Pseudonimización: ¿deberían enmascararse las direcciones de correo electrónico en la aplicación?

1

Somos una empresa B2B y nuestra aplicación almacena las direcciones de correo electrónico proporcionadas por nuestros clientes. Estas direcciones de correo electrónico son necesarias para que demos de alta los servicios. Nuestros clientes o nuestro personal con los privilegios adecuados pueden ver estas direcciones de correo electrónico después de iniciar sesión en su cuenta en la aplicación. ¿Debemos enmascarar estas direcciones de correo electrónico o implementar otras técnicas similares para cumplir con GDPR?

    
pregunta Sree 12.04.2017 - 13:27
fuente

1 respuesta

1

GDPR requiere que proteja la información de identificación personal que almacena y que limite el acceso a ella. Como muchas personas tendrán su nombre en su dirección de correo electrónico, uno debe considerar los correos electrónicos como identificables personalmente.

Debe limitar el acceso a las direcciones de correo electrónico, para que solo las vean las personas que lo necesiten, teniendo en cuenta el tiempo y el costo necesarios para implementar estas medidas de seguridad.

El artículo 25 establece:

  
  1. Teniendo en cuenta el estado de la técnica, el costo de implementación y la naturaleza, alcance, contexto y propósitos de   así como los riesgos de las diferentes probabilidades y severidades de los derechos y libertades de las personas físicas planteadas por la   procesamiento, el controlador deberá, tanto en el momento de la determinación de los medios de procesamiento como en el momento de la   procesarse a sí mismo, implementar medidas técnicas y organizativas adecuadas, como la seudonimización, que son   diseñados para implementar principios de protección de datos, como la minimización de datos, de manera efectiva e integrar los   las salvaguardias necesarias en el procesamiento para cumplir con los requisitos del presente Reglamento y proteger los derechos de   sujetos de datos.

  2.   
  3. El controlador implementará las medidas técnicas y organizativas adecuadas para garantizar que, de forma predeterminada,   Sólo se procesan los datos personales que son necesarios para cada propósito específico del procesamiento. Se aplica esa obligación   a la cantidad de datos personales recopilados, la extensión de su procesamiento, el período de su almacenamiento y su accesibilidad.   En particular, tales medidas garantizarán que, por defecto, los datos personales no sean accesibles sin la información del individuo.   Intervención a un número indefinido de personas físicas.

  4.   

enlace

Sobre esta base, argumentaría que sí, debería enmascarar las direcciones de correo electrónico de los usuarios para que solo sean visibles para el personal cuando sea necesario. Si el personal inicia sesión en el sistema con el único propósito de ver las direcciones de correo electrónico, diría que no es necesario realizar ningún cambio. Pero si el personal usa este sistema todo el tiempo, dándoles acceso a esta información también cuando no sea necesario, es posible que tenga que hacer algunos cambios.

    
respondido por el Hans Kristian 12.04.2017 - 13:56
fuente

Lea otras preguntas en las etiquetas