Ciclo de vida de los datos en materia de protección de datos (RGPD y LOPDGDD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 04/02/2019

En un análisis de riesgos global, las actividades de tratamiento se agrupan por procesos comunes expuestos a riesgos similares, lo que simplifica el análisis y permite establecer medidas de seguridad por defecto. La descripción de los tratamientos sujetos al análisis de riesgos, permite obtener un conocimiento del ciclo de vida de los datos, de las actividades realizadas y de cualquier elemento que interviene en las mismas.

Así , al objeto de ilustrar como se puede producir esta asociación de riesgos a un proceso u operación que resulta común, nos remitimos a un ejemplo facilitado por la AEPD que a tal fin ha señalado quees probable que todas las operaciones de almacenamiento de datos estén asociadas al riesgo de falta de disponibilidad, por lo que la medida mitigadora aplicable puede ser una política diaria de copias de seguridad definida para todas las bases de datos”.

Como tal, ni la LOPDGDD ni el RGPD hacen una mención expresa al ciclo de vida, si bien la AEPD ha abordado el tema y, en su Guía Práctica de Análisis de Riesgos en los tratamiento de datos personales sujetos al RGPD, señala que el ciclo de vida de los datos puede dividirse en las siguientes etapas:

  • Captura de datos: Proceso de obtención de datos para su almacenamiento y posterior procesado. En esta categoría se pueden encontrar diversas técnicas: formularios web, formularios en papel, toma de muestras y realización de encuestas, grabaciones de audio y video, redes sociales, captación mediante sensores, etc.
  • Clasificación / Almacenamiento: Establecer categorías y asignarlas a los datos para su clasificación y almacenamiento en los sistemas o archivos
  • Uso / Tratamiento: Operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos de los datos automatizados o manuales.
  • Cesión o transferencia de los datos a un tercero para su tratamiento: Traspaso o comunicación de datos realizada a un tercero, definido como aquella persona física o jurídica, pública o privada u órgano administrativo. Este concepto es muy amplio, puesto que recoge tanto la entrega, comunicación, consulta, interconexión, transferencia, difusión o cualquier otra forma de acceso a los datos.
  • Destrucción: Eliminar los datos que puedan estar contenidos en los sistemas o archivos, de manera que no puedan ser recuperados de los soportes de almacenamiento.

La descripción adecuada de las actividades de tratamiento resulta clave para facilitar la identificación de los riesgos, y servirá -a su vez- para facilitar la documentación del registro de actividades de tratamiento ya que permitirá obtener información que, necesariamente, debe ser incluida en el registro de actividades de tratamiento.

En cada una de las etapas del ciclo de vida de los datos en las actividades de tratamiento intervienen una serie de elementos que resultan comunes a todas ellas y que se pueden clasificar en las siguientes categorías:

  • Actividades u Operaciones de tratamiento sobre los datos de carácter personal: Conforme señala la AEPD, una actividad de tratamiento responde a la materialización de una finalidad sobre los datos personales de un determinado colectivo de personas. Como señalamos se trata de un elemento que podemos encontrar (y por tanto analizar) en todas las fases del ciclo de vida de los datos. Así, por ejemplo puede considerarse una actividad u operación, el almacenamiento de datos en una base de datos, la manipulación de la información para la obtención de decisiones o cualquier tarea que requiera el tratamiento o manipulación de los datos y que forme parte de un tratamiento que tiene una finalidad concreta y que define uno de los objetivos o actuaciones que la organización debe realizar sobre los datos de carácter personal.
  • Datos: El ciclo de vida está directamente relacionado con los datos personales que se tratan. Por ello, conforme indica la AEPD, su identificación en cada etapa es fundamental para poder establecer interrelaciones y dependencias entre las operaciones de tratamiento y conjuntos de datos identificados. Para cada tipología de datos, se debe establecer su categoría (datos especiales) y su grado de importancia dentro de las actividades de tratamiento, determinando si es imprescindible o no su inclusión.
  • Intervinientes: A lo largo del ciclo de vida de los datos pueden existir numerosos intervinientes que participen en cada una de las actividades de tratamiento. Este elemento, por tanto, estaría constituido por aquellas personas físicas o jurídicas que, -bien de forma individual, bien de forma colectiva- están implicadas en las actividades del tratamiento de los datos de carácter personal (responsable del tratamiento, encargados del tratamiento, empleados de las organizaciones que participan en el procesado de datos…) Debemos señalar que la participación concreta de cada interviniente puede llegar a suponer una amenaza sobre los datos, por lo que esta circunstancia deberá ser tenida en cuenta en el proceso de análisis y evaluación de riesgos.
  • Tecnología: Los procesos de tratamiento de datos de carácter personal en sus diferentes fases encuentran en la tecnología un soporte a las actividades de tratamiento. En consecuencia, constituye un elemento común a todas las etapas del ciclo de vida de los datos que debe ser identificado. Así, resultará necesario identificar las distintas tecnología implicadas en las actividades de tratamiento (tanto hardware –aplicaciones, programas…- como software –dispositivos-.) . En el caso de que alguna actividad de tratamiento implique el procesamiento no automatizado de los datos, se ha de identificar como una actividad de tratamiento e inventariarla como un activo más.

 

Pues bien, una vez analizados los elementos que se involucran en todas las etapas del ciclo de vida de los datos durante las actividades de tratamiento, veamos varios ejemplos de cómo la toma en consideración de aquellos puede servir para facilitar el análisis del tratamiento agrupando actividades de tratamiento en función de la similitud de riesgos:

- Por ejemplo las diferentes actividades de tratamiento que –atendiendo al elementos tecnológicos- utilicen como soporte de tratamiento la misma tecnología, la exposición a los riesgos derivados de su uso será similar y, por tanto, se podrá agrupar bajo este criterio las actividades de tratamiento a la hora de identificar, evaluar y tratar los mismos.

- Atendiendo al elemento “ operaciones de tratamiento” (y que, como vimos, es un elemento que responde a la materialización de una finalidad sobre los datos personales de un determinado colectivo de personas) que se ejecutan en el conjunto de etapas del ciclo de vida, un criterio de organización para agrupar las actividades de tratamiento podría consistir en agrupar aquellas que atiendan a finalidades similares sobre grupos de individuos diferentes por ejemplo, supongamos que deba realizarse la historia clínica sobre los empleados de una organización y además sobre los aspirantes a formar parte de una organización.

Como se ha señalado, ante niveles de riesgo no elevados, el proceso de análisis se puede simplificar implementando un análisis de riesgos global que, busca la agrupación de procesos o actividades –atendiendo a la exposición de riesgos en función de los elementos que intervienen en el tratamiento- lo que simplifica el análisis sin reducir su nivel de efectividad.

Se trata en definitiva, de tomar en consideración todas las actividades u operaciones de tratamiento similares y que están expuestas a los mismos riesgos, con el objetivo de establecer medidas de control comunes que permitan reducir su nivel de exposición.

 

Por tanto, el Ciclo de vida de los datos deberá contener toda la información que permita una adecuada identificación de amenazas y valoración de riesgos, de modo que se contemple:

- Cómo se capturan y/o de donde se obtienen los datos,

- Cómo se clasifican o almacenan y su donde de conservan,

- El uso o tratamiento que se dará a los datos (finalidad),

- Las posibles cesiones o transferencias de los datos a tercero/s, y

- El plazo de conservación y el modo de destruirlos.

Además se deberá identificar todos los elementos que intervienen en cada fase en cuanto a: las actividades, las categorías de datos tratados, los intervinientes involucrados (categorías de interesados, responsables, encargados, terceras partes involucradas...) y las tecnologías utilizadas. Además se debería realizar una descripción sistemática de las operaciones y finalidades en las que se reflejen los procedimientos que se siguen para cumplir con el deber de información o para la solicitud del consentimiento, procedimiento para el ejercicio de derechos por parte de los interesados, si se ha firmado un contrato de encargo de tratamiento en donde se reflejen las obligaciones y medidas de seguridad de los encargados, etc.

No hay versiones para este comentario

Ciclo de vida de los datos
Datos personales
Análisis de riesgo
Tratamiento de datos personales
Actividades de tratamiento de datos
Registro de las actividades de tratamiento
Persona física
Medidas de seguridad
Protección de datos
Grabación
Traspaso
Comunicación de datos
Acceso a datos personales
Amenazas
Responsable del tratamiento
Encargado del tratamiento
Elementos comunes
Evaluación de riesgos
Categorías de datos personales
Pertenece al Grupo

Documentos relacionados
Ver más documentos relacionados
  • Análisis de riesgos aplicados a la privacidad y a la protección de datos en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 04/02/2019

    Desde la entrada en vigor del RGPD es obligatorio el cumplimiento de los requerimientos y obligaciones para el responsable y el encargado de tratamiento que este incluye, entre las que destaca, la necesidad de llevar a cabo un análisis de riesgos co...

  • Contenido y metodología de la Evaluación de impacto según el RGPD

    Orden: Administrativo Fecha última revisión: 04/02/2019

    A la hora de realizar una EIPD, se debe disponer de una metodología que considere los requerimientos exigidos por el RGPD que a grosso modo establece que deberá incluir como mínimo:Una descripción sistemática de la actividad de tratamiento previ...

  • Tipos de riesgos relacionados con la seguridad de los datos en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 04/02/2019

    A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el RGPD, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos (como la seudonimización y el cifrado). ...

  • Tratamiento de datos con fines de videovigilancia

    Orden: Administrativo Fecha última revisión: 12/02/2019

    En el caso de la videovigilancia, la licitud del tratamiento proviene de la existencia de un interés público, en los términos establecidos en el artículo 6.1.e) del RGPD.El tratamiento con fines de videovigilancia se encuentra regulado en la LOPD...

  • Introducción a la protección de datos

    Orden: Administrativo Fecha última revisión: 07/02/2019

    El nuevo Reglamento General de Protección de Datos de la Unión Europea (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de d...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados