Llega el mes de agosto, en el que muchas empresas aprovechan para, con las personas que no se han ido de vacaciones, idear nuevos procesos, servicios o productos, de cara a la vuelta en septiembre.
Esta práctica será más importante este año, debido la crisis económica que estamos sufriendo por culpa del COVID-19 y a la necesidad de buscar nuevas formas de generar ingresos y sobrevivir.
Por otro lado, con toda probabilidad será la digitalización, en cualquiera de sus manifestaciones, la base de muchos de estos nuevos proyectos.
En este sentido, recordamos la importancia de que, en la medida en que se empleen datos personales en los futuros procesos, productos o servicios, se lleve a cabo un análisis de los riesgos implicados y las medidas que se deberán aplicar. Este análisis de riesgos y propuestas de medidas deberá ser tan detallado como el desarrollo de la propia idea, y debemos dejar constancia de él por escrito, como evidencia de nuestra diligencia a la hora de aplicar el principio de privacidad desde el diseño.
Para facilitaros esta labor, contamos con un Canvas de análisis de la privacidad desde el diseño que, basado en la estructura de Business Canvas Model, agiliza y hace más agradable esta tarea.
Para completarlo, lo que debemos hacer es respondernos las siguientes cuestiones:
Titulares: ¿A quienes pertenecen los datos que trata este nuevo proceso, producto o servicio?
Finalidades: ¿Para qué necesitamos tratar sus datos?
Datos: ¿Qué datos exactamente trataremos?
Base legitimadora: ¿Qué nos permite o permitirá utilizarlos? ¿Ya tenemos su consentimiento? ¿Se puede enmarcar dentro de los servicios que ya prestamos?
Trabajadores que tratan: ¿Qué áreas, roles o perfiles en la organización necesitarán acceder y tratar estos datos?
Operaciones: ¿Cuáles serán concretamente los tratamientos? Tengamos en cuenta el flujo de vida del dato: recogida, almacenamiento, uso, comunicación, cancelación y eliminación.
Caducidad: ¿Hasta qué momento dejarán de ser necesarios dada la finalidad que he previsto?
Terceros con acceso o cesionarios: ¿Necesitaré darle acceso a los datos a terceros para este nuevo proceso, producto o servicio? ¿Será necesario cederlos? Es importante intentar identificarlos, saber dónde se encuentran, qué justifica este acceso o comunicación.
Por último se repiten dos bloques, Riesgos y medidas, a cada lado de operaciones. La idea es que por un lado identifiquemos los riesgos y medidas asociados al tratamiento interno (trabajadores), y por otro lado los asociados a los terceros (proveedores y cesionarios).
Conforme vayamos completando este Canvas tenemos un escenario de reflexión que puede dar cuenta de la protección de la privacidad que tenemos desde el inicio de este nuevo proceso, producto o servicio.
Aquí tienes un enlace para la descarga del canvas en pdf.
Juan Carlos Álvarez
Socio-Consultor en cohaerentis
Especialista en Competitividad y Derecho Digital
