Generar un mapa de datos e inventariar los datos personales para su conocimiento es una prioridad para las empresas que buscan cumplir con los requisitos del Reglamento General de Protección de Datos (RGPD) de la UE. El conocimiento de los datos es esencial para verificar la recopilación y el procesamiento de datos conformes.
Algunos vendedores prometen hacer privacidad Facilitan el cumplimiento normativo al optimizar la realización de encuestas por correo electrónico a las partes interesadas para determinar el inventario de activos de datos de una organización. Al proporcionar plantillas de cuestionarios con lenguaje legal, prometen una recopilación de información más sencilla para las Evaluaciones de Impacto de la Privacidad y otros problemas de cumplimiento relacionados. Sin embargo, a la mayoría de las personas les cuesta interpretar las cuestiones legales, y confiar en la memoria para encontrar datos es, por definición, poco fiable.
Pero ¿cómo se logra un conocimiento preciso de los datos cuando se parte de encuestas con datos inexactos? Si el objetivo principal del RGPD es la protección de datos, ¿se pueden proteger los datos si no se tiene un conocimiento fiable de su ubicación? Probablemente no… Veamos algunas de las razones:
Las encuestas carecen de precisión:
Las encuestas dependen de la interpretación y la recopilación de datos por parte de las personas. Las personas son falibles e imprecisas en el mejor de los casos, pero cuando se trata de documentar el inventario, la ubicación y el uso de los datos, son lo opuesto a quienes se basan en registros de datos. Las personas simplemente no pueden "verificar" nada relacionado con dónde se recopilan, almacenan o procesan los datos sin una auditoría de datos. Y una auditoría de datos requiere un escaneo, no una encuesta.
Las encuestas no pueden capturar el cambio:
Dicen que los datos son el nuevo petróleo. Y si bien esta metáfora es cierta en lo que respecta al valor y a cómo los datos impulsan la economía moderna de internet, también lo es en lo que respecta a su flujo y circulación. Los datos no son estáticos. Se mueven, se agregan, se transforman, se comparten y se analizan. En lo que respecta a los datos, el cambio es la única constante. Desafortunadamente, nadie puede proporcionar un recuento completo de cómo cambian sin antes analizarlos. Por lo tanto, una encuesta sin un análisis nunca podrá capturar completamente los cambios en la forma en que se recopilan y procesan los datos.
Las encuestas no se completan:
Además de la falta de fidelidad de los datos, las encuestas también dependen de la capacidad de respuesta y la motivación de quienes las realizan. La información deficiente o incompleta es un problema para cualquier enfoque basado en encuestas. Pero la falta de información es aún peor. Las personas tienen trabajos fijos, y completar encuestas que utilizan términos legales opacos sin ningún beneficio directo probablemente no sea una de sus prioridades. La privacidad de los datos puede ser una preocupación corporativa, pero la divulgación de datos puede no ser una preocupación para todos los empleados.
Las encuestas toman mucho tiempo:
La elaboración de un mapa de datos mediante encuestas, incluso suponiendo que, en el mejor de los casos, sean representativas, puede extenderse fácilmente de semanas a meses. Guiar a múltiples partes interesadas a través de un proceso de encuesta a menudo no es eficiente en términos de recursos y es improbable que produzca resultados actualizados. Si bien demostrar a los reguladores que existe una iniciativa puede disuadirlos inicialmente, no dudarán si el progreso en la elaboración de un mapa de flujo de datos va a la zaga del de sus competidores.
Las encuestas no pueden satisfacer los derechos sobre datos personales:
Un inventario de datos basado en encuestas carece del detalle necesario para responder a la pregunta fundamental planteada por los mandatos de privacidad: ¿dónde tiene una organización los datos de cada cliente o empleado? Si el mapa de datos está desconectado de las actividades de procesamiento de datos, no puede servir como guía para que el equipo de TI y seguridad generen una solicitud de acceso del interesado (SAD), ni respondan a modificaciones o eliminaciones. Contar con un flujo de trabajo para las SAD no elimina la carga que supone para el equipo de TI realizar pasos manuales y crear consultas personalizadas para las SAD, incluso cuando el tiempo se agota para responder.

Entonces, si una encuesta no puede explicar con precisión cómo se recopilan o procesan los datos, ¿para qué sirve? Si el objetivo de la encuesta es proteger genuinamente los datos personales, la respuesta más directa probablemente sea que no es mucho. Los mapas e inventarios de datos generados a partir de una encuesta pueden aportar información para una evaluación del impacto en la privacidad, pero la fidelidad de dicha evaluación siempre será cuestionable.
Las encuestas nunca superarán a los escaneos para una protección y privacidad de datos personales precisa y eficaz. La contabilidad de datos requiere contabilidad de datos. Esto requiere una forma de generar inventarios y mapas precisos mediante escaneos de datos auditables. Si el objetivo del cumplimiento del RGPD es proteger los datos y garantizar la privacidad, deberá basarse en un conocimiento preciso de los datos; y en ese ámbito, una encuesta no puede compararse con un escaneo.