Gestión de Riesgos
El módulo de Gestión de Riesgos es el registro centralizado donde tu organización identifica, evalúa, trata y monitorea los riesgos que pueden afectar los datos personales y los derechos de los titulares. Es un control fundamental del sistema de gestión de privacidad (ISO 27701 §6.3) y el insumo natural de las evaluaciones de impacto (DPIA/EIPD).
Con este módulo puedes:
- Registrar riesgos con categoría, descripción, probabilidad e impacto en escala 1–5.
- Calcular el nivel de riesgo automáticamente (probabilidad × impacto, máximo 25) y clasificar como Bajo, Medio, Alto o Crítico.
- Visualizar la matriz 5×5 (heatmap) consolidada de tu organización o filtrada por entidad legal.
- Definir planes de acción con responsable, fecha límite y estado de avance.
- Vincular riesgos con una DPIA para trazabilidad de impacto y mitigación.
- Cerrar riesgos cuando dejan de aplicar, conservando el historial para auditoría.
La Gestión de Riesgos está disponible en todos los planes (Starter, Professional, Business y Enterprise). No está limitada por tipo de suscripción.
Para integrar este módulo con tus sistemas propios, consulta la Referencia completa de la API.
Requisitos regulatorios
| Marco | Artículo o cláusula | Qué exige |
|---|---|---|
| ISO 27701 | §6.3 | Evaluación de riesgos de privacidad como parte del sistema de gestión. |
| ISO 27701 | §6.1 | Evaluación orientada a los derechos del titular. |
| Ley 21.719 | Art. 15 ter | Los riesgos identificados en la EIPD deben documentarse y mitigarse. |
| Ley 21.719 | Art. 3 | Principio de seguridad: la gestión de riesgos es una medida técnica y organizativa obligatoria. |
Cómo acceder
Ve a Dashboard → Riesgos en el menú lateral. Desde ahí puedes crear riesgos individuales, ver la matriz 5×5 y gestionar los planes de acción.
Los riesgos identificados dentro de una DPIA también aparecen automáticamente en este módulo.
Paso a paso
Crea el riesgo
Pulsa Nuevo riesgo desde la pantalla principal del módulo.
Completa los datos básicos:
- Entidad legal — la sociedad o filial afectada.
- Título — nombre corto y específico del riesgo (máximo 300 caracteres).
- Descripción — narración del riesgo (máximo 5.000 caracteres). Este campo se cifra en reposo para proteger la información sensible.
- Categoría — elige una de las siete disponibles (ver tabla más adelante).
- Subcategoría — opcional, para subdividir la categoría. Por ejemplo: "Sub-encargado en EE. UU." dentro de la categoría Terceros.
- Referencia de amenaza — opcional, para enlazar con taxonomías como ENISA o tu catálogo interno.
Evalúa probabilidad e impacto
Selecciona en escala 1 a 5 la probabilidad de que el riesgo ocurra y el impacto que tendría:
| Valor | Probabilidad | Impacto |
|---|---|---|
| 1 | Muy poco probable | Mínimo |
| 2 | Poco probable | Menor |
| 3 | Posible | Moderado |
| 4 | Probable | Alto |
| 5 | Muy probable | Crítico |
DPOLab calcula el nivel de riesgo multiplicando ambos valores. Si el resultado es 10 o superior (nivel Alto o Crítico), la plataforma crea automáticamente una tarea de mitigación urgente en el módulo de Planificación.
Selecciona el tratamiento
Elige la estrategia que seguirá tu organización ante este riesgo (conforme a ISO 27005):
| Tratamiento | Cuándo aplicarlo |
|---|---|
| Mitigar | Implementar controles para reducir la probabilidad o el impacto. |
| Aceptar | El riesgo residual está dentro de la tolerancia y no se actúa. |
| Transferir | Se traslada a un tercero: seguros, cláusulas contractuales, sub-encargado. |
| Evitar | Se descarta o rediseña el tratamiento que origina el riesgo. |
Define los planes de acción
Para riesgos en tratamiento, agrega uno o más planes de acción desde la ficha del riesgo:
- Título y descripción de la acción.
- Fecha límite para completarla.
- Estado: Pendiente → En progreso → Completado (o Cancelado).
Reevalúa con riesgo actual y residual
Cuando apliques controles, registra la nueva evaluación:
- Probabilidad e impacto actuales — nivel de riesgo vigente tras los controles implementados.
- Probabilidad e impacto residuales — nivel esperado cuando se completen todos los planes.
La matriz 5×5 se actualiza automáticamente para reflejar el riesgo vigente.
Visualiza la matriz 5×5
Desde Riesgos → Matriz ves el heatmap con la cantidad de riesgos abiertos por celda de probabilidad × impacto. Puedes filtrar por entidad legal. Los riesgos cerrados se excluyen de la matriz, pero siguen disponibles en la lista filtrable.
Cierra el riesgo
Cuando el riesgo deja de aplicar, pulsa Eliminar (requiere rol Administrador o Propietario). La acción no borra el registro físicamente: cambia su estado a Cerrado y conserva el historial completo para auditoría regulatoria.
Categorías de riesgo
| Categoría | Descripción |
|---|---|
| Confidencialidad | Acceso no autorizado a datos personales. |
| Integridad | Alteración no autorizada de datos. |
| Disponibilidad | Pérdida de acceso a los datos. |
| Derechos del titular | Impedimento al ejercicio de derechos ARCO. |
| Físico | Riesgos derivados del entorno físico (instalaciones, soportes). |
| Terceros | Riesgos originados por encargados o proveedores externos. |
| Legal y regulatorio | Incumplimiento normativo o contractual. |
Estados del riesgo
| Estado | Descripción |
|---|---|
| Identificado | Riesgo registrado, pendiente de análisis. |
| En análisis | En evaluación de probabilidad e impacto. |
| En tratamiento | Con plan de acción activo. |
| Monitorizado | Controles implementados; en seguimiento periódico. |
| Cerrado | Descartado o resuelto. Conservado para auditoría. |
Restricciones por plan
| Límite | Starter | Professional | Business | Enterprise |
|---|---|---|---|---|
| Acceso al módulo | Sí | Sí | Sí | Sí |
| Máximo de riesgos | 30 | 100 | Sin límite | Sin límite |
| Matriz 5×5 | Sí | Sí | Sí | Sí |
| Planes de acción | Sí | Sí | Sí | Sí |
| Tarea automática (nivel ≥ 10) | Sí | Sí | Sí | Sí |
Relación con otros módulos
- DPIA — los riesgos identificados dentro de una evaluación de impacto aparecen automáticamente aquí. También puedes vincular un riesgo existente a una DPIA.
- Planificación — cuando el nivel de riesgo inicial es 10 o superior, se crea automáticamente una tarea urgente en el Kanban. Si la creación de la tarea falla, el registro del riesgo no se ve afectado.
- Governance — el cuadro de cumplimiento pondera la cobertura de riesgos tratados frente a los identificados. Los riesgos Críticos abiertos impactan negativamente el puntaje.
- RAT — los riesgos se asocian a la entidad legal de la actividad de tratamiento. Las actividades con riesgo Alto o Crítico muestran un indicador visual en el listado del RAT.