GDPR: mapeo de datos o cómo los clientes encuentran computadoras portátiles olvidadas hace mucho tiempo

Mapeo de datos o auditoría de datos, o informe de auditoría de flujo de datos

En principio, no importa cómo se llame si, por ejemplo, es un desarrollador de juegos en línea y está listo para descubrir que una cookie y una dirección IP según la legislación europea son datos personales que procesa y que, probablemente, se transfirieron a algunos Empresa de comercialización en Rusia sin la debida atención. Tal vez los datos de clientes potenciales están acumulando polvo en el disco duro de una computadora portátil rota, que se suponía que iría a buscar piezas de repuesto, pero todavía descansa tranquilamente en la caja de cartón de una madre. O en este momento, un especialista novato de su equipo dejó fácilmente una unidad de memoria flash con datos en el automóvil, después de haber acudido a la tienda a tomar un refresco después de una reunión acalorada.

" Está bien ", dices. " Entendemos lo que quieres decir: los riesgos de pérdida y bla, bla, bla ".
" No solo ", te responderé.

De acuerdo con el RGPD y, en principio, la reputación más cara de la empresa, esto no debería suceder. A menos que, por supuesto, tenga 20 millones de euros adicionales para pagar una multa.

El mapeo de datos o el informe de auditoría de flujo de datos es el primer paso hacia la protección de datos personales de acuerdo con las leyes europeas.

Mapeo de datos o informe de auditoría de flujo de datos : una auditoría para aquellos en el mercado europeo o simplemente pensando en ingresar. Y aquí, sea lo que sea que se diga, lo más probable es que tenga que procesar los datos personales de los residentes europeos, y esto se enmarca en el Reglamento General Europeo de Protección de Datos o el Reglamento General de Protección de Datos (GDPR).

El mapeo de datos o el informe de auditoría de flujo de datos es un entretenido proceso de detección de datos perdidos hace mucho tiempo, entidades extrañas que tienen acceso a ellos y programas extraños que por una razón sin precedentes tienen acceso a ellos y disfrutan de su trabajo con gran placer.

A continuación, le diré cómo realizar el mapeo de datos y encontrar los perdidos (aunque estoy seguro de que dirá que no perdió nada y que todo está bajo control).

Auditoria

Se debe llevar a cabo una auditoría en la primera etapa antes de lanzar productos al mercado europeo o, si el producto ya está en el mercado, luego en el camino para llevar el proceso de procesamiento de datos dentro de su empresa a los estándares establecidos por GDPR. No todos se imaginan qué son los datos personales, no todos se dan cuenta de cuántos datos se procesarán, no todos recuerdan dónde están almacenados, cuánto y quién tiene acceso a ellos, y lo más importante, POR QUÉ tienen acceso a ellos. La auditoría responderá todas las preguntas. El objetivo del GDPR es proteger los datos personales. Y cómo podemos protegerlos, sin saber qué, dónde y de quién proteger.

Piénselo de nuevo: los limpiadores limpian las tablas con "casos", los empleados sacan unidades flash y copian accidentalmente datos "antiguos", olvidando eliminarlos de las computadoras de su hogar, listas de clientes potenciales "colgados en las nubes" en servidores desconocidos.

Qué necesita hacer o cómo realizar el mapeo de datos

1. Recopilamos información sobre todos los datos posibles que ha almacenado (teléfonos, apellidos, direcciones, sitios de clientes, correo electrónico, marca de automóviles, etc.). Cuanto más, mejor. Esto nos permitirá entender lo que generalmente tenemos.
2. Dividimos los datos en personales y no personales. Esto es necesario para el GDPR, porque el Reglamento protege solo los datos personales.
3. Determinamos en qué formato se almacena cada tipo de datos (en formato electrónico, en papel o mixto). Esto es necesario para comprender el grado de seguridad de los datos.
4. Recordamos a quién y qué datos transmitimos (a los empleados, conocidos, contratistas, terceros para el almacenamiento, etc.). Esto es necesario para saber si los hemos transferido legalmente y qué puede suceder si un extraño los pierde.
5. Descubrimos de qué manera transferimos datos personales tanto dentro de la empresa como fuera de ella (por teléfono, por correo electrónico, a través de las nubes, CRM, etc.). También proporciona información sobre la fiabilidad de dichos métodos de transmisión.
6. Determinamos la ubicación de la ubicación de los datos (en un servidor de una empresa en Rusia, en un servidor de un vendedor en Australia, en una caja con mamá o en una carpeta en un estante de oficina polvoriento). Esto es necesario para comprender la fiabilidad de su protección y, en principio, la legalidad de estar en un lugar en particular.
7. Averiguamos quién tiene acceso específico a los datos (mejor apellido, por posición). A menudo, el acceso a los datos está disponible no solo para las personas que, de guardia, deberían tener acceso a ellos, sino también para los empleados despedidos previamente que están escribiendo un plan de venganza por un despido injusto.
8. De la lista resultante componimos una cadena de transferencia de datos. Quién, cuándo y por qué motivo los transfirió a este o aquel empleado o un tercero. Esto es necesario para determinar la viabilidad y la legalidad de dicha transferencia.

Aquí termina la parte principal del trabajo y se dibuja un mapa del movimiento de datos personales (prefiero la visibilidad). En la foto, la primera etapa (un boceto muy primitivo) del mapa futuro.



Además de lo anterior, la auditoría debe contener una descripción completa de los procesos de recepción, transmisión, procesamiento y almacenamiento de datos, así como una indicación de los "puntos débiles" y las formas de corregirlos. Ahora no abordaré todos los problemas que, por ejemplo, también descubrimos en el proceso de recopilación de información, como la legalidad de recibir datos, la disponibilidad de consentimiento del interesado para su procesamiento, redundancia o el momento de su almacenamiento y procesamiento.

Solo para resumir

GDPR incitó a las compañías a tomar más en serio los datos personales, y el mapa de movimiento de datos o el mapeo de datos, o el informe de auditoría de flujo de datos, como prefiera, no solo muestra la imagen real de la rotación de datos en la compañía, sino que también encuentra datos personales en computadoras portátiles perdidas hace mucho tiempo que acumulan polvo en la vieja caja de cartón de mi madre.

Auditorías exitosas!