Cicle de vida de les dades personals i RGPD
Què és el cicle de vida de les dades personals?
El cicle de vida de les dades personals és un procés pel qual s’identifiquen les diferents fases del tractament de dades personals en una organització, permetent analitzar els riscos propis a cada fase del tractament. Definir el cicle de vida de les dades personals, és essencial per complir el RGPD i una de les obligacions més bàsiques com és la de disposar d’un Registre d’Activitats del Tractament (art. 30 RGPD).
Les 5 fases del cicle de vida de les dades
Hi ha diferents aproximacions en relació a les fases del cicle de vida de les dades personals, però una de les més comunes és diferenciar 5 fases:
a) Fase de recollida o recopilació de les dades.
En aquesta fase cal identificar els diferents canals de l’organització per recopilar les dades personals (telèfon, web, app, xats, paper…) i establir mesures adequades per donar compliment (1) al deure d’informació i (2) a disposar d’una base legitimadora adequada.
b) Fase del tractament de les dades.
En aquest punt es determinarà quins usos es pretén fer sobre aquestes dades, els més habituals són: recopilar, registrar, organitzar, estructurar, emmagatzemar, modificar, consultar, fer servir, publicar, combinar, esborrar i destruir dades.
c) Fase d’emmagatzematge de les dades.
Cal determinar on s’allotgen les dades i quines mesures de seguretat s’apliquen sobre aquest emmagatzematge. Aquí les opcions són variades i cadascuna exigeix un abast diferent: des de l’ús del paper fins a l’ús i l’emmagatzematge en proveïdors de cloud amb servidors a tot el món. Les mesures i els controls seran diferents en cada cas però l’exigència de compliment del RGPD persisteix.
d) Fase de la cessió de dades o tractament de dades per compte de tercers.
Els processos de cessions de dades a tercers o de la subcontractació de serveis que exigeixen accés a dades, han de ser analitzades de manera independent, identificant els riscos inherents a cada cas i prenent mesures adequades per minimitzar aquests riscos.
e) Fase de la destrucció de les dades.
Finalment, cal establir tant el temps de retenció de les dades com el procés pel qual, arribat el moment, es destrueixen les dades. De nou la mesura pot variar en funció de múltiples factors (dades en paper, dades electròniques, còpies de seguretat, fitxers adjunt en correus electrònics….).
Bàsic per a l’anàlisi i la gestió de riscos
Realitzar l’anàlisi de riscos exigit pel RGPD és simplement impossible sense una adequada definició del cicle de vida de les dades. La mateixa Guia de l’AEPD de Gestió del Risc recull la definició del Cicle de Vida de les Dades com una de les fases essencials per a una adequada Anàlisi de Riscos.
Per molt petita que sigui la vostra organització o empresa, si penseu en les 5 fases i el tipus de dades personals que tracteu, segur que aquest procés us és útil per estructurar d’una manera adequada el compliment del RGPD.
Autor: Victor Roselló, Advocat.
Si necessites més informació, contacta amb nosaltres!
Informació sobre protecció de dades
Denominació social
LEGAL IT GLOBAL 2017, SLP
Finalitat
Prestar el servei.
Enviament del Butlletí informatiu.
Legitimització
Compliment de la prestació de servei.
Consentiment.
Destinataris
Les teves dades no seran compartides amb cap tercer, excepte aquells proveïdors de serveis amb els que disposem d’un contracte de serveis vigent.
Drets
Pots accedir, rectificar o suprimir les dades, així com exercir els drets que s’esmenten en la nostra Política de Privacitat.
Més informació
Consulta la Política de Privacitat.