El mapeo de datos del RGPD explicado y por qué es importante
Si estás aquí, probablemente quieras saber más sobre el mapeo de datos del RGPD – ¡te tenemos cubierto! 👀 En este breve post, veremos qué es el mapeo de datos y por qué es tan importante para el cumplimiento del RGPD.
🔍 ¿Qué es el mapeo de datos?
El mapeo de datos es un método para seguir y catalogar todos los datos que se recogen, utilizan y almacenan.
👉 Detalla los tipos de datos y sus movimientos/transferencias en toda su empresa y fuera de ella (por ejemplo, transferencia de datos entre diferentes departamentos, a terceros, procesadores, otros países, etc.)
¿Cómo se suele configurar un mapa de datos?
Cuando las actividades de datos parecen “sencillas”, puede ser tentador utilizar una hoja de cálculo normal o hacer una nota rápida.
Sin embargo, mantener el control de todo (tipos de datos, terceros, etc.) puede ser realmente complejo y por eso te sugerimos que elijas una herramienta dedicada a construir registros de datos completos y detallados (como exige la ley).
¿Qué es la cartografía de datos según el RGPD?
El RGPD (Reglamento General de Protección de Datos) exige que tanto los responsables como los encargados del tratamiento de datos mantengan y conserven registros actualizados “completos y amplios” de las actividades concretas de tratamiento de datos que llevan a cabo.
En general, los registros deben incluir:
El nombre y datos de contacto del responsable del tratamiento y del encargado del tratamiento que actúe en su nombre, así como del representante del responsable del tratamiento o del encargado del tratamiento y del RPD, si procede;
Una descripción de las distintas categorías de usuarios y datos (incluso de terceros);
Las categorías de receptores de datos, incluidos los receptores de terceros países no pertenecientes a la UE u organizaciones internacionales;
La finalidad de las actividades de tratamiento;
Transferencias de datos personales a un tercer país y la identificación de ese tercer país u organización internacional, incluida la documentación de las salvaguardias adecuadas (cuando proceda);
Plazos previstos de borrado de las distintas categorías de datos (cuando sea posible);
Las medidas de seguridad técnicas y organizativas descritas en términos generales (siempre que sea posible).
💡 ¿Cuándo se requieren registros extensos?
Se exigen registros completos y extensos del tratamiento en los casos en que las actividades de tratamiento de datos:
no son ocasionales*; o
pueda suponer un riesgo para los derechos y libertades de los demás; o
implican el tratamiento de “categorías especiales de datos”; o
es llevada a cabo por una organización que tiene más de 250 empleados.
*Esencialmente, esto significa que se requiere en casi todos los casos de procesamiento. Recuerde que las direcciones IP se consideran datos personales.
👉 En resumen, las organizaciones deben identificar y hacer un seguimiento de los tipos de datos personales que procesan, de dónde vienen y a dónde van, así como de los sistemas implicados.
🔍 ¿Por qué es tan importante el mapeo de datos del RGPD?
Por supuesto, además de cumplir con un requisito legal crucial de una de las leyes de privacidad más importantes del mundo (el RGPD), el mapeo de datos ayuda a las organizaciones a:
ser claros en cuanto a los datos que poseen, por qué y con quién se comparten;
identificar los posibles riesgos para la privacidad de los usuarios y cómo solucionarlos;
establecer medidas para una mayor seguridad y prácticas más seguras, cuando sea necesario.
👉 Realizar auditorías de información periódicas sobre los datos de su organización puede resultar útil. Además de cumplir con sus obligaciones de registro, esta práctica también le facilita la revisión y optimización de sus procedimientos de procesamiento de datos.
💡 El mapeo de datos también es una herramienta útil para las EIPD (evaluaciones de impacto sobre la protección de datos):
Al realizar una EIPD, puede evaluar y minimizar los riesgos asociados al tratamiento de datos personales. Como se indica en el artículo 35 del RGPD, solo es obligatoria cuando existe un alto riesgo de que se vulneren los derechos y libertades de los usuarios.
Aplicar todo lo anterior puede ser complicado y bastante técnico.
La solución de gestión de la privacidad interna de iubenda resulta muy útil, ya que simplifica enormemente el proceso técnico de creación y mantenimiento de sus registros de actividades de tratamiento. ¡Compruébelo!