Skip to main content
Ciclo vida datos

Ciclo de vida de los datos personales y RGPD

¿Qué es el ciclo de vida de los datos personales?

El ciclo de vida de los datos personales es un proceso por el que se identifican las distintas fases del tratamiento de datos personales en una organización, permitiendo analizar los riesgos propios a cada fase de dicho tratamiento. Definir el ciclo de vida de los datos personales, es esencial para cumplir el RGPD y una de sus obligaciones más básicas como es la de disponer de un Registro de Actividades del Tratamiento (art. 30 RGPD).

Las 5 fases del ciclo de vida de los datos

Existen diferentes acercamientos en relación a las fases del ciclo de vida de los datos personales, pero una de las más comunes es diferenciar 5 fases:

a) Fase de recogida o recopilación de los datos.

En esta fase deben identificarse los distintos canales de la organización para recopilar los datos personales (teléfono, web, app, chats, papel…) y establecer medidas adecuadas para dar cumplimiento (1) al deber de información y (2) a disponer de una base legitimadora adecuada.

b) Fase del tratamiento de los datos.

En este punto se determinará qué usos pretende hacerse sobre esos datos, los más habituales son: recopilar, registrar, organizar, estructurar, almacenar, modificar, consultar, usar, publicar, combinar, borrar y destruir datos.

c) Fase de almacenamiento de los datos.

Es necesario determinar dónde se alojan los datos y qué medidas de seguridad se aplican sobre dicho almacenamiento. Aquí las opciones son variadas y cada una exige una solución distinta: desde el uso del papel hasta el uso y almacenamiento en proveedores de cloud con servidores en todo el mundo. Las medidas y controles serán distintas en cada caso pero la exigencia de cumplimiento del RGPD persiste.

d) Fase de la cesión de datos o tratamiento de datos por cuenta de terceros.

Los procesos de cesiones de datos a terceros o de la subcontratación de servicios que exigen acceso a datos, deben ser analizadas de manera independiente, identificando los riesgos inherentes a cada caso y tomando medidas adecuadas para minimizar dichos riesgos.

e) Fase de la destrucción de los datos.

Por último, debe establecerse tanto el tiempo de retención de los datos cómo el proceso por el que, llegado el momento, se destruyen los datos. De nuevo la medida puede variar en función de múltiples factores (datos en papel, datos electrónicos, copias de seguridad, archivos adjunto en correos electrónicos….).

Básico para el análisis y gestión de riesgos

Realizar el análisis de riesgos exigido por el RGPD, es simplemente imposible sin una adecuada definición del ciclo de vida de los datos. La propia Guía de la AEPD de Gestión del Riesgo, recoge la definición del Ciclo de Vida de los Datos como una de las fases esenciales para un adecuado Análisis de Riesgos.

Por muy pequeña que sea tu organización o empresa, si piensas en las 5 fases y el tipo de datos personales que tratas, seguro que este proceso te es útil para estructurar de una manera adecuada el cumplimiento del RGPD.

Autor: Victor Roselló, Abogado.

Si necesitas más información, ¡contacta con nosotros!:


    Denominación social:

    LEGAL IT GLOBAL 2017, SLP

    Finalidad:
    Prestar el servicio.

    Envío del Boletín informativo.

    Legitimización:
    Cumplimiento de la prestación del servicio.

    Consentimiento.

    Destinatarios: Tus datos no serán compartidos con ningún tercero, salvo a aquellos proveedores de servicios con los que disponemos de un contrato de servicios vigente.

    Consulta la Política de Protección de datos completa a aquí.