La puerta blindada, las llaves en la portería.

Back to Entradas

La puerta blindada, las llaves en la portería.

Hace ya algunos años que las puertas blindadas son comunes en los accesos a las viviendas. Se puede decir que son una medida de seguridad razonable, en términos de eficiencia (resultados obtenidos frente a coste). Recuerdo que durante mucho tiempo las nuevas puertas convivieron con la antigua costumbre de dejar una copia de las llaves en la portería, perfectamente identificadas con el piso, en un cajetín metálico sin cerradura, y tras una puerta convencional. «Por si acaso«.

Hoy en día hay compañías que hacen lo mismo con los datos de sus clientes. Invierten una fortuna en proteger los datos residentes en el entorno de producción. Luego copian esos mismos datos a entornos no productivos, para utilizarlos en los procesos de desarrollo y prueba de software, para entregarlos a un tercero para estudios estadísticos, para analizarlos desde el punto de vista operativo y otros usos similares para los que no se necesitan los datos personales protegidos por GDPR.

Sabiendo como sabemos que la mayor parte de las brechas de seguridad se deben a factores humanos y no técnicos, parece una temeridad sacar los datos del entorno protegido para ponerlos al alcance de personal interno y externo no autorizado.

Acaba de conocerse una de las primeras sanciones a una empresa por incumplimiento de GDPR. La alemana Knuddles ha sido multada con 20.000€ por LfDI Baden-Württemberg,  la autoridad encargada de velar por la protección de datos en el estado alemán de Baden-Württemberg. De la lectura de la noticia y de los comentarios que ha generado, se pueden deducir dos cosas:

  1. Si se comete un error, es preferible colaborar. Al menos si la agencia sancionadora es LfDI Baden-Württemberg. Este organismo ha valorado las medidas adoptadas por la compañía y la transparencia en la gestión del incidente, y ha mantenido el importe de la multa  relativamente bajo.
  2. En general, los expertos reclaman medidas adicionales para la protección de los datos originales, pero siguen obviando que es frecuente encontrar copias completamente desprotegidas en entornos no productivos.

GDPR recomienda tratar los datos personales con un proceso de anonimización o de seudonimización antes de entregarlos a personas que no tienen necesidad de acceder a ellos.

Share this post

Back to Entradas