Copias de seguridad y LOPD
En este post, analizamos una de las medidas de seguridad más evidentes y recomendables de la legislación vigente: la realización de copias de seguridad.
Como el resto de medidas de seguridad que rigen el tratamiento de datos de carácter personal, para encontrar las obligaciones concretas en relación a las copias de seguridad, debemos consultar el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (más conocido como RLOPD).
El deber de realizar estas copias, como decimos, es uno de los más lógicos y recomendables que debe cumplir cualquier empresa que trate datos personales, no es nuestra labor recordar su importancia puesto que no cabe duda que una empresa sin copias de seguridad, está en una situación real de riesgo.
Aunque parezca algo evidente, aún a fecha de hoy, visitamos empresas con sistemas de copias de seguridad demasiado débiles. En este post nos centraremos en cómo se concreta la obligación para aquellas empresas que tratan datos personales, según la legislación actual.
Como en otras medidas de seguridad, las características del sistema de copias de seguridad depende del tipo de datos personales por la empresa. Si trata datos de nivel básico, debemos irnos al artículo 94 del RLOPD y si los datos son de nivel alto al 102 del mismo reglamento. Estas son las obligaciones en cada caso:
Copias de seguridad para datos de nivel básico
Deben cumplir las medidas de seguridad de nivel básico en relación a las copias de seguridad, aquellos ficheros que contengan datos indentificativos de personas físicas (nombre, teléfono, email, dirección, fotografías o, por ejemplo, datos bancarios).
En estos supuestos las copias de seguridad cumplirán, al menos los siguientes requerimientos:
– La copia deberá ser con una periodicidad semanal, a menos que en ese período no se hubieran actualizado los datos, Pocas empresas actualizan los datos con una periodicidad superior a la semanal, por lo que a la práctica la periodicidad suele ser diaria.
– El proceso de copias, debe garantizar que los datos se recuperarán al momento previo a cualquier incidente.
– Cada 6 meses debe comprobarse el correcto uso del sistema de copias de seguridad.
– En caso de realizar pruebas para la implantación o modificaciones de los sistemas de seguridad, previamente deberá realizarse una copia de seguridad.
Copias de seguridad para datos de nivel alto
Para abreviar, deberán aplicar estas medidas, aquellos sistemas de información que traten, esencialmente, datos de salud. Es esencialmente una (además de las previstas para el nivel básico): debe conservarse una copia de respaldo en «un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan«. Esto tradicionalmente se ha solucionado sacando una copia en algún soporte externo, de la sala o lugar donde se ubica el equipo, equipos o servidor, donde se alojan los datos.
Resulta necesario recordar que todas estas medidas fueron «pensadas» en el ya derogado Reglamento de Medidas de Seguridad del 1999. Ello tiene como consecuencia que su vigencia en relación a la realidad de los sistemas de información de hoy, sea simplemente nula. A mi modo de ver estas obligaciones, deben ser interpretadas como principios básicos, pero la realidad de las empresas de hoy, a pesar de que algunas no cumplen estos mínimos, está, normalmente a años luz de esto. Conocer estos mínimos puede evitar sanciones y, lo más importante, disgustos por pérdida de información, la gasolina de las empresas.
¡Si tienes alguna duda sobre este o cualquier otro tema, no dudes en contactarnos!
Información sobre protección de datos
Denominación social
LEGAL IT GLOBAL 2017, SLP
Finalidad
Prestar el servicio.
Envío del Boletín informativo.
Legitimización
Cumplimiento de la prestación del servicio.
Consentimiento.
Destinatarios
Tus datos no serán compartidos con ningún tercero, salvo aquellos proveedores de servicios con los que disponemos de un contrato de servicios vigente.
Derechos
Puedes acceder, rectificar o suprimir los datos, así como ejercer los derechos que se mencionan en nuestra Política de Privacidad.
Más información
Consulta la Política de Privacidad.