1.5.3 Autoritzacions d'accés o consulta, detecció d'errors en el procediment.

Al llarg dels temps, s’ha considerat que la informació és una eina estratègica per a qualsevol institució. Normalment, les empreses han valorat molt l’exclusivitat de la informació de què poden disposar.

És obvi pensar que si una empresa vol protegir la informació de què disposa és sobretot per no donar avantatges a la competència.

El que potser no és tan obvi és que aquesta informació s’ha de preservar, també, d’alguns dels treballadors de la mateixa empresa. Per exemple, no tindria sentit que un conserge d’un ministeri de defensa tingués accés a tota la informació sobre actuacions militars secretes. Però no solament perquè sigui de sentit comú, sinó perquè la normativa sobre protecció de dades de caràcter personal també especifica com ha de ser l’accés a les dades d’una empresa.

Sobre el control d’accés el Reial decret 17202007, de 21 de desembre, pel qual s’aprova el reglament de desplegament de la Llei orgànica 151999, de 13 de desembre, de protecció de dades de caràcter personal en el seu article 91 especifica:

1.Els usuaris han de tenir accés només als recursos que necessitin per a l’exercici de les seves funcions.

2.El responsable del fitxer s’ha d’encarregar que hi hagi una relació actualitzada d’usuaris i perfils d’usuaris, i els accessos autoritzats per a cadascun d’ells.

3.El responsable del fitxer ha d’establir mecanismes per evitar que un usuari pugui accedir a recursos amb drets diferents dels autoritzats.

4.Exclusivament el personal autoritzat per fer-ho en el document de seguretat pot concedir, alterar o anul·lar l’accés autoritzat sobre els recursos, de conformitat amb els criteris que estableix el responsable del fitxer.

5.En cas que hi hagi personal aliè al responsable del fitxer que tingui accés als recursos, ha d’estar sotmès a les mateixes condicions i obligacions de seguretat que el personal propi. 

De fet, és habitual que la informació de què disposa l’empresa s’organitzi mitjançant un sistema d’accessos a ella que emularia les capes d’una ceba. Així, hi haurà un nombre elevat d’individus que tindrà accés a la informació més superficial, nombre que es reduirà a mesura que la informació a què es vol accedir es consideri més estratègica.

Un exemple és la llista de productes que comercialitza una empresa. Normalment, qualsevol client podria conèixer aquesta llista. Els clients també poden tenir accés a la informació relativa a les operacions que ha fet amb nosaltres.

En un segon nivell, trobem la informació que pot conèixer qualsevol treballador, però no els clients. Un exemple típic és la recepta “secreta” del cuiner que, segurament, els seus ajudants coneixen, però que poques vegades s’explica al client. També en en són exemples la informació relativa als costos de producció de la nostra empresa, els marges que obté amb la seva comercialització, etc.

Un tercer nivell és el que conté informació a la qual pot accedir un treballador però no un altre. Un exemple és la informació sobre els sous dels companys de treball que en determinades empreses es considera confidencial.

Per acabar, queda el nivell més restringit de la informació, el nivell a què poques persones de l’empresa tenen accés. En aquest nivell trobem, per exemple, tota la informació relativa a plans estratègics de l’empresa a llarg termini, a si en un termini mitjà es tancarà una planta, etc.

A més, sovint, també s’estableixen altres nivells en què, independentment de la posició del treballador, aquest té accés a una determinada informació mentre que els seus companys tenen accés a una altra informació. Un exemple el trobem en el treball amb projectes: cada treballador només té accés a la informació relativa al projecte en què treballa.

El dret d’accés és l’autorització que s’atorga a una persona o grup de persones perquè puguin accedir a una determinada documentació quan ho necessitin per al desenvolupament de la seva feina.

PRINCIPIS BÀSICS D'ACCÉS ALS ARXIUS (Arxiu descarregable PDF)