Artículo 17 RGPD

Uno de los derechos que el responsable del tratamiento de datos personales debe garantizar a los afectados en el mismo, es el ejercicio de eliminarlos. Este derecho, también llamado “derecho al olvido” se recoge en el artículo 17 del RGPD, y refleja el derecho de los interesados a la supresión de sus datos cuando se dé alguna de las siguientes circunstancias:

  • Los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos
  • El interesado retire el consentimiento en que se basa el tratamiento
  • El interesado se oponga al tratamiento 
  • Los datos personales hayan sido tratados ilícitamente
Implementando las medidas organizativas y técnicas adecuadas

Aunque para los usuarios de cualquier servicio puede parecer que la supresión de sus datos es tan fácil como apretar la tecla adecuada, en realidad para algunas organizaciones con arquitecturas complejas de procesos, ya sean o no automatizados, no es un asunto trivial.  El procedimiento de eliminación de datos personales puede llegar a tener la entidad suficiente como para que sea recomendable abordarlo como un proyecto TIC.

El reglamento deja libertad al responsable del tratamiento a la hora de elegir las medidas y procedimientos apropiados para respaldar la seguridad de los tratamientos; pero indica que se deben adecuar al riesgo (art 24.1 RGPD).

Para garantizar el derecho de supresión hay que realizar básicamente dos cosas, primero localizar los datos del afectado, y segundo eliminarlos. El problema es que no todas las empresas tienen un modelo de datos gestionado y adaptado a la.privacidad de los datos personales que les permita saber con exactitud dónde se localizan este tipo de datos. Entre otras razones porque las estructuras de datos se hubieran creado antes de 1999, fecha en la que entró  vigor la antigua LOPD.

Sin una gestión y monitorización de los datos es difícil garantizar la eliminación de los mismos. Además, si se nos pide bloquearlos (art 32 Proyecto de LOPD) antes de su eliminación definitiva para un posible seguimiento de las autoridades, el problema se complica aún más.

El Registro de Actividades de Tratamiento

Un primer paso para localizar y gestionar los datos es el desarrollo del Registro de Actividades de Tratamiento (RAT). Durante su elaboración se realiza el estudio del ciclo de vida del dato, el cual permite al responsable tomar conciencia de las ubicaciones reales y presumibles de los datos de carácter personal afectados en el tratamiento.

Descubrimiento de datos

Dado que los datos personales de un interesado pueden estar dispersos e incluso duplicados a lo largo de los sistemas de información, es aconsejable realizar una tarea de descubrimiento y limpieza de datos como uno de los primeros pasos a ejecutar en la adecuación al RGPD.  

Dada la naturaleza estructurada de los datos personales como el número de la Seguridad Social, el DNI, o el número de tarjeta de crédito, es posible identificarlos y localizarlos mediante patrones. Una herramienta que permita realizar esta operación de forma automatizada puede ser tan simple como un script que mediante expresiones regulares recorra servidores de ficheros,  repositorios, discos duros de los puestos de trabajo, registros de las bases de datos, etc. Pero también se pueden emplear utilidades más eficientes como algunas herramientas de informática forense o de Business Intelligence.

Bloqueo de datos

Una vez que se conocen las ubicaciones de los datos se procederá a su eliminación. No obstante, y a pesar de que el RGPD no impone el bloqueo de los datos como fase previa a su eliminación,  y subraya la necesidad de hacer efectivo el derecho del interesado sin demora, el actual Proyecto de Ley española sobre la Protección de Datos de Carácter Personal en su artículo 32 lo regula expresamente. En él se indica el deber del responsable del tratamiento a bloquear los datos como paso previo a su rectificación o supresión definitiva.

La finalidad de este bloqueo es que los datos permanezcan accesibles para la puesta a disposición de los jueces y tribunales, del Ministerio Fiscal o de las Administraciones Públicas competentes, y en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento.

La legislación española contempla la exclusión de la obligación en el caso de que el sistema de información no permita el bloqueo, o que su adaptación suponga un esfuerzo desproporcionado. En tal caso se debe proceder a un copiado seguro de la información; de modo que quede evidencia digital de los datos y de la no manipulación de los mismos

Cómo implementar el bloqueo de datos

En el tratamiento automatizado de los datos se pueden observar dos niveles de bloqueo. Por una parte el bloqueo desde el almacén de datos, y por otro lado el corte del acceso desde la aplicación que interactúa con los datos.

El bloqueo a nivel de registro o seguridad a nivel de fila es el enfoque más adecuado cuando el almacén de datos soporta esta funcionalidad. Bases de Datos como SQL Server y DB2 lo soportan; pero no siempre nos vamos a encontrar con almacenes de datos que lo permitan; en cuyo caso la tarea se dificulta bastante. De otro lado, el control de acceso a registros concretos desde la aplicación supondría modificar su código; cosa que puede llegar a ser bastante farragosa e incluso puede añadir vulnerabilidades a la nueva aplicación.

Por esto en la mayoría de los casos la solución más rentable es la de copia segura de los datos. Una posible implementación de la copia segura sería la siguiente:

  • Salvaguardar los datos del interesado desde cada una de las ubicaciones donde se almacenan sus datos en una base de datos o fichero paralelo al original. Esta base de datos o fichero sólo incorporará los datos bloqueados.
  • Garantizar la integridad y no manipulación de las salvaguardas, por ejemplo mediante el cálculo del hash de la copia.
  • Eliminación de los datos del almacén de datos original
  • Dotar de acceso autorizado y limitado a las salvaguardas a aquellos usuarios responsables de poner esa información a disposición a las autoridades
  • Revisar las salvaguardas periódicamente para eliminar los datos que prescriban.

El procedimiento de copia segura se puede mejorar añadiendo una modificación al procedimiento de restauración ordinaria de datos; de tal forma que se incluya un filtro para evitar la restauración de los datos de los interesados que hayan ejercido el derecho a supresión.

Garantizando la seguridad del procedimiento

Una de las preocupaciones del DPO es garantizar el nivel de seguridad de los sistemas y procedimientos que soportan los tratamientos. En el caso de la supresión de los datos, el DPO debe asegurar que el procedimiento elegido para llevarla a cabo es seguro y que garantiza las libertades de los afectados. Una forma de hacerlo es tomar como base las medidas que resultan de aplicación dentro del referencial de LEET Security. Con ellas se podrá evaluar el nivel de seguridad con que se operan los sistemas para la realización de dicho tratamiento, e incluso acreditar y demostrar mediante la calificación que efectivamente se están empleando las medidas de seguridad adecuadas.

 

All you need is Leet

 

Suscríbete a nuestras comunicaciones desde este enlace 

Puedes seguirnos en twitter.com/leet_security

16 de octubre de 2018