Gobernar el riesgo, proteger la dignidad - Entrada 2 — Describir un tratamiento: el primer acto de gobierno en la gestión del riesgo


 

Gobernar el riesgo, proteger la dignidad

“Evaluaciones de Impacto y Gestión del Riesgo en Protección de Datos: una guía práctica desde el Compliance”

Entrada 2 — Describir un tratamiento: el primer acto de gobierno en la gestión del riesgo

Antes de valorar riesgos, antes de hablar de medidas y antes incluso de plantearse si una EIPD es necesaria, hay un paso que determina la calidad de todo el proceso: describir el tratamiento de forma correcta.

Puede parecer un trámite menor, pero no lo es. Una mala descripción conduce a un mal análisis. Un análisis incompleto conduce a decisiones erróneas. Y decisiones erróneas generan riesgos que la organización ni siquiera sabe que existen.

Describir un tratamiento es, en realidad, el primer acto de gobierno en protección de datos.

1. Describir no es enumerar: es comprender el contexto operativo

Muchas organizaciones creen que describir un tratamiento consiste en rellenar un formulario con:

  • finalidad,
  • categorías de datos,
  • base jurídica,
  • destinatarios,
  • plazos de conservación.

Eso es información, pero no es descripción operativa.

Una descripción operativa debe responder a una pregunta más profunda:

¿Qué está ocurriendo realmente con los datos, desde que nacen hasta que desaparecen?

El análisis de riesgos no se hace sobre conceptos jurídicos, sino sobre procesos reales. Por eso, la descripción debe capturar el funcionamiento del tratamiento en su ciclo de vida completo.

2. El ciclo de vida del dato: la estructura que da sentido al análisis

Todo tratamiento tiene un ciclo de vida, aunque la organización no lo haya formalizado. Ese ciclo de vida es la columna vertebral de la descripción operativa y la herramienta más fiable para evitar análisis ciegos.

1. Origen del dato

  • ¿Quién lo aporta?
  • ¿Cómo se obtiene?
  • ¿Qué expectativas tiene el interesado?

2. Recogida y registro

  • ¿Qué sistemas intervienen?
  • ¿Qué validaciones se aplican?

3. Uso y operaciones

  • ¿Qué se hace realmente con los datos?
  • ¿Qué decisiones se toman con ellos?
  • ¿Qué algoritmos, reglas o criterios intervienen?

4. Comunicación y acceso

  • ¿Quién ve los datos?
  • ¿Quién puede verlos aunque no deba?
  • ¿Qué terceros intervienen?

5. Conservación

  • ¿Durante cuánto tiempo?
  • ¿Por qué ese plazo y no otro?
  • ¿Qué ocurre durante la conservación?

6. Supresión o anonimización

  • ¿Cómo se destruyen?
  • ¿Cómo se garantiza que no quedan restos?
  • ¿Se reutilizan de forma anonimizada?

Este ciclo de vida es el mapa que permitirá identificar riesgos reales. Sin él, el análisis es ciego.

3. La finalidad: el corazón del tratamiento

La finalidad no es una frase bonita. Es la razón de ser del tratamiento y el criterio que determina:

  • qué datos son necesarios,
  • qué operaciones son legítimas,
  • qué medidas son proporcionadas,
  • y qué riesgos son aceptables.

Una finalidad mal definida genera dos problemas:

  • riesgos artificiales, porque se incluyen operaciones que no deberían existir;
  • riesgos ocultos, porque se omiten operaciones que sí existen.

La finalidad debe ser:

  • concreta,
  • legítima,
  • necesaria,
  • comprensible,
  • y operativamente verificable.

Una finalidad mal definida no solo distorsiona el análisis de riesgos: compromete la proporcionalidad del tratamiento.

4. Los activos: el tratamiento no es solo datos

La guía de la AEPD insiste en algo que a menudo se pasa por alto: un tratamiento no es solo un conjunto de datos, sino un ecosistema de activos:

  • aplicaciones,
  • bases de datos,
  • dispositivos,
  • redes,
  • proveedores,
  • personal,
  • procesos internos,
  • algoritmos,
  • documentación.

Cada activo introduce un vector de riesgo. Por eso, describir el tratamiento implica identificar los activos que lo hacen posible y comprender cómo interactúan.

5. Los escenarios de uso: donde aparecen los riesgos reales

El análisis de riesgos no se hace sobre la teoría, sino sobre escenarios concretos:

  • ¿Qué ocurre si un empleado accede a más datos de los necesarios?
  • ¿Qué ocurre si un proveedor cambia su infraestructura?
  • ¿Qué ocurre si un algoritmo clasifica mal a un interesado?
  • ¿Qué ocurre si un dato se conserva más tiempo del debido?
  • ¿Qué ocurre si un sistema falla en un momento crítico?

Una buena descripción del tratamiento debe permitir imaginar estos escenarios. Si no se pueden imaginar, no se pueden evaluar.

6. Errores habituales al describir un tratamiento

Los más frecuentes son:

  • descripciones excesivamente jurídicas que no reflejan la realidad operativa;
  • descripciones excesivamente técnicas que olvidan el impacto en las personas;
  • descripciones incompletas que omiten operaciones clave;
  • descripciones idealizadas que reflejan cómo debería funcionar el tratamiento, no cómo funciona;
  • descripciones estáticas que no contemplan cambios futuros.

El análisis de riesgos exige realismo, no perfección.

7. La descripción como herramienta de gobernanza

Describir un tratamiento no es un trámite previo al análisis de riesgos. Es una herramienta de gobernanza que permite:

  • entender qué hace realmente la organización,
  • detectar incoherencias,
  • identificar operaciones innecesarias,
  • descubrir dependencias ocultas,
  • y anticipar riesgos antes de que aparezcan.

Una buena descripción es, en sí misma, una medida de mitigación.

Cierre de la Entrada 2

Describir un tratamiento es el primer paso operativo de la gestión del riesgo. Es el momento en el que la organización se mira al espejo y decide si entiende lo que hace.

En la próxima entrada avanzaremos al siguiente nivel: identificar y analizar los factores de riesgo que rodean al tratamiento.

Comentarios

Publicar un comentario