Ciclo de vida de los datos en materia de protección de datos (RGPD y LOPDGDD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 20/07/2021

Como ha razonado la AEPD en su Guía Práctica para las evaluaciones de impacto en la protección de los datos sujetas al RGPD, el análisis de riesgos conlleva tener un conocimiento muy claro del contexto y de los procesos a analizar. Para ello, debe establecerse como punto de partida conocer en detalle todo el ciclo de vida y el flujo de los datos personales a través del mismo, así como todos los actores y elementos que intervienen durante las actividades de tratamiento desde su inicio hasta su fin.

Contextualización del escenario del riesgo para la descripción del ciclo de vida de los datos

Evidentemente, la realización de un análisis de riesgos no será igual en todos los casos y dependerá siempre de la entidad que se esté adaptando. El primer paso que se debe realizar es la contextualización del escenario del riesgo, lo cual tiene relación directa con la descripción del ciclo de vida de los datos que integren los tratamientos del responsable. Este término tiene esta denominación porque se corresponde con la realización de un informe en el que se reflejen las fases de la vida de las categorías de datos personales concretas que se puedan tratar, desde el «nacimiento» de dicho dato (lo que se corresponde con la captura) hasta la «muerte» del mismo (lo que se correspondería con la destrucción o fase final del tratamiento).

De esta manera, para abordar la realización de un ciclo de vida de los tratamientos que ostente cualquier responsable, el contenido de un informe sobre ello debería contener, tomando como referencia la Guía Práctica para las evaluaciones de impacto en la protección de los datos sujetas al RGPD de la AEPD, algunos de los siguientes extremos:

1. La captura de los datos. Se debe describir el método en virtud del cual los datos personales son obtenidos por parte del interesado, pudiendo ser a través de alguna de las siguientes maneras:

- Mediante un formulario en su página web.

- Mediante un formulario en papel (por ejemplo, el documento de consentimiento).

- A través de un organismo público.

- Entrega en mano por el interesado.

- A través de otra entidad responsable.

- Mediante la recepción de un correo electrónico.

2. La clasificación de los datos. Se trata de organizar el contenido de los tratamientos por categorías, de modo que resulte más sencilla y estructurada su organización. Una manera sería abordar la clasificación en torno a los siguientes conceptos:

- Sensibles: se incluyen los datos especialmente sensibles que la normativa aborda como categorías especiales de datos. Por ejemplo, datos de salud o datos que revelen la ideología o la afiliación sindical del interesado.

- Protegidos: se incluyen aquí otros datos que, sin llegar a la necesidad de tutela de los especialmente protegidos, merecen una consideración de salvaguarda media. Se incluirían aquí los datos que revelen la solvencia patrimonial del interesado, así como el conjunto de datos económicos u otros datos que revelen circunstancias personales o sociales del interesado. También podríamos incluir los datos que no se consideren sensibles de los menores de edad o discapacitados, así como demás interesados en situación de vulneración social.

- Básicos: se trata del conjunto de datos identificativos de un interesado que no revelan circunstancias relevantes. Ejemplos de ello son su nombre y apellidos, domicilio, imagen (si no es menor de edad) o número de DNI.

3. El modo de almacenamiento. En todo informe de ciclo de vida de los datos se debe reflejar el modo en el que se almacenan los mismos atendiendo a la tipología de ficheros o soportes en el que se incluyen, lo que será un punto de referencia a la hora de confeccionar las medidas de seguridad necesarias. De este modo, podemos hacer referencia a tres posibles clasificaciones:

- En papel o fichero físico: los datos se almacenan en ficheros físicos (carpetas, archivadores, cajones colgantes, etc.).

- En ordenadores o fichero electrónico: para los datos que no son tratados en formato papel en ningún caso, de modo que siempre será necesario un dispositivo informático para su visualización o tratamiento. Debe tenerse en cuenta que, en el caso de correos electrónicos o cualquier otro tipo de documentación que hubiese sido recibida por esta vía u otra similar (servicios de mensajería instantánea, por ejemplo), solo podrá ser incluida en esta categoría si no se llega a imprimir dicha documentación o el contenido de los correos electrónicos, pues se vería involucrado un soporte físico (el papel) y se deberán añadir nuevas medidas de seguridad que complementen la protección de dichos datos.

- En formato mixto: es la combinación de las dos categorías anteriores. De este modo, siguiendo con el ejemplo de la categoría anterior, si se tratan datos a nivel informatizado y posteriormente, o paralelamente, se imprimen o se tratan igualmente en papel, se deberá incluir en esta categoría.

4. Las partes implicadas en el tratamiento. En este apartado se incluirán las partes que tienen implicación en el tratamiento de los datos respectivos, las personas que tienen acceso a los mismos y los soportes en los que se pueden tratar. Por ejemplo:

- Equipos informáticos: se trata de identificar la tipología de equipos que se usarán por el responsable (ordenadores de sobremesa, equipo virtual, portátil, smarthphone, etc.).

- Soportes de información: se trata de identificar, en términos generales, la tipología de soportes que se usan para almacenar los datos (papel, discos duros, tarjetas de memoria externa, disco virtual, etc.).

- Personal con acceso a datos: destacar las categorías generales del personal laboral de la entidad o cualquier persona que se integre en la organización responsable. Podríamos estar hablando, en términos generales, de usuarios internos o externos, subcontratas o proveedores con acceso a datos.

- Interesados o afectados: se agrupan en categorías los tipos de personas físicas interesadas o afectadas por el tratamiento (clientes, voluntarios o cualquier otra denominación categórica que el responsable aplique a sus interesados).

La participación concreta de cada interviniente puede llegar a suponer una amenaza sobre los datos, por lo que esta circunstancia deberá ser tenida en cuenta en el proceso de análisis y evaluación de riesgos.

5. El uso u operación a realizar con los datos: como núcleo del informe y parte esencial del mismo debe indicarse qué operación concreta se realizará con los datos en el tratamiento para el que se esté confeccionando el informe sobre el ciclo de vida de los datos. A estos efectos, podría tratarse de una prestación de servicios contratados, facturación o contabilidad, operaciones de financiación, peritajes, gestión de deudas, mantenimiento de relación contractual y gestión de agenda. Esta lista puede ampliarse.

6. Previsiones de cesiones o transferencias internacionales. Esta exigencia deriva del principio de transparencia y diligencia debida del responsable, de modo que este apartado implica una doble determinación. Por un lado, indicar si se realizan cesiones o transferencias internacionales y, por otra parte, la indicación del tipo de institución u organismo al que serán cedidos o el país al que serán transferidos. Con esto nos referimos a si se trata de una entidad privada o un organismo público y si se trata de un país dentro de la Unión Europea o fuera de la misma.

7. Plazo de destrucción de los datos. Se incluye una referencia al plazo que tiene previsto el responsable que transcurra hasta la destrucción definitiva de los datos, pudiendo darse el siguiente planteamiento:

- Destrucción tras el plazo legal establecido.

- A petición expresa del interesado: solo en aquellos casos en los que el método de destrucción estuviese totalmente subordinado a la petición de supresión del interesado.

 -En un plazo determinado, distinto del legalmente establecido: en el caso de que no se decida enmarcar el tratamiento en ninguna de las dos categorías anteriores, existe la opción de informar al interesado del plazo concreto en virtud del cual se conservarán sus datos. Se debe tener en cuenta que solo podrán incluirse en este apartado aquellos datos que no tengan un plazo legal obligatorio de conservación o, teniéndolo, que no suponga un incumplimiento de dicho plazo.

 

 

 

No hay versiones para este comentario

Protección de datos
Ciclo de vida de los datos
Análisis de riesgo
Datos personales
Menor de edad
Medidas de seguridad
Categorías de datos personales
Organismos públicos
Categorías especiales de datos
Afiliación sindical
Tutela
Discapacitados
Mensajería instantánea
Tratamiento de datos personales
Proveedores
Personal laboral
Amenazas
Persona física
Prestación de servicios
Evaluación de riesgos
Relación contractual
Documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros y cursos relacionados