El RGPD impone una serie de obligaciones complejas para las empresas, que abarcan desde los derechos de los interesados hasta la gestión del consentimiento. Una de las obligaciones más laboriosas es el requisito del Artículo 30, que obliga a los encargados y responsables del tratamiento de datos personales a mantener registros de la actividad de tratamiento. Esta obligación, conocida habitualmente como el «Requisito de conservación de registros del Artículo 30», impone a las empresas la responsabilidad de contabilizar con precisión... datos de identidad Si bien uno de los propósitos del requisito de conservación de registros es proporcionar a los reguladores de la DPA la prueba necesaria de cumplimiento, el objetivo más amplio es ayudar a las empresas a gestionar mejor los datos de sus clientes y empleados.
Como requisito de conservación de registros para el tratamiento de datos, el Artículo 30 suele asociarse con los "mapas de flujo de datos" que documentan y diagraman el tratamiento de datos personales desde su recopilación hasta su eliminación. Si se implementan correctamente, proporcionan a los reguladores y a las empresas sujetas al RGPD una forma de codificar las actividades de tratamiento y garantizar que se registren adecuadamente los elementos necesarios, como la finalidad del uso y la categoría de los datos. Además, el reglamento anima a las organizaciones a utilizar el mantenimiento de registros para obtener información adicional necesaria para proteger a los residentes y ciudadanos de la UE. El objetivo del Artículo 30 es crear un registro inequívoco de cómo una organización trata los datos personales. Sin embargo, persiste una importante ambigüedad en su núcleo: ¿de dónde proviene realmente el conocimiento de los datos que se están procesando?
Sueños digitales y compromisos analógicos
La forma más sencilla en que una organización puede obtener detalles sobre sus actividades de procesamiento de datos es preguntar a las partes interesadas responsables de dicho procesamiento. Al fin y al cabo, deberían poder certificar qué datos recopilan, su propósito y uso, su conservación, etc. Y si los humanos tuvieran una memoria infalible y un conocimiento perfecto, este método de recopilación de información y registro representaría un registro preciso del procesamiento real de datos. Desafortunadamente, las personas no recuerdan con exactitud dónde ponen las llaves del coche, y mucho menos dónde guardan sus datos.
La gente olvida. Cambia de trabajo. Malinterpreta. Quienes poseen aplicaciones que procesan datos dependen de otras personas para desarrollarlas. «Las personas son personas», como bien dijo Depeche Mode. No son computadoras.
Basarse en entrevistas y encuestas para descubrir qué datos personales recopila y procesa una organización puede ser mejor que nada, pero mejor que nada no es el objetivo del Artículo 30 del RGPD. En la era de la información, es imprescindible contar con un método preciso para determinar dónde se recopila y procesa realmente la información digital. Determinar qué datos se almacenan y procesan en un ordenador debería determinarse mediante un ordenador real. Y, como diría Depeche Mode: «Las personas no son ordenadores».
No confíes, verifica
Hasta cierto punto, el RGPD es análogo a las regulaciones financieras. Sin embargo, en lugar de centrarse en la integridad de las transacciones financieras y las instituciones afectadas, se centra en la integridad del procesamiento de datos y los interesados (personas) afectados. Los datos son para el RGPD lo que las transacciones financieras son para Basilea III. Esto es perfectamente apropiado en la era de la información, donde los datos son la moneda del comercio y la comunicación. Y, como cualquier regulación financiera cuya medición del cumplimiento depende de la contabilidad precisa de la sustancia que la sustenta, el RGPD exige una contabilidad precisa de los datos para ser eficaz y medible.
Los recuerdos no son registros. Sin una contabilidad precisa de los datos, no hay audibilidad, y sin audibilidad, ¿cómo se puede verificar el cumplimiento? Para que una normativa de protección de datos como el RGPD sea útil, la verificación debe basarse en datos. Al fin y al cabo, no se puede proteger lo que no se puede encontrar. BigID es el primer producto del mercado que ofrece a las organizaciones la capacidad no solo de encontrar todos los datos personales de una persona, sino también de utilizar ese mapeo de datos para registrar flujos de datos basados en el procesamiento real de datos. Con BigID, las organizaciones pueden crear y mantener registros de procesamiento de datos que reflejen registros de datos reales utilizando lo último en aprendizaje automático, y no solo cuestionarios en papel.
El RGPD exige a las empresas que protejan la información de sus titulares de datos. El artículo 30 exige a las organizaciones que aporten pruebas de que todo proceso digital que requiera la recopilación y el tratamiento de datos personales se contabiliza adecuadamente. Sin embargo, para que sea realmente responsable ante las personas, es decir, los titulares de datos, el registro del tratamiento de datos debe basarse en datos reales. BigID, por primera vez, ofrece a las empresas una forma de cumplir con esta obligación basándose en registros de datos reales, y no solo en registros recuperados.
Autor
