📜 Cómo adaptar SQL Server al RGPD (GDPR) – Serie GDPR (1/5)
¿Qué es el RGPD?
El Reglamento General de Protección de Datos (RGPD), o también conocido por sus siglas en inglés GDPR , es la Ley de protección de la información personal de obligado cumplimiento en todo el territorio europeo desde el pasado 25 de mayo de 2018.
Básicamente este reglamento busca proteger y habilitar los derechos de privacidad de las personas, estableciendo estrictas restricciones acerca del tratamiento y protección de datos, que apelan directamente a los derechos individuales (como pueden ser el derecho a acceder a su propia información o negarse a que procesen sus datos personales).
El RGPD también pretende garantizar la seguridad de la información personal independientemente de donde esté siendo almacenada, enviada o procesada. Algunos de los datos que este nuevo Reglamento quiere proteger son DNI, e-mail, publicaciones en redes sociales o información médica, entre otros.
¿Qué pasos a seguir propone Microsoft para adaptarse a él?
Microsoft ha señalado su compromiso con el cumplimiento del RGPD y su apoyo a los clientes en el proceso de adaptación al mismo, que se extenderá por todo el entorno de las tecnologías y con ello por el entorno de Microsoft SQL Server. Por tanto, Microsoft recomienda a las empresas empezar su proceso de adaptación al Reglamento centrándose en cuatro aspectos principales:
Detectar
Determinar qué información personal está siendo gestionada y dónde reside la misma, identificando qué servidores o bases de datos contienen información personal o qué filas o columnas pueden marcarse como contenedoras de la misma. SQL Server dispone de varias herramientas para descubrir los datos, como la tabla de sistema sys.columns, índices Full Text, Profiler o xevents.
Administrar
Supervisar cómo se puede acceder a esa información personal y cómo esta es procesada y utilizada, asegurándose de que los permisos otorgados a las personas que acceden a los datos son los mínimos necesarios para la realización de su cometido. Este punto se puede acometer con SQL Server controlando permisos con SQL Server Authentication, enmascarando datos con Dynamic Data Masking o filtrando los datos que puede ver un usuario en una tabla con Row-Level Security.
Proteger
Establecer controles de seguridad para prevenir, detectar y reaccionar a las debilidades e incumplimientos en la protección de datos. Esto requiere diferentes métodos para diferentes tipos de información y escenarios. Para proteger el dato, SQL Server dispone de varios mecanismos de encriptación a nivel físico y lógico, como encriptación de conexiones, Transparent Data Encryption, Always Encrypted. También podemos controlar quien y cuando está accediendo a los datos mediante SQL Server Audit.
Monitorizar e Informar
Guardar auditorías de todas las operaciones relacionadas con el manejo de información personal, gestionar las solicitudes de información y notificar cuando se produzca un incumplimiento del reglamento. Así como realizar un seguimiento de estos procesos y procedimientos para garantizar que se mantienen actualizados.
Por último, en SQL Server podemos controlar el historial de cambios o accesos a una tabla con System-Versioned temporal tables y también con SQL Server Audit, y reportar esos fallos mediante SQL Alerts y DB Mail o paneles gráficos en tiempo real con Power BI.
Si aún tienes alguna duda a continuación te dejamos un vídeo explicativo.
Serie completa de GDPR:
- Cómo adaptar SQL Server al RGPD (GDPR)
- Detectando y clasificando datos personales con SQL Server
- Administrando los accesos y el uso de los datos con SQL Server
- Protegiendo datos en Reposo, en Uso y en Tránsito
- Monitorizar y Reportar accesos no autorizados a Datos Personales
Consultor Senior SQL Server & BI con 9 años de experiencia, MCSE Data Platform con conocimientos de toda la herramienta y enfocado principalmente a la detección y mejora de problemas de rendimiento en Base de Datos. En mi tiempo libre soy un gran aficionado a la fotografía de estilo urbano y de lugares abandonados.
