G-BM07SPXBH5

LEGAL VERITAS ®

EMPRESA DE PROTECCION DE DATOS

Privacidad de datos en la empresa: por qué no usar la misma contraseña en todas las cuentas

Privacidad de datos en la empresa: por qué no usar la misma contraseña en todas las cuentas

General ·

En la era digital, en la que casi todo lo importante se guarda en sistemas informáticos, protegerlos adecuadamente es una tarea urgente. Además, en el caso de las empresas es una obligación legal, ya que los sistemas guardan datos de personas físicas. Por tanto, para cumplir con el RGPD no reutilices contraseñas:

  • Riesgos de reutilizar contraseñas en una empresa.
  • Requisitos mínimos técnicos.
  • Sistemas de 2FA, gestores de contraseña y rotaciones.
  • Alineación de la política de la empresa con el RGPD.
Contenidos ocultar
1 Guía para cumplir con el RGPD: no reutilices contraseñas
1.1 ¿Cuáles son los riesgos de reutilizar una contraseña?
1.2 ¿Qué exige realmente el RGPD sobre las contraseñas en la empresa?
1.3 ¿Qué requisitos técnicos debe tener una buena contraseña?
2 Otros mecanismos de seguridad para proteger los datos y cumplir con el RGPD
2.1 Contraseñas débiles y brechas de seguridad: obligaciones de notificación
2.2 ¿Qué es son los sistemas 2FA?
2.3 ¿Cuáles son los beneficios de utilizar un gestor de contraseña?
2.4 ¿Por qué es importante la rotación de contraseñas?
3 ¿Cómo alinear la política de tu empresa con el RGPD?
4 Protege la privacidad de tu empresa con Legal Veritas
5 Preguntas frecuentes
6 Fuentes y recursos

Autora:

Laura Castilla Jiménez, abogada

Guía para cumplir con el RGPD: no reutilices contraseñas

No reutilizar contraseñas es el primer paso para mantener a salvo los datos con los que trata tu empresa. La información que contienen tus sistemas informáticos se refieren tanto a la información confidencial de tu negocio, como a los datos de personas físicas, ya sean empleados o clientes. Por ello, es necesario protegerla adecuadamente mediante el uso de contraseñas robustas y diferentes entre sí.

Desde el punto de vista jurídico, el Reglamento General de Protección de Datos (RGPD) no habla de contraseñas concretas, pero sí impone la obligación de aplicar «medidas técnicas y organizativas apropiadas» para garantizar un nivel de seguridad adecuado al riesgo (art. 32 RGPD). Esto incluye, en la práctica, políticas sólidas de contraseñas, autenticación reforzada y control de accesos.

Además, el principio de integridad y confidencialidad del art. 5.1.f RGPD exige que los datos personales se traten de forma que se garantice su seguridad, incluida la protección contra el acceso no autorizado o ilícito. Es decir, no basta con tener una contraseña cualquiera: la empresa debe demostrar que ha analizado los riesgos y que ha adoptado medidas razonables y actualizadas frente a ellos.

¿Cuáles son los riesgos de reutilizar una contraseña?

La reutilización de contraseñas es una práctica habitual. Sin embargo, el objeto del RGPD es la protección del tratamiento de los datos personales de las personas físicas y regular la forma en la que circulan dichos datos. Así pues, para que tu empresa pueda cumplir el RGPD no reutilices contraseñas, ya que ello entraña los siguientes riesgos:

  • Conlleva una invasión a las distintas cuentas de tus empleados o clientes, ya que los atacantes podrían conocer sus e-mails o datos bancarios, entre otros.
  • Se pueden producir filtraciones de datos e incluso quedar expuesta algún tipo de información de carácter sensible.
  • Podría llevarse a cabo un robo de identidad.

Por otro lado, también existen riesgos directos para la empresa en sí misma, puesto que además de un daño reputacional y de posibles sanciones de la AEPD, se podría producir un acceso a los propios sistemas de tu negocio.

¿Qué exige realmente el RGPD sobre las contraseñas en la empresa?

El RGPD no establece una longitud mínima concreta ni una fórmula mágica de contraseña. Lo que sí exige es que el responsable del tratamiento evalúe los riesgos y aplique medidas acordes a esos riesgos (arts. 24 y 32 RGPD). En tratamientos con datos sensibles o gran volumen de información, se esperará una política de contraseñas mucho más estricta que en sistemas internos con bajo impacto.

Por eso, más que hablar de una obligación literal de «no reutilizar contraseñas», debemos entender que reutilizar credenciales en múltiples servicios aumenta tanto el riesgo que, en muchos entornos empresariales, no será defendible ante la AEPD como medida de seguridad adecuada. Dicho de otro modo: quizá el RGPD no lo prohíbe con esas palabras, pero es una práctica difícilmente justificable en caso de brecha.

En la práctica, las autoridades de control y organismos como la AEPD o INCIBE recomiendan políticas de contraseñas con longitud suficiente, complejidad, unicidad y, cuando sea posible, autenticación de doble factor (2FA). Seguir estas pautas te sitúa en una posición mucho más sólida si tienes que demostrar diligencia en materia de seguridad.

¿Qué requisitos técnicos debe tener una buena contraseña?

Una contraseña robusta debe contener diversos caracteres. Así lo establece el Instituto Nacional de Ciberseguridad (INCIBE) así como la AEPD. Este organismo que alerta de que pese a la relevancia de crear buenas contraseñas, cada año se siguen creando combinaciones muy deficientes en lo relativo a ciberseguridad, como «hola» o «12345678». Por tanto, para crear una buena contraseña y cumplir con el RGPD:

  • Utiliza la mayor longitud posible de caracteres y asegúrate de que el mínimo sea entre 8 y 10.
  • No te bases en patrones fáciles de recordar por la posición de las letras en el teclado, como «qwerty».
  • En la misma línea del consejo anterior, no utilices información personal, ya que son las más fáciles de averiguar.
  • Usa el mayor número posible de caracteres variados: números, mayúsculas, minúsculas, números, guiones, etc.

Otros mecanismos de seguridad para proteger los datos y cumplir con el RGPD

Además de utilizar contraseñas diferentes y robustas, existen otros mecanismos de seguridad para cumplir el RGPD protegiendo los datos de tus empleados y clientes:

  • Sistemas de doble verificación.
  • Uso de gestores de contraseñas.
  • Rotación de las contraseñas de la empresa.

Contraseñas débiles y brechas de seguridad: obligaciones de notificación

Cuando una contraseña débil o reutilizada permite el acceso no autorizado a datos personales, estamos ante una posible brecha de seguridad en el sentido del RGPD. En estos casos, el responsable del tratamiento debe analizar rápidamente el impacto y valorar si está obligado a notificar la brecha a la AEPD e incluso a los propios afectados (arts. 33 y 34 RGPD).

Por eso, tu política de contraseñas no es solo una cuestión técnica, sino también de cumplimiento normativo. Disponer de un protocolo interno de gestión de brechas (detección, contención, análisis, notificación y medidas correctoras) es clave para reducir sanciones y daños reputacionales si algo falla.

¿Qué es son los sistemas 2FA?

Los sistemas 2FA es una medida de seguridad que consiste en verificar la identidad del usuario en dos pasos. Por tanto, al existir una doble barrera se dificulta la posibilidad de realizar un ciberataque.

Por esta razón, cada vez más organizaciones lo están instaurando, como la mayor parte de los bancos o aplicaciones de redes sociales. Sin embargo, en algunas ocasiones, es el propio usuario quien debe configurarla. Esta doble verificación consiste:

  • En primer lugar, en la solicitud al usuario de que introduzca una contraseña.
  • En segundo lugar, en mandar un código a un dispositivo electrónico que sea de propiedad del usuario o utilizar un reconocimiento biométrico. Aunque en este último caso, se deben incluir mayores medidas de seguridad en lo concerniente a la privacidad.

Si optas por utilizar datos biométricos (huella, rostro, iris, etc.) como segundo factor, debes tener en cuenta que el RGPD considera los datos biométricos con fines de identificación como categorías especiales de datos. Esto implica requisitos adicionales: analizar la base jurídica adecuada, valorar si procede una evaluación de impacto (EIPD) y limitar estos sistemas a casos en los que sean proporcionados y necesarios.

En entornos laborales, la AEPD ha sido especialmente exigente con el uso de sistemas biométricos para el control de acceso o fichaje. Antes de implantar este tipo de soluciones en tu empresa, es recomendable consultar con expertos en protección de datos y documentar bien la necesidad, el análisis de riesgos y las salvaguardas aplicadas.

¿Cuáles son los beneficios de utilizar un gestor de contraseña?

El uso de un gestor de contraseña permite que solo sea necesario recordar una única contraseña, la del propio gestor. Sin embargo, es primordial que esta sea robusta, ya que dentro del mismo se contendrán todas las demás, sin necesidad de que tengas que recordarlas.

Además, dichas contraseñas se guardan de manera cifrada y permite que las claves se generen aleatoriamente, sin que tengas que preocuparte de incluir manualmente todos los caracteres recomendados. En materia de privacidad es un factor muy relevante, puesto que se dificulta el acceso a los datos personales de terceros y la fuga y pérdida de los mismos, lo cual, supondría una importante vulneración del RGPD.

¿Por qué es importante la rotación de contraseñas?

En ciberseguridad, actualizar las contraseñas es una medida que puede contribuir a impedir que un ciberatacante acceda con facilidad a los datos personales de terceros que guarde tu empresa. Esta medida adquiere especial relevancia cuando se ha producido una brecha de seguridad en la organización.

Sin embargo, hay que tener cuidado con las rotaciones de contraseña. Se debe evitar que acabe siendo contraproducente. Por ejemplo, si te propones cambiar todas las contraseñas de tu empresa en intervalos cortos, es probable que acabes acudiendo a combinaciones menos seguras.

Por tanto, para realizar la rotación de contraseñas es conveniente recurrir a gestores de contraseña que creen opciones robustas y que las cifren. Además, es crucial que todo ello se combine con una buena política de privacidad y que se lleven a cabo análisis de riesgos de la mano de expertos en protección de datos como Legal Veritas.

¿Cómo alinear la política de tu empresa con el RGPD?

La política de todo negocio debe tener un apartado dedicado a la privacidad. Para alinear la política de tu empresa con el cumplimiento del RGPD te recomendamos acudir a expertos en protección de datos. Algunos de los pasos que debes seguir son:

  • Incorpora medidas técnicas para proteger los datos personales de tus clientes y empleados, como las contraseñas robustas.
  • Asegúrate de que el tratamiento de los datos tiene una base de legitimación adecuada.
  • Mantén actualizada la política de privacidad de tu empresa.
  • Realiza auditorías de protección de datos, análisis de riesgos y, en su caso, evaluaciones de impacto.
  • Averigua si necesitas un Delegado de Protección de Datos o nómbralo igualmente por seguridad.
  • Elabora un registro de actividades de tratamiento.

Para una mejor alineación de la política de tu empresa con la normativa de protección de datos e incrementar la seguridad en tu empresa, te recomendamos confiar todos los aspectos mencionados a expertos en privacidad. ¡Contacta con nosotros!

Protege la privacidad de tu empresa con Legal Veritas

Proteger la privacidad de tu empresa debe ser una de las prioridades de tu negocio, ya que es una de las garantías más importantes de su buen funcionamiento. Para ello, te recomendamos que realices dicha protección a través de expertos en protección de datos que puedan guiarte y asesorarte en cada paso. En Legal Veritas somos un equipo de profesionales en materia de privacidad.

Este artículo no supone, en sí mismo, ningún tipo de asesoramiento sobre protección de datos. Está redactado con carácter informativo, puesto que para mantener la seguridad y desarrollar una política de privacidad adecuada en tu empresa, cada caso debe estudiarse individualmente. ¡Contacta con nosotros!

Contacta con nosotros

Preguntas frecuentes

¿Es la contraseña un dato personal según el RGPD?

El RGPD define dato personal como toda información sobre una persona física identificada o identificable. Una contraseña será un dato personal cuando esté vinculada a una cuenta de usuario o a un sistema que permita identificar a la persona (por ejemplo, un empleado o un cliente). En ese contexto, forma parte de sus credenciales de acceso y debe protegerse con medidas de seguridad adecuadas.

¿La ciberseguridad y el RGPD están relacionados?

La ciberseguridad está estrechamente relacionada con el cumplimiento del RGPD debido a que este exige que el tratamiento de los datos se realice únicamente por quien tiene una base legítima para ello. Por tanto, para evitar vulnerar el RGPD, la ciberseguridad es esencial a la hora de proteger los datos personales contenidos en sistemas informáticos.

¿Qué es la política de privacidad?

Es el documento jurídico del que debe disponer tu empresa para aportar a las personas físicas toda la información relativa al tratamiento de sus datos, a la finalidad del mismo o a cómo ejercer sus derechos, entre otros aspectos.

Fuentes y recursos

Entradas Relacionadas

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *