Iniciemos por reconocer que aunque la ley 21.719 de Chile está inspirada en el GDPR de Europa, no es igual. Y una de las diferencias es esta: Si bien allá es obligación tener un registro de tratamientos de datos personales, en Chile esto es algo opcional. Salvo que se quiera realizar un Modelo de Prevención de infracciones (que es completamente opcional), la realización de un RAT también lo es.
Entonces, ¿por qué muchas empresas dedican una gran cantidad de tiempo y de equipos especializados para hacer este levantamiento? Dejamos acá las principales razones que hemos identificado:
1. Es imposible cumplir sobre lo que no se conoce
La ley es muy clara en los principios y condiciones que se deben cumplir cuando se realiza un tratamiento de datos, pero es casi imposible cumplirlos si no sabemos que tratamientos realiza una organización. Si hacemos un esquema (no exhaustivo, sino orientativo) se podría ver algo asi los ámbitos que se deben cumplir en un tratamiento de datos:
Si bien, es una simplificación, ayuda a hacerse una idea de lo importante que es tener un mapa de los tratamientos para poder cumplir con la nueva normativa.
2. La realidad es muy diferente a los documentos
Hay compañías que levantan los registros de tratamiento desde los documentos de procesos y procedimientos, pero la realidad es que las personas adecúan sus funciones y eso puede cambiar la forma en que tratan los datos. Por ejemplo: cuando un cliente va a retirar un producto a la tienda el procedimiento indica que se debe fotografiar la cédula de identidad, pero cuando esa máquina se echó a perder, los ejecutivos que atienden comenzaron a sacar fotografía con su celular a la cédula para no retrasar las entregas. Este último tratamiento tiene riesgos diferentes del indicado en el procedimiento original.
3. Es el punto de partida de la gestión de riesgos (que si es obligatorio)
Además de las exigencias que se indican en el 1er punto, otra de ellas tiene que ver con la gestión de riesgos y la mitigación que estos tienen para el titular de datos. Recordemos que la protección de datos tiene que ver con proteger a las personas que están detrás de esos datos. Y la ley exige que frente a tratamientos que son invasivos, demostrar que se evaluaron y que se minimizaron. Por ejemplo, si estoy usando datos de salud de alguien esto tiene mayor riesgo que si estoy utilizando datos como su nombre y apellido. Imaginemos que paso a enviar por error un listado de datos a alguien que no corresponde, cuál tendrá mayor impacto? el de datos de salud o el que tiene el nombre? Este tipo de riesgos se podrá evaluar si somos exhaustivos en el registro de tratamientos.
Pero los que hemos pasado por un proceso de levantamiento de RAT, sabemos que es una actividad llena de fricciones. Por eso acá te dejamos:
5 consejos prácticos para ayudar a que sea más guiada esta actividad:
1. Documentar todas las actividades de tratamiento, no sólo las obvias
Muchas veces los riesgos están ocultos, porque son acciones que tenemos tan normalizadas, que no las notamos. Por ejemplo: sacar fotocopia a una cédula de identidad, o su versión más reciente y más riesgosa: sacarle una fotografía. Este simple hecho, puede dejar abierta una puerta para que le realicen estafas a la persona, ya que con su número de serie, se puede suplantar su identidad.
Por ello, es necesario documentar todas las actividades que realizamos en el día a día, o de manera esporádica. Preguntémonos:
- Qué actividades hago en mi día a día en el trabajo que tengan involucrados datos personales (de cualquier persona, por ejemplo de clientes, de colaboradores, de visitantes, de hijos de colaboradores, etc)
- Qué actividades hago de forma más esporádicas, pero que también involucran datos personales (por ejemplo: envio un reporte semanal de todas las personas que entraron a un edificio)
Recuerda que el análisis posterior no es por la frecuencia con que realizas una actividad, sino por su riesgo.
Puede que una acción esté muy normalizada y aún asi ser riesgosa, por lo que hay que documentarlas igual. El riesgo se evalúa después.
2. Pensar primero en el alcance y luego en la profundidad
Se aconseja primero listar todas las actividades de tratamiento que realizan, para tener el alcance lo más completo posible. Tomarse unos minutos para abarcar todo lo que hacemos y que no se nos quede nada afuera.
¿Cómo ayudar a los colaboradores a pensar en esto?
Explica el contexto, que es lo que se busca identificar y porqué. Además, dales ejemplos que sean cercanos a su realidad o a la función que realizan. Lo que buscamos es que dejen de pensar por un momento su trabajo como algo automático, sino que la observen y analicen.
Posteriormente, con ese listado, vamos a documentar cada una de ellas con la profundidad que se requiere en el registro de tratamiento. Por ejemplo, identificando desde donde proviene la información, para que se usa, con que sistemas se trabaja, etc.
3. ¿Tienes proveedores? Debes incluir las actividades que ellos realizan por encargo tuyo
Un error frecuente es asumir que si el tratamiento lo realiza un proveedor, significa que la responsabilidad fue traspasada. La ley es muy clara respecto a ello, si un proveedor actúa por nuestro encargo, la responsabilidad de que el proveedor cumpla con la normativa, sigue siendo nuestra.
Por lo mismo, debemos documentar también las actividades que realizan los proveedores. Por ejemplo: tengo un proveedor que realiza campañas telefónicas. Este tratamiento se puede realizar de muchas maneras y requiere un análisis, ya que puede implicar riesgos diferentes. Si el proveedor emplea una carpeta compartida para enviar la base de clientes a quienes llamar, no es lo mismo que si se le da acceso restringido a un sistema de llamadas donde no tiene acceso a la base completa.
4. Incluye los procesos automáticos
Tal como se indica: los procesos automáticos que implican datos personales, también son tratamientos. Por ejemplo, ¿se le envía a los clientes un correo de bienvenida automático? eso es un tratamiento que se debe considerar.
5. ¿Cómo saber qué documentar?
Con todas estas consideraciones es fácil perderse y no saber qué documentar. Continuamente hay dudas de que campos son realmente requeridos y con que nivel de detalle hay que describir cada actividad.
Lamentablemente, no hay una única respuesta para esto. Y la respuesta siempre va a ser que se debe documentar la información necesaria para poder después analizar la información en función de su riesgo.
Si está demasiado general, va a ser imposible identificar los riesgos de los tratamientos, pero a la vez si son demasiado detallados, después su nivel de granularidad va a hacer muy compleja su gestión.
Pero en este punto la tecnología nos ayuda. Prisma IA de Soyio, que nos permiten gestionar de manera más eficiente la información que se recaba de entrevistas con quienes están en el día a día usando datos personales. Así, nos permiten de manera automatizada solicitar información a gran cantidad de colaboradores, pidiendo información a través de una conversación natural con un chatbot y posteriormente poder tener la información estructurada y tener análisis automáticos. Todo esto, sin quitar la revisión humana de la ecuación, que es necesaria para calibrar que estamos dejando la información adecuada y relevante de cómo operamos con los datos en una organización.
