Gestió d'usuaris i privilegis

Quan utilitzem un sistema gestor de bases de dades (SGBD) per accedir a la informació emmagatzemada en una base de dades, primerament cal comprovar quines autoritzacions tenim sobre aquelles dades; d’això s’encarrega el component de seguretat de l’SGBD. Aquest component cada dia esdevé més important, ja que avui dia tots els ordinadors estan interconnectats i, per tant, qualsevol persona podria esdevenir un usuari potencial d’una base de dades.

En un sistema d’informació, les diferents aplicacions i usuaris de l’organització fan servir un únic conjunt de dades, anomenat base de dades corporativa, amb l’SGDB. D’una banda, això resol problemes de redundància, inconsistència i independència entre les dades i els programes i, de l’altra, fa que la seguretat esdevingui un dels problemes més importants en aquests entorns.

En moltes organitzacions la informació és un actiu intangible i de naturalesa sensible, i per això cal saber quines són les obligacions legals que tenim.

La paraula seguretat incorpora diferents conceptes. Els més importants són aquests:

1. Confidencialitat: cal protegir l’ús de la informació per part de persones no autoritzades. Això implica que un usuari només ha de poder accedir a la informació per a la qual té autorització i que a partir d’aquesta informació no podrà inferir altra informació que es consideri secreta.
2. Integritat: la informació s’ha de protegir de modificacions no autoritzades; això també inclou tant la inserció de dades falses com la destrucció de dades.
3. Disponibilitat: la informació ha d’estar disponible en el moment que li faci falta a l’usuari.

Per aconseguir seguretat en un entorn de base de dades és necessari identificar les amenaces a la quals pot estar subjecta i triar les polítiques i els mecanismes per evitar-les.

Com s’ha esmentat anteriorment, les violacions sobre una base de dades consisteixen en lectures, modificacions o esborraments incorrectes de les dades. Les conseqüències d’aquestes violacions es poden agrupar en tres categories:

1. Lectura inadequada d’informació. Causat per la lectura de dades per part d’usuaris no autoritzats mitjançant un accés intencionat o accidental. S’inclouen les violacions del secret derivades de les deduccions d’informació que es considera secreta.
2. Modificació impròpia de les dades. Correspon a totes les violacions de la integritat de les dades per tractaments o modificacions fraudulentes d’aquestes. Les modificacions impròpies no involucren necessàriament lectures no autoritzades, ja que les dades es poden falsificar sense ser llegides.
3. Denegació de serveis. Correspon a accions que puguin impedir que els usuaris accedeixin a les dades o utilitzin els recursos que tenen assignats.

Les amenaces a la seguretat es poden classificar d’acord amb la manera en què poden ocórrer.

1. Amenaces no fraudulentes. Les amenaces no fraudulentes són accidents casuals, entre els quals es poden distingir els següents:
   • Desastres naturals o accidentals: normalment són accidents que danyen el maquinari del sistema, com per exemple aquells produïts per terratrèmols, inundacions o foc.
   • Errors del sistema: corresponen a tots aquells errors accidentals en el maquinari o en el programari que poden conduir a accessos no autoritzats.
   • Errors humans: corresponen a aquelles errades involuntàries derivades de l’acció dels usuaris en introduir dades o utilitzar aplicacions que treballen sobre aquestes.
2. Amenaces fraudulentes. Aquestes amenaces generen violacions intencionades i són causades per dos tipus d’usuaris diferents:
   • Usuaris autoritzats que abusen dels seus privilegis.
   • Agents hostils o usuaris impropis que executen accions de vandalisme sobre el programari o el maquinari del sistema o també lectures o escriptures de dades.

Com hem esmentat, la seguretat de les bases de dades es refereix a la protecció enfront d’accessos malintencionats. No és possible una protecció absoluta de la base de dades contra aquest mal ús, però es pot incrementar suficientment el cost per a qui el comet per dissuadir-lo en la major part, si no en la totalitat, de tenir accés a la base de dades sense l’autorització adequada. Per protegir la base de dades s’han d’adoptar mesures a diferents nivells:

• Sistema gestor de base de dades: pot ser que alguns usuaris de la base de dades solament tinguin accés a una part limitada de la base de dades. Pot ser que altres usuaris tant sols tinguin autorització per fer consultes però que no puguin modificar les dades. És responsabilitat de l’administrador de l’SGBD que no es violin aquestes restriccions d’autorització.
• Sistema operatiu: independentment del nivell de seguretat assolit en l’SGBD la debilitat de la seguretat del sistema operatiu pot servir com a mitjà per a accessos no autoritzats a la base de dades.
• Xarxa: atès que gairebé tots els sistemes de bases de dades permeten l’accés remot mitjançant terminals o xarxes, la seguretat en el nivell de programari de la xarxa és tan important com la seguretat física, tant a Internet com en les xarxes privades de les empreses.
• Físic: els llocs on estan ubicats els sistemes d’informació cal que estiguin adequadament protegits contra l’entrada d’intrusos.
• Humà: els usuaris han d’estar degudament autoritzats per reduir la possibilitat que algun doni accés a intrusos a canvi de suborns o d’altres favors.

Els sistemes d’informació i les dades que s’emmagatzemen i es processen són recursos molt valuosos que cal protegir. Els mecanismes emprats per protegir les dades enfront d’amenaces intencionades o accidentals van des dels controls físics fins a procediments administratius.

La primera acció que cal fer per assolir la seguretat d’un sistema d’informació és la capacitat de verificar la identitat dels usuaris. Aquest procés està format per dues parts:

• Identificació: implica la manera en què l’usuari proporciona la seva identitat al sistema (veure qui és). Segons els requisits operacionals, una identitat pot descriure un individu, més d’un individu, o un o més individus només durant un període de temps.

• Autenticació: és la manera en què un individu estableix la validesa de la seva identitat (verificar que l’usuari és qui diu que és).

Mentre que les identitats poden ser públiques, la informació d’autenticació es desa en secret, i això proporciona el recurs pel qual es prova que és realment qui diu que és.

Les contrasenyes són el mecanisme clàssic d’autenticació. La seguretat d’aquest mecanisme depèn de la capacitat de mantenir-les en secret. L’administrador de l’SGBD s’encarregarà d’emprar l’algorisme de xifratge més adequat per a cada cas.

Les targetes, ja siguin amb banda magnètica o amb microxip incorporat, donen un sistema de seguretat més gran. En aquests casos la contrasenya proporcionada ha de coincidir amb la que hi ha emmagatzemada a la targeta i a més alguna informació de la targeta ha de coincidir amb alguna informació emmagatzemada a l’ordinador.

Val la pena esmentar que avui dia es tendeixen a utilitzar sistemes biomètrics com poden ser empremtes dactilars, veu, iris o d’altres patrons que es poden considerar únics.

Són mecanismes que asseguren que els usuaris accedeixen només als llocs als quals estan autoritzats amb l’objectiu de poder fer exclusivament allò per al qual tenen permís.

Així doncs, direm que el control d’accés controla la interacció (lectura, escriptura, modificació i esborrament) entre els subjectes (usuaris i processos) i els objectes als quals accedeixen (taules, esquemes, funcions, altres usuaris, etc.).

El control d’accés es pot considerar format per dos components:

1. Polítiques d’accés: defineixen els principis pels quals s’autoritza un usuari o es denega l’accés específic a un objecte de la base de dades.
2. Mecanismes de seguretat: formats per tots aquells procediments que s’aplicaran a les consultes amb l’objectiu que els usuaris compleixin els principis anteriors.

Les diferents polítiques d’accés es poden classificar en control d’accés obligatori i control d’accés discrecional.

El control d’accés discrecional (DAC) es basa en la identitat dels usuaris o grups d’usuaris per autoritzar o restringir l’accés als diferents objectes de la base de dades. El control discrecional és el mecanisme més comú en els sistemes d’informació actuals.

Podem representar l’estructura de control d’accés discrecional amb una taula (taula) en què veiem que les interseccions entre files i columnes indiquen els drets de cada usuari o grup d’usuaris sobre cada objecte.

El control d’accés obligatori (MAC) s’acostuma a fer servir en aquelles bases de dades en les quals les dades tenen una estructura de classificació molt rígida i estàtica, com per exemple, les bases de dades militars i governamentals. Sovint aquest control d’accés es pot combinar amb el descrit anteriorment.

A continuació farem una pinzellada sobre com es fa aquest tipus de control d’accés.

Les polítiques de control d’accés obligatori es basen en la idea que cada dada té un nivell de classificació pel que fa a la seva seguretat. Les classes de seguretat usuals són:

• secret màxim (TS: top secret)
• secret (S)
• confidencial (C)
• no classificat (U: unclassified)

en què TS correspon al nivell més alt i U al més baix.

El model que se sol emprar s’anomena Bell-LaPadula i assigna a cada subjecte (usuari, grup d’usuaris o programa) i a cada objecte (taula, registres, atribut, etc.) una de les classificacions de seguretat descrites anteriorment. Ens referirem a la classificació del subjecte com a classif(S) i a la classificació de l’objecte com a classif(O). Així doncs, les restriccions d’accés es basen en el següent:

• Un subjecte pot veure un objecte si i solament si classif(S)≥classif(O)
• Un subjecte pot modificar un objecte si el seu nivell d’acreditació és igual que el nivell de classificació de l’objecte, és a dir, si classif(S)=classif(O)

Són mecanismes perquè la base de dades resti sempre en un estat que compleixi totes les regles de negoci del model de dades, encara que es produeixin canvis.

Per assolir aquest objectiu el dissenyador de la base de dades ha hagut d’establir les regles d’integritat referencial i altres restriccions perquè en qualsevol cas els canvis indeguts tinguin el menor efecte. Cal tenir en compte l’estat dels atributs derivats que sovint s’utilitzen en una base de dades per assolir millores en el rendiment.

L’auditoria correspon a un conjunt de mecanismes per saber qui ha fet què, és a dir, portar un registre de qui fa tots els canvis i consultes a la base de dades. Més que un mecanisme de seguretat és un mecanisme per detectar el culpable.

S’utilitza per als casos següents:

• La investigació d’una activitat sospitosa.
• El monitoratge d’activitats específiques de la base de dades.

El sistema d’auditoria ha de permetre diferents formes d’utilització:

• Auditar sentències. L’auditoria indicarà quan i qui ha utilitzat un tipus de sentència correcta. Per exemple, auditar totes les insercions o esborraments.
• Auditar objectes. El sistema auditarà cada vegada que es faci una operació sobre un objecte determinat.
• Auditar sentències sobre objectes, una versió combinada de les dues anteriors.
• Auditar usuaris o grups.

La informació que s’acostuma a emmagatzemar quan es fa una tasca d’auditoria és el nom de l’usuari, l’identificador de la sessió, l’identificador del terminal, el nom de l’objecte al qual s’ha accedit, l’operació executada o intentada, el codi complet de l’operació, la data i l’hora.

Una de les principals raons d’emprar un SGBD és tenir un control centralitzat tant de les dades com dels accessos que fan els usuaris. La persona que fa el control central sobre el sistema s’anomena administrador de la base de dades. Pel que fa a la seguretat, les funcions de l’administrador de la base de dades inclouen:

1. Definició de l’esquema. L’administrador crea l’esquema original de la base de dades escrivint un conjunt d’instruccions de definició de dades.
2. Definició de l’estructura i del mètode d’accés. Referent al programari client emprat i les diferents activitats relacionades amb l’emmagatzematge i recuperació utilitzant diferents estàndards.
3. Modificació de l’esquema i l’organització física. Els administradors de la base de dades fan canvis en l’esquema i l’organització física per reflectir les necessitats canviants dins de l’organització, o per fer alteracions en l’organització física per millorar-ne el rendiment.
4. Concessió d’autorització per a l’accés a les dades. La concessió de diferents tipus d’autorització permet a l’administrador de la base de dades determinar a quines parts de la base de dades pot accedir cada usuari: la informació d’autorització es manté en una estructura de l’esquema especial que el sistema de base de dades consulta quan s’intenta fer l’accés a les dades.
5. Manteniment rutinari. Alguns exemples d’activitats rutinàries de manteniment de l’administrador són:
   • Còpia de seguretat periòdica de la base de dades, sobre cinta o sobre servidors remots per prevenir la pèrdua de dades a causa de desastres naturals.
   • Assegurar-se que hi ha prou espai lliure al disc per a les operacions habituals i incrementar-lo en cas que sigui necessari.
   • Supervisar les tasques que s’executen a la base de dades i assegurar-se que el rendiment no es degrada per tasques molt costoses iniciades per alguns usuaris.

PostgreSQL és un gestor de bases de dades relacional orientat a objectes molt conegut i usat en entorns de programari lliure perquè compleix els estàndards SQL92 i SQL99, i també pel conjunt de funcionalitats avançades que suporta, cosa que el situa al mateix nivell o a un de millor que molts SGBD comercials.

L’origen del PostgreSQL se situa en el gestor de bases de dades POSTGRES, desenvolupat a la Universitat de Berkeley, i que es va abandonar en favor del PostgreSQL a partir de 1994. Aleshores ja tenia prestacions que el feien únic en el mercat i que altres gestors de bases de dades comercials han anat afegint durant aquest temps.

El PostgreSQL es distribueix sota llicència BSD, la qual cosa en permet l’ús, la redistribució i la modificació amb l’única restricció de mantenir el copyright del programari dels seus autors, en concret el PostgreSQL Global Development Group i la Universitat de Califòrnia.

El PostgreSQL pot funcionar en múltiples plataformes: Linux, FreeBSD, Solaris, Mac OS X i Windows.

El PostgreSQL està disponible per a la majoria de distribucions de GNU/Linux. La instal·lació és tan senzilla com executar l’instal·lador de paquets corresponent.

En Debian, el procediment següent instal·la el servidor i el client, respectivament:

# apt-get install postgresql 
 
# apt-get install postgresql-client

En distribucions basades en RPM, els noms dels paquets són una mica diferents:

# rpm -Uvh postgresql-server
 
# rpm -Uvh postgresql

Una vegada instal·lat, s’escriurà un script d’inici que permet llençar i aturar el servei PostgreSQL; d’aquesta manera, per iniciar el servei, haurem d’executar l’ordre següent:

# /etc/init.d/postgresql start

Anàlogament per aturar el servei cal fer:

# /etc/init.d/postgresql stop

En acabar la instal·lació, en el sistema operatiu s’haurà creat l’usuari postgres, i en PostgreSQL s’haurà creat un usuari amb el mateix nom. En aquests moments, aquest és l’únic usuari existent en la base de dades i ara, doncs, serà l’únic que podrà crear noves bases de dades i nous usuaris.

Normalment, a l’usuari postgres del sistema operatiu no se li permetrà l’accés des de l’intèrpret d’ordres ni tindrà contrasenya assignada, excepte en el cas que en el procés d’instal·lació ens hagi sol·licitat la seva paraula de pas, per la qual cosa ens haurem de convertir en l’usuari root, per després convertir-nos en l’usuari postgres i fer tasques en nom seu:

ioc@localhost:~$ su
 
 
Password:
 
# su - postgres
 
postgres@localhost:~$

L’usuari postgres pot crear noves bases de dades des de l’intèrpret d’ordres utilitzant l’ordre createdb. En aquest cas, li indiquem que l’usuari propietari de la base de dades serà l’usuari postgres:

postgres@localhost:~$ createdb demo –-owner=postgres
 
create database

De manera anàloga podem emprar l’ordre dropdb per eliminar una base de dades.

Per connectar-se amb un servidor, es requereix, òbviament, un programa client. Amb la distribució de PostgreSQL s’inclou un client, psql, fàcil d’utilitzar, que permet la introducció interactiva d’ordres en mode text. Abans d’intentar connectar-nos amb el servidor, ens hem d’assegurar que està funcionant i que admet connexions, locals (l’SGBD s’està executant a la mateixa màquina que intenta la connexió) o remotes.

El pas següent és conèixer el nom d’una base de dades resident en el servidor.

L’ordre següent permet conèixer les bases de dades residents en el servidor:

ioc@localhost:~$ psql -l
 
List of databases
 
Name | Owner | Encoding
 
-----------+----------+-----------
 
demo | postgres | SQL_ASCII
 
template0 | postgres | SQL_ASCII
 
template1 | postgres | SQL_ASCII
 
(3 rows)
 
~$

Per fer una connexió, es requereixen les dades següents:

• Servidor. Si no s’especifica, s’utilitza localhost.
• Usuari. Si no s’especifica, s’utilitza el nom d’usuari Unix que executa el psql.
• Base de dades.

Exemples de l’ús del psql per connectar-se amb un servidor de bases de dades:

ioc@localhost:~$ psql -d demo
 
ioc@localhost:~$ psql demo

Les dues formes anteriors executen psql amb la base de dades demo:

~$ psql -d demo -U nom_usuari
 
~$ psql demo nom_usuari
 
~$ psql -h nom_servidor.org -U nom_usuari -d nom_basedades

A partir del fragment anterior, el client psql mostrarà una cosa similar al següent:

Welcome to psql, the PostgreSQL interactive terminal.
 
Type: \copyright for distribution terms
 
\h for help with SQL commands
 
\? for help on internal slash commands
 
\g or terminate with semicolon to execute query
 
\q to quit
 
demo=#

El símbol # significa que el psql està llest per llegir l’entrada de l’usuari. Les sentències SQL s’envien directament al servidor per interpretar-les, les ordres internes tenen la forma \ordre i ofereixen opcions que no estan incloses en SQL i són interpretades internament pel psql.

Per acabar la sessió de psql, utilitzem l’ordre \q o podem polsar Ctrl-D.

Podeu veure els indicadors d’estat del psql a la taula:

Les sentències SQL que escriguem en el client hauran d’acabar amb ; o bé amb \g:

demo=# select user;
 
current_user
 
--------------
 
postgres
 
(1 row)
 
demo=#

Quan una ordre ocupa més d’una línia, l’indicador canvia de forma i va assenyalant l’element que encara no s’ha completat:

demo=# select
 
demo-# user\g
 
current_user
 
--------------
 
postgres
 
(1 row)
 
demo=#

El client psql emmagatzema la sentència fins que se li dóna l’ordre d’enviar-la a l’SGBD. Per visualitzar el contingut de la memòria intermèdia (buffer) on ha emmagatzemat la sentència, disposem de l’ordre \p:

demo=# SELECT
 
demo-# 2 * 10 + 2
 
demo-# \p
 
SELECT
 
2 * 10 + 2
 
demo-# \g
 
?column?
 
----------
 
22
 
(1 row)
 
demo=#

El client també disposa d’una ordre \r que permet esborrar completament la memòria intermèdia per començar de nou amb la sentència:

demo=# select ‘Hola Mon’\r
 
Query buffer reset (cleared).
 
demo=#

El client psql ofereix diverses alternatives per obtenir informació sobre l’estructura de la nostra base de dades. En la taula es mostren algunes ordres de molta utilitat:

El màxim exponent de client gràfic de PostgreSQL és el programari pgAdmin3, que té llicència “Artist License”, aprovada per l’FSF.

En el pgAdmin3 podem treballar amb gairebé tots els objectes de la base de dades, examinar-ne les propietats i fer tasques administratives.

Una característica interessant del pgAdmin3 és que, cada vegada que fem alguna modificació en un objecte, escriu la sentència o sentències SQL corresponents, cosa que fa que, a més d’una eina molt útil, sigui alhora didàctica.

El pgAdmin3 també incorpora funcionalitats per fer consultes, examinar-ne l’execució (com l’ordre explain) i treballar amb les dades.

Totes aquestes característiques fan del pgAdmin3 l’única eina gràfica que realment necessitarem per treballar amb PostgreSQL, tant des del punt de vista de l’usuari com de l’administrador.

Evidentment, les accions que podem fer en cada moment dependran dels permisos de l’usuari amb què ens connectem a la base de dades.

Conceptualment, els usuaris de la base de dades estan totalment separats dels usuaris del sistema d’explotació.

Per crear un usuari des d’un client de PostgreSQL s’utilitza l’ordre SQL CREATE USER:

CREATE USER nom_usuari [ [ WITH ] opcions [ ... ] ];

També es poden crear usuaris des de l’intèrpret de comandes, o shell del sistema, amb la instrucció createuser.

Les opcions poden ser:

SYSID ID_usuari
 
CREATEDB | NOCREATEDB
 
CREATEUSER | NOCREATEUSER
 
IN GROUP nom_grup [, ...]
 
[ ENCRYPTED | UNENCRYPTED ] 
 
PASSWORD 'password'
 
VALID UNTIL 'abstime'

I per donar de baixa un usuari s’utilitza DROP USER:

DROP USER nom_usuari;

També es poden eliminar usuaris des de l’intèrpret d’ordres amb la instrucció dropuser.

Un usuari d’una base de dades pot tenir una sèrie d’atributs que defineixen els seus privilegis i la interacció amb el sistema d’autenticació del client. Són els atributs CREATEUSER o CREATEDB, que li confereixen el permís de crear nous usuaris o crear bases de dades, respectivament.

Els atributs dels usuaris es poden modificar amb l’ordre ALTER USER:

ALTER USER nom_usuari [ [ WITH ] opcions [ ... ] ]

I les opcions poden ser:

CREATEDB | NOCREATEDB
 
| CREATEUSER | NOCREATEUSER
 
| [ ENCRYPTED | UNENCRYPTED ] PASSWORD 'password'
 
| VALID UNTIL 'abstime''

alguns exemples són:

ALTER USER nom RENAME TO nou_nom

Amb SET canvia la configuració de sessió per defecte d’un usuari per una configuració determinada.

ALTER USER nom SET paràmetre { TO | = } { valor | DEFAULT }

Amb RESET es restaura la configuració per defecte.

ALTER USER nom RESET paràmetre

A més de poder donar permisos d’utilització dels diferents recursos del sistema de manera individual a cada usuari, el nostre SGBD disposa de diverses eines que permeten:

• Donar privilegis a un determinat paper al qual s’assignaran els usuaris (tots els usuaris que exerceixin aquest paper heretaran els privilegis i permisos d’aquest).
• Gestionar diversos grups preestablerts de l’SGBD.

Trobareu SGBD que només implementen una de les dues eines i en troba-reu que les implementen totes dues. Ara aprendrem les diferències entre totes dues eines i com utilitzar-les:

1) Rols . Un paper és una forma d’agrupar diferents permisos. Es tracta de pensar en les tasques que han de fer una sèrie d’usuaris i agrupar les que són comunes dins d’un paper. Una vegada establert i definit aquest paper, pot ser assignat als usuaris que facin aquestes tasques. Ens ajudarà a simplificar la gestió de la seguretat dins del nostre sistema.

CREATE role ADMINISTRADOR ;
GRANT select,insert,update, delete ON empleats TO ADMINISTRADOR ;
GRANT select,insert,update, delete ON projectes TO ADMINISTRADOR ;
GRANT ADMINISTRADOR TO usuari_amb_permisos ;

2) Grups . Els grups tenen una filosofia molt similar als papers. Ara els grups ja vénen predefinits pel sistema, l’únic que podem fer és assignar usuaris als grups que ja tenen uns certs permisos establerts i no modificables. Els grups més comuns que podem trobar als SGBD més comercialitzats són:

• Administrador de sistema. És l’usuari que té accés a totes les bases de dades i disposa de tots els recursos. És el nivell més alt i més poderós de tot el sistema.
• Administrador de les bases de dades. És l’usuari que té accés a tots els recursos d’una base de dades específica. Pot fer modificacions en tots els objectes de la base de dades específica.
• Administrador de seguretat. Té el poder de donar o restringir l’accés a qualsevol usuari dintre de l’SGBD.
• Operacions de control. És el grup d’usuaris que té permès fer les còpies de seguretat o les restauracions del sistema.

En el PostgreSQL també tenim la possibilitat de crear grups amb l’ordre CREATE GROUP, modificar-los amb ALTER GROUP i esborrar-los amb DROP GROUP.

No obstant això, cal esmentar que actualment PostgreSQL difereix de l’SQL estàndard, ja que aquest utilitza CREATE ROLE, per crear grups d’usuaris.

El PostgreSQL 9.0 administra els permisos d’accés a la base de dades d’accés utilitzant el concepte dels papers.

Un paper pot ser entès com un usuari de base de dades, o un grup d’usuaris, depenent de com s’estableixi aquest paper. Un paper pot ser propietari dels objectes de la base de dades (per exemple, taules) i pot assignar privilegis dels objectes dels quals és propietari a d’altres papers per controlar qui té accés a aquests objectes. A més, és possible la concessió de la pertinença d’un paper a un altre paper, la qual cosa permet a un membre del paper utilitzar els privilegis assignats a un altre paper. Podem veure, doncs, que permet implementar el concepte d’herència de privilegis.

El concepte dels papers aglutina els conceptes d’usuaris i grups. En les versions de PostgreSQL anteriors a la 8.1, els usuaris i grups corresponien a diferents tipus d’entitats, però en aquesta versió només hi ha papers. Així doncs, qualsevol paper pot actuar com un usuari, grup, o totes dues coses.

Els papers d’una base de dades estan conceptualment completament separats dels usuaris del sistema operatiu. En la pràctica, podria ser convenient mantenir-hi una correspondència, però això no és necessari. Els papers d’una base de dades són globals quan fem una instal·lació en clúster d’una bases de dades; per tant, no són exclusivament locals per a cada instància de la base de dades individual dins del clúster.

Per crear un paper cal utilitzar l’ordre SQL CREATE ROLE:

CREATE ROLE nom_del_paper;

en què nom_del_paper segueix les regles dels identificadors de SQL.

Per eliminar un paper existent, utilitzeu l’ordre anàloga DROP ROLE:

DROP ROLE nom_del_paper;

Per a més comoditat, els programes incorporats en el sistema createuser i dropuser ens proporcionen un substitutiu d’aquestes ordres SQL que ens permeten fer la crida corresponent des de l’intèrpret d’ordres:

createuser nom_del_paper
 
dropuser nom_del_paper

Per determinar el conjunt de papers existents, cal examinar el catàleg del sistema; en concret, la taula pg_roles; per exemple:

SELECT rolname FROM pg_roles;

La metainstrucció del programa psql \du també és útil per veure la llista de papers existents.

Per tal d’arrencar el sistema de base de dades, el nou sistema inicialitzat sempre conté una funció d’identificació predefinida. Aquest paper és sempre un root, i per defecte (si no és alterat quan s’executa initdb) tindrà el mateix nom que l’usuari del sistema operatiu que inicialitza el clúster de base de dades. Habitualment, aquest paper serà anomenat postgres. Per tal de crear més papers primerament cal connectar-se com aquest paper inicial.

Cada connexió amb el servidor de base de dades es fa mitjançant el nom d’algun paper en particular, i aquest paper determina els privilegis d’accés inicial.

El nom del paper que s’utilitza per a una connexió de base de dades en particular s’indica al programari client que inicia la sol·licitud de connexió d’una manera específica. Per exemple, el programa psql utilitza l’ordre -U per indicar el paper amb què ens connectarem a l’inici de la sessió.

Moltes aplicacions assumeixen el nom de l’usuari actual del sistema operatiu per defecte (aquí inclourem createuser i psql). Per tant, en aquest casos sol ser convenient mantenir una correspondència entre els noms dels papers i els usuaris del sistema operatiu.

Atès que un paper és una funció d’identitat i determina el conjunt de privilegis a disposició d’un client connectat, és important configurar acuradament privilegis quan treballem en un entorn multiusuari.

Un paper de base de dades pot tenir una sèrie d’atributs que defineixen els seus privilegis i li permeten interactuar amb el sistema d’autenticació del client.

• Privilegi LOGIN: solament els papers que tenen atribut d’inici de sessió, LOGIN, poden ser utilitzats com a nom de paper inicial d’una connexió de base de dades. Un paper amb l’atribut LOGIN pot ser considerat com un “usuari de la base de dades”. Per crear un paper amb el privilegi d’inici de sessió, podeu utilitzar indistintament :

CREATE ROLE nom_del_paper LOGIN;
-- o
CREATE USER nom_del_paper;

• Estatus de superusuari: un superusuari de base de dades supera qualsevol comprovació de permisos. Aquest és un privilegi perillós i no ha de ser utilitzat amb descuit; el millor és fer un usuari que faci la major part del seu treball amb un paper que no sigui de superusuari. Per crear un nou superusuari, utilitzeu:

CREATE ROLE nom_del_paper SUPERUSER

• Creació de noves bases de dades: a un paper se li pot atorgar explícitament el permís per crear bases de dades (a excepció de superusuaris, ja que passen per alt tots els controls de permís, i per tant ja adquireixen aquest privilegi.

CREATE ROLE nom_del_paper CREATEDB

• Creació de nous papers: a un paper li podem donar explícitament permisos per crear nous papers. Un paper amb el privilegi CREATEROLE pot modificar i eliminar altres papers, i també atorgar o revocar la pertinença d’un usuari o paper a un altre paper. No obstant això, per crear, modificar, treure o canviar la pertinença a un paper de superusuari es requereix que qui faci aquest canvi també sigui un superusuari.

CREATE ROLE nom_del_paper CREATEROLE

• Contrasenya: les contrasenyes són només útils si el mètode d’autenticació del client requereix que l’usuari proporcioni una contrasenya quan es connecta a la base de dades. El mètodes d’autenticació MD5 permeten fer un bon ús de les contrasenyes. Les contrasenyes de bases de dades són independents de les contrasenyes del sistema operatiu.

CREATE ROLE nom_del_paper PASSWORD 'la_contrasenya'

Els membres d’un paper poden utilitzar els privilegis de la funció de dues maneres.

En primer lloc, qualsevol membre d’un grup pot fer de manera explícita SET ROLE per convertir-se de manera temporal a aquell nou grup. En aquest estat, la sessió de base de dades té accés als privilegis de la funció de grup en lloc del paper assignat originalment a l’inici de sessió, i qualsevol objecte de base de dades creat es considerarà propietat del grup no és el paper d’inici de sessió.

En segon lloc, els membres d’un paper que poden heretar (INHERIT) poden fer ús dels privilegis dels papers dels quals són membres de manera automàtica, incloent-hi els privilegis heretats pels papers.

A tall d’exemple, suposem que hem fet:

CREATE ROLE joan LOGIN INHERIT;
CREATE ROLE admin NOINHERIT;
CREATE ROLE gestor NOINHERIT;
GRANT admin TO joan;
GRANT gestor TO admin;

Immediatament després de connectar-nos a la base de dades amb el paper de joan podrem fer ús dels privilegis concedits directament a joan, a més dels privilegis concedits a admin, perquè joan “hereta” els privilegis d’admin. En canvi admin no hereta els privilegis de gestor, i en conseqüència tampoc joan.

Si després fem:

SET ROLE admin;

La nostra sessió tindria ús exclusiu dels privilegis concedits a admin, i però no dels que hem concedit a joan.

Si ara fem:

SET ROLE gestor;

La sessió tindrà ús exclusiu dels privilegis concedits a gestor, però cap dels que es concedeixen a joan ni a admin.

El conjunt de privilegis originals es pot restaurar amb qualsevol acció d’aquestes:

SET ROLE joan;
SET ROLE NONE;
RESET ROLE;

Quan es crea un objecte aquest és assignat a un propietari. El propietari normalment és el mateix usuari que ha executat la comanda de creació.

Per a la majoria dels objectes, l’estat inicial és aquell en què el propietari (o un superusuari) pot fer alguna cosa amb aquest objecte. Per tal de deixar a altres usuaris utilitzar l’objecte, cal atorgar-li privilegis.

Existeixen diferents privilegis: SELECT, INSERT, UPDATE, DELETE, RULE, REFERENCES, TRIGGER, CREATE, TEMPORARY, EXECUTE i USAGE.

Per exemple si el privilegi és RULE o TRIGGER vol dir que l’usuari pot crear regles o triggers en la taula especificada.

Per tal d’assignar privilegis s’utilitza la comanda GRANT.

On PUBLIC significa que els drets són donats a tots els usuaris. Inclòs aquells que es puguin crear posteriorment.

WITH GRANT OPTION significa que el que té aquest privilegi el pot transferir a altres usuaris.

ALL PRIVILEGES significa que li dóna tots els drets disponibles de l’objecte de cop.

Per eliminar els drets d’un usuari o grups d’usuaris s’utilitza REVOKE.

Un objecte pot ser assignat a un nou usuari amb la comanda ALTER.

Els privilegis es poden donar sobre diversos recursos a diferents usuaris del sistema gestor de bases de dades. Els recursos més comuns són:

• Connexió a la base de dades
• Taules: qui hi pot accedir i les modificar.
• Objectes de la base de dades: qui pot crear/esborrar els objectes que formen part de la base de dades.
• Sistema: qui pot efectuar accions de sistema en l’SGBD.
• Programa: qui pot crear, modificar i usar programes de la base de dades.
• Programes emmagatzemats: qui pot executar funcions i procediments específics.

Quan es crea una base de dades el propietari té tots els privilegis sobre aquesta. La base de dades serà inaccessible a altres usuaris, excepte l’usuari postgres, fins que el propietari els autoritzi privilegis.

En el PostgreSQL hi ha tres tipus de privilegis sobre bases de dades.

CONNECT: permet a l’usuari connectar-se a la base de dades especificada. Aquest privilegi es comprova en l’inici de connexió (a més de comprovar que no s’infringeix cap de les restriccions imposades en l’arxiu de configuració pg_hba.conf).

CREATE: permet crear nous esquemes a la base de dades.

TEMPORAL: permet crear taules temporals durant l’ús de la base de dades especificada.

GRANT { { CREATE | CONNECT | TEMPORARY | TEMP } [,...] | ALL [ PRIVILEGES ] }
       ON DATABASE database_name [, ...]
      TO { [ GROUP ] role_name | PUBLIC } [, ...] [ WITH GRANT OPTION ]

Per altra banda, cal recordar que una base de dades pot estar formada per diferents esquemes.

Així doncs, es poden atorgar privilegis sobre aquests. Aquests són:

USAGE: pot fer servir els elements d’un determinat esquema d’una base de dades a la qual tingui accés.

CREATE: pot crear objectes dins de l’esquema de la base de dades a la qual té accés.

GRANT { { CREATE | USAGE } [,...] | ALL [ PRIVILEGES ] }
    ON SCHEMA schema_name [, ...]
    TO { [ GROUP ] role_name | PUBLIC } [, ...] [ WITH GRANT OPTION ]

Els privilegis que es poden donar sobre les taules estan relacionats amb totes les accions que es poden fer sobre les taules i vistes, que són:

• SELECT: permet seleccionar dades d’una vista i taula donades.
• INSERT: permet inserir dades a una vista/taula.
• UPDATE: permet actualitzar dades d’una taula o vista.
• DELETE: permet esborrar dades d’una taula donada.
• ALL: permet fer les accions anteriors sobre una taula/vista en concret.
• REFERENCES: permet referenciar mitjançant restriccions de clau forana a una taula de la qual l’usuari no és propietari.

GRANT { { SELECT | INSERT | UPDATE | REFERENCES } ( column [, ...] )
    [,...] | ALL [ PRIVILEGES ] ( column [, ...] ) }
    ON [ TABLE ] table_name [, ...]
    TO { [ GROUP ] role_name | PUBLIC } [, ...] [ WITH GRANT OPTION ]

GRANT UPDATE ON NOTES TO SECRETARIA1

GRANT DELETE ON MATRICULA TO ADMINISTRATIU4

Els objectes d’una base de dades estan formats per totes les estructures que es poden crear, que són:

• bases de dades
• espai per a taules (tablespace)
• les taules
• índexs
• triggers (disparadors)

Qui tingui permís sobre els objectes de la base de dades podrà crear estructures de la base de dades.

GRANT { { SELECT | INSERT | UPDATE | DELETE | TRUNCATE | REFERENCES | TRIGGER }
    [,...] | ALL [ PRIVILEGES ] }
ON { [ TABLE ] table_name [, ...]
         | ALL TABLES IN SCHEMA schema_name [, ...] }
TO { [ GROUP ] role_name | PUBLIC } [, ...] [ WITH GRANT OPTION ]

Especificar privilegis sobre espais de taules:

GRANT { CREATE | ALL [ PRIVILEGES ] }
    ON TABLESPACE tablespace_name [, ...]
    TO { [ GROUP ] role_name | PUBLIC } [, ...] [ WITH GRANT OPTION ]

Especificar privilegis sobre seqüències:

GRANT { { USAGE | SELECT | UPDATE }
    [,...] | ALL [ PRIVILEGES ] }
    ON { SEQUENCE sequence_name [, ...]
         | ALL SEQUENCES IN SCHEMA schema_name [, ...] }
    TO { [ GROUP ] role_name | PUBLIC } [, ...] [ WITH GRANT OPTION ]

Generalment només el DBA tindrà aquest privilegi, ja que, si l’estén a més usuaris, serà difícil controlar el creixement de la base de dades.

GRANT CREATE table,
 CREATE index
TO usuari456,
 Usuari_excepcional;

Els privilegis de sistema estan relacionats amb totes les gestions que es poden portar a terme respecte al sistema gestor, que són:

• arxivar arxius LOG,
• reiniciar o apagar el servidor de bases de dades,
• tasques de monitorització,
• etc.

Els privilegis sobre programes i procediments donen el privilegi EXECUTE als usuaris que hagin d’executar algun programa o procediment emmagatzemat en l’SGBD.

GRANT { EXECUTE | ALL [ PRIVILEGES ] }
    ON { FUNCTION function_name ( [ [ argmode ] [ arg_name ] arg_type [, ...] ] ) [, ...]
         | ALL FUNCTIONS IN SCHEMA schema_name [, ...] }
    TO { [ GROUP ] role_name | PUBLIC } [, ...] [ WITH GRANT OPTION ]

GRANT EXECUTE ON procediment
TO user456;

Els privilegis per a tothom és un tipus de privilegi que utilitzarem quan haguem de donar permís sobre un cert recurs a tots els usuaris de l’SGBD. Val a dir que aquest tipus d’assignació de permisos és molt còmode però també és molt perillós. Heu d’anar molt en compte quan el feu servir, ja que una vegada fet públic pot ser molt complicat tornar a tenir un control absolut del recurs.

Intentarem sempre evitar clàusules en què apareixen les dues instruccions següents: PUBLIC i WITH GRANT OPTION.

GRANT DELETE ON Llibres TO PUBLIC;

Per retirar els privilegis concedits anteriorment, tenim la sentència REVOKE. Es tracta de formar les mateixes ordres que quan donem un permís, però ara canviarem la paraula GRANT per REVOKE. Si un objecte és eliminat de la base de dades, automàticament també es perden els privilegis sobre l’objecte.

REVOKE UPDATE on Llibres (isbn) FROM usuari;

Heu d’estar molt atents quan retireu privilegis si aquests han estat atorgats amb WITH GRANT OPTION, ja que la retirada d’un privilegi a un usuari que hagi donat privilegis a altres usuaris implica que tots ells perdin el permís per utilitzar el recurs. Es coneix com a retirada de permís en cascada. Així doncs, eviteu donar privilegis amb l’opció WITH GRANT OPTION.

S’ha de fer una última consideració respecte al fet de crear exclusions en grups d’usuaris a l’hora de donar o treure permisos. Imagineu que voleu donar privilegis a tots els usuaris de l’SGBD excepte a un (o uns quants). Una manera de fer-ho seria:

GRANT DELETE on Llibres to PUBLIC;
REVOKE DELETE on Llibres from usuari;

Heu de tenir present que aquest tipus d’accions no són permeses en tots els SGBD. Així doncs, haureu d’esbrinar consultant el manual del sistema gestor si és una forma viable de fer exclusions de grups d’usuaris o bé haureu de buscar formes alternatives de fer aquest tipus d’accions.

La protecció de les dades de caràcter personal ha pres darrerament una gran rellevància. Les persones es mostren cada dia més curoses amb les seves dades i són més conscients de la protecció de què ha de gaudir la seva informació personal.

La situació actual és producte, d’una banda, de la normativa en matèria de protecció de dades i, de l’altra, de l’activitat creixent de l’Agència Espanyola de Protecció de Dades, organisme autònom encarregat d’assegurar el compliment de la legislació vigent (i fruit de la mateixa legislació).

Veurem a continuació com han anat evolucionant les lleis; la primera en aparèixer va ser la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD). Aquesta norma tenia per objecte garantir i protegir, en relació amb el tractament de dades personals, les llibertats públiques i els drets fonamentals de les persones físiques, i en especial el seu honor, intimitat i privacitat. La LOPD va crear els anomenats drets ARCO:

• Dret d’Accés: Reconeix als ciutadans la potestat de defensar la seva privacitat controlant per si mateixos l’ús que es fa de les seves dades personals.
• Drets de Rectificació : La LOPD també regula els drets de rectificació i cancel·lació: quan les dades personals d’un ciutadà resulten ser incompletes, inexactes, excessives o inadequades aquest pot requerir al responsable del fitxer la seva rectificació o cancel·lació.
• Dret de Cancel·lació: El ciutadà pot exigir al responsable del fitxer la supressió de dades que consideri inadequades o excessives.
• Dret d’Oposició: Consisteix en el dret dels titulars de les dades per dirigir-se al responsable del fitxer perquè deixi de tractar les seves dades sense el seu consentiment per a fins de publicitat o prospecció comercial.

Posteriorment, amb el desenvolupament i popularització d’Internet i l’aparició de comerços online va aparèixer al 2002 la llei de serveis de la societat de la informació i comerç electrònic, coneguda per les seves sigles com LSSI.

Al 2003 apareix la llei de la firma electrònica per regular els certificats digitals i donar validesa jurídica a aquesta firma. Al 2003 també s’aprova el Reglament que desenvolupa la llei de protecció de dades de caràcter personal de 1999. El 2007 s’aprova la llei de conservació de dades a les comunicacions electròniques i a les xarxes públiques de comunicacions.

El 27 d’abril de 2016 s’aprova el el Reglament General de Protecció de dades (RGPD), que no va entrar en vigor fins al Maig del 2018, per donar un marc Europeu. Aquest reglament, entre altres coses, amplia els drets ARCO.

El 5 de desembre de 2018 s’aprova la llei orgànica 3/2018, Protecció de Dades Personals i Garanties dels Drets Digitals (LOPDGD), que adapta l’RGPD a la normativa espanyola. Amb LOPDGD i l’RGPD es deroga l’antiga LOPD.

A continuació teniu un llistat d’aquestes lleis :

• Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD).
• Llei 34/2002, d’11 de juliol, de serveis de la societat de la informació i comerç electrònic (LSSICE) o, habitualment (LSSI).
• Llei 59/2003, de 19 de desembre, de firma electrònica.
• Llei Orgànica 15/2003, de 25 de novembre, per la qual es modifica la Llei Orgànica 10/1995, de 23 de novembre, del Codi Penal.
• Reial Decret 1720/2007, de 21 de desembre, pel que s’aprova el Reglament de desenvolupament de la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal.
• Llei 25/2007, de 18 d’octubre, de conservació de dades relatives a las comunicacions electròniques i a les xarxes públiques de comunicacions.
• Llei Orgànica 5/2010, de 22 de juny, per la qual es modifica la Llei Orgànica. 10/1995, de 23 de novembre, del Codi Penal.
• Reglament General de Protecció de dades (RGPD) del 27 d’Abril de 2016.
• Llei orgànica 3/2018 Protecció de Dades Personals i Garanties dels Drets Digitals (LOPDGD) del 5 de desembre de 2018.

Aquest reglament és una norma d’àmbit europeu que protegeix les dades personals de tots els residents a la Unió Europea i garanteix el flux de dades entre els països de la Unió Europea. Per tant, els països necessiten integrar aquest reglament a les seves legislacions.

Aquest reglament estableix l’obligació de les organitzacions d’adoptar mesures destinades a garantir la protecció d’aquestes dades que afecten sistemes informàtics, fitxers, suports d’emmagatzematge, demanar el consentiment per usar les dades de caràcter personal i procediments operatius. Aquestes mesures han d’adoptar-les totes les organitzacions que operen amb residents a la Unió Europea, encara que no hi tinguin la seva seu.

En el Capítol 7 d’aquest reglament es crea el Comitè Europeu de protecció de dades per supervisar el Reglament i la seva aplicació als diferents països d’Europa. En el Capítol 11, Disposicions finals, s’estableix com a màxim el 25 de maig del 2020 per fer una primera avaluació i revisió del reglament per tal d’anar-lo actualitzant als nous temps. Posteriorment, aquesta revisió es repetirà cada 4 anys.

L’RGPD és aplicable a qualsevol informació sobre persones físiques identificades o identificables (nom i cognoms, edat, sexe, dades d’identificació fiscal, estat civil, professió, domicili, dades biomètriques…) enregistrada en qualsevol suport físic (inclòs el paper), que en permeti el tractament manual o automatitzat i ús posterior pel sector públic o privat. Traspassat a l’àmbit de les empreses, s’ha d’interpretar que l’RGPD és aplicable a qualsevol organització que manipuli o arxivi fitxers, tant en paper com en suport magnètic, que continguin informació o dades de caràcter personal, tant dels seus treballadors com dels seus clients o proveïdors (persones físiques), la qual cosa obliga les empreses, institucions, professionals i, en general, totes les persones jurídiques o físiques que operin amb fitxers de dades de caràcter personal, al compliment d’una sèrie d’obligacions legals. Cal tenir present, però, que al considerand 18, diu: “El reglament no s’aplica al tractament de dades de caràcter personal dut a terme per una persona física en el curs d’una activitat exclusivament personal o domèstica, és a dir sense cap connexió amb una activitat professional o comercial”.

Per tractament s’entén “qualsevol operació o conjunt d’operacions realitzades sobre dades personals o conjunts de dades personals, ja sigui per procediments automatitzats o no, com la recollida, el registre, l’organització, l’estructuració, la conservació, l’adaptació o la modificació, l’extracció, la consulta, la utilització, la comunicació per transmissió, difusió o qualsevol altra forma d’habilitació d’accés, acarament o interconnexió, limitació, supressió o destrucció”.

El parlament Europeu i el Consell de la Unió Europea, a partir del Tractat de funcionament de la Unió Europea, en concret de l’article 16, i d’una proposta de la Comissió Europea, van enviar una proposta del text legislatiu als parlaments nacionals, per posteriorment elaborar dos dictàmens. L’RGPD considera que la protecció del tractament de les dades personals és un dret fonamental, tal i com està a la Carta dels Drets Fonamentals de la Unió Europea a l’article 8, que estableix que qualsevol persona té dret a la protecció de les dades de caràcter personal que l’afecten. Pel que fa al tractament de les dades personals s’han de respectar les llibertats i els drets fonamentals, especialment el dret a la protecció de les dades de caràcter personal, sigui quina sigui la seva nacionalitat o residència.

L’objectiu de l’RGPD és, doncs, garantir i protegir la privacitat i la intimitat de les persones físiques. Tal i com queda clar a l’article 1 del RGPD on s’explica l’objecte d’aquest, engloba tres objectes:

1. Establir les normes relatives a la protecció de les persones físiques pel que fa al tractament de les dades personals i les normes relatives a la lliure circulació d’aquestes dades.
2. Protegir els drets i les llibertats fonamentals de les persones físiques i el seu dret a la protecció de les dades personals.
3. Evitar restriccions a la lliure circulació de les dades personals a la Unió Europea originades per les necessitats de protecció de dades.

L’RGPD canvia alguns articles de la LOPD i afegeix noves obligacions per a les empreses.

Els canvis més importants de l’RGPD respecte la LOPD són:

• El principi de responsabilitat proactiva. El nou Reglament indica que el responsable del tractament ha d’aplicar mesures apropiades per poder demostrar que el tractament és conforme al Reglament, tal i com aparèix a l’article 5. Les organitzacions han d’analitzar quines dades tracten i amb quines finalitats ho fan i han de mirar quins tipus d’operacions de tractament realitzen per tal d’aplicar les mesures que preveu l’RGPD. Aquestes mesures han de ser les adequades per complir amb el Reglament. També han de poder demostrar el compliment del Reglament davant de tercers. Aquest principi exigeix que el responsable del tractament ha de tenir una actitud proactiva, davant de tots els tractaments de dades que realitzi.
• El principi de l’enfocament de risc. El nou Reglament indica que s’ha de tenir en compte el risc per als drets i les llibertats de les persones. Així, algunes de les mesures només s’han d’aplicar quan hi hagi un alt risc per als drets i les llibertats. Les mesures previstes per l’RGPD s’han d’adaptar a les característiques de les organitzacions. El que pot ser bo per a una organització no necessàriament ho ha de ser per a una altra. No és el mateix una organització que utilitza dades de milions de persones, amb tractaments que contenen informació personal sensible o volums importants de dades sobre cada persona, que una petita empresa amb poques dades i que treballa amb dades no sensibles.

A més, manté (ampliats en alguns casos) els següents principis ja recollits a la LOPD:

• Principi de qualitat de les dades: les dades de caràcter personal només es poden recollir per al seu tractament i sotmetre’s a aquest tractament quan siguin adequades, pertinents i no excessives amb relació a l’àmbit i les finalitats determinades, explícites i legítimes per a les quals s’hagin obtingut. L’RGPD exigeix reduir al mínim necessari tant el tractament de les dades com les persones autoritzades a accedir a aquestes dades.
• Finalitat expressa: les dades de caràcter personal objecte de tractament no poden ser usades per a finalitats que no siguin compatibles amb aquelles per a les quals s’han recollit. Es consideren compatibles, tanmateix, el tractament posterior d’aquestes dades amb finalitats històriques, estadístiques o científiques.
• Necessitat de consentiment de la persona afectada: el tractament de les dades requereix el consentiment de la persona afectada.
• Actualitat de les dades: les dades personals que s’incorporin en un fitxer han de respondre a una situació actual.
• Principi d’exactitud: les dades personals han de ser susceptibles de modificació i de rectificació des del moment en què se’n coneix la modificació.
• Deure d’informació a la persona afectada: les persones interessades a les quals se sol·licitin dades de caràcter personal hauran de ser advertides prèviament de manera expressa, precisa i inequívoca:
  • Que les seves dades seran incloses en un fitxer, de la finalitat de la recollida i dels destinataris de la informació.
  • De l’obligatorietat o voluntarietat de donar aquestes dades.
  • De les conseqüències que porten aparellades l’obtenció de les dades o de la negativa a subministrar-les.
  • De la possibilitat d’exercir els drets d’accés, rectificació, cancel·lació i oposició (drets ARCO).
  • De la identificació i de l’adreça de la persona encarregada de dur a terme el tractament del fitxer o, si escau, del seu representant, perquè els afectats puguin exercir els seus drets.

A l’RGPD alguns d’aquests drets s’han ampliat:

• El dret de cancel·lació ha passat a denominar-se dret de supressió i té un aspecte molt comentat però adreçat essencialment als navegadors d’internet i xarxes socials: el dret a l’oblit.
• El dret al consentiment: L’RGPD requereix que l’interessat presti el consentiment mitjançant una declaració inequívoca o una acció afirmativa clara. Als efectes del nou Reglament, les caselles ja marcades, el consentiment tàcit o la inacció no constitueixen un consentiment vàlid. Igualment, perquè les dades estiguin especialment protegides, és necessari donar el consentiment exprés i per escrit.

També s’han incorporat dos nous drets: limitació del tractament i portabilitat.

• El dret a la limitació del tractament amplia el dret del consentiment; és el dret de l’usuari a posar limitacions als tractaments sobre les seves dades.
• El dret a la portabilitat de les dades inclou, per una banda, que la informació com a resposta al dret d’accés s’ha de proporcionar de manera completa i en format compatible d’ús corrent i, per una altra, que ha de poder-se transmetre a petició de l’interessat en aquest format directament a una altra organització (per exemple, si canviem de proveïdor).

És precís informar a les persones afectades per l’ús de les seves dades dels ítems que es llisten a continuació, per tal que puguin exercir pròpiament els drets anteriors:

• La base jurídica del tractament.
• Interessos legítims que es volen assolir.
• Necessitat de donar un consentiment. Aquest s’ha de donar amb un acte afirmatiu clar, específic, informat i inequívoc. Pot realitzar-se en paper o a través de mitjans electrònics.
• Termini de conservació de les dades. Quan aquest venci, el responsable del tractament n’ha de limitar el tractament a través de mitjans tècnics com impedir-hi l’acces als usuaris, trasllat temporal de les dades afectades a un altre sistema de tractament o retirada temporal d’un lloc d’Internet de les dades afectades.
• Dades de contacte amb el delegat de protecció de dades (si n’hi ha).
• Existència del dret a reclamar a una autoritat de control. Això és important, ja que també existeix, en cas de tractament inadequat o negligent, el dret a obtenir una reparació, i si escau una indemnització per part del perjudicat.
• Existència de decisions automatitzades o l’elaboració de perfils (si n’hi ha). L’interessat té dret a oposar-se a que les dades personals que l’afecten siguin objecte d’un tractament, inclosa l’elaboració de perfils. El responsable del tractament ha de deixar de tractar aquestes dades personals, tret que acrediti motius legítims imperiosos per al tractament que prevalguin sobre els interessos, els drets i les llibertats de l’interessat, o per a la formulació, l’exercici o la defensa de reclamacions. L’interessat també té dret a no ser objecte de decisions basades exclusivament en un tractament automatitzat.
• Dret a la informació de l’afectat davant canvis en les seves dades: Si hi ha un canvi de les dades s’ha d’informar del canvi a l’afectat, per tal de que les verifiqui i conegui el canvi.
• Si es transmetran les dades a tercers. Cal tenir present que només s’han de fer transferències de dades personals que es tracten o que es tractaran quan es transfereixin a un tercer país o a una organització internacional si, sens perjudici de la resta de disposicions del RGPD, el responsable i l’encarregat del tractament compleixen les condicions adecuades, incloses les relatives a les transferències posteriors de dades personals des del tercer país o organització internacional a un altre tercer país o una altra organització internacional.

La informació proporcionada en tot moment ha de ser clara i fàcilment intel·ligible: No s’ha de posar lletra petita, ni usar paraules ambígües ni frases complicades o difícils d’entendre.

La LOPDGD tracta, a més, dels drets que s’apliquen al cas de menors i de dades de persones difuntes.

La necessitat de proporcionar als usuaris els drets recollits per l’RGPD, deriva en una sèrie d’obligacions per a les empreses i persones responsables i encarregades d’efectuar els tractaments, com són:

• Proporcionar procediments senzills per exercitar els drets.
• Disposar de formularis conformes amb l’RGPD i la LOPDGD per informar als usuaris i perquè aquests exerceixin els seus drets.
• Pseudonimització de les dades i les bases de dades.
• Protecció de dades des del disseny i per defecte (article 25 RGPD); això implica tenir en compte les mesures de seguretat abans de l’inici del tractament i quan aquest s’està duent a terme).
• Tenir un registre de les activitats del tractament.
• Poder demostrar davant l’autoritat que es segueix la llei si s’és sol·licitat per aquesta.
• Notificar les violacions de seguretat.

D’altra banda, no és obligatori registrar a l’autoritat de control els fitxers amb dades personals que té l’organització, com passava amb l’anterior LOPD.

Altres obligacions recollides a l’RGPD són:

• En el Capítol 4 apareix l’obligació de xifrar les dades personals, a més de guardar-les amb pseudònims (pseudonimització) per tal de que sigui més difícil d’identificar de qui són les dades.
• En aquest mateix capítol, a l’article 42, s’assenyala que els organismes es podran certificar de forma voluntària.

L’article 33 de l’RGPD, Notificació d’una violació de la seguretat de les dades personals a l’autoritat de control, diu que el responsable ha de notificar a l’autoritat de control la violació de seguretat, sense dilació indeguda i, si és possible, en un termini màxim de 72 hores i de conformitat amb l’article 55, tret que sigui improbable que constitueixi un risc per als drets i les llibertats de les persones.

Quan sigui probable que la violació comporti un alt risc per als drets de les persones interessades, el responsable l’ha de comunicar a les persones afectades sense dilacions indegudes i en un llenguatge clar i senzill tal i com diu l’article 34, tret que:

• El responsable hagi adoptat mesures de protecció adequades, com ara que les dades no siguin intel·ligibles per a persones no autoritzades.
• El responsable hagi aplicat mesures posteriors que garanteixen que ja no hi ha la probabilitat que es concreti l’alt risc.
• Suposi un esforç desproporcionat. En aquest cas, cal optar per una comunicació pública o una mesura semblant.

La notificació de la fallada a les autoritats dins de les 72 hores següents a partir del moment al qual el responsable n’ha tingut constància pot ser objecte d’interpretacions variades. Normalment, es considera que se’n té constància quan hi ha certesa i coneixement suficient de les circumstàncies. La mera sospita no obliga a notificar ja que, en aquests casos, no és possible conèixer suficientment l’abast del succés.

Ara bé, si sospitem que el problema pot tenir un gran impacte, és recomanable contactar amb l’autoritat de supervisió.

En cas que no sigui possible realitzar la notificació dins el termini de 72 hores, pot fer-se més tard, però cal justificar-hi les causes del retard.

L’RGPD estableix el contingut mínim de la notificació. Aquests contenen elements com:

• La naturalesa de la violació.
• Les categories de dades i d’interessats afectats.
• Les mesures adoptades pel responsable per a solucionar la fallada i, si és el cas, les mesures aplicades per pal·liar els possibles efectes negatius sobre les persones interessades.

La informació també es pot proporcionar de forma escalonada, quan no es pugui fer completament al mateix moment de la notificació.

Finalment, el responsable del tractament ha de documentar qualsevol violació de la seguretat de les dades personals, inclosos els fets que hi estan relacionats, els seus efectes i les mesures correctores que s’han adoptat.

L’RGPD introdueix les figures del responsable del tractament de dades, de l’encarregat del tractament i del delegat de protecció de dades.

El capítol IV de l’RGPD tracta del responsable, de l’encarregat del tractament i del delegat de protecció de dades.

Hi pot haver representants dels responsables i/o dels encarregats del tractament quan aquests no estan establerts a la Unió, però entra dins de l’àmbit del Reglament, segons recull l’article 3, apartat 2. En aquests casos, el responsable o l’encarregat del tractament ha de designar per escrit un representant a la Unió.

El responsable del tractament o responsable és la persona física o jurídica, autoritat pública, servei o qualsevol altre organisme que, sol o juntament amb d’altres, determina les finalitats i els mitjans del tractament. El responsable ho és i ha de poder demostrar (accountability) que les dades personals siguin:

• Adequades, pertinents i limitades al que és necessari en relació amb les finalitats per a les quals es tracten (minimització de dades).
• Conservades de manera que permetin identificar els interessats durant un període no superior al necessari per a les finalitats del tractament de dades personals.
• Exactes. Això implica que, quan sigui precís, s’hauran d’actualitzar. Cal adoptar les mesures raonables perquè es suprimeixin o es rectifiquin les dades personals que siguin inexactes amb les finalitats per a les quals es tracten (“exactitud”);
• Tractades de manera lícita, lleial i transparent en relació amb l’interessat (licitud, lleialtat i transparència).
• Recollides amb finalitats determinades, explícites i legítimes; posteriorment no s’han de tractar de manera incompatible amb aquestes finalitats. D’acord amb l’article 89, el tractament posterior de les dades personals amb finalitats d’arxiu en interès públic, amb finalitats de recerca científica i històrica o amb finalitats estadístiques no es considera incompatible amb les finalitats inicials (limitació de la finalitat).
• Tractades de manera que se’n garanteixi una seguretat adequada, inclosa la protecció contra el tractament no autoritzat o il·lícit i contra la seva pèrdua, destrucció o dany accidental, mitjançant l’aplicació de les mesures tècniques o organitzatives adequades (“integritat i confidencialitat”), fent copies de seguretat…

Així, per exemple, el responsable del tractament serà qui haurà de decidir si les dades recollides inicialment amb el consentiment del client continuen essent vàlides per a una altra finalitat o no ho són i s’ha de tornar a demanar el consentiment al client. El responsable del tractament ha de prendre les mesures oportunes per facilitar a l’interessat tota la informació que indiquen els articles 13 (Informació que cal facilitar quan les dades personals s’obtenen de l’interessat) i 14 (Informació que cal facilitar quan les dades personals no s’han obtingut de l’interessat).

El responsable del tractament ha de facilitar a l’interessat l’exercici dels seus drets, en virtut dels articles 15 a 22.

L’article 28 del RGPD tracta de l’encarregat del tractament o encarregat. L’encarregat és la persona física o jurídica, autoritat pública, servei o qualsevol altre organisme que tracta dades personals per compte del responsable del tractament. L’encarregat és únic i el nomena el responsable del tractament de les dades. L’encarregat del tractament pot, però, contractar a altres encarregats de tractament de dades amb el consentiment per escrit del responsable del tractament de dades. El tractament efectuat per l’encarregat s’ha de regir per un contracte o per un altre acte jurídic conforme al dret de la Unió o dels estats membres. Aquest contracte ha de vincular l’encarregat respecte del responsable i ha d’establir l’objecte, la durada, la naturalesa i la finalitat del tractament, així com el tipus de dades personals i categories d’interessats i les obligacions i els drets del responsable. Aquest contracte o acte jurídic ha d’estipular, en particular, que l’encarregat:

• Tracta les dades personals únicament seguint instruccions documentades del responsable.
• Garanteix que les persones autoritzades per tractar dades personals s’han compromès a respectar-ne la confidencialitat o estan subjectes a una obligació de confidencialitat de naturalesa estatutària.
• Respecta les condicions establertes als apartats 2 i 4, per recórrer a un altre encarregat del tractament.
• Pren totes les mesures necessàries, de conformitat amb l’article 32.
• Assisteix el responsable sempre que sigui possible, d’acord amb la naturalesa del tractament i mitjançant les mesures tècniques i organitzatives adequades perquè pugui complir amb l’obligació de respondre les sol·licituds que tinguin per exercici dels drets dels interessats.
• Ajuda el responsable a garantir el compliment de les obligacions.
• A elecció del responsable, ha de suprimir o retornar totes les dades personals, una vegada finalitzada la prestació dels serveis de tractament, i suprimir les còpies existents, tret que sigui necessari conservar les dades personals en virtut del dret de la Unió o dels estats membres.
• Ha de posar a disposició del responsable tota la informació necessària per demostrar que compleix les obligacions assenyalades en aquest article 28 de l’RGPD. Així mateix, ha de permetre i contribuir a la realització d’auditories, incloses inspeccions, per part del responsable o d’un altre auditor autoritzat pel responsable.

El Reglament, a l’article 37, introdueix la figura del Delegat de Protecció de Dades (DPD) i especifica quan és necessari nomenar-lo.

El Delegat de Protecció de Dades pot formar part de la plantilla del responsable o l’encarregat o bé actuar en el marc d’un contracte de serveis.

El delegat de protecció de dades és nomenat pel responsable i l’encarregat del tractament i se l’ha de nomenar quan es alguna d’aquestes condicions:

• El tractament l’efectua una autoritat o un organisme públic, tret dels tribunals que actuen en l’exercici de la seva funció judicial.
• Les activitats principals del responsable o de l’encarregat consisteixen en operacions de tractament que requereixen una observació habitual i sistemàtica a gran escala.
• Les activitats principals del responsable o de l’encarregat consisteixen en el tractament a gran escala de categories especials de dades personals i de les dades relatives a condemnes i infraccions.

El delegat de protecció de dades s’ha de designar atenent a les seves qualitats professionals i als coneixements especialitzats del dret, a la pràctica en matèria de protecció de dades i a la capacitat per exercir les funcions esmentades a l’article 39, que principalment són:

• Assessorar respecte de l’avaluació d’impacte relativa a la protecció de dades.
• Actuar com a punt de contacte de l’autoritat de control per a qüestions relatives al tractament.
• Cooperar amb l’autoritat de control.
• Informar i assessorar el responsable o l’encarregat i els treballadors sobre les obligacions que imposa la normativa de protecció de dades.
• Supervisar que es compleix l’RGPD i la resta de legislació relativa a la protecció de dades.

Això no vol dir que el DPD hagi de tenir una titulació específica, però, tenint en compte que entre les funcions del DPD s’inclou l’assessorament al responsable o l’encarregat en tot el referent a la normativa sobre protecció de dades, els coneixements jurídics en la matèria són sens dubte necessaris; també cal que compti amb coneixements aliens a l’àmbit estrictament jurídic, com per exemple en matèria de tecnologia aplicada al tractament de dades o en relació amb l’àmbit d’activitat de l’organització en la qual exerceix la seva tasca.

Altres coses a tenir en compte són:

• Un grup empresarial pot nomenar un únic delegat de protecció de dades, sempre que sigui fàcilment accessible des de cada establiment.
• Si el responsable o l’encarregat del tractament és una autoritat o un organisme públic, tret de jutjats i tribunals, es pot tenir un únic delegat de protecció de dades per diversos organismes.
• La posició del DPD a les organitzacions ha de complir els requisits que l’RGPD estableix expressament. Entre aquests requisits hi ha la total autonomia en l’exercici de les seves funcions, la necessitat que es relacioni amb el nivell superior de la direcció o l’obligació que el responsable o l’encarregat li facilitin tots els recursos necessaris per desenvolupar la seva activitat.

Els sistemes informàtics encarregats del tractament i del manteniment de dades gestionen sovint dades de caràcter personal. Quan ens trobem en aquesta situació, hem de complir l’RGPD i la resta de legislació de protecció de dades. Com que el tractament es fa en fitxers de l’empresa, la llei ens diu que hem d’adoptar les mesures necessàries per garantir la seguretat de les dades personals.

El concepte de dada de caràcter personal genera força confusions. Per determinar què és realment, ens hem de fixar en l’RGPD, que el defineix com “qualsevol informació sobre una persona física identificada o identificable, com ara un nom, un número d’identificació, dades de localització, un identificador en línia o un o diversos elements propis de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social d’aquesta persona”.

Així, doncs, quan parlem de dada personal ens referim a qualsevol informació relativa a una persona concreta. Les dades personals ens identifiquen com a individus i caracteritzen les nostres activitats en la societat, tant públiques com privades. El fet que diguem que les dades són de caràcter personal no vol dir que només tinguin protecció les vinculades a la vida privada o íntima de la persona, sinó que són dades protegides totes les que ens identifiquen o que en combinar-les permeten la nostra identificació.

Tenen la consideració de dades personals:

• Nom i cognoms, data de naixement.
• Número de telèfon, adreça postal i electrònica.
• Dades biomètriques (empremtes, iris, dades genètiques, imatge, raça, veu…).
• Dades sanitàries (malalties, avortaments, cirurgia estètica…).
• Orientació sexual.
• Ideologia, creences religioses, afiliació sindical, estat civil…
• Dades econòmiques: bancàries, solvència, compres.
• Consums (aigua, gas, electricitat, telèfon…), subscripcions premsa…
• Dades judicials (antecedents penals).

No totes les dades personals són igual d’importants. Algunes s’anomenen sensibles a causa de la seva transcendència per a la nostra intimitat i a la necessitat d’evitar que siguin usades per discriminar-nos. No es tracta de preservar la nostra intimitat, sinó d’evitar perjudicis per l’ús que es pugui fer d’aquestes dades.

Tenen la consideració de dades sensibles les que es refereixen a la nostra raça, opinions polítiques, a les conviccions religioses, a les afiliacions a partits polítics o a sindicats, a la nostra salut o orientació sexual, genètiques, biomètriques.

L’incompliment d’una normativa legal pot comportar sancions. En el cas de l’RGPD, el règim de responsabilitat previst és de caràcter administratiu (menys greu que el penal i que no pot representar sancions privatives de llibertat). L’import de les sancions varia segons els drets personals afectats, volum de dades efectuats, els beneficis obtinguts, el grau d’intencionalitat i qualsevol altra circumstància que l’agència estimi oportuna.

Una diferència amb l’antiga LOPD és que no hi ha tipus de sancions (lleus, greus, molt greus). A l’article 83.2 especifica que les multes aniran en funció de la infracció. Les multes administratives poden arribar a ser d’entre 10 i 20 milions d’euros, o entre el 2 i el 4% del volum de negoci anual global. Per determinar la quantitat de les sancions es mirarà el cas particular tenint en compte:

• La naturalesa, gravetat i la durada de la infracció, estudiant la naturalesa, abast o propósit de la mateixa, així com el nombre d’interesats afectats i el nivell dels danys i perjudicis que hagin sofert.
• La intencionalidat o negligència en la infracció.
• Qualsevol mesura presa pel responsable o encarregat del tractament per solucionar i reduir els danys soferts pels interessats.
• El grau de responsabilitat de l’encarregat del tractament de les dades, segons les mesures aplicades per protegir la informació.
• Totes les infraccions anteriors dels responsables o encarregats del tractament.
• El grau de cooperació amb l’autoritat de control amb la finalitat de solucionar la infracció i mitigar els possibles efectes adversos de la infracció.
• Les categories de les dades de caràcter personal afectades per la infracció.
• La forma amb que l’autoritat de control va tenir coneixement de la infracció, en concret si el responsable o l’encarregat va notificar la infracció i en quina mesura.
• Que el responsable o l’encarregat ja hagin estat sancionats, amb advertència del compliment de les mesures.
• L’adhesió a codis de conducta o a mecanismes de certificació aprovats segons l’articulat del propi RGPD.
• Qualsevol altre factor agravant o atenuant aplicable a les circumstàncies del cas, com als beneficis financers obtinguts o a les pèrdues evitades, directa o indirectament, amb la infracció.