Hace ya algunos años que la puerta blindada son comunes en los accesos a las viviendas. Se puede decir que son una medida de seguridad razonable, en términos de eficiencia (resultados obtenidos frente a coste). Recuerdo que durante mucho tiempo las nuevas puertas convivieron con la antigua costumbre de dejar una copia de las llaves en la portería, perfectamente identificadas con el piso, en un cajetín metálico sin cerradura, y tras una puerta convencional. "Por si acaso".
Hoy en día hay compañías que hacen lo mismo con los datos de sus clientes. Invierten una fortuna en proteger los datos residentes en el entorno de producción. Luego copian esos mismos datos a entornos no productivos, para utilizarlos en los procesos de desarrollo y prueba de software, para entregarlos a un tercero para estudios estadísticos, para analizarlos desde el punto de vista operativo y otros usos similares para los que no se necesitan los datos personales protegidos por GDPR.
Sabiendo como sabemos que la mayor parte de las brechas de seguridad se deben a factores humanos y no técnicos, parece una temeridad sacar los datos del entorno protegido para ponerlos al alcance de personal interno y externo no autorizado.
Acaba de conocerse una de las primeras sanciones a una empresa por incumplimiento de GDPR. La alemana Knuddles ha sido multada con 20.000€ por LfDI Baden-Württemberg, la autoridad encargada de velar por la protección de datos en el estado alemán de Baden-Württemberg. De la lectura de la noticia y de los comentarios que ha generado, se pueden deducir dos cosas:
GDPR recomienda tratar los datos personales con un proceso de anonimización o de seudonimización antes de entregarlos a personas que no tienen necesidad de acceder a ellos.