Cómo establecer unas normas de obtención de datos [RGPD, Medida 5]

El Reglamento General de Protección de Datos (RGPD), presentado por la Unión Europea, entró en vigor el 25 de mayo de 2018. Este reglamento modificará la forma en la que las organizaciones manejan los datos de carácter personal de los interesados, como clientes actuales y futuros o empleados. Las organizaciones deben reformar sus procesos y sistemas con el fin de cumplir estas nuevas y estrictas disposiciones sobre protección de datos.

Hace poco celebramos un webinar a petición, Medidas prácticas para cumplir el RGPD, centrado en un exhaustivo plan de 16 medidas para hacer efectivo un programa de gobernanza de datos compatible con la conformidad con el RGPD. La medida 5 de este plan consiste en establecer unas normas para la obtención de datos. Las cuatro primeras medidas ya las hemos abordado aquí: elaborar políticas, normativas y controles; crear una taxonomía de datos; asignar la titularidad de los datos e identificar elementos de datos cruciales.

Watch Practical Steps to GDPR Compliance now.
Watch Now

La perspectiva del RGPD sobre la obtención de los datos

El artículo 25 del RGPD habla de la protección de datos desde el diseño y por defecto. Estos son tres aspectos del artículo que afectan a la obtención de datos:

1. Minimización de datos: Obtenga tan solo los datos que sean necesarios

El reglamento exige a las organizaciones que apliquen las medidas técnicas y organizativas apropiadas, como la minimización de datos, con miras a garantizar que, por defecto, solo se obtengan los datos personales que sean absolutamente necesarios para los fines del tratamiento.

Por ejemplo, una empresa de software puede utilizar un formulario en línea para que los usuarios se descarguen un determinado software de prueba. En ese caso, sería razonable pedir en el formulario el nombre y la dirección electrónica del solicitante. No obstante, no sería apropiado que la empresa también preguntara sobre la fecha de nacimiento o el número de documento de identidad del solicitante.

Además de obtener tan solo los datos necesarios, el RGPD también espera que las organizaciones utilicen o almacenen los datos de tratamiento solo en caso necesario. Si al cabo de un tiempo los datos ya no son necesarios, debería existir un mecanismo automatizado que limpiara esos datos no deseados.

2. Consentimiento: Obtenga el permiso explícito del usuario

El RGPD exige obtener explícitamente el consentimiento de uso de datos de carácter personal por parte del interesado. Ese consentimiento ya no puede ser ambiguo ni por defecto. Por ejemplo, las organizaciones no pueden dar por hecho el consentimiento por defecto y luego dar una opción de exclusión voluntaria a sus clientes. El procedimiento debe ser el contrario: el de ofrecer una opción de consentimiento explícito.

Además, cada vez que se produzca un cambio en la forma de tratar los datos personales por parte de la organización, deberá obtenerse un nuevo consentimiento. Del mismo modo, si se tratan campos de categorías especiales, como la raza, el origen étnico, la orientación sexual o las opiniones políticas, deberá obtenerse otro consentimiento (distinto a los ya obtenidos para los datos personales básicos).

3. Protección de datos

Durante la fase de obtención de datos, deben existir suficientes medidas, como por ejemplo la seudonimización (cambiar los campos identificables de un registro de datos por seudónimos) para proteger los datos de carácter personal. Por ejemplo, hay partes del código postal que pueden ocultarse mediante un seudónimo para proteger la dirección concreta de una persona. Sin embargo, pueden mostrarse cuantos dígitos sean necesarios para indicar que se trata de un código postal, en este caso, de los EE.UU.

Cómo utilizar Talend para obtener datos

La obtención de datos y la correspondiente puesta en efectivo de los controles del RGPD es una de las funciones básicas de Talend. Talend Master Data Manager (MDM), Talend Big Data y Talend Data Quality contribuyen a crear un repositorio corporativo en el que se agrupe toda la información relativa a un interesado, incluidos sus datos personales y sus consentimientos. Así pues este data lake según el RGPD puede emplearse para conciliar datos.

Por ejemplo, pueden usarse estas herramientas de Talend para decidir que «James Smith» y «Jim Smith» son realmente la misma persona, si bien tan solo el primero ha facilitado lel consentimiento expreso de su dirección electrónica.

El data lake del RGPD también puede gestionar un inventario único de todos los consentimientos, incluidos los de campañas por correo electrónicos, cookies y números de teléfono. Este repositorio conserva una lista de todos los consentimientos de un único interesado en todas las aplicaciones de la empresa. Ofrece un registro de auditoría y un linaje a nivel de registro sobre cómo y cuándo se obtuvo el consentimiento de un interesado concreto para una aplicación específica.

Una vez conciliada toda la información en el data lake del RGPD, el equipo de gobernanza de datos puede prestar servicios como la portabilidad de datos o el derecho al olvido.

La idea de un data lake funciona para el RGPD, sobre todo en la época de los big data, en la que los datos nos llegan de cualquier fuente, no de unos sistemas diseñados y regidos centralmente. En estos entornos, los datos que entran podrían no estar completamente estructurados ni documentados. Esto significa que debemos captar los datos personales a partir de conjuntos de datos en bruto y luego trabajar en grupo para diseñar las normas que protejan de dichos datos de los especialistas de datos, que necesitan procesarlos para sus modelos de machine learning.

Próximas medidas para cumplir con el RGPD

La creación de normas de obtención de datos es una etapa importante, dado el énfasis del RGPD en la minimización de los datos y los consentimientos. Esas normas deben aplicarse tanto desde el punto de vista tecnológico como procedimental. El equipo de gobernanza de datos debe establecer controles para que los responsables de asesoramiento y cumplimiento jurídicos autoricen la obtención de datos en cada nuevo proyecto durante la fase de diseño.

Del mismo modo que se crean normas para la obtención, también deben acordarse unas normas sobre el uso que se dará a esos datos. De esto hablaremos en la próxima entrega de nuestro plan de 16 medidas para hacer efectivo un marco de gobernanza de datos de cara al cumplimiento del RGPD.

Para consultar las 16 medidas en su totalidad, no se pierda el webinar a petición: Medidas prácticas para cumplir el RGPD. El vídeo habla sobre esta información, además de la creación de normas y controles, la identificación de titulares de datos y elementos cruciales de datos, etc.

| Last Updated: agosto 12th, 2019