Ciclo de vida de los datos en el Reglamento Europeo de Protección de Datos (RGPD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 18/06/2018

En los casos en que no resulta necesario realizar la Evaluación de impacto se puede realizar en un análisis de riesgos global, de forma que las actividades de tratamiento se agrupan por procesos comunes expuestos a riesgos similares, lo que simplifica el análisis y permite establecer medidas de seguridad por defecto.

En los casos en que no resulta necesario realizar la Evaluación de impacto ( en los que, como veremos, debe de efectuarse un análisis para una actividad de tratamiento especifica), se puede realizar en un análisis de riesgos global, de forma que las actividades de tratamiento se agrupan por procesos comunes expuestos a riesgos similares, lo que simplifica el análisis y permite establecer medidas de seguridad por defecto.

Así , al objeto de ilustrar como se puede producir esta asociación de riesgos a un proceso u operación que resulta común, nos remitimos a un ejemplo facilitado por la AEPD que a tal fin ha señalado quees probable que todas las operaciones de almacenamiento de datos estén asociadas al riesgo de falta de disponibilidad, por lo que la medida mitigadora aplicable puede ser una política diaria de copias de seguridad definida para todas las bases de datos”.

La descripción de los tratamientos sujetos al análisis de riesgos, permite obtener un conocimiento del ciclo de vida de los datos, de las actividades realizadas y de cualquier elemento que interviene en las mismas, y por tanto permitirá detectar esas operaciones o procesos que presentan riesgos similares .

La AEPD señala que el ciclo de vida de los datos puede dividirse en las siguientes etapas:

Captura de datos: Proceso de obtención de datos para su almacenamiento y posterior procesado.

En esta categoría se pueden encontrar diversas técnicas: formularios web, formularios en papel, toma de muestras y realización de encuestas, grabaciones de audio y video, redes sociales, captación mediante sensores, etc.

Clasificación / Almacenamiento: Establecer categorías y asignarlas a los datos para su clasificación y almacenamiento en los sistemas o archivos

Uso / Tratamiento: Operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos de los datos automatizados o manuales.

Cesión o transferencia de los datos a un tercero para su tratamiento: Traspaso o comunicación de datos realizada a un tercero, definido como aquella persona física o jurídica, pública o privada u órgano administrativo.

Este concepto es muy amplio, puesto que recoge tanto la entrega, comunicación, consulta, interconexión, transferencia, difusión o cualquier otra forma de acceso a los datos.

Destrucción: Eliminar los datos que puedan estar contenidos en los sistemas o archivos, de manera que no puedan ser recuperados de los soportes de almacenamiento.

La descripción adecuada de las actividades de tratamiento resulta clave para facilitar la identificación de los riesgos, y servirá -a su vez- para facilitar la documentación del registro de actividades de tratamiento ya que permitirá obtener información que necesariamente debe ser incluida en el registro de tratamientos.

  • Actividades u Operaciones; Datos; Intervinientes y Tecnología.

En cada una de las etapas del ciclo de vida de los datos en las actividades de tratamiento intervienen una serie de elementos que resultan comunes a todas ellas. Son los siguientes: Actividades u Operaciones; Datos; Intervinientes y Tecnología.

Actividades u Operaciones de tratamiento sobre los datos de carácter personal: Conforme señala la AEPD, una actividad de tratamiento responde a la materialización de una finalidad sobre los datos personales de un determinado colectivo de personas.

Como señalamos se trata de un elemento que podemos encontrar ( y por tanto analizar) en todas las fases del ciclo de vida de los datos. Así, por ejemplo puede considerarse una actividad u operación, el almacenamiento de datos en una base de datos, la manipulación de la información para la obtención de decisiones, un proceso de borrado o cualquier tarea que requiera el tratamiento o manipulación de los datos y que forme parte de un tratamiento que tiene una finalidad concreta y que define uno de los objetivos o actuaciones que la organización debe realizar sobre los datos de carácter personal.

Datos: El ciclo de vida está directamente relacionado con los datos personales que se tratan. Por ello, conforme indica la AEPD, su identificación en cada etapa es fundamental para poder establecer interrelaciones y dependencias entre las operaciones de tratamiento y conjuntos de datos identificados.

Intervinientes: A lo largo del ciclo de vida de los datos pueden existir numerosos intervinientes que participen en cada una de las actividades de tratamiento.

Este elemento, por tanto, estaría constituido por aquellas personas físicas o jurídicas que, -bien de forma individual, bien de forma colectiva- están implicadas en las actividades del tratamiento de los datos de carácter personal. ( responsable del tratamiento, encargados del tratamiento, empleados de las organizaciones que participan en el procesado de datos…)

Debemos señalar que la participación concreta de cada interviniente puede llegar a suponer una amenaza sobre los datos, por lo que esta circunstancia deberá ser tenida en cuenta en el proceso de análisis y evaluación de riesgos.

Tecnología: Los procesos de tratamiento de datos de carácter personal en sus diferentes fases encuentran en la tecnología un soporte a las actividades de tratamiento.

En consecuencia, constituye un elemento común a todas las etapas del ciclo de vida de los datos que debe ser identificado. Así, resultará necesario identificar las distintas tecnología implicadas en las actividades de tratamiento (tanto hardware –aplicaciones, programas…- como software –dispositivos-.) .

En el caso de que alguna actividad de tratamiento implica el procesamiento no automatizado de los datos, se ha de identificar como una actividad de tratamiento e inventariarla como un activo más.

Pues bien, una vez analizados los elementos que se involucran en todas las etapas del ciclo de vida de los datos durante las actividades de tratamiento, veamos varios ejemplos de cómo la toma en consideración de aquellos puede servir para facilitar el análisis del tratamiento agrupando actividades de tratamiento en función de la similitud de riesgos:

Por ejemplo las diferentes actividades de tratamiento que –atendiendo al elementos tecnológicos- utilicen como soporte de tratamiento la misma tecnología, la exposición a los riesgos derivados de su uso será similar y, por tanto, se podrá agrupar bajo este criterio las actividades de tratamiento a la hora de identificar, evaluar y tratar los mismos.

Atendiendo al elemento “ operaciones de tratamiento” (y que, como vimos, es un elemento que responde a la materialización de una finalidad sobre los datos personales de un determinado colectivo de personas) que se ejecutan en el conjunto de etapas del ciclo de vida , un criterio de organización para agrupar las actividades de tratamiento podría consistir en agrupar aquellas que atiendan a finalidades similares sobre grupos de individuos diferentes por ejemplo, supongamos que deba realizarse la historia clínica sobre los empleados de una organización y además sobre los aspirantes a formar parte de una organización.

Como se ha señalado, ante niveles de riesgo no elevados, el proceso de análisis se puede simplificar implementando un análisis de riesgos global que , busca la agrupación de procesos o actividades –atendiendo a la exposición de riesgos en función de los elementos que intervienen en el tratamiento- lo que simplifica el análisis sin reducir su nivel de efectividad.

Se trata en definitiva, de tomar en consideración todas las actividades u operaciones de tratamiento similares y que están expuestas a los mismos riesgos, con el objetivo de establecer medidas de control comunes que permitan reducir su nivel de exposición.

No hay versiones para este comentario

Ciclo de vida de los datos
Datos personales
Análisis de riesgo
Medidas de seguridad
Actividades de tratamiento de datos
Persona física
Grabación
Traspaso
Comunicación de datos
Acceso a datos personales
Registro de las actividades de tratamiento
Tratamiento de datos personales
Amenazas
Responsable del tratamiento
Encargado del tratamiento
Evaluación de riesgos
Elementos comunes

No se han encontrado resultados...

Pertenece al Grupo

Documentos relacionados
Ver más documentos relacionados
  • Objeto y ámbito de aplicación del RGPD

    Orden: Administrativo Fecha última revisión: 30/07/2018

    A partir del 25 de mayo de 2018, con el comienzo con la aplicación del Reglamento general de protección de datos -en adelante RGPD- ,  se instaura un conjunto único de normas directamente aplicables en todos los Estados miembros.NOVEDADES: Real D...

  • Glosario de definiciones del RGPD

    Orden: Administrativo Fecha última revisión: 18/06/2018

    El RGPD proporciona -en su artículo 4- la definición de los sobre los que se gravita la regulación de la protección de datos de carácter personal. Así, los distintos operadores jurídicos, la ciudadanía, los poderes públicos, tienen a su alc...

  • Reglamento General de Protección de Datos (RGPD)

    Orden: Administrativo Fecha última revisión: 30/07/2018

    El nuevo Reglamento General de Protección de Datos de la Unión Europea, conocido como «Reglamento General de Protección de Datos» (RGPD), entró en vigor el 25 de mayo de 2016, a pesar de que su aplicación plena ha comenzado el 25 de mayo d...

  • Registro de actividades de tratamiento datos en el RGPD

    Orden: Administrativo Fecha última revisión: 19/06/2018

    Una de las novedades que presenta el nuevo RGPD es la obligación que esta norma impone a responsables y encargados (o a sus representantes) de mantener un registro de actividades de tratamiento. Así, este registro viene a sustituir la obligación d...

  • Análisis de riesgos aplicados a la privacidad y a la protección de datos en el RGPD

    Orden: Administrativo Fecha última revisión: 18/06/2018

    Debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados