2.4 Contexto del tratamiento
El objetivo de esta fase 4, y primera fase efectiva de la EIPD, es analizar todas las instancias de tratamiento que se va a realizar desde la perspectiva de la protección de datos personales.
2.4.1 Representar las etapas del ciclo de vida de los datos
Una vez identificada la necesidad de realizar una EIPD, resulta necesario mapear las distintas etapas del ciclo de vida de los datos, ya sea respecto del proyecto en curso o de las actividades habituales de la organización. El ciclo de vida de los datos personales puede definirse como el proceso que identifica las instancias asociadas a su tratamiento, desde la recolección hasta la supresión.
Es fundamental que las entidades describan cómo recolectan, almacenan, utilizan y finalmente eliminan la información en su poder. Deben explicar qué datos personales tratan, para qué y qué personas tienen acceso autorizado al flujo de información. Este es un presupuesto necesario para toda EIPD. Solo es posible realizar una adecuada gestión de riesgos si la organización entiende exhaustivamente cómo procesa o procesará datos personales. Ignorar qué información se tiene y para qué se usa, en sí, puede entrañar un riesgo significativo a los derechos de las personas.
El flujo de información puede ser representado en el formato que resulte más adecuado para la organización (un diagrama de flujo, un cuadro sinóptico, uno o varios listados) y es conveniente que la representación gráfica acompañe un informe escrito. A todo evento, es de notar que la identificación del ciclo de vida se orienta al cumplimiento de las normas en materia de protección de datos, sin perjuicio de que la EIPD pueda ser de utilidad en la consideración de otros aspectos de la vida de los datos, como en la materia de seguridad de la información.
Así pues, en términos generales, pueden identificarse las siguientes etapas en el ciclo de vida de los datos:
AGREGAR IMAGEN
Recolección
La recolección de los datos implica toda actividad de captura de datos de persona determinada o determinable para destinar a actividades de tratamiento. Esa captura de información puede provenir del propio titular de los datos o de terceros que realicen cesiones o comunicaciones.
En lo que refiere a la recolección de la información, debemos:
1. Determinar los tipos de datos recolectados con relación a la finalidad prevista.
Preguntas vinculadas: ¿Estoy recolectando estrictamente los datos que necesito en función de mi finalidad? ¿Existen finalidades conexas y compatibles que requieran de otro tipo de datos? ¿Estoy ofreciendo opciones al titular de datos para comunicar un tipo de datos personales y no otros?
2. Considerar la información provista a los titulares de los datos previo a su recolección.
Preguntas vinculadas: ¿Se informó debidamente a los titulares de los alcances de la información que se recolectará? ¿La información es clara y completa? ¿Determiné los mecanismos de ejercicio de los derechos?
3. Detallar las fuentes de los datos obtenidos.
Preguntas vinculadas: ¿Obtengo la información directamente de los titulares? En caso contrario, ¿mis fuentes son fuentes públicas de acceso irrestricto? ¿Obtengo la información de cesiones o comunicaciones, en cumplimiento de la ley local?
4. Especificar los mecanismos y personas involucradas en la recolección.
Preguntas vinculadas: ¿Por qué medios se realiza la recolección de datos? ¿Se realiza por algún mecanismo automatizado? ¿Qué empleados de la organización o eventual personal tercerizado están involucrados en el proceso de recolección?
Categorización
La categorización implica toda actividad de clasificación de la información, incorporándola en distintas categorías definidas por el tipo de dato y su finalidad. También refiere a la determinación de los potenciales vínculos de los datos capturados con otros datos, preexistentes o no, a efectos de obtener inferencias.
Distintas categorías de datos pueden ser objeto de distintas medidas de seguridad, de acuerdo a su naturaleza. En cuanto a los datos sensibles, estos deben ser tratados siempre con estricta reserva y bajo severas medidas de seguridad.
Preguntas vinculadas: ¿Cuáles son los tipos o categorías de datos que estoy tratando? ¿Estoy tratando datos sensibles o datos relativos a antecedentes penales o contravencionales? ¿Poseo sistemas, programas o aplicaciones que relacionan múltiples datos en mi poder? ¿La categorización de los datos es manual o procede por mecanismos automáticos? ¿Quiénes intervienen en la categorización o tienen acceso a los datos ya categorizados?
Tratamiento
Tratamiento en sentido estricto hace referencia a todo tipo de gestión sobre los datos, incluyendo su almacenamiento y aplicación en sistemas de la empresa u organización, dentro de finalidades determinadas. También incluye las actividades de actualización, rectificación y disociación de la información.
En lo que refiere al almacenamiento de los datos, éste opera en relación con las categorías definidas en la etapa anterior. El tipo de dato marca las medidas de seguridad que corresponde adoptar y la eficacia de los sistemas que se pongan en práctica.
Preguntas vinculadas: ¿Implemento distintas medidas de seguridad para las diferentes categorías de datos? ¿El almacenamiento lo realizo en servidores locales o en la nube? ¿Almaceno varias copias de la información y, en ese caso, las tengo identificadas a efectos de correcciones y supresiones? ¿Puse en práctica algún sistema de contraseñas o una política de acceso a la información de los miembros de mi organización? ¿Cuento con un mecanismo sencillo y estudiado para habilitar el acceso a su información en caso de solicitudes de los titulares de los datos? ¿Y para rectificar, actualizar o suprimir la información en el plazo correspondiente? ¿Realizo operaciones de disociación de los datos? ¿Quiénes intervienen en las operaciones de tratamiento?
Por otra parte, tal como se indicó antes, el tratamiento de la información puede aplicarse para obtener mediante inferencias nueva información, en la medida en que ello sea acorde a la finalidad declarada por el responsable.
Preguntas vinculadas: ¿Cuál es la finalidad del tratamiento de datos previsto en el proyecto o en la actividad de la organización? ¿Establezco vínculos entre los datos que cuento para obtener información adicional? ¿Esa información generada también se vincula a los fines de mi organización? ¿Cómo almaceno la información resultante?
Comunicación o cesión y transferencias internacionales
La comunicación o cesión refiere a toda revelación o envío de datos personales a personas distintas del titular, en el marco de las hipótesis expresamente previstas por las normas. Por su parte, la transferencia internacional es aquella cesión o comunicación que tiene como destinatario un responsable de tratamiento ubicado en el extranjero.
Sin perjuicio de la discusión sobre los alcances de los conceptos de comunicación o cesión y de transferencia internacional, en oportunidades puede ser necesario enviar los datos a terceros a efectos de que realicen operaciones de tratamiento, que pueden abarcar desde el mero almacenamiento hasta una actividad de cobranza de morosos, entre otros servicios. En particular, la contratación de servicios en la nube es una actividad cada vez más frecuente y que involucra, en numerosas oportunidades, la ejecución de transferencias internacionales. También es posible que un responsable de tratamiento quiera vender o compartir su información con empresas asociadas o del mismo rubro, lo que es perfectamente lícito en la medida en que se cumpla con la normativa local.
A los fines de garantizar la protección de los datos, es importante contar con contratos o normas corporativas vinculantes que instrumenten salvaguardas y que delimiten las responsabilidades de los contratantes. Cuando la comunicación o cesión se produce por otras hipótesis distintas del consentimiento del titular, es importante tener presente las bases legales que lo habilitan. Es relevante determinar la legitimación del destinatario de la información, el alcance de las obligaciones, el tipo de información a comunicar o ceder, el destino de la información y los mecanismos para la eliminación de la información una vez que el contrato se cumpla.
Preguntas vinculadas: ¿Se realizan cesiones o transferencias internacionales? ¿Existe una clara delimitación de las obligaciones de una y otra parte del contrato? ¿Se define la finalidad para la cual se entregan los datos? ¿Se han determinado los tipos de datos que se enviarán a efectos de no remitir más que los necesarios para cumplir con el contrato? ¿Solicité la autorización previa de la autoridad de control o corroboré estar dentro de alguna de las bases legales que habilitan las transferencias internacionales de datos?
Eliminación
El hecho de que se conserve la información no significa que ésta deba permanecer en poder del responsable o encargado de forma indefinida. Salvo excepciones, una vez cumplida la finalidad para la que se obtuvo la información, corresponde proceder a su supresión. Asimismo, no se considera válida aquella finalidad que justifica la conservación de datos personales a perpetuidad o por lapsos desproporcionados de tiempo. Por esta razón, el responsable debe proceder a eliminar la información de manera periódica, en plazos cuya razonabilidad ha de determinarse conforme a la naturaleza de los datos y la finalidad del tratamiento.
A este respecto, es fundamental tener en cuenta las habilitaciones especiales o previsiones específicas de la ley local que justifican la conservación, así como las excepciones al derecho de supresión. Asimismo, debe recordarse que la eliminación supone algo más que la mera eliminación del archivo, pues también requiere de una constatación de dicha eliminación, comprobando que no hayan quedado rastros de los datos en el sistema.
Preguntas vinculadas: ¿Cuáles son los motivos para mantener la información almacenada una vez agotada la finalidad del tratamiento? ¿Existe alguna norma que me habilite a conservar esa información? En caso de que no corresponda la eliminación, ¿implementé procedimientos para bloquear o disociar los datos? ¿Qué mecanismos debo emplear para eliminar la información? ¿Contabilicé las copias y respaldos de seguridad que puedan existir para asegurar la eliminación completa?