No es un secreto que para cumplir con el RGPD es esencial saber cuáles son los datos personales con los que trabaja nuestro negocio. Esto implica comprender qué datos tenemos, porqué y para qué se usan, dónde están localizados, cómo se mueven, cuánto tiempo los guardamos y qué ocurre con ellos cuando ya no se necesitan.
¿Qué es y cómo te afecta a tu empresa el RGPD? El Reglamento General de Protección de Datos es de aplicación obligatoria para todas las empresas de la Unión Europea, desde el 25 de mayo de 2018.
El propósito del reglamento es otorgar un mayor control y seguridad a los usuarios (en definitiva a los ciudadanos) sobre el uso y custodia de su información personal especialmente en el ámbito digital. El RGPD no solo establece cuales son sus derechos y las pautas para decidir cómo desean que sus datos sean tratados, también regula la forma en que quieren recibir información de las empresas.
El principio de responsabilidad pro-activa es uno de los pilares del RGPD, e implica que además de cumplir, el responsable del tratamiento tiene que poder demostrar el cumplimiento y los mapas de datos son una manera de demostrarlo.
¿Por qué es importante mapear los datos personales? Un mapeado de datos es la mejor manera de construir una imagen clara del uso de los datos personales de una organización o de una pyme.
Nos equipa con la información que necesitamos para cumplir con las obligaciones del RGPD, incluida la aplicación de las medidas técnicas y de organización que garanticen un nivel de seguridad adecuado a los riesgos aumentando así nuestra ciber-resiliencia.
Principio de responsabilidad proactiva
Sin duda la proactividad es uno de los pilares del RGPD, e implica que además de velar por su cumplimiento, el responsable del tratamiento tiene que poder demostrar el cumplimiento y los mapas de datos son una manera de demostrarlo.
Mapear nuestros datos es prueba de que estamos tomando en serio nuestra responsabilidad pro-activa y nos ayuda a estar al día en las tareas de registro y análisis de impacto de tratamientos y a identificar las medidas de seguridad más adecuadas para las diferentes categorías y tratamientos de los datos.
¿QUE ES UN MAPEADO DE DATOS? Un mapeado de datos es una forma de monitorizar el flujo de los datos personales que pasan por nuestra organización o negocio, proporcionándonos la información necesaria para controlarlos con eficacia.
Los datos dejan un rastro como migas de pan y en una auditoría es muy importante tener documentado este recorrido por lo que como mínimo debemos incluir:
– De donde vienen los datos: Clientes, empleados, proveedores, terceros…
– Para qué se usan: prestación de servicios, nominas, pedidos a proveedores
– Por dónde entran: teléfono, formularios de papel, online, email
– En que formato están: Sistema de CRM, ficheros de texto, hojas de papel, bases de datos, hojas de calculo…
– Dónde se guardan: ficheros físicos, discos duros, data sticks, servidores propios, la nube…
– En qué país se guardan – si están en la nube, los servidores podrían estar fuera de España e incluso la AEE.
– Como se accede a los datos
– Quién tiene acceso a los datos
– Cuánto tiempo guardamos los datos
– Qué se hace con los datos cuando ya no se necesitan.
¿Es realmente útil mapear los datos de mi empresa? Indudablemente sí, pero debe hacerse con rigurosidad.
El viaje de los datos a través de nuestro negocio es una historia llena de vicisitudes; los datos pueden cambiar de formato (de un formulario en papel a una base de datos) de sitio, ser copiados a otros departamentos, compartirse con otras organizaciones, o incluso olvidarse en un pendrive en un cajón…
Para ser útil, el mapeado tiene que poder describir esta historia con claridad y exactitud. Puede ocurrir que el mapa resultante este compuesto de mapas entrelazados para las distintas actividades y tratamientos.
Elementos esenciales de un mapa de datos personales Cada empresa es única por lo que el mapa de datos debe ser diseñado e implementado teniendo en cuenta factores de base como por ejemplo si es una multinacional, un negocio local con una tienda online o un autónomo que presta servicios y trabaja con información sensible.
Entre las múltiples opciones y características que vamos a tener en cuenta debemos asegurarnos de al menos cumplir con las siquientes:
1) Debe estar completo:
Tiene que incluir todas las actividades de procesamiento: el mapa tiene que rastrear e incluir todas las actividades que conlleven un tratamiento de datos, y hay que registrar los fines, las bases legales y cada acto individual que constituya el tratamiento.
2) Es muy visual:
Recordemos que una de las principales finalidades del mapa es que todos los empleados en un negocio puedan seguir la historia de los datos. Hay muchas herramientas aunque lo habitual es incluir diagramas, infogramas … el objetivo es que todo el mundo que trate de manera activa o pasiva esos datos entienda que pasa con ellos.
¿COMO AYUDA A CUMPLIR CON LA LOPDGDD? El mapa ayuda a tu organización a cumplir con obligaciones legales importantes y evitar complicaciones legales.
- Define el registro de Actividades de tratamiento: aunque no todas las empresas, ni los autónomos, están obligadas a llevar el registro, es útil a la hora de demostrar el cumplimiento y el mapa hace que sea mas sencillo llevarlo correctamente actualizado.
- Protege los derechos de los interesados y genera transparencia: Ambos fundamentales para generar confianza. De hecho, la encuesta de consumidores de CISCO en 2021 hayo que el 79% de los consumidores han cambiado de empresa para proteger sus datos[1].
- Facilita los Estudios de Impacto, haciendo mas fácil seguir los flujos de datos y como nuevos tratamientos podrían generar riesgos altos o muy altos para los usuarios que requieran una Evaluación de Impacto del articulo 35 RGPD.
[1] Cisco Blogs Building Consumer Confidence Through Transparency and Control
El mapeado es una actividad de equipo Pregunta, pregunta y pregunta, clarifica la información y haz listas para los distintos flujos de datos:
– Marketing online
– Subscripciones
– Facturación
– Productos
– Contratación laboral
– Redes Sociales
Uno de los beneficios de esta actividad es la concienciación del personal de la importancia de la protección de los datos personales, y la participación genera una cultura de responsabilidad, respeto y cumplimiento de las obligaciones.
Este nivel tan detallado también te ayuda con varias de las obligaciones del RGPD:
– Crear tu registro de tratamientos
– Crear un registro de empresas suministradoras y colaboradoras,
– Crear un registro de aplicaciones informáticas,
– Crear el borrador de tu nota y políticas de privacidad
Los mapas se pueden hacer en Google Slides, Power Point o una aplicación infográfica, pero es importante que todos sigan el mismo formato. Los mapas hay que revisarlos regularmente para mantenerlos actualizados. Según los productos, servicios y procesos de la empresa van cambiando, hace falta tener unos protocolos para registrar los cambios y actualizar las políticas de privacidad y otros documentos relacionados
Podemos ayudarte a realizar el mapeado de los datos de tu empresa. Contáctanos y toma la iniciativa para que tu empresa se beneficie de una cultura respetuosa de la protección de datos que potencie tu reputación y minimice los riesgos de un posible incumplimiento legal y brechas informáticas.
Montserrat Medina
Especialista en protección de datos CIPP/E CIPM.
Escritora de contenidos para páginas web y apasionada del marketing.
