Una guía práctica de qué es un ROPA

Esta guía explica qué es un ROPA de forma práctica, con un enfoque en decisiones de analítica respetuosas con la privacidad.

Un ROPA es un registro de actividades de procesamiento. Según el artículo 30 de GDPR, los controladores y procesadores deben mantener registros escritos de ciertas actividades de procesamiento de datos personales y ponerlos a disposición de una autoridad supervisora ​​que los solicite (GDPR Artículo 30).

Trátelo como un mapa vivo de cómo se mueven los datos personales a través de su organización. Un buen ROPA no es papeleo por sí solo. Ayuda a los equipos a responder preguntas prácticas: ¿qué datos recopilamos, por qué, adónde van, quién puede acceder a ellos, durante cuánto tiempo los conservamos y qué riesgo crea?

¿Quién necesita un ROPA?

El artículo 30 incluye una exención para organizaciones con menos de 250 empleados, pero la exención es limitada. No se aplica cuando el procesamiento pueda resultar en riesgo para las personas, no sea ocasional o incluya categorías especiales de datos o datos de condenas penales.

En la práctica, muchas organizaciones pequeñas todavía necesitan registros porque el procesamiento rutinario no es ocasional. La gestión de clientes, los registros de empleados, las listas de boletines, los análisis, los tickets de soporte, el procesamiento de pagos y los canales de contratación son actividades de procesamiento recurrentes.

Registros del controlador frente al procesador

Un responsable del tratamiento decide los fines y medios del tratamiento. Por ejemplo, una empresa SaaS que decide recopilar datos de registro de prueba, enviar correos electrónicos de productos y medir las conversiones del sitio web es un controlador de esas actividades.

Un procesador actúa según las instrucciones de un controlador. Un proveedor de análisis, una plataforma de correo electrónico o un proveedor de alojamiento en la nube puede ser un procesador de datos del cliente, según la relación y el contrato.

Los responsables del tratamiento deben registrar los datos de contacto, los propósitos, las categorías de interesados, las categorías de datos personales, las categorías de destinatarios, las transferencias a terceros países, los períodos de retención cuando sea posible y las medidas de seguridad cuando sea posible. Los encargados del tratamiento deberán registrar los datos de contacto de cada responsable del tratamiento, categorías de tratamiento, transferencias y medidas de seguridad.

Qué incluir

Para cada actividad de procesamiento, capture:

• Nombre de la actividad: por ejemplo, análisis de sitios web, boletín informativo, atención al cliente, facturación, contratación.
• Finalidad: por qué es necesario el tratamiento.
• Sujetos de datos: visitantes, clientes, empleados, solicitantes, donantes, suscriptores.
• Categorías de datos: datos de contacto, datos de cuenta, datos de uso, metadatos de pago, contenido de soporte.
• Base jurídica: contrato, consentimiento, intereses legítimos, obligación legal, etc.
• Destinatarios y proveedores: equipos internos y procesadores externos.
• Transferencias internacionales: países, mecanismo de transferencia y salvaguardas.
• Retención: cuánto tiempo se conservan los datos y por qué.
• Medidas de seguridad: control de acceso, cifrado, registro, copias de seguridad, proceso de eliminación.
• Propietario: la persona o equipo responsable de mantener actualizada la entrada.

Para análisis, sea específico. No escriba "datos analíticos". Indique si recopila direcciones IP, ID de cookies, URL completas, referencias, parámetros de campaña, datos del dispositivo, eventos de conversión e ID de usuario. Si utiliza análisis sin cookies, documente esa elección de diseño.

Cómo construir uno sin que resulte doloroso

Comience con los sistemas, no con los departamentos. Enumere las herramientas que procesan datos personales: CRM, procesador de pagos, proveedor de correo electrónico, análisis, base de datos de productos, servicio de soporte, sistema de recursos humanos, alojamiento en la nube, registro de errores, repetición de sesiones, plataformas publicitarias y hojas de cálculo.

Luego entreviste a los propietarios. Pregunte qué datos ingresan al sistema, de dónde provienen, quién los usa, si se comparten y cuándo se eliminan. Encontrará procesamiento paralelo en exportaciones, hojas de cálculo e integraciones antiguas. No lo escondas. El ROPA es útil porque revela la realidad.

Priorice primero las áreas de alto riesgo: datos de categorías especiales, datos de niños, ubicación precisa, datos financieros, datos de salud, seguimiento a gran escala y transferencias internacionales.

Cómo ayuda ROPA a los equipos de productos

Un ROPA concreta la privacidad por diseño. Antes de agregar un nuevo evento de análisis o herramienta de marketing, los equipos de producto pueden verificar si el procesamiento ya existe, si el propósito es compatible y si los datos son necesarios.

También respalda los derechos de los interesados. Si alguien solicita acceso o eliminación, el ROPA le indica qué sistemas pueden contener sus datos. Si un proveedor cambia de subprocesador o de región de alojamiento, el ROPA muestra qué actividades de procesamiento se ven afectadas.

Ritmo de mantenimiento

Revise el ROPA cada vez que lance una nueva función, agregue un proveedor, cambie la retención, ingrese a un nuevo mercado, introduzca el seguimiento o procese una nueva categoría de datos. Como mínimo, programe una revisión trimestral del producto, ingeniería, aspectos legales, seguridad y operaciones.

Un ROPA obsoleto puede ser peor que uno incompleto porque genera falsa confianza. Mantenga las entradas lo suficientemente breves para mantenerlas, pero lo suficientemente detalladas como para que un regulador, auditor o nuevo empleado pueda entender el procesamiento.

Para análisis que prioricen la privacidad, el ROPA debería ser uno de sus documentos más sólidos. Puede mostrar que limitó intencionalmente la recopilación, evitó identificadores innecesarios, mantuvo corta la retención y eligió un modelo de medición que respeta a los usuarios y al mismo tiempo brinda información útil a la empresa.

Una entrada de análisis de muestra ROPA

Una entrada analítica útil podría decir: "Medición de la audiencia del sitio web para mejorar las páginas públicas y el rendimiento de la campaña". Los interesados ​​son visitantes. Las categorías de datos son la URL de la página después de la eliminación de parámetros, la referencia, las etiquetas de campaña, la clase de dispositivo, el país, el navegador y los eventos de conversión. Los destinatarios son los equipos internos de marketing y productos más el procesador de análisis. La retención es de 13 meses para informes agregados y más corta para eventos sin procesar, si existen eventos sin procesar.

Agregue la base legal, el comportamiento de almacenamiento o cookies, el mecanismo de transferencia y el propietario. También tenga en cuenta las exclusiones: sin perfiles publicitarios, sin ID de usuario, sin almacenamiento completo de IP, sin captura de campos de formulario y sin análisis en rutas confidenciales. Esas declaraciones negativas son importantes porque muestran límites intencionales, no simplemente falta de documentación.

Lista de verificación de mantenimiento ROPA

Haga que la entrada de análisis ROPA sea específica: propósito, base legal, categorías de visitantes, campos de eventos, identificadores, cookies o almacenamiento, destinatarios, subprocesadores, ubicación de alojamiento, retención, transferencias y proceso de eliminación. Evite etiquetas vagas como "datos analíticos".

Actualice el registro cada vez que cambie una etiqueta, evento, proveedor, regla de consentimiento, período de retención o destino de datos. Un ROPA es útil sólo si coincide con lo que realmente envían el navegador y el backend.