Con la introducción del Reglamento General de Protección de Datos (rgpd) y sus requisitos de cumplimiento para las empresas, es probable que haya oído hablar de la "cartografía de datos".
Pero, ¿qué es exactamente el mapeo de datos? ¿Por qué es tan importante para rgpd?
En esta guía, le guiaremos a través de la definición de mapeo de datos, su propósito y beneficios, y por qué es importante para el cumplimiento de rgpd . También exploraremos el proceso de mapeo de datos paso a paso, así como algunos ejemplos y recursos útiles para que pueda crear un mapa de datos para su empresa.
Se trata de una guía de mapeo de datos muy extensa, por lo que no dude en utilizar el índice que figura a continuación para desplazarse según sus necesidades.
Índice
- ¿Qué es el mapeo de datos?
- El objetivo de la cartografía de datos
- Ventajas del mapeo de datos
- Desafíos del mapeo de datos
- Mejores prácticas de mapeo de datos
- Ejemplos de asignación de datos
- Mapeo de datos y rgpd
- Cómo: Mapeo de datos para rgpd
- Técnicas de mapeo de datos
- Herramientas de mapeo de datos
- Recursos de cartografía de datos
- Realice un mejor mapeo de datos
- ¿Qué es el mapeo de datos?
- ¿Para qué sirve el mapeo de datos?
- Ventajas del mapeo de datos para la privacidad
- ¿Cuáles son algunos de los retos del mapeo de datos?
- Mejores prácticas de mapeo de datos
- Ejemplos de asignación de datos
- Por qué es importante el mapeo de datos para el cumplimiento de rgpd
- Cómo: Tutorial de mapeo de datos para rgpd
- Técnicas de mapeo de datos
- Utilizar una herramienta de mapeo de datos
- Recursos de cartografía de datos
- Realice un mejor mapeo de datos
¿Qué es el mapeo de datos?
El mapeo de datos es un sistema de catalogación de los datos que se recopilan, cómo se utilizan, dónde se almacenan y cómo viajan por toda la organización y fuera de ella. Hay varias formas de lograr este objetivo -ya sea mediante una simple hoja de cálculo o un programa específico de mapeo de datos- y el alcance o el límite de tu mapeo de datos dependerá de tu negocio.
Sin embargo, la mayoría de los mapas de datos deben incluir la siguiente información:
- Qué datos recopila
- Si esos datos son sensibles o personales
- La base jurídica para el tratamiento de esos datos - debe hacer referencia a las seis bases jurídicas establecidas por la rgpd, que explicaremos a continuación
- Por qué se recogen los datos
- Dónde se almacenan los datos
- Durante cuánto tiempo se almacenan los datos
- En qué condiciones se almacenan los datos: debe responder a la pregunta: ¿Qué medidas de protección existen en su organización?
- Dónde se transfieren los datos
- Dónde se encuentran los terceros destinatarios, prestando especial atención a las transferencias internacionales de datos.
- ¿Qué protocolos existen para proteger los datos durante las transferencias?
El mapeo de datos es una combinación de su inventario de datos y su flujo de datos
Un mapa de datos suele constar de dos partes: una hoja de cálculo en la que se detallan los datos que se recopilan y un diagrama de flujo en el que se representa el movimiento de esos datos a través de los sistemas internos y las transferencias externas.
Los mapas de datos eficaces requieren la aportación de casi todos los departamentos
Es especialmente importante que participen los departamentos informático, jurídico, de marketing y de recursos humanos. Además, la documentación de cada dato debe estar estrechamente supervisada por el responsable de protección de datos (RPD) o por un alto cargo del equipo de privacidad.
El mapeo de datos no es una actividad puntual
Aunque debe llevarse a cabo lo antes posible, sobre todo si está sujeto al cumplimiento de la rgpd, el mapeo de datos es una actividad continua que debe implementar en sus prácticas empresariales habituales.
¿Para qué sirve el mapeo de datos?
El objetivo del mapeo de datos es recopilar toda la información sobre cómo utiliza los datos su empresa y presentarla en un único lugar.
Los mapas de datos proporcionan una estructura fácil de leer que muestra de dónde proceden sus datos, quién los utiliza, cómo se almacenan y adónde se envían. Al generar un mapa de datos, te aseguras de que tienes toda la información que necesitas para cumplir la legislación internacional sobre privacidad de datos.
Otra finalidad de un mapa de datos es encontrar formas de racionalizar sus procesos de datos. Con un mapa de datos, puede detectar redundancias y casos de incumplimiento. Como resultado, puede solucionar esos problemas antes de que se conviertan en problemas legales importantes.
Ventajas del mapeo de datos para la privacidad
El mapeo de datos no es sólo una útil herramienta de visualización. También ofrece numerosas ventajas que pueden ayudarle a proporcionar una mayor privacidad a sus clientes y a mejorar el cumplimiento de la normativa rgpd.
Algunas de las ventajas más valiosas del mapeo de datos son:
- Cumplimiento de la ley rgpd: rgpd es una de las leyes de protección de datos más importantes a nivel internacional. Un excelente mapa de datos facilita el cumplimiento de la rgpd , ya que permite supervisar el grado de cumplimiento de los requisitos legales en materia de transparencia e imparcialidad.
- Elaboración de informes con arreglo al artículo 30: Una de las cláusulas más importantes de rgpd es el artículo 30. Esta cláusula exige que las organizaciones presenten periódicamente informes de actividad de tratamiento (ROPA) sobre la forma en que recopilan y utilizan los datos. Cuando se crea un mapa de datos, ya se ha reunido toda la información necesaria para los informes ROPA en un solo lugar, lo que facilita su presentación cuando se soliciten.
- Detectar y solucionar los riesgos para la privacidad: Los mapas de datos ofrecen una claridad única sobre la protección de la información privada de tus visitantes. Para generar un mapa de datos preciso, tendrás que examinar cada aspecto de cómo procesas los datos, haciendo que cualquier riesgo para la privacidad salte a la vista. Con esa información, puedes tomar medidas para solucionarlos antes de que se conviertan en un daño real.
- Identificar oportunidades de seguridad: Una vez resueltos los riesgos, el mapa de datos ofrece información sobre los puntos en los que se pueden hacer más seguros los procesos de datos. De este modo, podrá dar prioridad a las oportunidades de seguridad más valiosas en lugar de limitarse a reaccionar ante las amenazas y los riesgos.
- Respuesta a las solicitudes de privacidad: Según la web rgpd, los consumidores tienen derecho a pedirte que elimines todos sus datos privados. Para ello, tienes que saber qué datos has recopilado y dónde están almacenados. Un mapa de datos te ofrece una guía clara para encontrar todos los datos de una persona, independientemente de dónde se hayan almacenado o cómo se hayan utilizado. Eso le permite eliminar la información adecuadamente sin riesgo de perderse nada.
- Comprender el tratamiento de sus datos al más alto nivel: Los datos son el alma de las empresas modernas. Una vez que haya construido un mapa de datos preciso, comprenderá exactamente lo que sabe, lo que no sabe y lo que necesita aprender. A continuación, podrá utilizar estos conocimientos para crear procesos de datos mejores y más seguros tanto para las partes interesadas internas como externas.
¿Cuáles son algunos de los retos del mapeo de datos?
Aunque el mapeo de datos tiene muchas ventajas, entre ellas el cumplimiento de rgpd , no está exento de dificultades. Por ejemplo, cuando empiece a mapear procesos de datos, es probable que se encuentre con problemas como los siguientes:
Determinar si los datos son personales
El sitio rgpd se aplica a la información que puede relacionarse con una persona física identificada o identificable, incluida información como:
- Nombres
- Números de identificación
- Identificaciones en línea
- Números de teléfono
- Direcciones
- Números de tarjeta de crédito
- Apariencia
- Datos de localización
- Identificadores étnicos, religiosos, genéticos, fisiológicos, sociales o comerciales
Esencialmente, cualquier información que pueda empezar a identificar a alguien está cubierta por la rgpd. Por lo tanto, para realizar correctamente el mapeo de datos, es necesario determinar si los datos se consideran personales o no e indicarlo en el propio mapa.
Identificación de todas las actividades de tratamiento de datos
Una vez que haya determinado si los datos son personales, debe repasar las actividades de su organización e identificar todas las formas en que utiliza esa información.
El tratamiento de datos según la definición de la UE es el:
"recogida, registro, organización, estructuración, almacenamiento, adaptación o modificación, recuperación, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de puesta a disposición, cotejo o interconexión, limitación, supresión o destrucción de datos personales".
Algunos ejemplos son:
- Almacenamiento de direcciones MAC e IP
- Envío de correos electrónicos a los clientes sobre promociones
- Almacenamiento de datos de clientes para futuros contactos
- Publicar fotos de una persona
- Grabación de imágenes de seguridad
- Gestión de nóminas
Es necesario nombrar todas estas actividades en el mapa de datos, lo que puede suponer un esfuerzo considerable para las grandes organizaciones.
Seguimiento de sus obligaciones legales y reglamentarias
La rgpd es una normativa relativamente nueva, por lo que los precedentes y la aplicación de la ley están sujetos a cambios. A medida que se produzcan estos cambios, usted será responsable de supervisar sus obligaciones actuales en relación con la privacidad de los consumidores. Además, cuando se produzcan cambios, tendrá que tenerlos en cuenta en su proceso de mapeo de datos, aclarando cómo cumple su empresa los nuevos requisitos.
El mapeo de datos tiene un valor incalculable para las organizaciones modernas. No solo le ayuda a comprender cómo utiliza y recopila la información, sino que también le ayuda a cumplir la normativa rgpd. Aunque el mapeo de datos tiene sus dificultades, merece la pena por su utilidad directa, así como por su capacidad para centrar su atención en los riesgos para la privacidad y los fallos de seguridad.
Mejores prácticas de mapeo de datos
Mientras se gestiona el proceso de mapeo, puede ser fácil perder de vista el panorama general. Seguir algunas de las mejores prácticas de mapeo de datos te ayudará a mantenerte al tanto del proceso y minimizar el número de revisiones que necesitas realizar.
Elija sus herramientas
Antes de empezar a recopilar cualquier información, debes decidir cómo vas a mapear los datos. Configurar las herramientas y los recursos con antelación facilita la planificación eficaz de los procesos de datos.
La solución que elija variará en función de la cantidad de datos que procese su organización y del tipo de datos que recopile.
Puede empezar utilizando una simple hoja de cálculo, sin embargo, si está mapeando una gran organización o sabe que recopila una gran variedad de datos. En ese caso, tal vez sea mejor trabajar desde el principio con una herramienta dedicada a la cartografía de datos, como DPOrganizer:
Identifique claramente sus fuentes y tipos de datos
El propósito del mapeo de datos es identificar con precisión cada aspecto de sus procesos de datos. Eso significa tener claro de dónde proceden los datos y qué tipo de información es.
Su mapa de datos debe responder a preguntas como
- ¿Ha recabado la información directamente del cliente o de un tercero?
- ¿Es consciente el cliente de que usted ha recopilado sus datos?
- ¿Qué tipo de datos ha recopilado? Por ejemplo, ¿se trata de un nombre, una dirección IP, una dirección de correo electrónico, un número de teléfono, una ubicación física u otro dato identificativo?
Cuanto más específico sea, más preciso será su mapa de datos global.
Mantenga la seguridad del proceso de mapeo
Cuando realice una asignación de datos, a menudo interactuará directamente con los datos privados que está tratando de proteger. Por lo tanto, debes mantener el proceso de mapeo tan seguro como cualquier otra actividad de procesamiento de datos.
Después de todo, su mapa de datos explica exactamente cómo protege los datos de los consumidores, lo que potencialmente da a los agentes maliciosos la información que necesitan para subvertir sus medidas de seguridad.
Sus herramientas de mapeo de datos deben estar tan protegidas como la información más segura que almacene. Por ejemplo, sólo las personas autorizadas deben poder acceder al mapa o actualizarlo de cualquier forma, lo que lo mantiene a salvo de miradas indiscretas.
Actualizaciones periódicas
Su empresa cambia y los datos que recopila también cambiarán. Por ello, se considera una buena práctica actualizar su mapa de datos al menos trimestralmente, si no mensualmente o incluso semanalmente. Cuanto más a menudo se actualice, menos probabilidades habrá de que los fallos de privacidad o las actividades no conformes pasen desapercibidos y causen problemas legales.
Conservar registros
Su mapa no basta por sí solo para demostrar cómo gestiona los datos de sus clientes. Además de su mapa, también debe conservar registros de conformidad con el artículo 30, apartados 1 y 2, de la rgpd que expliquen cómo transfiere los datos dentro de su empresa y a proveedores externos.
Estos registros deben incluir:
- El controlador específico responsable de la transferencia, junto con sus datos de contacto
- A quién se transfirieron los datos
- Por qué y cómo se transfirió
- Cómo ponerse en contacto con esa parte
- Medidas de seguridad que cubren la transferencia
- Descripción de los datos transmitidos
- Cuándo se espera que se borren los datos
Si conserva estos registros, podrá demostrar que sus mapas son precisos y disponer de recursos adicionales si se ve sometido a una auditoría en rgpd .
Ejemplos de asignación de datos
No existe un formato o proceso único para el mapeo de datos. Por el contrario, pueden presentarse de todas las formas posibles, a través de diversos medios de ejecución y en una amplia gama de tamaños y profundidades.
El aspecto de su mapa de datos dependerá principalmente de sus actividades de tratamiento de datos y de su presupuesto.
Si su empresa recopila, procesa o comparte una gran cantidad de datos, es posible que desee invertir en un programa de software dedicado a la cartografía de datos. A través del software de mapeo de datos, es probable que trabajes con un panel de control, a través del cual puedes navegar a tu inventario de datos, diagrama de flujo, detalles de ubicación y análisis.
Algunos programas son más avanzados técnicamente y deben ser supervisados por el personal adecuado. Tomemos, por ejemplo, los siguientes ejemplos:
Algunas soluciones de CRM cuentan con funciones de mapeo de datos, por lo que puede matar dos pájaros de un tiro eligiendo el CRM adecuado para su empresa.
Si prefieres crear tu mapa de datos fuera de un servicio de software especializado, lo más probable es que acabes con un documento, una hoja de cálculo o un mapa (o los tres) en el que se detalle la gestión de tus datos.
A continuación se muestra un ejemplo de gráfico de asignación de datos en su forma más simple:
por Anthony Budd
El estilo de mapa anterior puede realizarse como documento u hoja de cálculo y es ideal para empresas que no recopilan, procesan o transfieren grandes cantidades de datos. Esta solución requiere todas las entradas manuales y no es muy detallada.
Para actividades de datos más complejas, una buena opción es crear un mapa interactivo en Excel. Se trata de una solución escalable que sigue requiriendo la introducción manual de datos, pero que ofrece más posibilidades de seguimiento y visualización de los procesos de datos.
A continuación se muestra un ejemplo de lo que podría ser un mapa de datos interactivo en Excel:
Prueba esta guía paso a paso para hacer mapas interactivos en Excel como el de arriba.
Estos son sólo algunos de los muchos ejemplos de lo que puede ser un mapa de datos. El tuyo puede ser cualquiera de ellos, o una combinación de los mismos.
La parte fundamental de la asignación de datos es que el resultado contenga toda la información necesaria sobre sus actividades de tratamiento de datos.
Por qué es importante el mapeo de datos para el cumplimiento de rgpd
En rgpd se trata de actualizar los sistemas existentes e implantar otros nuevos para garantizar la custodia y el tratamiento justo de los datos de los usuarios que maneja. Pero para evaluar correctamente la seguridad de los datos, primero hay que ser capaz de rastrear un dato desde el punto de recogida hasta su eventual eliminación.
Sin una visión de conjunto de todo el ciclo de vida de sus datos, cualquier medida de seguridad que aplique será, en el mejor de los casos, poco sistemática.
El mapeo de datos no sólo es una base esencial para llevar a cabo los objetivos generales de rgpd, sino que también es un mandato directo de varios artículos del Reglamento. Esto significa que está legalmente obligado a realizar el mapeo de datos con regularidad para seguir cumpliendo la ley.
A continuación se exponen las razones por las que el mapeo de datos ayudará a su empresa a cumplir la normativa rgpd.
Motivo nº 1: Mantener registros de las actividades de tratamiento (artículo 30)
El artículo más importante en relación con los requisitos de mapeo de datos de rgpd es el artículo 30 dergpd , titulado "Registros de actividades de tratamiento". Este artículo es el responsable más directo de la obligatoriedad del mapeo de datos por parte de las organizaciones.
El reglamento establece que:
- Cada responsable del tratamiento y, en su caso, su representante , llevarán un registro de las actividades de tratamiento bajo su responsabilidad.
- Cada encargado del tratamiento y, en su caso, el representante del encargado mantendrán un registro de todas las categorías de actividades de tratamiento realizadas por cuenta de un responsable del tratamiento.
- Los registros... constaránpor escrito, incluso en formato electrónico.
- El responsable o el encargado del tratamiento...pondrá el registro a disposición de la autoridad de control a petición de ésta.
Las obligaciones anteriores no se aplicarán a una empresa u organización que emplee a menos de 250 personas a menos que:
- Es probable que el tratamiento que lleva a cabo suponga un riesgo para los derechos y libertades de los interesados.
- El tratamiento no es ocasional
- El tratamiento incluye las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.
Básicamente, este artículo del Reglamento obliga a las empresas a cartografiar sus datos y poner esos registros a disposición de los organismos de supervisión que los soliciten.
Razón nº 2: Realizar DPIA (artículo 35)
En virtud del artículo 35 de la rgpd, si procesa datos utilizando nuevas tecnologías o de un modo que pueda poner en peligro los derechos y datos de los consumidores, está obligado a realizar una evaluación de impacto sobre la protección de datos (EIPD).
Una DPIA, según la definición de la Oficina del Comisionado de Información del Reino Unido (ICO), es:
"...un proceso diseñado para ayudarle a analizar, identificar y minimizar sistemáticamente los riesgos de protección de datos de un proyecto o plan".
Según IT Governance, la realización de una DPIA requiere los seis pasos siguientes:
- Identificar la necesidad de la EIPD
- Describir el flujo de información
- Identificar la privacidad y los riesgos relacionados
- Identificar y evaluar soluciones de protección de la intimidad
- Firmar y registrar los resultados de la DPIA
- Integrar los resultados de la EIPD en el plan del proyecto
Los pasos 2 y 3 de este plan de EIPD están directamente relacionados con la cartografía de datos. El paso 2 es el mapeo de datos en sí, mientras que el paso 3 es un componente esencial para crear un mapa de datos útil.
Si necesita llevar a cabo una DPIA, tener estos pasos críticos ya realizados a partir de sus esfuerzos de mapeo de datos simplificará y acelerará el proceso para usted o su DPO.
Razón nº 3: Demostrar la privacidad desde el diseño (artículo 5)
El objetivo fundamental de rgpd es proteger los datos de los usuarios estableciendo directrices más estrictas para la recogida y el tratamiento de la información personal. En el artículo 5 de rgpd, el Reglamento especifica los principios clave del tratamiento de datos, que las empresas deben seguir para cumplir este objetivo final.
Entre estos principios se encuentra la idea de Privacidad desde el diseño (PdD) - el concepto de que debe incorporar medidas de protección de datos y privacidad en cada elemento de su empresa como un elemento esencial y no como una idea tardía.
Según el texto de la propia rgpd , debe asegurarse de que los datos personales son:
"tratados de manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas ("integridad y confidencialidad")".
La contabilidad de los datos y la búsqueda de puntos débiles en los procesos mediante el mapeo de datos son pasos clave para implantar la PdD y garantizar la seguridad de los datos de los usuarios.
Motivo nº 4: Establecer la base jurídica del tratamiento (artículo 6)
De conformidad con el artículo 6 de la rgpd, para que el tratamiento de datos sea lícito, debe realizarse sobre una o varias de las seis bases siguientes:
- Con rgpd consentimiento del interesado
- Para los intereses legítimos dergpd
- Para la ejecución de un contrato
- Para cumplir una obligación legal
- Proteger los intereses vitales del interesado
- Por el interés público
Al elaborar su mapa de datos, debe anotar los fines para los que recopila o procesa datos, junto con la justificación legal de esas actividades.
Por ejemplo, si recopila direcciones de correo electrónico de usuarios que se registran para recibir boletines informativos, puede registrar esa categoría de datos junto con la nota de que se hace basándose en el consentimiento del usuario.
Si examina sus datos y determina qué base se aplica a cada una de sus actividades de tratamiento, se asegurará de que no está recopilando o tratando datos ilegalmente de forma inadvertida. Este proceso puede protegerle en caso de una investigación sobre privacidad y ayudarle a realizar la siguiente tarea de cumplimiento de rgpd de nuestra lista.
Motivo nº 5: Prácticas detalladas en materia de datos (artículo 12)
El artículo 12 de la rgpd establece el requisito de que las empresas presenten a sus usuarios políticas de privacidad claras y completas, también denominadas avisos de privacidad. Estas políticas deben detallar minuciosamente sus interacciones con los datos de los usuarios, incluyendo qué recopila, por qué lo hace, cómo se almacena, dónde puede transferirse y otros detalles relativos a la recopilación y movimiento de la información personal de los usuarios.
Para confeccionar este documento -y hacerlo conforme a rgpd - necesita tener un conocimiento firme de los datos que pasan por su empresa. Con un mapa de datos completo, le resultará mucho más fácil transcribir esa información en una política de privacidad fácil de usar.
Si no está seguro de cómo hacer que su aviso de privacidad cumpla la normativa, utilice nuestro sitio rgpd-ready Generador de política de privacidad. Si prefiere crear el suyo propio, puede empezar con un plantilla de política de privacidad para asegurarse de que no pasa por alto ninguna sección necesaria.
Motivo nº 6: Gestionar las solicitudes de acceso de los interesados (artículos 15-18, 20-21)
En rgpd se hace hincapié en conceder a los usuarios de Internet nuevos derechos sobre sus datos. Algunos de los principales derechos nuevos proceden de los artículos 15-18 y 20-21 de rgpd, que establecen:
- Artículo 15: Derecho de acceso
- Artículo 16: Derecho de rectificación
- Artículo 17: Derecho de supresión - también conocido como derecho al olvido
- Artículo 18: Derecho a la limitación del tratamiento de datos
- Artículo 20: Derecho a la portabilidad de los datos - también conocido como derecho a la transferencia de datos
- Artículo 21: Derecho a oponerse al tratamiento de datos
Todos ellos son componentes de la misión de rgpdde conceder a los usuarios más control sobre sus datos. Para que las empresas cumplan esta sección del Reglamento, deben permitir a los usuarios ejercer estos derechos.
La forma más habitual de hacerlo es ofreciendo a los usuarios un formulario de solicitud de acceso del interesado (DSAR), una ventana emergente o página que permite a los usuarios solicitar el acceso, la modificación, la transferencia o la supresión de sus datos personales.
Ofrecer a los usuarios un formulario DSAR en el que puedan ejercer sus derechos es una cosa, pero su trabajo no termina hasta que se atienden las solicitudes. Además, la organización de los datos se hace aún más esencial en caso de presentación de DSAR, ya que la rgpd estipula un plazo de un mes para que las empresas respondan a estas solicitudes.
Sin un registro fácilmente accesible y bien organizado de los datos recopilados y procesados para cada usuario, junto con el razonamiento que subyace a cada actividad de procesamiento, responder a cada DSAR puede llevar mucho tiempo y resultar costoso. Aquí es donde un mapa de datos puede ayudar a aliviar la carga de tener que buscar todos los datos recopilados de un usuario.
Tomar las medidas oportunas en caso de recibir un DSAR será más fácil y rápido si ya se han cartografiado los datos y se puede acceder fácilmente a la información requerida y a los detalles que la acompañan.
Ahora que ha aprendido por qué es importante el mapeo de datos y los beneficios que ofrece a su organización, es hora de explorar cómo crear un mapa de datos.
Aunque el mapa de cada organización tendrá un aspecto diferente, el proceso fundamental sigue siendo el mismo. A continuación, aprenderá cómo realizar el mapeo de datos, algunas mejores prácticas y ejemplos de mapeo de datos, y a elegir las herramientas para simplificar el proceso.
Cómo: Tutorial de mapeo de datos para rgpd
El mapeo de datos de acuerdo con rgpd es un proceso complicado. Sin embargo, hacerlo bien a la primera puede ayudarle a ahorrar mucho tiempo y esfuerzo a largo plazo. A continuación, descubrirás el proceso paso a paso para generar un mapa de datos y lo que debes incluir.
rgpd Proceso de mapeo de datos paso a paso
El proceso de mapeo de datos puede resultar confuso. Dividirlo en etapas individuales puede ayudarle a entender lo que tiene que hacer. El proceso básico de cartografía de datos puede dividirse en seis etapas, cada una de las cuales te permite hacer tus mapas más precisos.
1. Recopilación de datos Ubicaciones de procesamiento
Para crear el mapa básico, tienes que saber dónde trabajas con los datos. Para ello, pide a todas las personas de tu organización que te expliquen el tratamiento de datos que realizan.
Si su personal no entiende qué debe proporcionar, puede dividirlo en dos preguntas:
- ¿Cuáles son sus tareas diarias, mensuales y anuales?
- ¿Qué métricas e indicadores clave de rendimiento controla o con los que interactúa?
La primera vez que realice un mapeo de datos, es probable que tenga que dedicar algún tiempo a cribar estas respuestas para encontrar las que se relacionan con los datos.
Sin embargo, en combinación, estas preguntas le darán una visión completa de toda la información con la que su personal interactúa de alguna manera.
2. Recopilar detalles específicos
Una vez identificadas las actividades de tratamiento de datos, puede recopilar más información sobre cada una de ellas. Este paso es el momento de informarse sobre aspectos regulados por la rgpd, como:
- Recogida de datos: Incluye la finalidad, la fuente, la base jurídica, la ubicación y el consentimiento para los datos recopilados.
- Uso de los datos: Por qué y cómo se utiliza la información.
- Almacenamiento de datos: Las medidas de seguridad, las condiciones, el formato y el tiempo de conservación de los datos.
- Transferencia de datos: Los lugares y las partes a las que se transfieren los datos, la finalidad de la transferencia y las medidas de seguridad en torno a la transferencia.
Durante esta fase, puede resultar especialmente beneficioso tener unos conocimientos sólidos de consulta de bases de datos. El aprendizaje de conocimientos básicos de SQL puede mejorar significativamente su capacidad para consultar y analizar eficazmente los puntos de datos, agilizando en última instancia el proceso de mapeo de datos para el cumplimiento de rgpd .
Si estás recopilando esta información manualmente, la mejor forma de organizarla es con algún tipo de hoja de cálculo. Eso te ayudará a hacer un seguimiento de cada dato y facilitará cruzar detalles más adelante.
Por ejemplo, la siguiente hoja de cálculo muestra cómo se podría organizar un sencillo mapa de datos utilizando el rastreador de responsabilidad de la OIC del Reino Unido.
3. Conectar procesos de datos y responsables
Una vez recopilada toda esta información, puede construir su mapa.
El método más sencillo consiste en cargar los datos recopilados en una hoja de cálculo y enviarlos a un creador de mapas de datos. Sin embargo, existen herramientas de mapas de datos que pueden aceptar diversas entradas y organizarlas por ti.
Más adelante aprenderás más sobre cómo elegir las herramientas de mapeo de datos adecuadas.
Si estás desarrollando un mapa gráfico, puedes estructurar cada parte responsable como un hub, con transferencias de datos que los conecten. Los procesos de uso y almacenamiento de datos pueden agruparse bajo cada centro. El resultado debería ser una representación visual clara y fácil de leer de cómo utiliza la información tu organización.
4. Buscar lagunas
Una vez que lo tengas todo delante en un formato fácil de leer, puedes empezar a buscar lagunas, por ejemplo:
- Lugares en los que no dispone de toda la información necesaria para determinar si cumple la normativa
- Procesos de datos no conformes
- Transferencias pendientes
- Responsables desaparecidos
- Procesos imprecisos, inexactos o contradictorios
Estas lagunas son los lugares que debe abordar para que su mapa sea preciso y sus prácticas de privacidad se ajusten a la rgpd. Luego, cuando las detecte, podrá realizar investigaciones más profundas para comprender lo que le falta e introducir las mejoras necesarias.
5. Generar informes
Su mapa de datos es esencial para generar informes jurídicos. En concreto, necesitará el mapa de datos completo para crear su informe ROPA del artículo 30. También puede utilizar el mapa para crear visualizaciones de activos, diagramas de flujo de datos y mapas de transferencia transfronteriza de datos.
6. Repetir y mantener
Una vez completado el proceso, es hora de volver al principio. Conviene actualizar los mapas de datos al menos una vez al trimestre para evitar que queden demasiado desfasados.
Volver a cartografiar los datos con regularidad le permite basarse en mapas generalmente precisos y realizar pequeñas actualizaciones en lugar de tener que empezar de cero cada vez. Este mantenimiento garantiza que siempre tenga un conocimiento razonable de sus procesos de datos en caso de que necesite elaborar documentación sobre ellos.
¿Qué contiene un mapa de datos?
Aunque cada mapa de datos será diferente, debe incluir detalles básicos sobre la información que está recopilando. Estos detalles incluyen:
- Tipo: ¿Qué tipo de datos está recopilando? Por ejemplo, ¿recoge nombres, datos de localización, direcciones IP, otra información identificable o simplemente detalles de uso del sitio, como los enlaces en los que se ha hecho clic?
- Sensibilidad de los datos: El artículo 4 de rgpd especifica que los datos personales son cualquier tipo de información directamente relacionada con una persona física identificable. Si los datos que se recogen pueden atribuirse a una persona concreta, se consideran personales y están sujetos a rgpd.
- Fuente de datos: ¿Cómo recopila los datos? ¿Los obtiene directamente de los visitantes o los recopila de fuentes externas? Debe especificar sus fuentes en el mapa de datos.
- Finalidad de la recogida: Sólo puede recopilar datos para un número limitado de fines en virtud de la rgpd. Aclarar por qué está recopilando cada dato en su mapa de datos puede ayudarle a comprender mejor si cumple la normativa.
- Utilización de datos: ¿Para qué utiliza la información de sus clientes? Esta información es fundamental para gestionar adecuadamente el artículo 30 y la información al consumidor.
- Periodo de conservación: La conservación de datos está estrictamente limitada por la rgpd en función del tipo de datos de que se trate. Poner nombre al periodo de almacenamiento te ayudará a detectar si estás conservando los datos demasiado tiempo.
- Ubicación y condiciones de almacenamiento: ¿Dónde se almacenan los datos? ¿Se guardan in situ o en un centro de datos externo? ¿Se pasan alguna vez a formato papel? Tiene que saber cómo almacena los datos si quiere gestionarlos correctamente.
- Todos los destinos de transferencia de datos: Es probable que transfiera datos tanto interna como externamente durante el curso ordinario de los negocios. Rastrea exactamente dónde se envía cada dato para construir las conexiones de tu mapa.
- Ubicación de los proveedores externos que reciben los datos: Si transfiere datos a proveedores externos o a ubicaciones internacionales, ¿en qué parte del mundo se encuentran? Los proveedores de fuera de la UE no están sujetos a las mismas normas que las empresas de la UE, por lo que los datos de los consumidores pueden estar menos seguros.
- Protocolos de transferencia de datos a proveedores externos: ¿Cómo se completa la transferencia cuando se transfiere información? ¿Qué protocolos de seguridad se aplican? La seguridad es esencial para demostrar que protege adecuadamente los datos de los consumidores en su documentación del artículo 30.
Seguir un diagrama de mapeo de datos como este de Github puede ayudarte a asegurarte de que has incluido todos los detalles apropiados. Además, ofrece un sencillo tutorial de mapeo de datos que te ayudará a recorrer el proceso.
Técnicas de mapeo de datos
Existen dos tipos principales de técnicas de mapeo de datos: el mapeo de datos manual y el automatizado. Estas técnicas se adaptan a distintos casos de uso.
Elegir el adecuado le ayudará a obtener el mapa de datos más preciso posible sin excederse en su presupuesto ni perder el tiempo.
Asignación manual de datos
Si nunca antes ha generado un mapa de datos, el mapeo manual de datos puede ser la solución adecuada. Cuando realiza un mapeo de datos manual, recopila toda la información sobre sus datos procesados a mano y los introduce de uno en uno en una hoja de cálculo.
Una vez que haya reunido todos los detalles pertinentes, puede utilizar esta hoja de cálculo para crear una representación visual de todas las partes responsables, las transferencias de datos y las actividades de procesamiento implicadas en su organización.
El mapeo manual de datos puede llevar mucho tiempo a medida que aumenta la cantidad de datos que procesa su empresa. Sin embargo, si sólo gestiona una pequeña cantidad de datos y no trabaja con muchos proveedores externos, también es una técnica que requiere menos recursos. Todo lo que necesitas es un programa de hojas de cálculo y un programa básico de diseño gráfico, como Microsoft Excel y los diagramas de flujo que ofrece Microsoft Word.
Cartografía automatizada de datos
La alternativa es utilizar una herramienta específica de mapeo de datos que automatice el proceso. La mayoría de los programas de mapeo de datos escanean los sistemas de su empresa para buscar todas las fuentes de datos, la información almacenada y los detalles sobre esa información. A continuación, recopilan esa información en un mapa generado automáticamente que cubre todos los detalles sobre cómo se están procesando los datos.
Lo único que hay que hacer es revisar los resultados del programa y ajustar aspectos como los nombres que se dan a los responsables y los procesos de datos.
El mapeo automatizado de datos requiere más recursos, pero también es más rápido y preciso para la mayoría de las grandes organizaciones.
Tendrás que asegurarte de que la herramienta es segura y es probable que tengas que pagar por utilizarla. Pero, a cambio, minimizarás el tiempo que tienes que dedicar a redactar encuestas, cotejar respuestas e introducir datos manualmente, lo que dará lugar a un mapa con menos errores humanos.
Utilizar una herramienta de mapeo de datos
Las herramientas que utilice para realizar el mapeo de datos afectarán a cada parte del proceso. Aunque es posible realizar el mapeo de datos a mano, no resulta práctico para la mayoría de las grandes organizaciones.
La solución es utilizar una herramienta de mapeo de datos que se encargue de los detalles.
Con el software de mapeo de datos, la responsabilidad de unir los puntos recae en el ordenador. Sólo tienes que asegurar el programa, darle los permisos adecuados para escanear tus sistemas y, a continuación, elegir cómo quieres que se formatee tu mapa.
Cómo puede ayudar la herramienta adecuada de mapeo de datos
Elegir la herramienta adecuada para elaborar mapas de datos puede marcar la diferencia en cuanto a rapidez y precisión. Si trabaja con la herramienta adecuada, obtendrá ventajas como las siguientes:
- Análisis de datos racionalizados: En su mapa de datos necesita rastrear datos de docenas o incluso cientos de fuentes diferentes. Estos datos aparecerán en muchos formatos diferentes que deben conciliarse en un único mapa. Una buena herramienta de mapeo de datos se encargará de la transformación de esos datos y agilizará el proceso de análisis garantizando que todo se compila con precisión en una única fuente.
- Mayor transparencia: El objetivo de un mapa de datos es aclarar cómo se recopila, utiliza, almacena y envía la información. Una excelente herramienta de mapeo de datos ayudará a que cada paso de ese proceso sea más transparente. Sus analistas deben poder utilizar la herramienta para comprobar cada paso del proceso y confirmar los detalles de lo que informa el mapa de datos general. Esa transparencia puede ayudarle a detectar errores, fallos y riesgos potenciales que una herramienta más opaca no podría detectar.
- Facilidad de actualización: El mapeo de datos debe realizarse con regularidad. Una buena herramienta facilitará la realización de actualizaciones periódicas de sus mapas y el seguimiento de los cambios realizados en cada actualización para saber cómo está mejorando su organización. También deben ayudarle a evitar la pérdida de datos guardando los mapas antiguos y permitiéndole volver a versiones anteriores en caso de corrupción de archivos o errores.
Qué buscar en una buena herramienta de mapeo de datos
Dado que el mapeo de datos debe hacerse con regularidad, elegir una buena herramienta le ahorrará mucho tiempo y esfuerzo. Pero, por supuesto, no todas las herramientas de mapeo de datos son igual de valiosas.
Debe elegir un software de mapeo de datos de alta calidad, o podría acabar malgastando más recursos de los que ahorra.
Pero, ¿cómo es una buena herramienta de mapeo de datos rgpd ? A la hora de elegir, debes tener en cuenta elementos como:
- Facilidad de uso: Cualquier herramienta que necesites utilizar con regularidad debe ser intuitiva y fácil de usar. Las mejores herramientas de mapeo de datos facilitan la introducción de datos, la lectura del resultado y la personalización de la experiencia. Esto le permite gestionar las exigencias habituales del mapeo de datos en menos tiempo, cada vez.
- Flexibilidad: Las mejores herramientas también deben ser flexibles. Es probable que necesite que el programa funcione con una amplia gama de formatos de archivo cuando cargue información. El programa de mapeo de datos adecuado para ti debe ser lo suficientemente flexible como para manejar los formatos que utilizas con más frecuencia, ya sean archivos XML, JSON, Excel, SQL, SAP, SAS o Microsoft CRM.
- Automatización: Las mejores herramientas de mapeo de datos le ayudan a evitar por completo la pérdida de tiempo. Estos programas ofrecen funciones de automatización para ejecutar nuevos informes de mapas de datos por usted. Puede encontrar programas que ejecuten automáticamente nuevos informes en determinados días o después de eventos específicos. Estos programas hacen que el mapeo de datos sea casi totalmente manos libres, agilizando el proceso de días o semanas a meras horas.
Recursos de cartografía de datos
En lo que respecta a la cartografía de datos, existen recursos gratuitos y de pago en Internet.
Si está llevando a cabo el mapeo de datos de su empresa internamente sin un paquete de software dedicado, aquí tiene algunas fuentes donde puede encontrar documentos gratuitos y mapeo de datos en hojas Excel para poner en marcha sus esfuerzos:
- Comisionado de Información de la Isla de Man: Aquí encontrará algunas guías útiles sobre el mapeo de datos, junto con hojas imprimibles de plantillas de documentos de mapeo de datos que puede rellenar con la información correspondiente a su empresa.
- Oficina del Comisario de Información del Reino Unido (ICO): La ICO ofrece una guía detallada, que incluye listas de comprobación y plantillas de documentación descargables tanto para procesadores como para controladores de datos.
- Herramienta de mapeo de datos de la IAPP: Aunque este recurso es técnicamente gratuito, es necesario ser miembro de la IAPP para acceder a él. Puede acceder a una demostración gratuita de la herramienta para comprobar si merece la pena ser miembro de la IAPP.
- Libro Verde sobre el Mapeo de Datos para la Gobernanza de TI: Aquí puedes encontrar un libro verde gratuito sobre mapeo de datos o acceder a una de sus herramientas de mapeo de datos de pago.
- Libro electrónico sobre mapeo de datos de Astera: A cambio de tus datos de contacto, podrás descargarte un libro electrónico gratuito sobre los entresijos del mapeo de datos de Astera.
- Pinterest: Puede que no sea el primer lugar en el que pienses buscar, pero Pinterest alberga una gran variedad de plantillas gratuitas de flujo de datos, listas de comprobación, hojas de cálculo e infografías.
Si está dispuesto a desembolsar algunos fondos para que su organización cumpla la normativa rgpd , aquí tiene algunas herramientas de pago para el mapeo de datos que pueden ayudarle:
- Auditoría del flujo de datos de la gobernanza informática
- Herramienta de mapeo de flujos de datos de Vigilant Software
- Mapeo de datos Astera
Realice un mejor mapeo de datos
En los últimos años, el mundo ha sentido los efectos de rgpd y los cambios en las normas de privacidad que le han seguido. Cumplir la enorme normativa puede parecer un objetivo inalcanzable, pero abordar la rgpd pieza a pieza ayudará a su empresa a adaptarse a la evolución de las normas de privacidad y a las demandas de los clientes.
Uno de los pasos más importantes que puede dar para conseguirlo es cartografiar sus datos. No sólo es un paso fundamental hacia el cumplimiento de rgpd , sino también una buena práctica empresarial. Comprender la intersección entre el mapeo de datos y el cumplimiento de rgpd y aprovechar las herramientas y recursos mencionados anteriormente ayudará en última instancia a proteger los datos de sus usuarios y su negocio.
Más sobre el autor
Escrito por Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha es Especialista en Seguridad de la Información y Protección de Datos y Responsable Certificada de Protección de Datos. Ha sido responsable de protección de datos durante los últimos seis años, ayudando a pequeñas y medianas empresas a cumplir la legislación. También ha sido mentora en materia de cumplimiento de la privacidad para muchas aceleradoras de empresas internacionales. Está especializada en implantar, supervisar y auditar el cumplimiento empresarial de la normativa sobre privacidad (HIPAA, LPRPDE, Directiva Sobre Privacidad Electrónica, RGPD, CCPA, POPIA, LGPD). Masha estudió Derecho en la Universidad de Belgrado y aprobó el examen de abogacía en 2016. Más sobre el autor
