La forma más eficiente de procesar los incidentes que ocurren durante el tratamiento de los datos personales es mediante el análisis de la información contenida en los registros de horarios y movimientos de los datos almacenados, ello en virtud a que tal información permite reconstruir un evento y determinar quién o quiénes participaron en él. Para entender esto observemos un ejemplo:
Usted como usuario bancario recibe una llamada de un asesor solicitando actualizar los datos para así poderle enviar sus extractos impresos; dado que esa acción es atípica entonces usted decide llamar a su banco para corroborar la situación; ¿Qué sucedería si no existieran registros de la actividad de tratamiento de sus datos? Pues sencillamente usted no podría saber si la llamada recibida procedía efectivamente del banco o era un intento de hacerle un fraude, ello en vista que no se visualiza una manera de trazar el evento.
Afortunadamente en el sistema bancario ese tipo de situaciones no sucede, dado que es el mismo banco, en cumplimiento de la Ley de protección de datos personales, quien lleva un registro detallado de todas las actividades realizadas con los datos personales de cada uno de sus clientes; así entonces, para el caso del ejemplo a usted como usuario le podrían confirmar con seguridad que en la última semana ningún funcionario ha tenido comunicación con usted, y que entonces se deduce que alguna persona inescrupulosa está intentando robarle sus datos personales.
El ejemplo anterior ilustra la importancia de llevar registros de actividad con los datos personales manejados, y es por ello que tal vez usted se pregunte: ¿Cómo comienzo a llevar un registro del tratamiento de la información personal que manejo?
La respuesta no es tan compleja, primero que todo debe crear un registro de activos de información completo y exacto en que se incluye entre otros un consecutivo de identificación, el formato manejado de los datos (por ejemplo papel, registro digital, datos en el sistema, etc.), el nombre del activo con su descripción, clasificación, período de retención, estado presente (por ejemplo activo, inactivo, etc.), la fecha de obsolescencia (en el caso que durante el tratamiento se requiera renovar o actualizar periódicamente la información), área de trabajo involucrada, nombre del equipo que le da tratamiento, gerente encargado de su custodia, ubicación (por ejemplo: aplicaciones o medios de almacenamiento), acceso que tienen terceros, calificación de riesgo, acuerdos de hosting con ubicación para el caso que la información se maneje en la nube, y otros aspectos que se consideren importantes
Luego tendrá que conocer de dónde viene y a dónde va la información que manejan sus procesos, para ello generalmente se construyen mapas que muestran el flujo de los datos personales dentro y fuera de su organización, los que a su vez permitirán construir mapas del ciclo de vida de los datos compilados, permitiendo con esto establecer entre otros la frecuencia de tratamiento, el nivel de volumen de intercambio de datos, los métodos de transferencia (automático, manual, email, SMS, redes sociales, etc.), los recipientes de almacenamiento (internos, externos, quién, dónde para el caso de almacenamiento en la nube), los controles establecidos para el envío y recepción de datos (Encriptación, PIA, Avisos de privacidad, ISP. Contratos, etc.), la calificación del riesgo, el nombre del sistema de controladores y procesamiento de datos, más las referencias que apuntan a los procedimientos en el manejo de incidentes.
Una vez que tenga los mapas de flujo de datos usted podrá iniciar el registro de las actividades de procesamiento que hace su organización. Dependiendo del tipo de tratamiento podrá existir más de un registro de procesamiento (ello según las características del controlador de los datos, el delegado para la protección de los datos personales, el propósito de procesamiento, las categorías de los datos, los centros de almacenamiento usados y los tipos de titulares de la información personal). Recuerde que todo tratamiento debe quedar registrado; por tanto, es deber de cada jefe de área en conjunto con el delegado de protección de datos vigilar para que se cumplan todos los procedimientos.
El crear y mantener en forma exitosa su registro de actividades de procesamiento es una señal que usted conoce y entiende lo que está haciendo; no obstante, este registro de actividades es una actividad que requiere de constante atención, de revisión y de actualización, pues la misma cotidianidad es la que conduce al cometimiento de infracciones que van en perjuicio tanto de los titulares de la información como de la organización que maneja sus datos.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
