El ciclo de vida de los datos personales

Cuando procesas datos personales debes conocer todos los elementos de ese tratamiento. Ya seas responsable (“controller”) o encargado (“processor”) te recomendamos que conozcas y vigiles de cerca el tratamiento en el que participes.

Con carácter general pueden distinguirse las siguientes fases en el ciclo de vida de los datos:proceso vida datos

1. captura de datos personales

En esta primera fase se produce la obtención de datos personales por parte del responsable. Esta captura puede presentar diversas formas como encuestas o formularios, fuentes de información pública, suministro de esos datos personales por parte de los propios interesados o de terceros.

Para actuar conforme a la normativa en materia de protección de datos personales, lo correcto es sólo recoger aquellos datos personales que sean necesarios para alcanzar la finalidad que el tratamiento pretende.

Recuerda, antes de obtener los datos personales de los interesados, es necesario que registres esta actividad y presentes su política de privacidad a las personas cuyos datos personales almacenes, para que puedan conocer qué vas a hacer con sus datos, para qué los recoges, por cuánto tiempo los vas a tratar o si vas a transmitírselos a terceras personas.

2. clasificación de los datos personales y almacenamiento de los mismos

Debes analizar cada grupo de datos que necesitas y almacenas, estableciendo:

① su categoría: distinguiendo por ejemplo datos especialmente protegidos, datos relativos a condenas e infracciones penales, datos financieros o datos personales relativos al ámbito laboral entre otros.

Atendiendo a esta tipología de datos, se debe también decidir el tipo de almacenamiento que debe darse a cada uno de ellos. Puede ocurrir que, en algunos casos, por ejemplo en caso de categorías especiales de datos, debamos establecer medidas de protección especiales o restringir su acceso a determinadas personas.

grado de importancia dentro de las actividades de tratamiento: determinando si es imprescindible o no su inclusión para alcanzar la finalidad perseguida.

Como hemos visto, para respetar el principio de minimización de datos, si una vez analizados los datos que hemos obtenido descubrimos algún tipo que no es imprescindible para nuestro tratamiento, debemos eliminarlo lo antes posible.

3. uso y tratamiento de los datos personales obtenidos

El artículo 5 del Reglamento general de protección de datos personales (RGPD) establece que los datos personales deben ser tratados de manera lícita, leal y transparente en relación con el interesado.

Así, debe examinarse en primer lugar si existe una base legal para ese tratamiento de datos y hacerlo de forma transparente explicando a las personas físicas cuyos datos manejamos qué es lo que vamos hacer con sus datos y la finalidad del tratamiento con un lenguaje claro y sencillo.

Dependiendo del tipo de datos que manejes será necesario hacerlo con una mayor o menor red de seguridad. Ten en cuenta el estado de la tecnología, pues si eres responsable de tratamiento deberás aplicar las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento que realizas es conforme a la normativa en materia de protección de datos personales.

website-3483020_1920

4. cesión de los datos a un tercero para su tratamiento

Una cuestión a tener en cuenta es la necesidad o no de transmitir los datos personales obtenidos a terceras personas para un tratamiento posterior.

Dependiendo si este ulterior tratamiento está ligado o no al primero, podremos distinguir el papel que ese tercero(s) jugará en nuestro tratamiento principal.

Estos terceros, intervinientes en nuestro proceso, deben estar identificados y tener delimitadas sus funciones y responsabilidades.

5. destrucción

Antes de iniciar a la captura y obtención de datos personales, es necesario determinar el período de retención de los mismos, esto es por cuánto tiempo necesitas conservar esos datos personales.

Ten en cuenta que en ese caso rige, el principio de limitación de conservación, estrechamente vinculado con el principio de minimización de datos, en virtud del cual los datos que permitan la identificación de los interesados sólo deben mantenerse durante el tiempo necesario para los fines perseguidos por el tratamiento, pero no más allá del tiempo estrictamente necesario.

Una vez finalizado este plazo, los datos deben destruirse. Este término debe ser interpretado de forma amplia, ya que se entiende por destrucción no sólo la destrucción física de los datos, sino también la anonimización o agregación de los datos. Basta con que se destruya el vínculo entre el dato y la persona física detrás de ellos.

shredder-71772_1920

En virtud de los artículos 5 y 89 del RGPD, los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que deban establecerse para proteger los derechos y libertades del interesado.

Más información:

Agencia Española de Protección de Datos Personales (AEPD) – Guía práctica para las evaluaciones de impacto en la protección de los datos sujetas al RGPD.

La importancia de conocer el tratamiento de datos personales que realizas

¿Qué se consideran datos personales?

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

WordPress.com.

Subir ↑

A %d blogueros les gusta esto: