Acceso a contraseñas de un/a trabajador/a (I)

Recientemente me han consultado una duda en relación al acceso a la password de acceso al sistema de cada trabajador/a de una empresa. La trabajadora en cuestión no se podía creer lo que con gran desparpajo le había solicitado el área de recursos humanos, sin dar a los trabajadores de esta entidad ninguna justificación.

Pues bien, tras consultar a la Agencia Española de Protección de Datos esta resuelve lo siguiente: “En contestación a su consulta se le informa que el articulo 93 del Real Decreto 1720/2007, Reglamento de que desarrolla la Ley Orgánica 15/1999, dispone lo siguiente:

Artículo 93.- Identificación y autenticación.1.- El responsable del fichero o tratamiento deberá establecer las medidas que garanticen la correcta identificación y autenticación de los usuarios

2.- El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que esté autorizado.

3.- Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.

4.- El documento de seguridad determinará la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que mientras estén vigentes se almacenarán de forma ininteligible.

A la vista de lo anterior no es conforme a la normativa que las contraseñas las conozcan personal distinto de su titular ni personas ajenas a la empresa. Tampoco que las conozcan los Administradores de Sistemas”.

Esperemos que esta respuesta deje bastante claro a los responsables de fichero que los deberes de sigilo y confidencialidad con respecto a la información de su tituaridad también son de aplicación ad intra, no sólo de cara al exterior. Y que son los responsables de garantizar que el tratamiento de información es gestionada únicamente por el personal autorizado, y que la identificación/autenticación de estos usuarios segura (quié accede/a qué tiene puede acceder un usuario) de tal forma que se permita guardar una trazabilidad fiable, en su caso, de los accesos realizados.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *