Un aspecto clave de una buena estrategia de protección de datos de empresa es la gestión del control de acceso a datos. El control de acceso es la capacidad de una empresa u organización para controlar en todo momento quién puede acceder a los datos personales que la empresa tiene almacenados en sus sistemas.
Un sistema en el que todos los empleados de una empresa tienen acceso a todos los datos sin ningún tipo de control o limitación crea un nivel de riesgo muy alto de sufrir brechas de datos, con sus consiguientes multas, y choca además con algunas de las regulaciones marcadas por el Reglamento General de Protección de Datos.
¿Por qué está más desprotegida una empresa sin control de acceso a datos? Por muchas razones, pero principalmente porque cuanta más gente pueda acceder a los datos personales custodiados por una empresa, más cabos sueltos estaremos dejando para que se pueda perder el control de los datos. Como hemos ya contado en este blog, el factor humano es una las causas más frecuentes de problemas en la gestión de datos personales y la cadena de custodia de los datos es tan fuerte como el más débil de sus eslabones. Por supuesto, cuantos más eslabones añadamos a la cadena, más probabilidades de que uno nos dé problemas.
El RGPD no habla del control de acceso de manera explícita, aunque entraría claramente dentro de las obligaciones que presenta el principio de Privacidad por Diseño, especialmente cuando el RGPD explicita que se debe contar con sistemas de identificación de usuarios. Esto requiere de una estrategia de control de acceso a datos personales para todas aquellos empleados o proveedores que debe seguirlos durante todo su periplo profesional, desde que empiezan, cuando cambian de puesto y cuando abandonan la empresa.
La importancia de tener métodos seguros de identificación y autorización
Como ya hemos mencionado, las empresas y organizaciones deben contar con un sistema granular que proporcione acceso dependiendo de las necesidades y no un acceso general para todos los empleados independientemente de que no necesiten esos datos para nada.
Además, el control no se debe limitar a empleados, sino que se debe extender a terceras partes y proveedores. La empresa debe asegurarse de que solo la gente adecuada tiene acceso a los datos que les corresponden y en el tiempo y manera correctos. La tecnología es una aliada para conseguir este objetivo ya que permite proporcionar un control granular del acceso, limitando, por ejemplo, el tipo de datos a los que un departamento o empleado específico puede acceder. Este tipo de sistemas también permiten anonimizar u ocultar parcialmente los datos, por ejemplo, mostrando sólo los últimos cuatro dígitos de una tarjeta bancaria.
La codificación de datos y el control de acceso
Muchas empresas y organizaciones consideran que basta con la codificación de datos para dotar a los datos de una protección suficiente contra accesos no autorizados. Sin embargo, aquí también cuanta mucho los niveles y privilegios de acceso ya que las claves de esos sistemas de codificación pueden estar al alcance de personal no autorizado.
Poner en marcha un sistema eficiente de control de acceso a datos puede parecer una tarea ardua y costosa para una empresa, pero es imprescindible para desarrollar un sistema efectivo de protección de datos personales. El RGPD pone un especial énfasis en la prevención y en la protección de datos embebida en los sistemas de gestión empresarial. Estas medidas son clave para una protección de datos moderna y efectiva y ayudarán de manera muy significativa a minimizar los riesgos tanto financieros como reputacionales.
