690 - Definición del ciclo de vida de los datos personales y su influencia de cara al ejercicio de la evaluación de riesgos

El ciclo de vida de los datos personales es aquel periodo de tiempo que va desde la recopilación de los datos hasta su lógica y previsible supresión o destrucción.

Evidentemente, la realización de un análisis de riesgos no será igual en todos los casos y dependerá siempre de la entidad que se esté adaptando. El primer paso que se debe realizar es la contextualización del escenario del riesgo, lo cual tiene relación directa con la descripción del ciclo de vida de los datos que integren los tratamientos del responsable. Este término tiene esta denominación porque se corresponde con la realización de un informe en el que se reflejen las fases de la vida de las categorías de datos personales concretas que se puedan tratar, desde el «nacimiento» de dicho dato (lo que se corresponde con la captura) hasta la «muerte» del mismo (lo que se correspondería con la destrucción o fase final del tratamiento).

Conforme señala la AEPD, en la Guía de gestión del riesgo y evaluación de impacto en tratamientos de datos personales, una aproximación elemental al estudio del ciclo de vida de los datos podría estructurar el mismo en las siguientes etapas:

• Recogida/generación: se refiere al proceso de obtención de datos para su tratamiento.
• Registro: momento en el que se establecen categorías y se asignan a los datos para su almacenamiento, organización, estructuración, conservación o adaptación en los sistemas de archivos y bases de datos.
• Uso: engloba la operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea mediante procedimientos manuales o automatizados, con relación a su modificación, extracción, consulta o utilización.
• Comunicación a un tercero: comprende el traspaso o comunicación de datos a un tercero por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión. Cabe la posibilidad de que la comunicación, implique a su vez, una transferencia internacional de datos.
• Finalización: mediante procesos de limitación —incluyendo el bloqueo de datos—, supresión o destrucción de datos.

De esta manera, para abordar la realización de un ciclo de vida de los tratamientos que ostente cualquier responsable, el contenido de un informe sobre ello debería contener algunos de los siguientes extremos:

1. La captura de los datos. Se debe describir el método en virtud del cual los datos personales son obtenidos por parte del interesado, pudiendo ser a través de alguna de las siguientes maneras:

- Mediante un formulario en su página web.

- Mediante un formulario en papel (por ejemplo, el documento de consentimiento).

- A través de un organismo público.

- Entrega en mano por el interesado.

- A través de otra entidad responsable.

- Mediante la recepción de un correo electrónico.

2. La clasificación de los datos. Se trata de organizar el contenido de los tratamientos por categorías, de modo que resulte más sencilla y estructurada su organización. Una manera sería abordar la clasificación en torno a los siguientes conceptos:

- Sensibles: se incluyen los datos especialmente sensibles que la normativa aborda como categorías especiales de datos. Por ejemplo, datos de salud o datos que revelen la ideología o la afiliación sindical del interesado.

- Protegidos: se incluyen aquí otros datos que, sin llegar a la necesidad de tutela de los especialmente protegidos, merecen una consideración de salvaguarda media. Se incluirían aquí los datos que revelen la solvencia patrimonial del interesado, así como el conjunto de datos económicos u otros datos que revelen circunstancias personales o sociales del interesado. También podríamos incluir los datos que no se consideren sensibles de los menores de edad o discapacitados, así como demás interesados en situación de vulneración social.

- Básicos: se trata del conjunto de datos identificativos de un interesado que no revelan circunstancias relevantes. Ejemplos de ello son su nombre y apellidos, domicilio, imagen (si no es menor de edad) o número de DNI.

3. El modo de almacenamiento. En todo informe de ciclo de vida de los datos se debe reflejar el modo en el que se almacenan los mismos atendiendo a la tipología de ficheros o soportes en el que se incluyen, lo que será un punto de referencia a la hora de confeccionar las medidas de seguridad necesarias. De este modo, podemos hacer referencia a tres posibles clasificaciones:

- En papel o fichero físico: los datos se almacenan en ficheros físicos (carpetas, archivadores, cajones colgantes, etc.).

- En ordenadores o fichero electrónico: para los datos que no son tratados en formato papel en ningún caso, de modo que siempre será necesario un dispositivo informático para su visualización o tratamiento. Debe tenerse en cuenta que, en el caso de correos electrónicos o cualquier otro tipo de documentación que hubiese sido recibida por esta vía u otra similar (servicios de mensajería instantánea, por ejemplo), solo podrá ser incluida en esta categoría si no se llega a imprimir dicha documentación o el contenido de los correos electrónicos, pues se vería involucrado un soporte físico (el papel) y se deberán añadir nuevas medidas de seguridad que complementen la protección de dichos datos.

- En formato mixto: es la combinación de las dos categorías anteriores. De este modo, siguiendo con el ejemplo de la categoría anterior, si se tratan datos a nivel informatizado y posteriormente, o paralelamente, se imprimen o se tratan igualmente en papel, se deberá incluir en esta categoría.

4. Las partes implicadas en el tratamiento. En este apartado se incluirán las partes que tienen implicación en el tratamiento de los datos respectivos, las personas que tienen acceso a los mismos y los soportes en los que se pueden tratar. Por ejemplo:

- Equipos informáticos: se trata de identificar la tipología de equipos que se usarán por el responsable (ordenadores de sobremesa, equipo virtual, portátil, smarthphone, etc.).

- Soportes de información: se trata de identificar, en términos generales, la tipología de soportes que se usan para almacenar los datos (papel, discos duros, tarjetas de memoria externa, disco virtual, etc.).

- Personal con acceso a datos: destacar las categorías generales del personal laboral de la entidad o cualquier persona que se integre en la organización responsable. Podríamos estar hablando, en términos generales, de usuarios internos o externos, subcontratas o proveedores con acceso a datos.

- Interesados o afectados: se agrupan en categorías los tipos de personas físicas interesadas o afectadas por el tratamiento (clientes, voluntarios o cualquier otra denominación categórica que el responsable aplique a sus interesados).

La participación concreta de cada interviniente puede llegar a suponer una amenaza sobre los datos, por lo que esta circunstancia deberá ser tenida en cuenta en el proceso de análisis y evaluación de riesgos.

5. El uso u operación a realizar con los datos: como núcleo del informe y parte esencial del mismo debe indicarse qué operación concreta se realizará con los datos en el tratamiento para el que se esté confeccionando el informe sobre el ciclo de vida de los datos. A estos efectos, podría tratarse de una prestación de servicios contratados, facturación o contabilidad, operaciones de financiación, peritajes, gestión de deudas, mantenimiento de relación contractual y gestión de agenda. Esta lista puede ampliarse.

6. Previsiones de cesiones o transferencias internacionales. Esta exigencia deriva del principio de transparencia y diligencia debida del responsable, de modo que este apartado implica una doble determinación. Por un lado, indicar si se realizan cesiones o transferencias internacionales y, por otra parte, la indicación del tipo de institución u organismo al que serán cedidos o el país al que serán transferidos. Con esto nos referimos a si se trata de una entidad privada o un organismo público y si se trata de un país dentro de la Unión Europea o fuera de la misma.

7. Plazo de destrucción de los datos. Se incluye una referencia al plazo que tiene previsto el responsable que transcurra hasta la destrucción definitiva de los datos, pudiendo darse el siguiente planteamiento:

- Destrucción tras el plazo legal establecido.

- A petición expresa del interesado: solo en aquellos casos en los que el método de destrucción estuviese totalmente subordinado a la petición de supresión del interesado.

 -En un plazo determinado, distinto del legalmente establecido: en el caso de que no se decida enmarcar el tratamiento en ninguna de las dos categorías anteriores, existe la opción de informar al interesado del plazo concreto en virtud del cual se conservarán sus datos. Se debe tener en cuenta que solo podrán incluirse en este apartado aquellos datos que no tengan un plazo legal obligatorio de conservación o, teniéndolo, que no suponga un incumplimiento de dicho plazo.