MEDIDAS ORGANIZATIVAS
El control de acceso es una medida de seguridad importante bajo RGPD
Cuando una empresa procesa datos personales, rara vez es necesario que todos los empleados dentro de la empresa tengan acceso a los datos personales. Por lo tanto, es importante que la empresa implemente la gestión de autorizaciones, para garantizar que las personas adecuadas tengan acceso a ellas. Esto significa que la empresa controlará los derechos de acceso de los empleados dentro de los diversos sistemas digitales de la empresa utilizados para el tratamiento de datos personales.
El principio de acceso sobre la base de la «necesidad de conocimientos»
El acceso a una «necesidad de conocimiento» es un principio según el cual solo deben tener acceso a ella las personas que necesiten acceder a datos personales dentro de una organización para llevar a cabo su trabajo. Esto puede implicar el acceso a diversos documentos y registros que contienen datos personales. O derechos de acceso a todo el sistema.
Por ejemplo, un sistema contable contiene datos personales tanto sobre el personal de la empresa como sobre los clientes. Como facturas, documentación salarial, etc. A menudo no es necesario que todo el personal tenga acceso al sistema contable, sino que puede ser suficiente para que algunas personas lo tengan. Por ejemplo, el personal que trabaja con finanzas y contabilidad dentro de la empresa.
Diferencia entre Autorización y Mandato
La autorización y el mandato son dos conceptos importantes en la ley, pero muchas personas los confunden. Estos dos conceptos son centrales en el contexto de RGPD, y se ocupan del acceso y la gestión de datos personales dentro de una empresa. Estos se refieren en particular a las funciones de los empleados, así como a lo que pueden y pueden hacer con los datos personales.
Autorización
En resumen, esto se refiere al acceso que un empleado tiene a los datos personales. Por lo tanto, esto se refiere a los datos personales a los que el empleado puede acceder técnicamente. Entre otras cosas, esto se refiere al acceso del sistema que tiene el empleado, como la información de inicio de sesión y las cuentas de usuario a los sistemas que procesan datos personales. Un ejemplo concreto de cuando un empleado tiene autorización para un sistema es el siguiente: El empleado está autorizado a iniciar sesión en el sistema CRM de la empresa donde se encuentran los datos personales pertenecientes a los clientes, ya que el CEO de la empresa ha creado una cuenta de usuario en el sistema para el empleado.
Mandato
Se trata de lo que un empleado realmente puede hacer con los datos personales. Es decir, la política o instrucción que rige cómo el empleado puede procesar los datos personales. Incluyendo cuándo y cómo el empleado debe procesar los datos personales. Un ejemplo de mandato es el siguiente: El empleado está autorizado a ver todos los datos personales del cliente que se producen en el sistema CRM. Sin embargo, el empleador ha dado instrucciones claras de que el empleado solo puede procesar los datos personales de los clientes a los que el empleado ha vendido los productos de la empresa. Por lo tanto, el empleado no tiene el mandato de procesar los datos personales de otros clientes, incluso si el empleado tiene la autorización para verlos en el sistema.
Ejemplos de cómo una empresa puede trabajar con el control de acceso
Analizar la necesidad
En primer lugar, es importante analizar la necesidad de diferentes roles dentro de la empresa. Es decir, averiguar qué empleados necesitan acceder a qué datos personales, con el fin de realizar sus tareas.
Documento
Según el RGPD, las empresas deben poder demostrar que cumplen el Reglamento, de conformidad con el principio de rendición de cuentas regulado en el artículo 5, apartado 2, del RGPD. Por lo tanto, es bueno documentar siempre el trabajo de protección de datos por escrito. Además, puede simplificar el proceso para los empleados si hay documentación clara sobre quién necesita acceder a qué datos personales.
Acceso
Asegúrese de controlar los derechos de acceso y permisos para diferentes tipos de usuarios, de modo que las personas adecuadas tengan acceso a los datos personales correctos. Además, puede ser útil tener diferentes niveles de permisos. Por ejemplo, no todos los usuarios de un sistema deben ser «administradores». En algunos casos, es suficiente dar «acceso a la lectura» y que unos pocos tengan derecho a «editar».
Procedimientos
Aquellos que trabajan con permisos de dirección dentro de la empresa deben recibir instrucciones por escrito sobre cómo hacerlo. También debe incluir información sobre lo que implican las diferentes competencias, a fin de garantizar la correcta asignación de la autorización y el mandato. También es importante disponer de un procedimiento para revocar los derechos de acceso asignados. Por ejemplo, cuando un empleado termina su empleo con la empresa.
MÁS INFORMACIÓN SOBRE LAS MEDIDAS ORGANIZATIVAS
Educación para empleados en RGPD y protección de datos en general
Las empresas deben educar a su personal en materia de protección de datos, incluido el RGPD. Sin embargo, esto no significa necesariamente que todos los empleados deban estar familiarizados con todas las reglas del RGPD. Si una empresa tiene varios departamentos, es bueno educar al personal de cada departamento sobre las cosas que son relevantes para sus tareas particulares. Además, las empresas deben ofrecer más formación a su delegado de protección de datos, si tienen uno. La razón por la cual la capacitación es particularmente importante, es porque en la práctica son los empleados quienes procesan los datos personales y si no se hace correctamente, es la empresa la que se considera que infringe el RGPD.