Determinación de los medios
Home » RGPD » Conceptos principales » Protección de datos por diseño y por defecto » Análisis del artículo 25. Protección de datos desde el punto de vista del diseño » Determinación de los medios

En sus directrices sobre los conceptos de responsable y encargado del tratamiento en el RGPD[1], el Comité Europeo de Protección de Datos ofrece un análisis jurídico de lo que significa determinar los medios de tratamiento. La discusión aquí está más orientada técnicamente. El Comité distingue entre “medios esenciales” y “medios no esenciales”; estos últimos también pueden ser determinados por los encargados del tratamiento. El presente texto no hace tal distinción y se limita a ofrecer una interpretación técnica de las decisiones que conlleva la determinación de los medios.

La determinación de los medios es una fase que precede a la utilización operativa de un sistema de procesamiento y prepara y establece todo lo necesario para las operaciones de procesamiento propiamente dichas. Esto significa que, guiado por los propósitos, un controlador tiene que planificar, diseñar e implementar todo lo necesario para permitir el procesamiento propiamente dicho. Esto incluye al menos las siguientes tareas:

  • Determinar los recursos humanos y técnicos necesarios para el tratamiento;
  • Determinar las instrucciones que definen el tratamiento autorizado y que son adecuadas para los recursos;

A continuación, se describe con más detalle lo que esto supone.

La determinación de los recursos humanos implica al menos lo siguiente:

  • Planificación que determina qué recursos humanos son necesarios, seleccionando los recursos humanos adecuados y poniéndolos bajo la autoridad del controlador o procesador. Esto suele hacerse mediante una contratación que establece una relación contractual entre el empleado y el responsable del tratamiento.
  • Poner a los recursos humanos en condiciones de traducir las instrucciones de manera que constituyan un tratamiento autorizado. Esto puede implicar cosas como
    • la firma de un acuerdo de no divulgación de datos personales,
    • el compromiso del recurso humano con determinadas políticas generales o códigos de conducta, y
    • La formación de los recursos humanos para que adquieran los conocimientos y habilidades necesarios para ejecutar las instrucciones de la forma deseada.

La determinación de los recursos técnicos implica al menos lo siguiente:

  • Planificar, seleccionar y adquirir los recursos técnicos necesarios.
  • Poner los recursos técnicos en condiciones de ejecutar las operaciones de procesamiento necesarias. Esto puede implicar cosas como
    • instalación física,
    • configuración,
    • integración en la infraestructura utilizada, y
    • instalar el software necesario.

Determinación de las instrucciones para los recursos en general: Después de haber discutido la determinación de los recursos, a continuación, se analiza la determinación de las instrucciones. Observando la Figura 5está claro que existen los siguientes tipos de instrucciones:

  • Instrucciones que determinan el comportamiento de un único recurso,
  • instrucciones que determinan la interacción entre múltiples recursos,
  • instrucciones que determinan la interacción entre los recursos y los sujetos de los datos, y
  • instrucciones que determinan la divulgación de datos personales a terceros destinatarios.

Estos diferentes tipos de instrucciones se analizan con más detalle a continuación, distinguiendo entre recursos humanos y técnicos.

A continuación, se analizan las instrucciones para los recursos humanos:

  • Las instrucciones para los recursos humanos individuales pueden expresarse en dos estilos diferentes:
    • Definir los resultados, los productos y los efectos requeridos que debe producir la actividad del recurso humano. Se trata de instrucciones declarativas que se centran en el aspecto del qué y confían en la capacidad del recurso para completar el aspecto del cómo de las instrucciones.
    • Descripciones detalladas de la forma en que debe ejecutarse una actividad. Se trata de instrucciones imperativas que se centran en el aspecto del cómo, requieren menos inteligencia y autonomía del recurso ejecutor y suelen definir el aspecto del qué de forma más implícita.
  • Instrucciones sobre cómo interactúan los recursos humanos entre sí: Esto incluye el diseño y la especificación de los procesos empresariales, los flujos de trabajo y los flujos de datos. Existen varios lenguajes formales [2]y notaciones[3] gráficas para apoyar estas actividades.
  • Instrucciones sobre cómo interactúan los recursos humanos con los recursos técnicos: Los recursos técnicos no son autónomos. Más bien son controlados por los humanos (es decir, los recursos humanos). Incluso el recurso técnico más autónomo necesita ser activado. Por lo general, los recursos humanos ejercen un control de mayor alcance sobre el recurso técnico a través de interfaces de usuario y mediante la interacción hombre-máquina. Una forma habitual de modelar estas interacciones son los diagramas de casos de uso. Estos suelen utilizarse también para la especificación de los requisitos funcionales del software. Las instrucciones sobre cómo interactúan las personas con los recursos técnicos también definen qué recursos humanos están autorizados a acceder a qué recursos técnicos y con qué fines. Por tanto, este tipo de instrucciones también determinan la responsabilidad que tienen los recursos humanos para operar ciertos recursos técnicos.
  • Las instrucciones sobre el modo en que los recursos humanos interactúan con los interesados determinan qué interacciones pueden tener los interesados con el responsable del tratamiento. Esto incluye el tratamiento manual de las invocaciones de los derechos de los interesados (véase el capítulo 3 del RGPD) y las interacciones previstas con el delegado de protección de datos (véase el art. 38(4) del RGPD).
  • Las instrucciones sobre el modo en que los recursos humanos interactúan con los terceros destinatarios determinan qué datos personales se divulgan manualmente a los terceros destinatarios.

La determinación de las instrucciones para los recursos técnicos conlleva lo siguiente:

  • Las instrucciones para los recursos técnicos individuales abarcan potencialmente los siguientes aspectos:
    • Obtención[4] de software que suele constituir instrucciones de máquina que se expresan en algún lenguaje de programación formal (imperativo o declarativo). El comportamiento del software puede depender de parámetros que pueden determinarse en un momento posterior; estos parámetros suelen denominarse configuración. La decisión de si la configuración es posible y qué parámetros conlleva se incorpora al software. Hay dos tipos de configuración,
      • la determinada por el controlador, y
      • la controlada por el interesado (por ejemplo, las preferencias y los ajustes soportados por una interfaz de usuario adecuada).
    • Configuración del software por parte del controlador.
    • Especificación de valores por defecto para las configuraciones realizadas por el interesado. Esto es obviamente el tema de la Protección de Datos por Defecto que se regula en el Art. 25(2) del RGPD (véase la sección 0 más adelante).
  • Instrucciones sobre cómo interactúan los recursos técnicos entre sí: Los recursos técnicos pueden interactuar entre sí cuando tienen interfaces que están conectadas por canales de comunicación. Las comunicaciones que pueden tener lugar suelen estar determinadas por protocolos. Las comunicaciones pueden representarse, por ejemplo, mediante diagramas de interacción como los diagramas de secuencia UML y los diagramas de comunicación UML. Estas comunicaciones suelen implicar el intercambio de datos (personales). Pueden representarse gráficamente en diagramas de flujo de datos. Este tipo de instrucciones también determina qué recursos técnicos están autorizados a interactuar con qué otros y con qué fines. Los aspectos determinados por este tipo de instrucciones suelen estar relacionados con el concepto de arquitectura técnica (de componentes).
  • Las instrucciones sobre cómo interactúan los recursos técnicos con los interesados suelen utilizarse para la configuración por parte de los interesados (véase el artículo 25, apartado 2, del RGPD y su análisis más adelante) y para el apoyo automatizado de los derechos del interesado (véase el capítulo 3 del RGPD). 25(2) del RGPD y su discusión más adelante) y para el apoyo automatizado de los derechos de los interesados (véase el capítulo 3 del RGPD). Ambos requieren interfaces de usuario adecuadas. Una vez más, se pueden utilizar diagramas de casos de uso para representarlas. Una vez más, la autenticación y el control de acceso son necesarios para que el recurso técnico determine si el usuario es realmente el interesado legítimo reclamado.
  • Las instrucciones sobre la transferencia automática de datos a terceros destinatarios determinan qué datos (personales) se revelan, en qué condiciones y cómo. Esto suele requerir interfaces para humanos o máquinas y canales de comunicación adecuados. Los datos pueden ser enviados a los destinatarios o revelados a petición. La autenticación (de personas o máquinas) y el control de acceso también suelen ser relevantes en este caso.

Identificar las medidas técnicas y organizativas adecuadas: Como se ha comentado en la sección 0 anterior, el art. 25(1) obliga a los responsables del tratamiento a aplicar las medidas técnicas y organizativas apropiadas destinadas a aplicar los principios de protección de datos también en el momento de determinar los medios. Ya se ha explicado que la determinación de los medios consiste en determinar los recursos y las instrucciones. Además, juntos, los recursos y las instrucciones constituyen un sistema de tratamiento capaz de ejecutar las instrucciones autorizadas sobre datos personales reales.

Es evidente que las medidas necesarias deben integrarse en este sistema de tratamiento. Es decir, deben integrarse en sus instrucciones y aplicarse a sus recursos. En otras palabras, estas medidas no pueden determinarse de forma independiente. Más bien, deben determinarse junto con la determinación de las instrucciones y los recursos. En cada paso de la determinación de una parte o aspecto del sistema de tratamiento, hay que tener en cuenta los principios de la protección de datos para identificar e integrar las medidas adecuadas.

Por esta razón, los aspectos de un sistema de tratamiento que se han distinguido en la discusión anterior identifican directamente las áreas en las que hay que encontrar y aplicar medidas adecuadas. Por lo tanto, esta sección sirve para estructurar el análisis detallado de las medidas que se realiza en la sección siguiente2.3.3.1. También sirve para lograr cierta exhaustividad al considerar sistemáticamente todos los aspectos y cada principio.

 

 

  1. Comité Europeo de Protección de Datos, Directrices 07/2020 sobre los conceptos de responsable y encargado del tratamiento en el RGPD, versión 2.0, adoptadas el 7 de julio de 2021, https://edpb.europa.eu/system/files/2021-07/eppb_guidelines_202007_controllerprocessor_final_en.pdf(última visita: 2/12/2021).
  2. Estos lenguajes formales incluyen, por ejemplo, el Lenguaje de Definición de Procesos XML (XPDL) y el Lenguaje de Ejecución de Procesos de Negocio (BPEL).
  3. Estas visualizaciones gráficas incluyen, por ejemplo, el modelo y la notación de procesos empresariales (BPMN), los diagramas de actividad, los diagramas de flujo y las redes de Petri.
  4. La adquisición se utiliza aquí como un término colectivo que abarca tanto el desarrollo a medida como la adquisición de software del mercado. En ambos casos, los controladores son responsables de un adecuado análisis y especificación de los requisitos.

 

Ir al contenido