- Quienes desarrollen la actividad de investigación podrán recabar las informaciones precisas para el cumplimiento de sus funciones, realizar inspecciones, requerir la exhibición o el envío de los documentos y datos necesarios, examinarlos en el lugar en que se encuentren depositados o en donde se lleven a cabo los tratamientos, obtener copia de ellos, inspeccionar los equipos físicos y lógicos y requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del tratamiento sujetos a investigación.
- Cuando fuese necesario el acceso por el personal que desarrolla la actividad de investigación al domicilio constitucionalmente protegido del inspeccionado, será preciso contar con su consentimiento o haber obtenido la correspondiente autorización judicial.
- Cuando se trate de órganos judiciales u oficinas judiciales el ejercicio de las facultades de inspección se efectuará a través y por mediación del Consejo General del Poder Judicial.
1. Definición del Alcance de la Actividad de Investigación
El alcance de la actividad de investigación generalmente incluye los siguientes elementos clave:
a. Objetivos de la Investigación
- Propósito: Determina el objetivo principal de la investigación, como evaluar el cumplimiento con la normativa de protección de datos, identificar vulnerabilidades en los sistemas de seguridad, o examinar prácticas de tratamiento de datos.
- Preguntas de Investigación: Define las preguntas específicas que la investigación busca responder.
b. Ámbito Temático
- Áreas de Enfoque: Identifica las áreas específicas a investigar, como la gestión de datos personales, la seguridad de la información, o las políticas de privacidad.
- Normativa Aplicable: Establece las leyes y regulaciones que se aplicarán en la investigación, como el RGPD, la LOPDGDD, y otras normativas locales o sectoriales.
c. Alcance Geográfico
- Ubicación: Define el ámbito geográfico en el que se llevará a cabo la investigación. Puede ser local, nacional, o internacional dependiendo de la entidad y el alcance de su operación.
- Filiales o Sedes: Especifica si la investigación abarcará todas las sedes de la organización o solo ubicaciones específicas.
d. Alcance Temporal
- Periodo de Tiempo: Establece el período de tiempo que será objeto de la investigación. Puede ser un rango de fechas específico o un período de tiempo continuo, como el año fiscal actual.
- Frecuencia de Actividades: Define si la investigación se realizará de manera puntual o si habrá revisiones periódicas.
e. Tipos de Datos y Sistemas a Investigar
- Datos Personales: Especifica qué tipos de datos personales serán analizados, como datos de empleados, clientes, o proveedores.
- Sistemas y Procesos: Identifica los sistemas, aplicaciones, y procesos específicos que serán evaluados, como sistemas de gestión de datos, bases de datos, o sistemas de seguridad.
f. Entidades y Procesos Incluidos
- Responsables del Tratamiento: Define quiénes son los responsables del tratamiento de datos que serán evaluados.
- Procesos y Procedimientos: Incluye los procesos y procedimientos específicos relacionados con el tratamiento de datos que serán revisados.
2. Ejemplos de Alcance en Actividades de Investigación
a. Investigación sobre Cumplimiento Normativo
- Objetivo: Evaluar el cumplimiento con el RGPD y la LOPDGDD.
- Ámbito Temático: Revisión de políticas de privacidad, procedimientos de gestión de consentimientos, y medidas de seguridad.
- Alcance Geográfico: Operaciones en España.
- Alcance Temporal: Políticas y prácticas implementadas durante el último año.
- Tipos de Datos: Datos personales de empleados y clientes.
b. Auditoría de Seguridad de la Información
- Objetivo: Identificar vulnerabilidades en los sistemas de seguridad.
- Ámbito Temático: Revisión de controles de acceso, protección contra malware, y gestión de incidentes de seguridad.
- Alcance Geográfico: Todas las oficinas principales.
- Alcance Temporal: Últimos seis meses.
- Sistemas y Procesos: Sistemas de TI, redes internas, y políticas de seguridad.
3. Importancia del Alcance en la Investigación
a. Claridad y Enfoque
- Evita Ambigüedades: Un alcance bien definido ayuda a evitar ambigüedades y asegura que la investigación esté centrada en los objetivos establecidos.
- Optimización de Recursos: Permite una asignación eficiente de recursos y tiempo al centrarse en áreas específicas.
b. Gestión de Expectativas
- Expectativas Realistas: Define claramente qué se puede y qué no se puede abordar, gestionando las expectativas de los stakeholders.
c. Base para la Evaluación
- Medición de Resultados: Proporciona una base para evaluar los resultados y conclusiones de la investigación en relación con el alcance definido.