La frase que da título a este artículo fue pronunciada por un amiga que trabaja en una gran consultora. Estaba desesperada porque, después de 6 meses de proyecto, todavía descubría tratamientos.
Este problema ya surgió en 1992 con la aprobación de la LORTAD y se reprodujo en 1999 con la aprobación de la LOPD. Las preguntas típicas eran: “¿Cómo puedo conocer todos los datos que tratan los departamentos y cuándo tengo que dejar de buscar?”. Pensando que éramos nostros los que teníamos que encontrar el dato, y no al revés, en 1992 empezamos a utilizar programas de búsqueda de texto en el que introducíamos varios apellidos con operadores booleanos. Primero en cada ordenador, después en los servidores y finalmente, con herramientas de red.
Pero pronto nos dimos cuenta de que la solución no pasaba por monitorizar constantemente lo que hacía el negocio, ya que ello tendía a la saturación de información, al caos, a la paranoia y a la frustración. Era mucho más eficaz analizar las necesidades reales de la empresa, definir un modelo de datos, aplicarlo y exigir su cumplimiento. Es decir, pasar de una metodología “pull” a una metodología “push”.
En la actualidad, las herramientas de descubrimiento de datos se han perfeccionado hasta el punto de llegar a terminales remotos, detectar ordenadores apagados y volver a revisarlos cuando están operativos, gestionar correctamente los falsos positivos… Pero el objetivo no es tratar el dato personal como si fuese un virus, alertando sobre cada CV que llegue por correo electrónico, sino completar y actualizar el modelo de datos acordado, con una frecuencia que se estime razonable. Además, estas herramientas no detectan los tratamientos no automatizados realizados en papel y en otros soportes.
Como siempre, las mejores soluciones incorporan elementos de varias metodologías. Los proyectos de Compliance son un ejemplo de ello, al combinar el canal ético, los controles de prevención y detección y la verificación periódica. Es decir, se espera que el negocio se autorregule, cumpla la ley y comunique los riesgos y los incumplimientos a través del canal ético, pero de forma complementaria también se implantan medidas preventivas, se verifica el funcionamiento de los controles y se realizan investigaciones internas.
En el RGPD se establecen principios como el de la privacidad desde el diseño y por defecto y el de responsabilidad proactiva, que permiten exigir a los departamentos que realizan tratamientos un mayor grado de colaboración que el que podrían mostrar con la simple asistencia a una entrevista de análisis de tratamientos o a la disposición a dejarse monitorizar con herramientas de descubrimiento de datos.
La experiencia de 1992, perfectamente vigente en la actualidad, nos demuestra que la eficacia en la gestión de los tratamientos es mayor cuando los departamentos pasan de la colaboración a la implicación. Y ello se puede conseguir en un proyecto de RGPD aplicando un sencillo protocolo de 5 pasos:
El punto 5 consiste en una declaración firmada en el que aparece la lista de datos tratados y la lista de finalidades del tratamiento. En este documento el firmante declara que se obliga a aplicar el modelo de datos y finalidades y a comunicar cualquier propuesta de modificación al Comité de Protección de Datos y Seguridad de la Información.
Mientras el incumplimiento de esta obligación supone una infracción muy grave de la política de protección de datos de la empresa, el cumplimiento permite al solicitante tener la tranquilidad de que los tratamientos que realice estarán plenamente reflejados en el registro de tratamientos y quedará acreditada su diligencia y la de la empresa.
El modelo de datos puede complemetarse y actualizarse con herramientas de discovery, pero lo que resulta evidente es que ni la empresa ni el DPO pueden estar permanentemente vigilando al negocio. Este debe alcanzar un nivel de madurez y responsabilidad que no sólo es necesario, sino también exigible, desde el momento del diseño de cualquier nueva campaña, producto o servicio.
Pensemos que el riesgo de no informar del tratamiento de un dato o aplicarlo a una finalidad no informada es uno de los más altos de todo el RGPD, tanto en probabilidad como en impacto. Ello exige actuar en proporción a la cuantía de la sanción, que es también la más alta.
Incluso en los casos en que es imposible realizar todas las entrevistas en los tres primeros meses, debido a la complejidad de la estructura corporativa y de las agendas de los interlocutores, descubrir tratamientos a los 6 meses de un proyecto de adecuación al RGPD invita a revisar la metodología o el nivel de autoridad del responsable del proyecto.
Xavier Ribas
