En cada tratamiento de datos de carácter personal, las organizaciones deben establecer una serie de procesos (fases de ciclo de vida) para asegurar que cumplen con la legislación en relación con la necesidad de informar a los individuos de los aspectos relacionados con el mismo, para obtener su consentimiento, permitirle ejercer sus derechos de cancelación, acceso, etc. Si estos procesos legales no tienen el grado de madurez suficiente, se corre el riesgo de sanciones e impacto reputacional para la organización.
Fases del ciclo de vida
A continuación, mostramos una relación de estos riesgos agrupados por las distintas fases del ciclo de vida, que puede ser usada por los analistas para el análisis de riesgos:
Fase de Creación / Recolección / Captura de la información
Con respecto a la recolección o captura, cuestiones esenciales a tener en cuenta desde el punto de vista de la privacidad son: riesgo de sanciones y/o reputacional por no tener una base legítima del procesamiento (ej: consentimiento del interesado); por recabar más información de la mínima necesaria para cumplir con el propósito de tratamiento; por recabar datos personales especialmente protegidos, sin que haya una necesidad para ello; porque el procesamiento se lleve a cabo en países sin las debidas garantías; porque en el procesamiento intervengan terceros sin que haya un contrato que regule su participación; por no proveer información suficiente a los interesados sobre los aspectos relevantes del tratamiento; por proveer información poco clara y/o de difícil acceso para los interesados, de modo que no se cumple con los principios de transparencia en la información; por no proveer información sobre dónde ejercer sus derechos de oposición, cancelación, etc…; riesgo de identificación, en aquellos casos en los que la información capturada pretenda estar anonimizada; por ejemplo, por enriquecer los datos de forma no prevista inicialmente o por usar métodos deficientes de anonimización; utilizar cookies de seguimiento u otros mecanismos de rastreo, sin obtener consentimiento tras una información clara.
Mantenimiento / Preprocesado
Con respecto a esta fase del ciclo de vida, los principales riesgos que hay que considerar son que el procesamiento se lleve a cabo en un país no compatible en cuanto a su legislación de protección de datos y/o que intervenga una tercera empresa con la cual no se ha establecido una relación contractual.
Almacenamiento
En cuanto al almacenamiento, una variable importante a tener en cuenta es la localización física o ubicación de las instalaciones (ej: oficinas, centros de procesos de datos) donde se ubican las bases de datos o los ficheros físicos. Se trata este de un aspecto importante a tener en cuenta cuando el almacenamiento se subcontrata a terceros como en los casos de hosting o almacenamiento en régimen de Cloud Computing. El riesgo es que el procesamiento se lleve a cabo en países sin las debidas garantías.
Fase de Purgado / Destrucción
En esta fase, en cuanto a los principales riesgos desde la perspectiva de la privacidad, está el mantener la información más allá de los plazos establecidos para la retención máxima de la información, lo que puede suponer sanciones de los reguladores. Esto puede ser debido principalmente por carecer de procedimientos que garanticen la cancelación de oficio de los datos una vez han dejado de ser necesarios.
Pidan presupuesto sin compromiso de implantación de la normativa vigente