facebook
  • logo_eip_blanco
  • Universidad Católica de Murcia

¿Qué es el tratamiento de datos a gran escala?

Elías Vallejo | 29 junio, 2021

Para definir un concepto tan difuso y poco concreto como el de “gran escala”, presente en el RGPD, en los supuestos de designación obligatoria de Delegados de Protección de Datos, o en los supuestos de necesidad de realizar una Evaluación de Impacto de Privacidad, tenemos que acudir a las “Directrices sobre los delegados de protección de datos (DPD)” del Grupo de trabajo sobre protección de datos del artículo 29, donde hace una aproximación a dicho concepto.

Analizar si un tratamiento es a gran escala

Además de poner ejemplos, se menciona que, para determinar por parte de un responsable o encargado del tratamiento cuándo se está en presencia de un tratamiento “a gran escala” deben tenerse en cuenta los siguientes aspectos:

  • El número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente
  • El volumen de datos o la variedad de elementos de datos que son objeto de tratamiento
  • La duración o permanencia de la actividad de tratamiento de datos
  • El alcance geográfico de la actividad de tratamiento.

que es el tratamiento de datos a gran escala

Análisis de riesgos en los tratamientos de datos personales sujetos a RGPD

Una vez que tenemos claro los aspectos que debemos evaluar para saber si estamos en presencia de un tratamiento a gran escala, debemos cifrar, o poner en claro, los baremos de cantidad para cada uno de los aspectos a evaluar. Para ello, (a falta de regulación legal) podemos acudir a la “Guía práctica de Análisis de riesgos en los tratamientos de datos personales sujetos al RGPD” de la Agencia Española de Protección de Datos, en cuyo anexo I (Plantilla de análisis de la necesidad de la realización de una EIPD) se establecen los siguientes:

  1. El número de sujetos afectados (es decir, cuántos interesados van a ser objeto de este tratamiento) 
  • De 0 a 10.000 (1)
  • De 10.000 a 100.000 (2)
  • + de 100.000 (3)
  1. La duración del tratamiento 
  • Instantáneo (1)
  • Días (2)
  • Semanas (3)
  • Meses (4)
  1. La extensión geográfica del tratamiento 
  • Tratamiento a nivel regional (1)
  • Nacional (2) 
  • Internacional (3)

Guía para la gestión y notificación de brechas de seguridad

No obstante, dicha plantilla ofrece solución a tres de los cuatro aspectos a analizar para verificar si un tratamiento es a gran escala o no.

La cuarta se refiere al volumen de datos o la variedad de elementos de datos que son objeto de tratamiento. Para establecer baremos o cifras al respecto, podemos acudir a la “Guía para la gestión y notificación de brechas de seguridad” de la Agencia Española de Protección de Datos, en cuyo anexo III, establece los siguientes baremos:

  • Menos de 100 registros (1)
  • Más 1.000 (2) (hay una errata, debería ser más de 100)
  • Entre 1.000 y 100.000 (3) 
  • Más de 100.000 (4) 
  • Más de 1.000.000 (5)

Fórmulas de cálculo

Una vez hemos puesto cifras a los cuatro aspectos a analizar para determinar si un tratamiento es a gran escala, debemos establecer fórmulas de cálculo.

Para ello. asignamos números crecientes a cada baremo; y, sabiendo que la sumatoria máxima de los cuatro aspectos es 15, podemos establecer, orientativamente, que un tratamiento es de gran escala, cuando la sumatoria sea igual o superior a 9. 

Veamos un ejemplo para entender este sistema de cálculo.

  1. El número de sujetos afectados es de 120.000 personas
  2. El tratamiento será de meses.
  3. El tratamiento tendrá una extensión geográfica nacional
  4. Los datos afectados son 50.000 (registros)

Esta es una manera orientativa de establecer cuantitativamente el concepto de gran escala, pero nada impide que se puedan escoger otras fórmulas matemáticas.


Si te ha gustado compártelo

Share on facebook
Share on linkedin
Share on twitter
Share on whatsapp
Share on email
Share on facebook
Facebook
Share on linkedin
LinkedIn
Share on twitter
Twitter
Share on whatsapp
WhatsApp
Share on email
Correo

Suscríbete a nuestra newsletter para estar al día de todas las novedades

Información básica sobre protección de datos.
Responsable del tratamiento: Mainfor Soluciones Tecnológicas y Formación S.L.U.
Finalidad: Gestionar su suscripción a la newsletter.
Legitimación para el tratamiento: Consentimiento explícito del interesado otorgado al solicitar la inscripción.
Cesión de datos: No se cederán datos a terceros, salvo obligación legal.
Derechos: Podrá ejercitar los derechos de Acceso, Rectificación, Supresión, Oposición, Portabilidad y, en su caso Limitación, como se explica en la información adicional.
Información adicional: Puede consultar la información adicional y detallada sobre Protección de Datos en https://www.mainfor.edu.es/politica-privacidad

Otros post relacionados

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

 

Fórmate con nuestro Máster y revoluciona tu futuro

Escuela Internacional de Posgrados te informa que los datos del presente formulario serán tratados por Mainfor Soluciones Tecnológicas y Formación, S.L. como responsable de esta web. La finalidad de la recogida y tratamiento de los datos personales es para dar respuesta a la consulta realizada así como para el envío de información de los servicios del responsable del tratamiento. La legitimación es el consentimiento del interés.
Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en cumplimiento@mainfor.edu.es así como el derecho a presentar una reclamación ante la autoridad de control. Puedes consultar la información adicional y detallada sobre Protección de datos en la Política de Privacidad que encontrarás en nuestra página web eiposgrados.edu.es