CATALOGO DE AMENAZAS RGPD

1- GENERALES

- Por incumplimiento de la legislación sobre protección de datos personales:

Pérdidas económicas y daños reputacionales.
- Por incumplimiento de la legislación sectorial con incidencia en la protección de datos:
Pérdidas económicas y daños reputacionales.
- Por carencia de medidas de seguridad adecuadas con pérdidas de datos personales
Pérdidas económicas, pérdida de clientes y daños reputacionales.
- Deficiente gestión de la privacidad:
Pérdida de competitividad del producto o servicio.
- Falta de conocimiento experto sobre protección de datos y comunicación con los afectados.
- Incorporación tardía de expertos en protección de datos (DPO) o deficiente en funciones y competencias.

2- LEGITIMACIÓN DE LOS TRATAMIENTOS Y CESIONES DE DATOS PERSONALES

- Tratar o ceder datos personales cuando no es necesario por la finalidad.
- Carecer de legitimación para tratamiento o cesión de datos personales.
- Obtención de consentimiento dudoso o inválido para el tratamiento o cesión de datos personales.
- Dificultar la revocación del consentimiento u oposición a un tratamiento o cesión.
- Dificultar la legitimidad de la recogida y la cesión de datos personales provenientes de terceros.
- Solicitar y tratar datos especialmente protegidos sin necesidad o sin salvaguardias
- Añadir datos personales de forma no prevista para la finalidad inicial y sin información al afectado por
al conectar bases de datos de la organización o terceros con reidentificación de información disociada.
- Impedir la utilización anónima de un producto o servicio cuando no resulta indispensable.

3-TRANSFERENCIAS INTERNACIONALES
- No obtención de las autorizaciones legales necesarias
- Acceso secreto a los datos personales por parte de autoridades de terceros países.
- Carencia de mecanismos de control de cumplimiento de las garantías establecidas.
- Impedimentos del importador para el ejercicio de procedimientos de supervisión y control pactados.
- Incapacidad de ayudar a los ciudadanos en el ejercicio de sus derechos ante el importador.

4- NOTIFICACIÓN Y REGISTRO DE LAS ACTIVIDADES DE TRATAMIENTO

- No poseer mecanismos o procedimientos para:
Registrar la creación, modificación o cancelación de actividades de tratamiento.
Realizar el EIPD o la consulta a la autoridad de control.

5-TRANSPARENCIA DE LOS TRATAMIENTOS

- Recoger datos personales sin proporcionar información debida o de manera fraudulenta.
- En portales web:
Ubicar información de protección de datos en lugares de difícil localización o diseminada.
- Redactar la información de protección de datos en un lenguaje oscuro e impreciso.

6- CALIDAD DE LOS DATOS

- Solicitar datos innecesarios para las finalidades del producto o servicio.
- Utilizar datos personales para finalidades no especificadas o incompatibles con las declaradas.
- Existencia de errores técnicos u organizativos que propicien la falta de integridad de la información.
- Datos transaccionales, de navegación o geolocalización para elaboración de perfiles y decisiones
automáticas (en particular las que pertenecen a colectivos vulnerables).
- Utilización de metadatos para finalidades no declaradas o incompatibles con las declaradas.
- Realizar deducciones erróneas con inteligencia artificial, reconocimiento facial o análisis biométricos.
- No poseer procedimientos para garantizar la cancelación de oficio de los datos al final del ciclo de vida.

7 -CATEGORÍAS ESPECIALES DE DATOS

- Errores al recabar el consentimiento expreso cuando este sea la causa que legitima su tratamiento.
- Asunción errónea de la existencia de una habilitación legal para el tratamiento categorías especiales.
- Disociación deficiente que permita la reidentificación de datos categorías especiales en procesos de
investigación con datos anónimos

8- DEBER DE SECRETO
- Accesos no autorizados a datos personales.
- Violaciones de la confidencialidad de los datos personales por parte de empleados.

9- TRATAMIENTOS POR ENCARGO

- Inexistencia de contrato con ET o incorrecto que no refleje las garantías adecuadas.
- Gestión deficiente de las subcontrataciones e insuficiente control sobre encargados y subcontratistas.
- No definición o deficiencias en los procedimientos para comunicar al RT el ejercicio de los derechos de
los interesados realizados ante los ET.
- Dificultades para la portabilidad de los datos personales a otros una vez finalizado el contrato.
- Falta de diligencia (o dificultad para demostrarla) en la elección del encargado de tratamiento.

10- DERECHOS DE LOS INTERESADOS

- Dificultar o imposibilitar el ejercicio de los derechos de los interesados.
- No poseer procedimientos para la gestión de los derechos de los interesados.
- No poseer procedimientos para rectificaciones, cancelaciones u oposiciones a los cesionarios de datos.

11- SEGURIDAD
- Inexistencia de responsable de seguridad o deficiente definición de sus funciones.
- Inexistencia de política de seguridad.
- Deficiencias que permitan que personas no autorizadas accedan y sustraigan datos personales:
Organizativas.
Técnicas.
- Imposibilidad de identificar a un usuario las acciones que lleva a cabo en un sistema de información.
- Uso de identificadores que revelan información del afectado.
- Deficiencias en la protección de la confidencialidad de la información.
- Falta de formación sobre las medidas de seguridad que están obligados a adoptar y sus consecuencias.
- Existencia de incentivos para obtener la información ilícitamente por su valor (económico, político,
social, laboral, etc.) para terceros no autorizados.

12- OTROS
- Cortes de energía eléctrica (no existencia de SAI, deficiencia en suministro eléctrico,..)
- Pérdida de datos (no realizar copias de seguridad, no procedimientos de verificación de copias, …).
- Fuego (inexistencia o no adecuada de medidas contra el fuego, …).
- Accesos de personas no autorizadas (sin contraseña, contraseña poco robusta, no control accesos,...)
- Personal que deja la compañía (única persona en un puesto, …)