Cómo identificar conjuntos y elementos de datos críticos [RGPD, Medida 4]

El Reglamento General de Protección de Datos (RGPD), que entró en vigor el 25 de mayo de 2018, pretende establecer unas mejores políticas de protección de datos y exige una mayor responsabilidad por parte de las empresas que manejan datos de carácter personal. Esto significa que ahora las organizaciones deben prestar atención a la gobernanza de datos. Para lograrlo, conviene entender perfectamente los datos de carácter personal, así como su almacenamiento, uso y protección.

Hace poco en Talend celebramos un webinar a petición, Medidas prácticas para cumplir el RGPD, centrado en un exhaustivo plan de 16 medidas para hacer efectivo un programa de gobernanza de datos compatible con la conformidad con el RGPD.

La medida 4 de este plan consiste en identificar conjuntos y elementos de datos críticos. Consulte las tres primeras medidas del plan aquí: establecer políticas, normativas y controles; crear una taxonomía de datos y asignar la titularidad de los datos.

Watch Practical Steps to GDPR Compliance now.
Watch Now

La importancia de la identificación de elementos de datos críticos a efectos del RGPD

Los siguientes artículos del RGPD ponen de relieve los elementos de datos:

El artículo 4 del RGPD define los datos personales como «toda información sobre una persona física identificada o identificable ("el interesado") … como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona».

El artículo 9 del RGPD limita el tratamiento de categorías especiales de datos personales como el origen étnico o racial o las opiniones políticas.

Para cumplir con estos artículos del RGPD es necesario identificar esos datos personales como elementos de datos críticos, y tomar las medidas relevantes para protegerlos.

Por ejemplo, si una organización recoge datos de sensores de un vehículo o rastrea sus coordenadas y el vehículo permanece inmóvil durante la noche, es razonable deducir que dicha coordenada es la dirección del propietario del vehículo. De esta forma resulta más fácil rastrear la identidad de la persona. Por consiguiente, los datos de sensores o las coordenadas pueden convertirse en elementos de datos críticos, puesto que de forma indirecta pueden acabar revelando los datos personales del interesado.

La identificación de estos elementos de datos críticos atestigua la voluntad de una organización de garantizar que no pone en peligro datos personales.

Cómo identificar elementos de datos críticos con ayuda de Talend

Los administradores de datos desempeñan un papel importante en este proceso. Deberían priorizar sus esfuerzos en identificar conjuntos y elementos de datos críticos en sus respectivas categorías de datos. Por ejemplo, la identidad de un empleado consta de varios elementos críticos como el nombre, el género, la fecha de nacimiento o el documento nacional de identidad. La información de las redes sociales de los empleados consta de varios conjuntos de datos críticos, como la información de perfil de Facebook, Twitter o LinkedIn.

El equipo de gobernanza de datos debe determinar si conviene más fijar los requisitos de recogida y uso de datos a nivel de los conjuntos de datos críticos en lugar de los elementos de datos críticos particulares. Por ejemplo, tal vez la mejor forma de gestionar los usos aceptables y las normas de seguridad sea en conjunto para toda la información de Facebook (conjunto de datos críticos) en lugar de por identificador de Facebook (elemento de datos críticos).

Talend Metadata Manager es compatible con un glosario comercial de la ISO 11179 que contiene términos comerciales relacionados con los datos personales. Por ejemplo, podría contener un inventario de términos comerciales para la identidad de los clientes, como el nombre, la dirección electrónica o el número de teléfono. También definirá la semántica de los elementos de datos críticos mediante semántica predefinida (como la dirección electrónica, el nombre de pila, el apellido, el IBAN, etc.) de modo que las huellas de esos elementos de datos críticos puedan captarse automáticamente en distintos conjuntos de datos. Esto significa que Metadata Manager puede ir más allá de ser un glosario comercial y convertirse en un único punto de entrada para captar huellas de datos personales en distintos conjuntos de datos.

He aquí dos enfoques compatibles con Talend Metadata Manager para identificar elementos de datos críticos en virtud del RGPD:

  1. Enfoque de arriba abajo: al descubrir el paisaje de datos de la empresa en su conjunto, la herramienta es compatible con la correspondencia de definiciones de datos de alto nivel con campos físicos reales de los sistemas fuente de la empresa.
  2. Enfoque de abajo arriba: en este enfoque se captan automáticamente puntos de datos físicos y luego se vinculan con definiciones de datos de alto nivel según el RGPD según convenga. Los campos físicos se basarán en metadatos técnicos, extraídos de sistemas fuente basados en una amplia variedad de conectores de Talend Metadata Manager (ver figura 1).

conjuntos de datos críticos

Figura 1: Definición o retroingeniería de modelos y elementos de datos con Talend Metadata Manager

La amplia variedad de conectores otorga una visión precisa del paisaje de datos, parecido a un navegador de GPS que puede alertar al conductor de cualquier cambio en las condiciones de la circulación.

El segundo enfoque es más habitual en la era de los big data, ya que los datos proceden de distintas fuentes y resulta esencial elaborar perfiles y descubrir los datos automáticamente antes de confirmar si contienen datos personales y emprender acciones de cumplimiento según el resultado.

Download A 16 Step Data Governance Plan for GDPR Compliance now.
Download Now

Próximos pasos para la identificación de datos críticos

Los departamentos de asesoramiento y cumplimiento jurídicos deben autorizar el tratamiento de datos personales durante la fase de diseño de un proyecto. Así pues, independientemente del enfoque que se siga, el equipo de gobernanza de datos deberá trabajar con esos otros equipos para definir «datos personales» a efectos del RGPD.

Identificar elementos de datos críticos relacionados con datos personales es crucial para tomar acciones de control según el RGPD, tarea para la cual Talend Metadata Manager puede ser de ayuda. La próxima medida del plan de 16 medidas es establecer requisitos de recogida de datos.

Para consultar las 16 medidas de cumplimiento del RGPD en su totalidad, no se pierda el webinar a petición: Medidas prácticas para cumplir el RGPD. El webinar aborda esta información, además de la creación de normas y controles, la identificación de titulares de datos, linaje de datos y mucho más.

| Last Updated: agosto 12th, 2019