En el diseño y desarrollo de software, así como en los procesos de tratamiento de datos —como las arquitecturas ETL o sistemas de análisis— suele asumirse que los equipos técnicos tienen acceso amplio a la información que gestionan. Sin embargo, en la práctica el acceso a los datos está cada vez más limitado por razones legales y de seguridad.
Esto implica que el acceso a los datos debe gestionarse mediante permisos y roles dentro de la organización. De acuerdo con el Reglamento General de Protección de Datos (RGPD), las organizaciones deben aplicar medidas técnicas y organizativas que limiten el acceso a la información únicamente a las personas autorizadas.
En entornos tecnológicos es habitual aplicar principios como el mínimo privilegio o el need-to-know, según el cual, cada profesional solo accede a la información estrictamente necesaria para desempeñar su función. Por esta razón, en muchos proyectos los desarrolladores trabajan con entornos de prueba que utilizan datos anonimizados o simulados, mientras que los datos reales permanecen en sistemas de producción con controles de acceso más estrictos.
Esta tendencia responde también a un problema creciente en la seguridad de la información. Diversos análisis de Gartner señalan que una gran parte de los incidentes de seguridad se relaciona con una gestión inadecuada de identidades, accesos y privilegios dentro de las organizaciones.
Este riesgo se observa también en proyectos digitales habituales. En el desarrollo de páginas web, plataformas digitales o sistemas CRM es frecuente que las empresas utilicen datos reales durante las fases de prueba o configuración. Cuando esto ocurre sin los controles adecuados, un profesional puede acceder a información personal o sensible que no resulta necesaria para su trabajo.
La gestión del acceso y de los permisos sobre los datos se ha convertido así en una cuestión organizativa además de tecnológica. Definir quién puede acceder a qué información, en qué condiciones y bajo qué controles, forma parte hoy de la gobernanza de la información de cualquier empresa que maneje información sensible.