Acceso a contraseñas de un/a trabajador/a (I)

Recientemente me han consultado una duda en relación al acceso a la password de acceso al sistema de cada trabajador/a de una empresa. La trabajadora en cuestión no se podía creer lo que con gran desparpajo le había solicitado el área de recursos humanos, sin dar a los trabajadores de esta entidad ninguna justificación.

Pues bien, tras consultar a la Agencia Española de Protección de Datos esta resuelve lo siguiente: “En contestación a su consulta se le informa que el articulo 93 del Real Decreto 1720/2007, Reglamento de que desarrolla la Ley Orgánica 15/1999, dispone lo siguiente:

Artículo 93.- Identificación y autenticación.1.- El responsable del fichero o tratamiento deberá establecer las medidas que garanticen la correcta identificación y autenticación de los usuarios

2.- El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que esté autorizado.

3.- Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.

4.- El documento de seguridad determinará la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que mientras estén vigentes se almacenarán de forma ininteligible.

A la vista de lo anterior no es conforme a la normativa que las contraseñas las conozcan personal distinto de su titular ni personas ajenas a la empresa. Tampoco que las conozcan los Administradores de Sistemas”.

Esperemos que esta respuesta deje bastante claro a los responsables de fichero que los deberes de sigilo y confidencialidad con respecto a la información de su tituaridad también son de aplicación ad intra, no sólo de cara al exterior. Y que son los responsables de garantizar que el tratamiento de información es gestionada únicamente por el personal autorizado, y que la identificación/autenticación de estos usuarios segura (quié accede/a qué tiene puede acceder un usuario) de tal forma que se permita guardar una trazabilidad fiable, en su caso, de los accesos realizados.