La puerta blindada, las llaves en la portería

La puerta blindada, las llaves en la portería

Hace ya algunos años que la puerta blindada son comunes en los accesos a las viviendas. Se puede decir que son una medida de seguridad razonable, en términos de eficiencia (resultados obtenidos frente a coste). Recuerdo que durante mucho tiempo las nuevas puertas convivieron con la antigua costumbre de dejar una copia de las llaves en la portería, perfectamente identificadas con el piso, en un cajetín metálico sin cerradura, y tras una puerta convencional. "Por si acaso".

Hoy en día hay compañías que hacen lo mismo con los datos de sus clientes. Invierten una fortuna en proteger los datos residentes en el entorno de producción. Luego copian esos mismos datos a entornos no productivos, para utilizarlos en los procesos de desarrollo y prueba de software, para entregarlos a un tercero para estudios estadísticos, para analizarlos desde el punto de vista operativo y otros usos similares para los que no se necesitan los datos personales protegidos por GDPR.

Sabiendo como sabemos que la mayor parte de las brechas de seguridad se deben a factores humanos y no técnicos, parece una temeridad sacar los datos del entorno protegido para ponerlos al alcance de personal interno y externo no autorizado.

icaria GDPR, protege los datos en producción. Cumplimiento de derechos ARCO

Acaba de conocerse una de las primeras sanciones a una empresa por incumplimiento de GDPR. La alemana Knuddles ha sido multada con 20.000€ por LfDI Baden-Württemberg,  la autoridad encargada de velar por la protección de datos en el estado alemán de Baden-Württemberg. De la lectura de la noticia y de los comentarios que ha generado, se pueden deducir dos cosas:

  1. Si se comete un error, es preferible colaborar. Al menos si la agencia sancionadora es LfDI Baden-Württemberg. Este organismo ha valorado las medidas adoptadas por la compañía y la transparencia en la gestión del incidente, y ha mantenido el importe de la multa  relativamente bajo.
  2. En general, los expertos reclaman medidas adicionales para la protección de los datos originales, pero siguen obviando que es frecuente encontrar copias completamente desprotegidas en entornos no productivos.

GDPR recomienda tratar los datos personales con un proceso de anonimización o de seudonimización antes de entregarlos a personas que no tienen necesidad de acceder a ellos.

Compartir
Financiado por
Certificados y reconocimientos
magnifiercrossmenuchevron-down