Análisis de Riesgo en Protección de datos: consideraciones sobre su enfoque.

Como una nueva tendencia, los Análisis de Riesgos están entrando entre nuestras obligaciones jurídicas en diversas disciplinas y desde diferentes vertientes. En mi experiencia en materia de protección de datos el análisis de riesgos se configura  como una obligación difusa, en la que aparentemente es más importante la forma que el contenido, dado que más allá de su necesaria aplicación no existe una sistemática respecto a su adopción. Esto plantea problemas desde la perspectiva metodológica y sancionadora, dado que el establecimiento de una obligación con tal rango de indefinición no permite conocer aprioristicamente:

  • Ni el método para realizar correctamente un análisis de riesgos
  • Ni la validez de sus resultados obtenidos
  • Ni si es sancionable su inexistencia/ su incorrecta ejecución o su metodología

Esta situación provoca que cualquier análisis pueda generar una sensación de rechazo o de vacuidad por no cubrir las expectativas generadas o por no responder a los grandes riesgos que corre un responsable en el tratamiento de los datos y que sólo se concreta cuando el riesgo se ha materializado, siendo más que dudoso que los supuestos analizados sean coincidentes con los fallos del sistema que provocan el riesgo. Esta situación no es más que una de las derivadas del novedoso principio “de la responsabilidad proactiva“, cuya máxima puede traducirse en un vulgar “tu sabrás lo que haces pero asumes las consecuencias“,  y que desde el punto de vista jurídico es un principio más que discutible aunque se encuentre en norma, que asumiremos y sufriremos, y que su análisis requerirá  de un post propio.

Una vez superado el correspondiente rechazo, necesario para alcanzar el nivel adecuado en toda reflexión, ofrezco una serie de consideraciones que espero sean compartidas y de interés. En primer lugar, debe tenerse en cuenta que el análisis de riesgos se circunscribe al objeto “derechos y libertades de los ciudadanos“. En diversos métodos he detectado que se opta por centrar el objeto del riesgo en la seguridad, pero la seguridad no es más que un mecanismo más, una derivada que puede ser una amenaza pero no es el objeto del análisis. El estudio es más complejo dado que los peligros que puedan sobrevolar sobre los derechos fundamentales -desde la perspectiva de protección de datos-, es un análisis sobre el que todavía no he leído ningún estudio riguroso. En este aspecto no hay nada mejor que volver al origen y uno de ellos puede ser la CARTA DE LOS DERECHOS FUNDAMENTALES DE LA UNIÓN EUROPEA. En segundo lugar, debe plantearse un método, que siguiendo la mayoría de los sistemas, establecerá una serie de escenarios que valoran la probabilidad por el impacto. En aplicación de esta metodología tan abierta es más que discutible que:

A) Dos personas diferentes generen los mismos escenarios de riesgo incluso ante los mismos derechos y libertades fundamentales.

B) Que los resultado del análisis de dos personas diferentes sobre la probabilidad por el impacto sean similares, por depender de criterios absolutamente subjetivos.

Esta situación puede provocar la misma sensación de desazón que la descrita al aproximarse al Análisis, pero en este punto voy a tratar de ser posibilista: el objetivo del Análisis no es conocer la verdad, sino establecer un método que describa las sombras de dicha realidad. Es decir, no se describe detalladamente el objeto, simplemente se hacen descripciones de lo que deja entrever la propia realidad porque el objeto en si mismo no puede describirse. Si se me permite el símil, y con todo el respeto a la cosmología, el Análisis de Riesgos es algo parecido a observar los efectos de un agujero negro en el que el propio agujero no puede visualizarse, observando sólo los efectos que provoca en su entorno.

La autentica utilidad del análisis de riesgos consiste en enfrentar mentalmente al problema utilizando una sistemática contrastable y repetible. Es lo más cercano a los experimentos mentales basados en circunstancias reales o imaginarias, debiendo poder  evolucionar y mejorar a lo largo del tiempo.

Queda la última pregunta por resolver ¿son útiles los análisis de riegos? En este aspecto debemos ser cautos, remitiéndonos a los datos que nos ofrezca en el futuro las resoluciones de los órganos de control. Si logran evitar infracciones habrán cumplido su misión, si por el contrario se convierten en el recetario concentrado de frases ampulosas sin efectos procedimentales habremos perdido el tiempo, tanto el legislador por sus fantasías como los sufridores en nuestros experimentos mentales.

Os convoco en este mismo Blog a diez años vista para valorar los resultados.

 

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s