Como ya sabrás, el 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD), que sustituirá a la actual normativa vigente y que comenzará a aplicarse el 25 de mayo de 2018.

Uno de los principales objetivos del RGPD es dar control a las personas sobre sus datos personales, concediéndoles derechos para acceder a los mismos y rectificarlos. También son significativos nuevos derechos para los individuos, incluyendo el «derecho al olvido» y el derecho a la portabilidad de datos.

El RGPD define los datos personales como «toda información sobre una persona identificada o identificable («el interesado»), una persona natural identificable es una que puede ser identificada, directa o indirectamente, en especial a través de un identificador como un nombre, un número de identificación, un dato de localización o un identificador en línea o uno o más factores relacionados con la identidad social, cultura, económica, mental, genética, fisiológica, psíquica de la persona natural».

Los identificadores en línea, como las direcciones IP actualmente se pueden clasificar como datos personales, salvo que estén anonimizados.

¿Qué roles encontramos?

La empresa que almacena en sus instalaciones, o en equipos alquilados (hosting, Cloud, …), la información tiene el rol de controlador de datos y debe llevar un registro y hacer un seguimiento de actividades de tratamiento de datos personales. Esto incluye datos personales tratados dentro de la organización, pero también por terceras partes, denominados procesadores de datos.

Los procesadores de datos pueden ser cualquier cosa, desde proveedores de software como servicio o servicios integrados de terceros integraciones con terceros, funciones en cloud, etc.

Tanto los controladores como los procesadores de datos deben estar capacitados para rendir cuentas sobre el tipo de datos tratados, su finalidad y los países y/o terceras partes a los que se ha emitido la información.

Solo se puede emitir información a otras organizaciones que cumplan con el RGPD.

La empresa debe elaborar un registro como prueba de la autorización otorgada.

No está permitido ningún tratamiento de datos personales sin autorización previa. Esto significa que, antes de que tenga lugar cualquier tratamiento, debe obtenerse autorización, y que se otorga en base a información clara y específica sobre clases de datos y finalidad.

En el caso de datos personales sensibles, la autorización debe ser explícita, lo cual subraya la importancia de la autorización en el tratamiento de datos personales sensibles.

Las personas disponen actualmente del «derecho a la portabilidad de datos», el «derecho de acceso a datos» junto con el «derecho al olvido», y pueden revocar su autorización siempre que así lo deseen. En tal caso, el controlador de datos deberá eliminar los datos personales de la persona, si ya no son necesarios para la finalidad para la que fueron recopilados.

En el caso de una violación de datos, la empresa debe ser capaz de notificar a las autoridades de la protección de datos y a las personas afectadas dentro del plazo de 72 horas.

¿Quién se hace responsable?

En cada empresa se debe definir la figura de responsable del tratamiento, como la persona que vigila y audita el cumplimiento de la normativa en la organización.

Se define la figura del encargado del tratamiento como aquella persona física o jurídica, autoridad, servicio u otro organismo que presta un servicio al responsable de la información que conlleva el tratamiento de datos personales por cuenta de éste.

Entre las medidas más novedosas que contempla la RGPD destaca que el responsable y el encargado del tratamiento están obligados a designar un «delegado de protección de datos» (DPO, “Data Protection Officer”) para garantizar el cumplimiento de la normativa.

El “Delegado de Protección de Datos” (DPO), es una nueva figura, especialista en derecho de protección de datos, que se crea al lado de las figuras del responsable y del encargado del tratamiento de los datos.

¿Cómo puede ayudarme Microsoft Dynamics NAV o Microsoft Dynamics 365 Business Central a estar preparado para cumplir con el RGPD?

Bien, hay varias características del producto que nos van a ayudar a cumplir con la normativa. No obstante, es importante recordar que solo cubre los datos dentro de la aplicación y necesitaremos auditar cualquier otra fuente de datos personales que tengamos en nuestro negocio.

No existe una forma prestablecida para cumplir con RGPD, puesto que cada empresa es diferente, por consiguiente está en cada organización realizar una correcta interpretación y aplicar el reglamento a su caso particular.

Además de las cosas que ya tenemos «de serie» con Microsoft Dynamics NAV/BC (la gestión de IDs de usuario y passwords, los permisos y el principio contable), se ha incorporado la Clasificación de datos, que nos permitirá poder realizar todo lo que la norma nos exige, como veremos a continuación en el artículo.

¿Qué versiones son las que incorporan esta «Clasificación de datos»?

Como es lógico, aquellas versiones dentro del ciclo de soporte, es decir NAV 2015NAV 2016NAV 2017NAV 2018 y por supuesto Business Central.

El cambio se introdujo en la Cumulative Update de Marzo de 2018, o lo que es lo mismo:

  • NAV 2018 (CU 03)
  • NAV 2017 (CU 16)
  • NAV 2016 (CU 29)
  • NAV 2015 (CU 41)

Os dejo un enlace a este post de mi blog donde tenéis acceso directo a las mismas.

¿Cuáles son las diferentes «Clasificaciones de datos»?

Como mencionaba, desde marzo se ha introducido una nueva propiedad en tablas y campos, llamada DataClassification, y cuya descripción es la siguiente:

CustomerContent: El contenido se crea por administradores y usuarios. Es el valor predeterminado.

  • Ejemplo: BLOB generado por el cliente o datos de almacenamiento estructurados.
  • Ejemplo: Secretos del cliente como passwords, certificados o claves de almacenamiento y cifrado.

EndUserIndetificationInformation: (EUII) Datos que identifican o podrían usarse para identificar al usuario de un servicio de Microsoft. EUII no contiene contenido del cliente.

  • Ejemplo: Nombre de usuario o nombre para mostrar (DOMINIO\nombre_usuario).
  • Ejemplo: Nombre principal de usuario (user principal name, tipo: nombre@empresa.dominio)
  • Ejemplo: Dirección IP específica del usuario

AccountData: Información de facturación del cliente e información de los instrumentos de pago, incluida la información de contacto del administrador, como el nombre, la dirección o el número de teléfono del administrador del tenant.

  • Ejemplo: Información de contacto del administrador del tenant (por ejemplo, nombre del administrador del tenant, dirección, correo electrónico, teléfono).
  • Ejemplo: Información de aprovisionamiento del cliente.

EndUsePseudonymousIdentifiers: (EUPI) Un identificador creado por Microsoft vinculado al usuario de un servicio de Microsoft. Cuando EUPI se combina con otra información, como una tabla de asignación, identifica al usuario final. EUPI no contiene información cargada o creada por el cliente (CustomerContent o EUII).

  • Ejemplo: GUIDs de usuario, PUIDs o SIDs.
  • Ejemplo: IDs de sesión.

OrganizationIdentifiableInformation: (OII) Datos que se pueden usar para identificar a un tenant, generalmente datos de configuración o uso. Esta información no se puede vincular a un usuario y no contiene contenido del Cliente.

  • Ejemplo: ID del Tenant (no GUID)
  • Ejemplo: Nombre de dominio en la dirección de e-mail (xxx@empresa.domino) u otra información específica del dominio del tenant.

SystemMetadata: Datos generados al ejecutar el servicio o programa que no se puede vincular con un usuario o tenant.

  • Ejemplo: Nombre de tablas de la BBDD, nombre de columnas, nombres de entidades.

Clasificando los datos en tablas y campos

Las tablas y los controles de campo incluyen la propiedad DataClassification que podemos usar para etiquetar datos con cualquiera de las clasificaciones anteriormente descritas.

Microsoft Dynamics NAV/BC opera con algunas reglas estándar para la clasificación:

  • Cuando se añade un campo nuevo a una tabla, se asigna a ese campo un valor inicial ToBeClassified (pendiente de clasificar).
  • Los campos de tipo FlowField y FlowFilter se establecen de forma automática al valor de clasificación de datos SystemMetadata. Esto no se puede cambiar.
  • Las tablas y campos existentes (a excepción de los FlowFields y FlowFilters) en una aplicación que se ha actualizado desde una versión que no contiene la propiedad DataClassification, serán asignados de forma automática al valor de clasificación CustomerContent.

Microsoft proporciona esta propiedad DataClassification solo como ayuda. Es su responsabilidad clasificar los datos de forma adecuada y cumplir con las leyes y normativas que le sean aplicables. Microsoft se exime de toda responsabilidad respecto de cualquier reclamamación relacionada con su clasificación de los datos.

Visualización de la clasificación de campos actual

Para ver la clasificación de datos de todos los campos podemos hacer lo siguiente:

  • Desde el entorno de desarrollo de Dynamics NAV, vamos a Tools y seleccionamos Show Field Data Classification.
  • Desde el cliente, buscamos y abrimos la Page Field Data Classification.
  • Podemos crear una Page que tenga como origen en la tabla virtual Field (ID 2000000041) y abrirla en el cliente.

Para visualizar la clasificación de los datos de todas las tablas, podemos crear una page que tenga la table virtual Table Metadata (ID 2000000136) como fuente y abrirla en el cliente.

Por último, comentar que tanto en Dynamics NAV, como en Business Central disponemos de un Worksheet para gestionar y realizar la clasificación de los datos desde una ubicación centralizada. Se trata del Data Classification Worksheet.

También podremos realizar la actualización masiva de nuestros datos gracias a uns cmdlets específicos de PowerShell.

Comentarios finales:

Confío en que este breve resumen te haya resultado clarificador, he intentado aunar en este artículo lo más relevante de la normativa y las medidas que ha puesto Microsoft a nuestra disposición dentro de Microsoft Dynamics NAV y Business Central, pero lo más importante que debes tener en cuenta es que la resposabilidad es tuya.

Un abrazo y hasta la próxima!!

Miguel LLorca (@mllorcag)

Enlace externo: Dynamics NAV GDPR Whitepaper

Deja una respuesta

Tu dirección de correo electrónico no será publicada.