La creación y el mantenimiento de un ROPA (Registro de Actividades de Procesamiento) es esencial para el cumplimiento de la protección de datos y la privacidad en una empresa de tamaño medio o grande. El ROPA es el núcleo de cualquier documentación de cumplimiento. Documenta los procesos centrales de su organización en relación con el tratamiento de datos personales. Esencialmente, es un análisis del flujo de datos desde una perspectiva legal.
Los datos personales fluyen a través de interfaces, los llamados puntos de recogida de datos. Por ejemplo, un punto de recogida de datos puede ser su sitio web con un formulario de contacto, su servidor de correo en el que se reciben correos electrónicos o una determinada feria en la que se relaciona con posibles clientes o prospectos. Para cada uno de estos puntos de recogida de datos, es necesario evaluar si necesita mostrar avisos de protección de datos sobre los derechos y libertades del interesado.
Por lo tanto, éste es uno de los puntos de partida de un ROPA y del flujo de datos que contiene. Una vez que los datos entran en su organización, se utilizan en varios procesos vinculados a los sistemas. Estos procesos tienen una descripción general que explica lo que hacen. La descripción incluye las personas que participan en ese proceso. Dependiendo de la estructura de la organización, los departamentos o equipos manejan los datos dentro de un proceso.
La documentación del proceso también incluye a las partes externas con las que comparte directamente la información y que no utilizan ninguna aplicación o sistema. Hay dos formas de transferir datos: Una transferencia directa sería enviar una tabla de Excel con clientes potenciales a una agencia de marketing. La segunda forma es a través de un sistema; por ejemplo, podrías tener un sistema de RRHH que envíe archivos específicos de RRHH o información de RRHH al proveedor de la solución SaaS de RRHH.
En ambos casos se trata de transferencias a procesadores o controladores de datos. Hay que evaluar a este vendedor y establecer los contratos necesarios.
La información fluye hacia su organización, sus procesos, sus diversos departamentos y sus sistemas, y de ahí a los procesadores o controladores de datos. Al final de los ciclos de vida de los datos, hay períodos de eliminación y retención definidos para la información procesada y los sistemas involucrados. El uso de los calendarios de eliminación y retención de datos disponibles en la plataforma Priverion, facilita a los administradores de sistemas el mantenimiento de los registros y la implementación de los procesos necesarios, ya sea de forma manual o automática, para eliminar o retener cierta información.
El último paso del flujo de datos es la eliminación o anonimización de los datos. Todo ello constituye la documentación de una actividad de procesamiento.
Ahora queda un punto necesario: el análisis de riesgos para esta actividad de procesamiento. El análisis de riesgos tiene en cuenta la probabilidad de que se produzcan determinadas amenazas y la cantidad de daños que se derivan de la explotación de una vulnerabilidad.
Por ejemplo, la manipulación de los datos de un archivo de recursos humanos podría tener algún impacto financiero o de reputación, pero ningún impacto sanitario. En comparación, la manipulación de algunos valores de una bomba de insulina en un hospital tendría un daño muy elevado.
Estos casos deben ser evaluados para valorar el riesgo en estas dos dimensiones de probabilidad y cuantía de los daños y dentro de las distintas subdimensiones de probabilidades y categorías de amenaza.
Un factor determinante de la probabilidad y la cuantía de los daños son las medidas técnicas y organizativas que se aplican dentro de ese proceso. Por ejemplo, el cifrado de los datos en tránsito y en reposo puede incluso eliminar el daño que causaría una violación de datos o un pirateo de la base de datos, ya que el atacante sólo tendría acceso a los datos cifrados. Por lo tanto, el daño potencial sería mínimo.
Esta evaluación de riesgos suele llevarse a cabo dentro de un equipo, ya que los individuos tienen una perspectiva particular o una percepción específica de ciertos riesgos y probabilidades. Por lo tanto, recomendamos encarecidamente realizarla con el responsable del proceso, un delegado de protección de datos o un experto en protección de datos, y alguien del departamento de seguridad de la información o de TI de la organización. Estas tres o cuatro personas son las que mejor pueden evaluar los riesgos relacionados con la persona afectada por ese tratamiento y encontrar un consenso o promediar las dimensiones de probabilidad y daño.
En resumen, antes de comenzar con el registro de las actividades de procesamiento o la determinación del riesgo, la organización tiene que definir los parámetros específicos relativos a la probabilidad y el daño. Una organización debe determinar qué es para ella una probabilidad pequeña, media, alta o muy alta en esta evaluación concreta. Puede realizarse una vez al año, mensualmente, diariamente, cada hora o cada minuto. Esto tiene que estar estandarizado y escrito en una política para que cada empleado que realice dicha evaluación conozca los valores subyacentes. Lo mismo ocurre con la cuantía de los daños. ¿Cuándo es alta la cantidad de daño en relación con el sujeto de los datos, y cuándo es baja?
Normalmente, las organizaciones tienen tablas que definen lo que es un daño elevado para ellas desde el punto de vista de la seguridad de la información. Mientras que 100.000 euros pueden ser un daño elevado para algunas organizaciones, son 100 millones de euros para otras. Sin embargo, la evaluación debe tener en cuenta al sujeto individual de los datos y no a la organización. En el ROPA, sólo son relevantes los daños para el interesado. En este caso, el sujeto de datos medio en el contexto del tratamiento es la línea de base, y sus daños deben ser evaluados. Una pérdida de 10.000 euros o un daño a la salud o a la reputación pueden ser significativos para una persona media, incluso si las sumas desde la perspectiva de la organización son bajas.
Supongamos que los resultados de la evaluación concluyen que existe un alto riesgo para el individuo afectado. En ese caso, deben adoptarse medidas técnicas y organizativas adicionales que dependen de la legislación aplicable para proteger al interesado del daño identificado.
Aquí la proporcionalidad es importante. La aplicación de medidas específicas que superen una cantidad significativa podría no ser proporcional a la cantidad de daño que podría infligirse. En este caso, la medida puede no ser viable, pero puede haber alternativas que no cuesten tanto pero que puedan lograr un objetivo similar.
Es importante señalar que esta evaluación de alto nivel es más breve que una evaluación del impacto sobre la privacidad de los datos y se realiza desde una perspectiva de riesgo general que permite tomar decisiones pragmáticas, sobre todo en situaciones estándar especiales.
Una evaluación del impacto sobre la privacidad de los datos entra en más detalles, examina más medidas técnicas y organizativas, e incluye un proceso de entrevistas a las partes interesadas afectadas o un proceso de retroalimentación a la actividad de procesamiento subyacente que se está evaluando.
en 01 06 2022
5 leer menos