Completar la ficha de tratamiento de datos

Si quieres crear un registro con tus fichas de tratamiento de datos (Data Processing), tienes completar la ficha con toda la información necesaria. Para explicar cómo hacerlo, tomaremos el ejemplo de un tratamiento de datos cuya finalidad es el marketing directo para clientes potenciales y describiremos los pasos a seguir. 

1- La finalidad del tratamiento (Purpose)

Elige la finalidad del tratamiento. En nuestro ejemplo, la finalidad es el marketing directo (General direct marketing): 

 

En la consola están disponibles las finalidades de los tratamientos de datos más comunes, pero también puedes añadir tu propia finalidad para que corresponda mejor con el objetivo de tu tratamiento. 

Para añadir una nueva finalidad, haz clic en "NEW PURPOSE+", crea tu finalidad y haz clic en  "SAVE".   

2- Las personas afectadas por el tratamiento (Person)  

Añade a las personas sobre las que recoges datos. Por ejemplo, en el caso del tratamiento de datos para marketing directo a clientes potenciales, se recogen datos de los clientes potenciales. Por ello, seleccionaremos esa opción (Prospects).  

Si deseas crear una nueva categoría de personas,  haz clic en “NEW PERSON+”, introduce tu nueva categoría y haz clic en “SAVE”.

3- Categoría de los datos (Data processed)

Para añadir una categoría, haz clic en “ADD NEW TYPE OF DATA”.

 

Tienes que rellenar los siguientes 4 campos:  

A- Categoría de los datos tratados (1)

Las categorías de datos (Type of data) corresponden al tipo de datos que recoges. Por ejemplo, datos de identidad o de contacto, datos de acceso, datos relacionados con litigios, etc.

Hemos añadido una lista de categorías de datos que corresponden a los tratamientos más comunes, pero puedes añadir tu propia categoría haciendo clic en “+ADD A NEW CATEGORY OF DATA”:

En el caso de un tratamiento para el marketing directo a clientes potenciales, que normalmente consiste en el envío de correos electrónicos, puedes seleccionar la categoría “identidad y contacto” (Identity and contact).

B- Fuentes externas (2)

Las fuentes externas (External sources)  son las entidades que te proporcionan los datos personales. Tienes que completar este campo si los datos que utilizas provienen de una fuente diferente a la propia persona a la que pertenecen los datos.

Puedes crear tu propia fuente externa haciendo clic en “+” y rellenando la sección  “ADD NEW PARTNER”.

En primer lugar, introduce el nombre de tus socios o proveedores. Después, selecciona la categoría a la que pertenece el socio (por ejemplo, si es una filial o un proveedor de servicios). 

A continuación, introduce el país y el tipo de protección. Si tu proveedor está ubicado en la Unión Europea,  no tienes que rellenar el apartado sobre el tipo de protección. 

También tienes que añadir la dirección de la sede social y una dirección de correo electrónico o un número de teléfono de un contacto (preferiblemente, el DPO o el responsable de privacidad). 

Indica la URL del sitio web del proveedor, la URL de su política de privacidad, sus condiciones generales y el enlace opt-out para rechazar las cookies, si se da el caso.

Incluye también en enlace a las condiciones particulares en materia de datos personales (DPA o Data Processing Agreement). Estas disposiciones recogen las relaciones entre el proveedor de servicios (encargado del tratamiento de datos) y sus clientes (responsables del tratamiento de datos).  

Por último, a veces encontrarás una lista de subencargados con los que trabajan tus proveedores (el RGPD exige que los proveedores informen de los encargados con los que trabajan): puedes añadir el enlace en el campo “LIST OF SUBCONTRACTORS”.

C- Destinatarios (3)

Los destinatarios (Recipients) son aquellas entidades a las que se transfieren los datos personales. Puedes crear tus propios destinatarios si no aparecen en la lista. Para ello, haz clic en “+” y rellena el apartado “ADD NEW PARTNER”.

Sigue los mismos pasos descritos anteriormente en el apartado sobre las fuentes externas. Ten en cuenta que la misma entidad puede ser a la vez un destinatario y una fuente externa, por lo que debe incluirse en ambas columnas.

D- Tiempo de conservación de los datos (4)

El tiempo de conservación de los datos (Data retention time) corresponde al periodo de tiempo en el que conservas y almacenas los datos recogidos.  

El tiempo de conservación debe definirse cuando creas un nuevo tratamiento. Este periodo de tiempo varía en función del tipo de datos y de la finalidad del tratamiento.  La autoridad francesa de protección de datos (CNIL) hace recomendaciones sobre este tema: por ejemplo, los datos de contacto de un cliente potencial deben eliminarse si este no ha respondido después de 3 años. 

 

4- Base jurídica 

El artículo 6 del RGPD indica que una entidad puede tratar datos personales únicamente en algunos casos en los que este tratamiento sea necesario: esta necesidad constituye la base jurídica del tratamiento. Para añadir la base jurídica de tu tratamiento, haz clic en “LEGAL BASIS” y elige una opción en el menú desplegable. También puedes añadir más detalles sobre la base jurídica.

Puedes realizar un tratamiento de datos basado en:  

A- La necesidad para ejecutar un contrato que afecte al usuario o para ejecutar medidas precontractuales presentadas por él (por ejemplo, una dirección de entrega).

B- La  necesidad para respetar una obligación legal.

C- La necesidad para proteger los intereses vitales del interesado o de otra persona física (por ejemplo, el nombre para una hospitalización).

D- La necesidad para el desempeño de una misión de interés público o relacionada con el ejercicio de la autoridad pública en la que participa el responsable del tratamiento de los datos (por ejemplo, la situación fiscal por parte del servicio tributario).

E- La necesidad del tratamiento de datos con base en el interés legítimo del responsable de este o de un tercero, salvo si prevalecen los intereses o los derechos y libertades fundamentales del interesado (por ejemplo, los datos de conexión con fines estadísticos).

En ausencia de una de estas necesidades, el interesado debe dar su consentimiento expreso (acción positiva). 

En algunos casos, las posibilidades para el tratamiento de los datos puede estar todavía más restringidas: 

  • El artículo 9 del RGPD indica los casos en los que se pueden tratar datos sensibles,
  • El artículo 10 del RGPD indica los casos en los que se pueden tratar datos relacionados con infracciones,
  • El artículo 22 del RGPD indica los casos en los que se pueden recoger datos para tomar una decisión automática con efectos legales o significativos para la persona,
  • La legislación E-privacy indica los casos en los que se pueden tratar los datos relacionados con la comunicación electrónica.

Hemos clasificado las bases jurídicas en base a estas situaciones. Por ejemplo, si tratas datos sensibles, tendrás acceso a las bases jurídicas posibles para este tratamiento.  

En el caso del marketing directo a clientes potenciales, puedes seleccionar la base jurídica del consentimiento en la categoría de datos no sensibles.  

 

5- Medidas de seguridad y evaluación del impacto  

A- Medidas de seguridad (Security measures)

El artículo 32 del RGPD estipula que el responsable del registro del tratamiento está obligado a garantizar la seguridad: debe tomar las medidas necesarias para garantizar la seguridad de los datos y para evitar la divulgación a terceros no autorizados (por ejemplo, mediante la seudonimización y el cifrado de datos personales; medidas que garanticen la confidencialidad, la integridad, la disponibilidad, la resiliencia del sistema y los servicios de tratamiento; medidas para recuperar la disponibilidad de datos personales y acceder a ellos en un periodo de tiempo adecuado en caso de incidente físico o técnico; un procedimiento para probar, analizar y evaluar la eficiencia de las medidas de seguridad de forma regular, etc.) 

El artículo 30 del RGPD recomienda que, siempre que sea posible, se proporcione una descripción de cada tratamiento con las medidas técnicas y organizativas tomadas en virtud de este artículo. Para añadir una medida de seguridad, haz clic en el menú desplegable de la opción "SECURITY MEASURES".

 

Hemos añadido una lista de las medidas más comunes a la consola, pero puedes añadir otras haciendo clic en “NEW SECURITY MEASURE+”.

B. Evaluación del impacto 

El articulo 35 del RGPD incluye una evaluación del impacto del tratamiento de datos (PIA o Privacy Impact Assessment) cuando el tratamiento de datos conlleve un riesgo elevado en materia de derechos y libertades de la persona interesada. 

Hemos añadido una lista en la que se indica en qué casos se recomienda o se exige una evaluación del impacto.

Si quieres obtener más información de la CNIL sobre esta evaluación, haz clic en este enlace.  

La CNIL también ofrece un software que te permite realizar una PIA, puedes descargarlo en este enlace

En el caso de un tratamiento para realizar marketing directo a clientes potenciales, no es necesario realizar una evaluación del impacto salvo en circunstancias excepcionales. 

6- Tiempo de conservación global 

El último paso consiste en indicar el tiempo de conservación global (Overall retention time) que aparecerá en tu Privacy Center.   

Cuando los distintos datos que recoges no se conservan durante el mismo periodo de tiempo en el contexto del mismo tratamiento, se recomienda indicar la duración de conservación más larga para no proporcionar ninguna información falsa al usuario.  

En el caso del tratamiento para marketing directo a clientes potenciales, la CNIL recomienda indicar un periodo de conservación de 3 años desde el último contacto con el cliente potencial.  

Cuando haces clic en “SETTINGS”, puedes acceder a todos los tipos de datos, fuentes externas, destinatarios, personas, finalidades, categorías de datos y medidas de seguridad que hayas creado. Puedes añadir más elementos, editar los que ya existen o eliminarlos.

Una vez que hayas terminado de configurar tu tratamiento, puedes guardar los cambios haciendo clic en “SAVE & VALIDATE” en la parte inferior derecha.