En empresas del sector tecnológico el manejo de datos está a la orden del día, y es por ello por lo que han de tenerse en cuenta algunas recomendaciones al respecto, asociadas en este caso a aspectos tan comunes como el uso de entornos de desarrollo y preproducción durante la ejecución de proyectos software.

Como ya hemos hablado en otros artículos, la protección de datos en cualquier empresa debe ser uno de los objetivos principales a cumplir, ya que dentro de estas, disponemos de numerosos datos personales no solo de clientes, sino también de trabajadores, usuarios, candidatos, etc.

En empresas del sector tecnológico el manejo de datos está a la orden del día, y es precisamente por ello por lo que deben tenerse en cuenta algunas recomendaciones al respecto, asociadas en este caso a los entornos de desarrollo y preproducción.

La elección del entorno y sus principios de seguridad

La elección del entorno en el que trabajamos debe estar basado principalmente en los estándares de seguridad digital, limitando la exposición de datos reales personales. Existen entornos en los que las medidas de seguridad se distienden o quedan obsoletas, por lo que esos datos quedan expuestos y sin protección alguna.

Para prevenir esta exposición de los datos con los que tratamos, la AEPD recomienda de manera clara y concisa trabajar en el entorno de desarrollo, realizar las pruebas en el entorno de preproducción, y finalmente desplegar aplicaciones y servicios en el entorno de producción.

Debe evitarse de manera tajante el muestreo de datos en entornos de prueba, ya que su utilización en esta fase puede hacer que personas no autorizadas dispongan de datos personales. Ahora bien, puede darse el caso de que sea estrictamente necesario la utilización de datos personales en entornos de preproducción, a este respecto, la AEPD nos aconseja documentarlo todo mediante un análisis de necesidad y proporcionalidad, y aplicar las medidas técnicas y organizativas que sean necesarias conforme al artículo 32 del RGPD y de acuerdo con el riesgo del tratamiento.

Anonimización, minimización y datos sintéticos

Tratar los datos de las personas bajo la anonimización y/o el principio de minimización previo a una prueba, es otra de las recomendaciones que nos lanza la AEPD, intentando evitar con esto el problema del robo de información o la brecha y fuga de la misma. La anonimización nos ayudará a la inexistencia de probabilidad objetiva para identificar a la persona física en el conjunto de datos, y de esta manera, de haber una fuga o brecha de estos datos, no existiría la posibilidad de relacionar o asociar la información sensible con la persona a la que le pertenecen.

En cuanto al principio de minimización, aplicaremos medidas técnicas y organizativas para solo tratar los datos que únicamente sean precisos para este fin. Entre las medidas a aplicar, podemos reducir el tratamiento, su extensión, o limitar su plazo de conservación y su accesibilidad.

La utilización de datos sintéticos es otra de las recomendaciones que nos aporta la AEPD, y así, evitar con ello el tratamiento y la utilización de datos personales en las pruebas de desarrollo. Los datos sintéticos son datos generados de forma artificial, y nos ayudarán a generar un nuevo conjunto de datos que conserva las mismas características de información del conjunto de datos origen, pero que no permite recomponer los datos originales a partir de los creados artificialmente.

Fase de eliminación

La última recomendación, y no menos importante, va en consonancia con el derecho de supresión en cuanto a la exigencia de eliminación de cualquier dato personal. Debemos de asegurarnos de que los datos personales con los que hemos tratado sean totalmente eliminados, añadiendo para ello la fase de eliminación de datos a nuestro procedimiento y documentarla.

El riesgo en la utilización de datos personales en los entornos productivos existe, y es por esto, por lo que debemos aplicar todas las medidas posibles en todos los entornos de nuestro trabajo.

La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental reconocido en los artículos 18.4 de la Constitución española, 8.1 de la Carta de los Derechos Fundamentales de la Unión Europea y 16.1 del Tratado de Funcionamiento de la Unión Europa, y la no protección de estos, puede vulnerar diferentes principios y acarrear infracciones penadas con sanciones.