Herramientas de ayuda al Data Protection Officer (4): El ciclo de vida de la Información

La recientemente aprobada Regulación Europea de Protección de Datos establece la necesidad de llevar a cabo Análisis de Impacto en la Privacidad (DPIA, según siglas en Inglés) en aquellos tratamientos de información que puedan tener un impacto significativo en el derecho a la privacidad de los individuos. Una herramienta esencial a la hora de llevar a cabo un análisis de este tipo es el conocido ciclo de vida de la información, que hace referencia a los distintos estados por los que pasa la información desde su creación hasta su destrucción. El ciclo de vida de la información es una herramienta muy conocida por los profesionales de seguridad de la información y en los últimos años, además, se ha convertido en el eje alrededor del cual se estructuran las estrategias de Gestión y Gobierno del Dato en las organizaciones.

«El ciclo de vida de la información es una herramienta muy conocida por los profesionales de seguridad de la información y en los últimos años, además, se ha convertido en el eje alrededor del cual se estructuran las estrategias de Gestión y Gobierno del Dato en las organizaciones.»

En el contexto de la realización de un Análisis de Impacto en la Privacidad, el ciclo de vida nos ayudará a la identificación sistemática y completa de los riesgos del tratamiento. En este artículo vamos a desarrollar un modelo de ciclo de vida que recoge lo mejor de los distintos modelos que se pueden encontrar en la literatura especializada. La idea es que este modelo constituya la columna vertebral de cualquier análisis de impacto en la privacidad; por ello, para cada una de las fases del ciclo descrito, haremos mención a los contenedores de información relevantes y los riesgos para la privacidad y la seguridad que habrá que considerar.

«En el contexto de la realización de un Análisis de Impacto en la Privacidad, el ciclo de vida nos ayudará a la identificación sistemática y completa de los riesgos del tratamiento»

El modelo

Las fases de modelo de ciclo de vida de la información son:

Creación / Recolección / Captura

Esta es la fase inicial del ciclo de vida. Se asocia con el acto de crear, adquirir o incorporar información nueva que no existía con anterioridad en la organización. Considerando el origen de la información, ésta puede provenir:

• Del propio individuo al cual hacen referencia los datos (el interesado, en terminología de protección de datos). En este caso diremos que la información es de primera parte. El ejemplo típico es cuando el interesado rellena la información en un formulario de captura de datos personales.
• Obtenida mediante la observación o vigilancia del propio individuo, a veces sin que este sea plenamente consciente de ello; en este caso diremos que la información procede de la vigilancia. Un ejemplo típico es el la recopilación de datos del comportamiento y la navegación de un individuo mientras usa Internet.
• En algunos casos, la información procede no del interesado directamente, sino de una tercera parte. Nos encontramos en este caso, por ejemplo, cuando una organización adquiere una base de datos a una empresa que la comercializa, cuando una organización proporciona datos a un encargado del tratamiento para que los procese en su nombre o cuando se reciben por parte de una institución en el contexto de un estudio en el que colaboran varias instituciones.

«La fase de Creación / Recolección / Captura se asocia con el acto de crear, adquirir o incorporar información nueva que no existía con anterioridad en la organización»

En cuanto a los contenedores de información a tener en cuenta, en esta fase podemos identificar:

• Aplicaciones de software (de escritorio, aplicaciones web,…) desde donde los propios interesados o una persona encargada llevan a cabo la entrada manual de datos.
• Servicios web o sistemas de intercambio de ficheros a través de los cuales la información es transmitida de forma automática entre el origen y el destino.
• Dispositivos móviles, portátiles, estaciones de trabajo y servidores donde se lleva a cabo el procesamiento.
• Las redes de comunicaciones por donde se transmite la información; por ejemplo, Internet; redes privadas de comunicaciones o redes de área local internas.
• Soportes de almacenamiento: en los casos en los que la información llega a la organización en soportes físicos (ej: valijas de documentación) o en soportes digitales como CD, DVD, Cintas, memorias USB…
• Transportes físicos en los que se lleva a cabo el traslado de los soportes…

Con respecto a la recolecta o captura, cuestiones esenciales a tener en cuenta desde el punto de vista de la privacidad son el de la base legal que legitima el tratamiento; por ejemplo, el consentimiento del propio interesado y la información que ha recibido el interesado sobre el procesamiento (incluido dónde poder ejercer sus derechos de cancelación, oposición, etc…). Otros aspectos a considerar son que, desde el momento en que se incorpora la información en la organización, existe la obligatoriedad de preservar la calidad y actualidad de la información; que se recabe más información de la mínima requerida para el propósito de tratamiento; que el procesamiento se lleve a cabo en un país no compatible en cuanto a su legislación de protección  de datos y/o que intervenga una tercera empresa con la cuál no se ha establecido una relación contractual.

Otros temas relevantes ya desde el punto de vista de la Seguridad de la Información son:

• Problemas a la hora de autentificar el origen de los datos.
• Riesgo de acceso ilegítimo a la información por interceptación de las líneas de comunicaciones o el transporte físico.
• Problemas de integridad de la información: Errores en los programas o procesos de captura de información y validación de la información de entrada. En algunos casos la inexactitud en la información obedece a acciones deliberadas de los usuarios.
• En cuanto a la posibilidad de que los usuarios puedan imputar en las aplicaciones transacciones fraudulentas, es esencial que de cara a prevenirlas se incorporen controles de aplicación como: controles de accesos, segregación de funciones y políticas de 4 ojos y registros de log de las aplicaciones.

Mantenimiento / Pre-procesado

Esta fase implica el procesamiento inicial que no conlleva la creación de ninguna nueva información o extracción de valor de la información. En su caso más simple se trata de la mera transferencia de la información recién capturada al almacenamiento persistente; en otros casos se llevan a cabo procesos para acondicionar la información, normalizarla y sanearla antes de su integración en la organización. En esta fase se encuadra también el cambio que se produce en la información como consecuencia del mantenimiento.

«El mantenimiento / Pre-procesado implica el procesamiento inicial que no conlleva la creación de ninguna nueva información o extracción de valor de la información…»

En cuanto a los contenedores de información a tener en cuenta en esta fase del ciclo de vida, podemos identificar los mismos referidos en la fase anterior; los riesgos principales en esta fase hacen referencia sobre todo a los potenciales problemas de integridad de la información (con el consiguiente impacto en el principio de calidad) como consecuencia de errores de sistema y/o imputación falsa de datos; problemas que deriven en la pérdida irreversible de la información y los problemas derivados de un acceso no autorizado a la información. Además, hay que considerar que el procesamiento se lleve a cabo en un país no compatible en cuanto a su legislación de protección  de datos y/o que intervenga una tercera empresa con la cuál no se ha establecido una relación contractual.

Almacenamiento

Tras el pre-procesamiento o mantenimiento de la información, la siguiente fase suele ser el almacenamiento; esto es, el acto de hacer persistente la información para su uso regular. Se trata del almacenamiento relacionado con los procesos de producción y operación de la organización que implican el uso cotidiano de esta información que representa las actividades actuales.

En cuanto a los contenedores de información a considerar, cuando se trata de información en formato digital, éste almacenamiento suele hacerse en sistemas de bases de datos u otros tipos de ficheros (binarios, de texto, de imágenes.. Estos ficheros suelen estar en unidades de almacenamiento de servidores, estaciones de trabajo, pero también en soportes como CD/DVD, cintas….Cuando se trata de información en formato físico, el almacenamiento permanente se traduce en documentación impresa almacenada en archivadores físicos.

«Se trata del almacenamiento persistente relacionado con los procesos de producción de la organización que implican el uso cotidiano de esta información que representa las actividades actuales…»

En cuanto al almacenamiento permanente otra variable importante a tener en cuenta es la localización física o ubicaciones de las instalaciones (ej: oficinas, centros de procesos de datos) donde se ubican las bases de datos o los ficheros físicos. Se trata este de un aspecto importante a tener en cuenta cuando el almacenamiento se subcontrata a terceros como en los casos de hosting o almacenamiento en régimen de Cloud Computing.

Los principales riesgos a tener en cuenta en esta fase son:

• Los accesos no autorizados y la eventual difusión no controlada de la información, tanto en escenarios causados por errores u omisiones, como en casos de accesos fraudulentos deliberados.
• La destrucción de la información como consecuencia de errores en los sistemas o circunstancias catastróficas fortuitas o deliberadas (ej: incendio).

Síntesis de datos / Transformación

Esta fase del ciclo de vida se corresponde con la creación de nueva información o extracción de valor (conocimiento) a partir de la información pre-existente capturada con anterioridad. En esta fase se pueden encuadrar procesos de Business Intelligence, Big Data Analytics, etc… orientados a aplicar la lógica inductiva para extraer conocimiento del capital de información de la organización.

En este contexto, los contenedores de información principales a tener en cuenta son:

• Software y aplicaciones usadas para el procesamiento
• Portátiles, estaciones de trabajo y servidores donde se lleva a cabo el procesamiento.
• Las redes de comunicaciones involucradas.

«En esta fase del ciclo de vida se aplica la lógica inductiva para crear nueva información o extraer de valor (conocimiento) a partir de la información pre-existente capturada con anterioridad…»

En cuanto a los riesgos normalmente asociados con esta fase, desde el punto de vista de la privacidad, el principal problema que encontramos es del «re-purposing» o reutilización de información previamente recabada para propósitos distintos a aquellos para los que recabó inicialmente. Es cada vez más frecuente que las organizaciones traten de obtener valor de las ingentes cantidades de información que manejan sobre sus clientes, para obtener conocimiento y expandir, en la medida de los posible, sus modelos de negocio; sin embargo, no hay que perder de vista que según la regulación de protección de datos, el procesamiento de información debe estar circunscrito a los propósitos de procesamiento específicos para los que se obtuvo el consentimiento del interesado y/o en los que se basa la legitimidad del tratamiento, de modo que si se pretende usar la información para fines diferentes, ésta reutilización puede requerir la obtención de un nuevo consentimiento o al menos la información transparente a los interesados.

Especialmente importante, en cuanto a la privacidad, es además el riesgo de sanciones / reputacional por hacer un perfilado de los usuarios con consecuencias significativas para los interesados sin darles la oportunidad a que se puedan oponer al tratamiento. Además, hay que considerar si el procesamiento se lleva a cabo en países sin las debidas garantías y/o en el procesamiento intervengan terceros y no haya un contrato que regule su participación.

Desde el punto de vista de Seguridad de la Información, los principales problemas de esta fase son:

• Los errores de procesamiento y, por tanto, la generación de información y conocimiento erróneo que pueda llevar a decisiones equivocadas.
• Problemas de control de acceso en los sistemas donde se llevan a cabo estos procesos (ej: clústeres Hadoop, herramientas de Análisis de datos,…), de modo que puedan producirse accesos no autorizados a la información y posibles fugas de información.

Uso de la Información

En esta fase la información recabada (haya o no sido transformada y/o sintetizada), se aplica en la ejecución de las tareas de la organización. Es en esta fase donde los datos cobran su sentido y aportan la información y el conocimiento necesarios para alcanzar los objetivos de la organización.

En esta fase como categoría especial de «contenedores» podemos identificar a los diferentes roles de empleados de la organización y colaboradores externos que necesitan acceder y usar esta información; bien sea desde las propias instalaciones donde la información está ubicada o bien mediante acceso remoto a través de redes de comunicaciones en el caso de información digital. Otros contenedores relevantes son:

• Estaciones de trabajo, servidores, laptops y dispositivos móviles en donde se materializa el uso de la información.
• Software y aplicaciones usadas para el procesamiento.

«En esta fase la información recabada (haya o no sido transformada y/o sintetizada), se aplica en la ejecución de las tareas de la organización»

Los principales riesgos son los derivados de accesos no autorizados a la información, bien sea por error u omisión en la gestión de los accesos o por actos malintencionados, pudiendo derivar en la difusión de la información a terceros no autorizados y a eventuales sanciones. En cuanto a la seguridad de la información, además hay que tener en cuenta el riesgo de pérdida definitiva de la información como consecuencia de errores en los sistemas o circunstancias catastróficas fortuitas o deliberadas (ej: incendio).

Otros riesgos a tener en cuenta desde la perspectiva de privacidad son riesgo de sanciones / reputacional por no proveer información sobre dónde ejercer sus derechos de oposición, cancelación, etc…y no tramitar estos derechos de manera adecuada; porque se permita el acceso desde países que no tengan las requeridas garantías legales o a empresas terceras sin que haya un contrato que regule el acceso y riesgo de sanciones / reputacional por hacer un perfilado de los usuarios con consecuencias significativas para los interesados sin darles la oportunidad a que se puedan oponer al tratamiento.

Transferencia de datos / Difusión / Publicación

Esta fase se corresponde con aquellas situaciones en las que la información es enviada fuera de la organización, por ejemplo, a terceras organizaciones, a los propios individuos o a otras entidades como organismos gubernamentales, auditores, etc…

Esta transferencia se puede llevar a cabo mediante transporte físico de valijas en el caso de documentación física o soportes informáticos como Cintas, DVD/CD,… o a través de redes de comunicaciones haciendo uso de servicios web u otros protocolos/sistemas de intercambio de ficheros. Entre las aplicaciones más usadas en las organizaciones para esta difusión encontramos el correo electrónico, las redes sociales o los servicios de almacenamiento en la nube.

«Esta fase se corresponde con aquellas situaciones en las que la información es enviada fuera de la organización…»

Los principales riesgos son el envío a destinatarios erróneos, el riesgo de sanciones / reputacional porque se hacen acciones comerciales a individuos que han ejercido sus derechos de oposición, cancelación y olvido…. la interceptación de las comunicaciones o los problemas derivados de un protección inadecuada en los sistemas de destinos. Especialmente importante en cuanto a la privacidad es el riesgo de sanciones / reputacional porque se envíe la información a países que no tengan las requeridas garantías legales y/o a empresas terceras sin que haya un contrato que regule el acceso; además, en cuanto a seguridad de la información debemos considerar el riesgo de acceso ilegítimo a la información mediante interceptación de las líneas de comunicaciones o el transporte físico de la documentación y Riesgo de acceso no autorizado en destino como consecuencia de controles inadecuados en la propia información y/o en el destino.

Retención / Archivado de datos

Implica la copia de todos aquellos datos de producción que no se espera vayan a ser usados de manera cotidiana (ej: información de clientes que han cancelado todos sus contratos con la organización, ….)a un entorno de almacenamiento secundario para poder ser accedidos en caso de que sea necesario. Implica la eliminación de la información en los sistemas primarios. En esta fase, también podemos encuadrar las copias de respaldo (backups) de la información que se llevan a cabo para prevenir incidencias.

En cuanto a los contenedores de información a tener en cuenta en esta fase debemos citar las redes de comunicaciones a través de las cuales se produce la transferencia desde el almacenamiento primario al secundario; en el caso de documentación física, el transporte físico hasta las instalaciones de archivo definitivas. También debemos contemplar aquí las aplicaciones y sistemas que automatizan el archivado y recuperación de la información. El almacenamiento secundario se materializa en bases de datos, cintas de backup, DVD/CD….

«Implica la copia de todos aquellos datos de producción que no se espera vayan a ser usados de manera cotidiana (ej: información de clientes que han cancelado todos sus contratos con la organización, ….)a un entorno de almacenamiento secundario para poder ser accedidos en caso de que sea necesario…»

Los principales riesgos a mencionar son la pérdida de integridad de la información, que en los casos extremos pueden derivar en la no posibilidad de recuperación de la información, la pérdida de la documentación física y los problemas derivados de accesos no autorizados a la información, bien sea por error u omisión en la gestión de los accesos o por actos malintencionados, pudiendo derivar en la difusión de la información a terceros no autorizados y a eventuales sanciones.

Purgado / Destrucción / Eliminación

Con estos nombres identificamos la fase final del ciclo de vida de la información, cuando ésta ya no es necesaria y , transcurrido el periodo de retención establecido legalmente o por la propia organización, se procede a la eliminación de irreversible de cualquier rastro de la información en la organización.

En el caso de documentación física, se procederá a la destrucción, siendo el procedimiento más adecuado y común, el triturado en donde el papel se hace tiras o partículas, que pueden ser menores de 10mm en el caso de información confidencial. En cuanto a la información archivada en soportes electrónicos, los métodos pueden ser la destrucción física: pulverización, desintegración, triturado o incineración en el caso de soportes que no vayan a ser re-utilizados o la sobre-escritura y des-magnetización en soportes que vayan a serlo.

«…transcurrido el periodo de retención establecido legalmente o por la propia organización, se procede a la eliminación de irreversible de cualquier rastro de la información…»

En cuanto a los principales riesgos desde la perspectiva de la privacidad está el mantener la información más allá de los plazos establecidos para la retención máxima de la información, lo que puede suponer sanciones de los reguladores. Otro de los riesgos típicos de esta fase es el no realizar la destrucción de manera completa y/o efectiva, de modo que terceros no autorizados puedan acceder a restos de la información. Recordamos aquí alguna que otra noticia aparecida en los medios sobre el hallazgo en contenedores comunes de basura, de cientos de expedientes médicos de pacientes o currículums de candidatos a puestos de trabajo.

Epílogo

Nos despedimos aquí, esperando que la información sea de utilidad. En sucesivas entregas veremos la utilidad de esta herramienta a la hora de hacer un análisis de impacto en la privacidad. Hasta pronto, un fuerte abrazo.