGORÍAS DE DATOS DE CARÁCTER IDENTIFICATIVO

NIF/DNI
Nombre y Apellidos
Firma (manual o digitalizada)

CATEGORÍAS DE DATOS NO SENSIBLES

Información comercial

CATEGORÍAS ESPECIALES DE DATOS

Origen racial o étnico
Opiniones políticas
Creencias filosóficas
Afiliación sindical
Datos genéticos

EXTENSIÓN GEOGRÁFICA DEL TRATAMIENTO

Nacional

5. NO NECESIDAD DE EVALUACIÓN DE IMPACTO

El presente tratamiento se somete a un análisis de riesgos y no a
una evaluación de impacto puesto que tras haber realizado el
correspondiente análisis sobre la necesidad de evaluación de
impacto el resultado ha sido el siguiente:

5.1. FINES ESTADÍSTICOS, HISTÓRICOS O CIENTÍFICOS

 Evaluación sistemática y exhaustiva de aspectos personales de
personas físicas, que se base en un tratamiento automatizado como
la elaboración de perfiles, y sobre cuya base se tomen decisiones
que produzcan efectos jurídicos para las personas físicas o que les
afecten significativamente de modo similar, (como la predicción de
conductas o comportamientos referidos a su rendimiento en el
trabajo, su situación económica, su salud, sus preferencias o
intereses personales, su fiabilidad o comportamiento, su solvencia
Página 7 de 10
Informe de Análisis de Riesgos Simplificado

financiera, su localización o sus movimientos).

En función de lo anterior, se determina que: Debe realizar un Análisis

de Riesgo.

5.2. GESTIÓN DE CLIENTES, CONTABLE, FISCAL Y

ADMINISTRATIVA
 Evaluación sistemática y exhaustiva de aspectos personales de
personas físicas, que se base en un tratamiento automatizado como
la elaboración de perfiles, y sobre cuya base se tomen decisiones
que produzcan efectos jurídicos para las personas físicas o que les
afecten significativamente de modo similar, (como la predicción de
conductas o comportamientos referidos a su rendimiento en el
trabajo, su situación económica, su salud, sus preferencias o
intereses personales, su fiabilidad o comportamiento, su solvencia
financiera, su localización o sus movimientos).

En función de lo anterior, se determina que: Debe realizar un Análisis

de Riesgo.

5.3. SERVICIOS ECONÓMICOS-FINANCIEROS Y SEGUROS

 Evaluación sistemática y exhaustiva de aspectos personales de
personas físicas, que se base en un tratamiento automatizado como
la elaboración de perfiles, y sobre cuya base se tomen decisiones
que produzcan efectos jurídicos para las personas físicas o que les
afecten significativamente de modo similar, (como la predicción de
conductas o comportamientos referidos a su rendimiento en el
trabajo, su situación económica, su salud, sus preferencias o
intereses personales, su fiabilidad o comportamiento, su solvencia
financiera, su localización o sus movimientos).

En función de lo anterior, se determina que: Debe realizar un Análisis

de Riesgo.

6. Plan de proyecto

Las fases que se han seguido han sido las siguientes:

1. Definición de alcance y planificación
2. Preparación
3. Necesidad y proporcionalidad
4. Ciclo de vida de los datos:
4.1. Actividades de tratamiento
4.2. Datos
4.3. Intervinientes
Página 8 de 10
Informe de Análisis de Riesgos Simplificado

4.4. Tecnología
5. Gestión de riesgos:
5.1.Apreciación de riesgos
5.2.Identificación de riesgos
5.3.Análisis de riesgos
6.Consultas
7. Tratamiento del riesgo
8. Emisión de informe

7. Identificación de Riesgos
Los riesgos identificados son los siguientes:
 Los clientes opten por otros proveedores
 Perder crédito en pago a proveedores

8. Tratamiento de Riesgos
Los controles definidos para el tratamiento de los riesgos identificados son
los siguientes:

ESCENARIO DE RIESGO

Los clientes opten por otros proveedores

TRATAMIENTO DEL RIESGO

Evitar

JUSTIFICACIÓN

Sin clientes no hay flujo de efectivo por ende cerrara la empresa

ESCENARIO DE RIESGO

Perder crédito en pago a proveedores

TRATAMIENTO DEL RIESGO

Evitar

JUSTIFICACIÓN

Cumplir con los pagos a proveedores para mantener la reputación de la

empresa y que los proveedores sigan dando crédito.

Página 9 de 10
Informe de Análisis de Riesgos Simplificado

9. Conclusiones

Del análisis de riesgos se llega a la conclusión de que si se adopta

los controles indicados el tratamiento puede llevarse a cabo puesto
que el RIESGO FINAL es ACEPTABLE no entrañando un nivel de
riesgo elevado en el derecho.

Página 10 de 10