¿Por qué es importante disponer de un inventario de bases de datos para lograr una gestión efectiva en la protección de la información personal?

Entender qué Datos Personales se recopilan, cómo fluyen dentro de la organización y dónde se almacenan es un requisito indispensable para todo aquel que intente implementar un Programa de Protección de Datos Personales que funcione óptimamente, y que esté alineado con cada uno de los requerimientos de la Ley. En general, el Inventario de las Bases de Datos Personales permitirá identificar el tamaño de la operación de tratamiento de la información,  guiará a los involucrados hacia lo que se debe controlar y facilitará la toma de decisiones; es por esta razón que el presente blog se enfocará en los pasos para su realización.

Antes de comenzar, es necesario que se entienda que involucrar al factor humano será esencial dentro del Inventario de Bases de Datos; pues, son los funcionarios de la organizaciones  los que comúnmente tienen la misión tanto de crear y administrar los registros, como de controlar y proteger su circulación.  

Partiendo de lo anterior se puede decir que un inventario de base de datos debe considerar mínimo lo siguiente:

• Cada funcionario involucrado en el tratamiento de la información personal debe comprender qué son Datos personales y cómo son conceptualizados al amparo de la Ley 1581 de 2012.
• Durante el proceso, se deberá identificar cada uno de los datos personales que existan dentro de la organización, separándolos tanto por tipo: (temporal o permanente), como por  lugar de almacenamiento: (servidores, ordenadores, Smartphones, tablets, en la nube, etc).
• Es necesario que todo el personal involucrado comprenda y clasifique los datos a su cargo conforme a sus características técnicas: (datos exportables, datos imposibles de borrar, datos anonimizados, etc.)
• Todo el equipo humano debe entender cuál es la finalidad que tienen los datos que pasan por sus manos, y cómo será utilizada tal información por la organización. Por tanto, durante el inventario cada funcionario deberá explicar la finalidad de aquellos que están bajo su responsabilidad. 

• En todos los procesos anteriores se deberá identificar y listar quién tiene acceso a los datos, y con quién se comparten.
• Cada centro de almacenamiento, así sea temporal, debe disponer de un tiempo de retención de los datos; es decir, se debe conocer cuál es la duración de su ciclo de vida, y cómo se extingue tal ciclo: por ejemplo debe ser totalmente claro para el funcionario a cargo de los datos si esa finalización del ciclo de vida es automática o él mismo debe ejecutar algún proceso de borrado manual, el cual siempre deberá quedar registrado para la posterior traza del proceso.
• Los centros de almacenamiento deben ser totalmente identificados, incluyendo los de empresas que prestan servicios de tercerización como por ejemplo: cobradores de cartera, centros de contacto, agentes de publicidad masiva, prestadores de servicio de almacenamiento en la nube, entre otros.)
• Se debe elaborar un diagrama de flujo que indique como circula la información dentro de la organización; este debe comprender desde la etapa de recolección de los datos, pasando por los procesos de uso y/o almacenamiento, hasta llegar a los servicios que comparten los datos tanto interna como  externamente.

• Un diagrama de flujo adicional deberá ser creado para definir los procesos con terceros, socios, proveedores y todo aquel que tenga relación con los datos personales de los que la organización es responsable.
• Por último, para cada grupo de datos se deberá identificar cómo se realiza la protección de los mismos y quién es el encargado de tal proceso.

Una vez se  obtenga la información de cada uno funcionarios participantes en los procesos de tratamiento de Datos Personales, se deberán consolidar los resultados constituyendo una matriz general que defina todos los Datos circulantes, estableciendo sus finalidades, sus usos y el almacenamiento dispuesto para ellos. Tal matriz también servirá de corazón de la gestión, facilitando establecer políticas, protocolos, procedimientos y sistemas de seguridad acordes con las necesidades reales de la organización; y además, permitiendo plantear con rapidez programas de calidad de los datos y esquemas de mejoramiento de las prácticas de uso de la información dentro de  toda la organización.