ÍNDICE DE CONTENIDOS
REGISTRO DE VERSIONES
- OBJETO DEL DOCUMENTO
- IDENTIFICACIÓN DE LA ENTIDAD
- INTRODUCCIÓN AL ANÁLISIS Y GESTIÓN DE RIESGOS
- ALCANCE DEL ANÁLISIS Y GESTIÓN DE RIESGOS
- METODOLOGÍA DE ANÁLISIS Y GESTIÓN DE RIESGOS
- POTENCIALES ESCENARIOS DE RIESGO
- ANÁLISIS DE RIESGOS EN MATERIA DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN Y DE COMERCIO ELECTRÓNICO
- MEDIDAS PREVISTAS INICIALMENTE
- ESTIMACIÓN DEL NIVEL DE RIESGO INICIAL
- MEDIDAS PROPUESTAS PARA TRATAR EL RIESGO INICIAL
- ESTIMACIÓN DEL NIVEL DE RIESGO RESIDUAL
- CONCLUSIONES Y RECOMENDACIONES
REGISTRO DE VERSIONES
| Razón Social | NIF | Versión |
| AK ORAL ESTUDIO, S.L.P | B44650661 | 1.00 |
| Acrónimo | Fecha de creación | |
| ARLSSI_AK ORAL ESTUDIO, S.L.P | 16 de febrero de 2024 | |
| DESCRIPCIÓN | ||
| Identificación, análisis, valoración y gestión de los focos de riesgo asociados al cumplimiento de la normativa de Servicios de la Sociedad de la Información y el Comercio Electrónico | ||
- OBJETO DEL DOCUMENTO
El objeto del presente documento es identificar, analizar, valorar y gestionar los focos de riesgo asociados con el cumplimiento de la normativa de Servicios de la Sociedad de la Información y el Comercio Electrónico. Asimismo, el propio documento contiene los procedimientos, directrices y recomendaciones para gestionar el riesgo al que estará sometida y deberá enfrentarse AK ORAL ESTUDIO, S.L.P.
Por tanto, este documento pretende analizar y valorar los potenciales escenarios de riesgos que puedan amenazar a AK ORAL ESTUDIO, S.L.P, evaluar los factores de corrección necesarios a fin de atenuar, en la medida de lo posible, estos riesgos y así garantizar el cumplimiento en materia de Servicios de la Sociedad de la Información y el Comercio Electrónico.
Finalmente, cabe destacar que, el presente documento se mantendrá en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes o sustanciales en las actividades desarrolladas por AK ORAL ESTUDIO, S.L.P.
2. IDENTIFICACIÓN DE LA ENTIDAD
| Razón social | AK ORAL ESTUDIO, S.L.P |
| NIF | B44650661 |
| Dirección | COMANDANTE BENITEZ, 16,08028 BARCELONA(BARCELONA) |
| Actividad profesional | AK ORAL ESTUDIO, S.L.P dedica su actividad principal a: CLÍNICA DENTAL |
| Área geográfica de desarrollo | AK ORAL ESTUDIO, S.L.P desarrolla su actividad en el ámbito geográfico del territorio europeo. |
AK ORAL ESTUDIO, S.L.P, no dispone de filiales u otras empresas dentro de su estructura corporativa.
3. INTRODUCCIÓN AL ANÁLISIS Y GESTIÓN RIESGOS
AK ORAL ESTUDIO, S.L.P considera el análisis y gestión de los riesgos, como parte esencial del proceso de seguridad en el seno de su organización.
El análisis y gestión de los riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables para la entidad. La reducción de estos niveles se realizará mediante el despliegue de medidas o controles de seguridad, que establecerán un equilibrio entre las acciones llevadas a cabo por AK ORAL ESTUDIO, S.L.P, los riesgos a los que estén expuestos y las medidas o controles de seguridad adoptados.
Por consiguiente, AK ORAL ESTUDIO, S.L.P identifica y evalúa sus riesgos en materia de Servicios de la Sociedad de la Información y el Comercio Electrónico, relacionando con sus actividades, productos y/o servicios o aspectos relevantes de sus operaciones con el objeto de identificar situaciones en las que puedan ocurrir incumplimientos de la mencionada normativa y establecer una valoración y priorización de los riesgos con el fin de clasificarlos de tal forma que permita a la organización la toma de decisiones y así, favorecer la adopción de medidas, acciones y controles preventivos.
En este sentido, la organización deberá articular y demostrar su compromiso continuo con la gestión del riesgo que deberá incluir:
El propósito de la organización de gestionar los riesgos y los vínculos de los mismos con sus objetivos y otras políticas relacionadas.
El refuerzo de la necesidad de integrar la gestión del riesgo en toda la cultura de la propia organización.
El liderazgo en la integración de la gestión del riesgo en las actividades principales del negocio y en la toma de decisiones.
La determinación de responsabilidades, así como la obligación de rendir cuentas en caso que resulte necesario.
La disponibilidad de los recursos necesarios.
La forma de manejar los objetivos en conflicto.
La revisión y la mejora del análisis de riesgos.
Asimismo, y en línea con lo anterior, el compromiso con la gestión del riesgo se deberá comunicar a toda la organización, así como a las partes interesadas/afectadas de forma apropiada y garantizando una comunicación íntegra y con la máxima transparencia posible.
4. ALCANCE DEL ANÁLISIS Y LA GESTIÓN DE RIESGOS
AK ORAL ESTUDIO, S.L.P deberá determinar los límites y aplicabilidad del análisis y gestión de los riesgos en materia de servicios de la sociedad de la información y comercio electrónico y así, establecer el alcance del mismo.
Asimismo, es básico y fundamental que la dirección de la organización se implique, sin reservas, en el proceso de realización del análisis y gestión de riesgos en materia de Servicios de la Sociedad de la Información y el Comercio Electrónico, con el objetivo de detectar, corregir, gestionar, etc. riesgos vinculados al cumplimiento de la normativa y así, alcanzar objetivos e hitos definidos, liderando el proceso con una actitud comprometida y evidente que permita adoptar una cultura de cumplimiento en el seno de la organización.
Por otro lado, y en la línea de lo comentado en los párrafos anteriores, el alcance normativo de las medidas y/o controles previstos dentro del Análisis de riesgos, pretenden que AK ORAL ESTUDIO, S.L.P, disponga de las herramientas oportunas para cumplir con las siguientes normativas:
Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior.
Ley Orgánica 34/2002 de 11 de Julio, Servicios de la Sociedad de la Información y de Comercio Electrónico.
Guía sobre el Uso de cookies. AEPD, junio de 2022.
Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.
Ley 7/1996, de 15 de enero, de Ordenación del Comercio Minorista.
Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias.
Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información.
Ley 7/1998, de 13 de abril, sobre Condiciones Generales de Contratación.
Ley 3/2014, de 27 de marzo, por la que se modifica el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias.
5. METODOLOGÍA DE ANÁLISIS Y GESTIÓN DE RIESGOS
El análisis y gestión de riesgos corresponde a la primera fase que una organización debería realizar para mejorar su seguridad en materia de Servicios de la Sociedad de la Información y el Comercio Electrónico.
Así las cosas, cabe destacar que un proceso de análisis y gestión de riesgos proporciona una información y no una medida o control de seguridad como tal. Es decir, el hecho de realizar la acción o proceso en sí, no va a evitar que AK ORAL ESTUDIO, S.L.P pueda sufrir incidentes de seguridad y/o incumplimientos en materia Servicios de la Sociedad de la Información y el Comercio Electrónico, sino que permitirá identificar amenazas y vulnerabilidades a las cuáles la organización estará expuesta.
En cualquier caso, tenemos claro que le resultará mucho más fácil a la entidad protegerse de aquellas situaciones que representen un mayor riesgo si identifica, analiza y gestiona debidamente los potenciales riesgos a los que se encuentra expuesta en materia de Servicios de la Sociedad de la Información y el Comercio Electrónico.
Actualmente, existen diferentes metodologías para realizar un análisis y gestión de los riegos. Cada una de ellas dispone de características, ventajas e inconvenientes diferentes, pero básicamente todas ellas se fundamentan en procesos muy parecidos y trabajan sobre los mismos elementos.
Asimismo, dependiendo de los objetivos que se pretende alcanzar, del enfoque y alcance del propio análisis y de los propios riesgos a los cuales este sometida la organización, cada entidad escogerá una determinada metodología de análisis y gestión de riesgos.
Todo ello, por tanto, hay que ponerlo en conexión con el hecho de que los riesgos pueden ser variables, tanto en lo referente a la probabilidad como a la gravedad. Por eso, en el momento de seleccionar y aplicar las medidas técnicas y organizativas se debe tener en cuenta:
La probabilidad de que se produzca la situación que pone en riesgo a la organización.
La gravedad de las consecuencias, si sucede la situación que pone en riesgo a la organización.
AK ORAL ESTUDIO, S.L.P ha realizado una estimación del nivel o de la zona riesgo en su conjunto cuando por su naturaleza se puedan aunar. La identificación y análisis de los riesgos debe permitir identificar si nos encontramos ante un alto riesgo, así como si las medias previstas lo mitigan o por lo contrario, el mismo se encuentra descontrolado.
Para ello, una vez que AK ORAL ESTUDIO, S.L.P ha identificado todas las medidas previstas inicialmente, valorará la probabilidad y la gravedad que el riesgo se cumpla. Esto proporciona información del nivel de riesgo inicial de cada Potencial escenario de riesgo (en adelante, PER) y, si procede, de cada grupo de riesgos, y, permitirá, elaborar un primer escenario de riesgos que los evalúe en relación a la fórmula de cuantificación de los riesgos (RIESGO = Probabilidad x Gravedad) y así, adoptar medidas correctoras que permitan a la organización gestionar y/o tratar los riesgos.
VALORACIÓN DE LA PROBABILIDAD
AK ORAL ESTUDIO, S.L.P ha tenido en cuenta principalmente dos criterios de carácter general: por un lado, se debe tener en cuenta de qué manera las medidas previstas pueden reducir la probabilidad y por el otro, AK ORAL ESTUDIO, S.L.P ha considerado hasta qué punto el potencial escenario de riesgo se ha producido con anterioridad.
Una situación de riesgo es improbable que se produzca cuando se han previsto varias medidas en forma de “línea de defensa”, es decir que si falla una siempre hay otra que continúa impidiendo los hechos no deseados.
Una situación de riesgo es poco probable que se produzca cuando se han previsto varias medidas en forma de “línea de defensa”, es decir que si falla una hay otra que puede impedir el hecho no deseado, pero no en todos los casos.
Una situación de riesgo es probable que se produzca cuando las medidas para reducir la probabilidad no están previstas en forma de “línea de defensa”, es decir que si falla una el resto no puede impedir el hecho no deseado.
Una situación de riesgo es muy probable que se produzca cuando se ha previsto una única medida para reducir su probabilidad y se conoce algún caso en que se ha producido el hecho no deseado. La suma de estos dos factores hace muy probable este potencial escenario de riesgo.
Una situación de riesgo es inminente que se produzca cuando no se ha previsto ninguna medida para reducir su probabilidad y se conocen varios casos en que se ha producido el hecho no deseado. La suma de estos dos factores nos hace considerar que, de forma inminente, las actuaciones se pueden ver afectadas por este potencial escenario de riesgo.
A continuación, a modo de resumen, se muestran los criterios que AK ORAL ESTUDIO, S.L.P ha tenido presente para realizar la valoración de los riesgos en materia de Servicios de la Sociedad de la Información y el Comercio Electrónico vinculados con la probabilidad.
| PROBABILIDAD | |||||
| Descripción | Improbable | Poco probable | Probable | Muy probable | Inminente |
| Se han previsto varias medidas | • | • | |||
| Se han previsto algunas medidas | • | ||||
| Se ha previsto una única medida | • | ||||
| No se ha previsto ninguna medida | • | ||||
| Todas las medidas forman línea de defensa | • | ||||
| Algunas medidas forman línea de defensa | • | ||||
| Las medidas no forman línea de defensa | • | ||||
| El hecho no deseado no se ha producido nunca antes | • | • | |||
| El hecho no deseado se ha producido antes | • | • | |||
| El hecho no deseado se ha producido varias veces antes | • | ||||
VALORACIÓN DE LA GRAVEDAD
AK ORAL ESTUDIO, S.L.P ha tenido en cuenta principalmente los daños y perjuicios materiales o morales que pueda ocasionar el riesgo a las personas afectadas, así como la privación de sus derechos o libertades.
Una situación de riesgo se considerará como irrelevante cuando no se derive un daño o perjuicio material, inmaterial o moral para la propia organización o las personas afectadas, ni se las prive de sus derechos o libertades. Por lo tanto, las consecuencias se centran en deficiencias formales leves, con consecuencias prácticamente imperceptibles, habitualmente relacionadas con las obligaciones materiales de la entidad y se pueden corregir con medidas de fácil implantación.
Una situación de riesgo se considerará como leve cuando no se derive un daño o perjuicio material, inmaterial o moral para la propia organización o las personas afectadas, ni se las prive de sus derechos o libertades. Por lo tanto, las consecuencias se centran en deficiencias materiales leves, con mínimas consecuencias, habitualmente relacionadas con las obligaciones materiales de la entidad, que se pueden corregir con medidas de fácil implantación.
Una situación de riesgo se considerará como grave cuando se pueda derivar un daño o perjuicio material, inmaterial o moral para la propia organización o las personas afectadas, difícil de reparar o que las pueda privar de manera parcial de sus derechos o libertades. Por lo tanto, las consecuencias se centran en deficiencias de cumplimiento normativo que se pueden corregir implantando medidas o mejorando la eficacia de las medidas implantadas.
Una situación de riesgo se considerará como significativamente grave cuando se pueda derivar un daño o perjuicio material, inmaterial o moral para la propia organización o las personas afectadas, difícil de reparar o que las pueda privar totalmente de sus derechos o libertades. Por lo tanto, las consecuencias se centran en deficiencias de cumplimiento normativo que se pueden corregir implantando nuevas medidas o mejorando las existentes, aunque implique una cierta dificultad para la entidad.
Una situación de riesgo se considerará como extremadamente grave cuando se pueda derivar un daño o perjuicio material, inmaterial o moral para la propia organización o las personas afectadas, imposible de reparar o que las pueda privar totalmente de sus derechos o libertades. Por lo tanto, las consecuencias se centran en deficiencias de cumplimiento normativo para las cuales no hay medidas a implantar o, si hay, requieren unos esfuerzos desproporcionados por parte de la entidad.
A continuación, a modo de resumen, se muestran los criterios que AK ORAL ESTUDIO, S.L.P ha tenido presente para realizar la valoración de los riesgos en materia de Servicios de la Sociedad de la Información y el Comercio Electrónico vinculados con la gravedad.
| GRAVEDAD | |||||
| Descripción | Irrelevante | Leve | Grave | Significativamente grave | Extremadamente grave |
| No se deriva ningún daño ni perjuicio | • | • | |||
| Se deriva algún daño o perjuicio | • | • | • | ||
| Es difícil reparar el daño o perjuicio | • | • | |||
| Es imposible reparar el daño o perjuicio | • | ||||
| No hay privación de derecho o libertades | • | • | |||
| Hay privación de derechos o libertades | • | • | |||
| Hay privación total de derechos y libertades | • | ||||
| Implica una deficiencia formal leve | • | ||||
| Implica una deficiencia material leve | • | ||||
| Se incumplen obligaciones materiales | • | • | |||
| Se incumplen obligaciones derechos y principios | • | • | • | ||
| Hay medidas que se pueden implantar fácilmente | • | • | |||
| Se pueden implantar medidas | • | ||||
| Hay medidas difíciles de implantar | • | ||||
| Hay medidas que requieren esfuerzos | • | ||||
| No existen medidas | • |
MATRIZ DE POTENCIALES ESCENARIOS DE RIESGO
Con el objeto de determinar de una forma gráfica la situación de control de los riesgos identificados en materia de Servicios de la Sociedad de la Información y el Comercio Electrónico, teniendo en cuenta la valoración de la probabilidad y de la gravedad detallada en los apartados anteriores del presente documento, AK ORAL ESTUDIO, S.L.P utilizará la siguiente matriz para establecer si los riesgos son incontrolados, mitigables, tolerables, aceptables o controlados:
Aquellos potenciales escenarios de riesgo valorados con un nivel superior a 2 se deben considerar riesgos inaceptables y, por lo tanto, se deben aplicar medidas para reducir este nivel de riesgo.
Cuando el nivel es igual a 2 el riesgo es tolerable, pero se tiene que incidir en la eficacia de las medidas previstas. Por lo tanto, conviene tratar estos riesgos para procurar bajarlos de nivel.
Cuando el nivel se sitúa por debajo del valor 2 el riesgo es aceptable, puesto que las actividades de la organización se están realizando en unas condiciones de riesgos razonablemente controlados. Debemos estar atentos a posibles variaciones de este riesgo y revisar la eficacia de las medidas que se implantan, pero desde el punto de vista del análisis de riesgos no hay que tratarlos.
Para hacerlo, AK ORAL ESTUDIO, S.L.P utiliza una escala de valores que permite definir de la forma más precisa posible el nivel de riesgo que se está evaluando.
AK ORAL ESTUDIO, S.L.P utiliza una escala entre el 1 y el 5 para determinar el potencial escenario de riesgo.
A continuación, y con el objeto de mostrar de forma gráfica el contenido de las acciones llevadas a cabo en el informe de Análisis y gestión de riesgos, se muestra el siguiente flujograma del citado informe:
6. POTENCIALES ESCENARIOS DE RIESGOS
AK ORAL ESTUDIO, S.L.P ha tenido en cuenta la siguiente enumeración de potenciales escenarios de riesgo (en adelante, PER) específicos en materia de Servicios de la Sociedad de la Información y el Comercio Electrónico.
Se trata de una lista de situaciones de riesgo que pueden aparecer en las páginas web titularidad de AK ORAL ESTUDIO, S.L.P y/o en las comunicaciones publicitarias realizadas por la misma. Asimismo, se han estructurado de acuerdo con si son riesgos que pueden afectar a las comunicaciones publicitarias y en el contexto de una página web si son riesgos que afectan a la política de cookies, al aviso legal/condiciones de uso, a la política de privacidad, a la seguridad de la página web o a las obligaciones derivadas del comercio electrónico.
A continuación, se relacionan la base de los potenciales escenarios de riesgo específicos que AK ORAL ESTUDIO, S.L.P ha tenido en cuenta en materia de Servicios de la Sociedad de la Información y Comercio Electrónico:
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN Y DEL COMERCIO ELECTRÓNICO
| Escenarios de riesgo que pueden afectar a las COMUNICACIONES PUBLICITARIAS | |
| Código | Descripción |
| RCP.01 | No se solicita consentimiento expreso y previo a los destinatarios para realizar comunicaciones publicitarias electrónicas |
| RCP.02 | Dificultar la revocación del consentimiento o la manifestación del derecho a oposición a recibir comunicaciones publicitarias y/o envíos promocionales |
| RCP.03 | No se informa a los usuarios del sitio web sobre el recabado de datos en formularios con fines de publicidad comercial |
| Escenarios de riesgos que pueden afectar a la POLÍTICA DE COOKIES | |
| Código | Descripción |
| RPC.01 | No se dispone de una política de cookies |
| RPC.02 | No se informa sobre el uso de cookies y/o no recaba el consentimiento para su instalación y utilización (uso de cookies no exceptuadas) ni de los mecanismos para su desactivación o eliminación |
| Escenarios de riesgos que pueden afectar al AVISO LEGAL | |
| Código | Descripción |
| RAL.01 | No se dispone de un aviso legal adecuado |
| RAL.02 | El aviso legal no es visible ni fácilmente accesible para el usuario |
| Escenarios de riesgos que pueden afectar a la POLÍTICA DE PRIVACIDAD | |
| Código | Descripción |
| RPP.01 | No se dispone de una política de privacidad |
| RPP.02 | En el momento de la recogida de datos en los formularios del sitio web, no se proporciona la información mínima sobre el tratamiento de los datos |
| Escenarios de riesgos que pueden afectar a la SEGURIDAD | |
| Código | Descripción |
| RSPW.01 | Se incumple la regulación general sobre Servicios de la Sociedad de la Información y Comercio Electrónico |
| RSPW.02 | No se dispone de un plan de formación en materia de Servicios de la Sociedad de la Información y Comercio Electrónico |
| RSPW.03 | No se ha formalizado adecuadamente la relación con los encargados de tratamientos |
| RSPW.04 | La organización desconoce los procedimientos para responder el ejercicio de derechos |
| RSPW.05 | Hay incapacidad para detectar y gestionar incidentes que afecten la seguridad de los datos |
| RSPW.06 | No se implementan medidas de seguridad adecuadas |
| RSPW.07 | No se verifican las medidas adoptadas |
| Escenarios de riesgos que pueden afectar al COMERCIO ELECTRÓNICO | |
| Código | Descripción |
| RCE.01 | No se dispone de condiciones generales de contratación |
| RCE.02 | La organización no dispone de mecanismos de pago sencillos y seguros |
| RCE.03 | No se informa de manera clara de los precios de los productos/servicios/reservas ofrecidas en el sitio web |
| RCE.04 | No se emite confirmación de la recepción de la aceptación |
| RCE.05 | No se facilita información sobre la existencia (o no) del derecho de desistimiento |
| RCE.06 | No se indica al cliente el plazo de garantía |
| RCE.07 | No se dispone de materiales de reparación de los productos |
7. ANÁLISIS DE RIESGOS EN MATERIA DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN Y EL COMERCIO ELECTRÓNICO
Actualmente, AK ORAL ESTUDIO, S.L.P no dispone de página web o realiza comunicaciones publicitarias, por lo que no le es de aplicación el presente apartado. En caso que se proceda a la disposición de una página web o realice comunicaciones publicitarias por medios electrónicos se deberá poner en contacto con PROFESSIONAL GROUP CONVERSIA SLU para actualizar la documentación.
8. CONCLUSIONES Y RECOMENDACIONES
Actualmente, AK ORAL ESTUDIO, S.L.P no dispone de página web o realiza comunicaciones publicitarias, por lo que no le es de aplicación el presente apartado. En caso que se proceda a la disposición de una página web o realice comunicaciones publicitarias por medios electrónicos se deberá poner en contacto con PROFESSIONAL GROUP CONVERSIA SLU para actualizar la documentación.
