“Al menos una vez durante la semana, tendrás que hacer una copia de respaldo, así como llevar a cabo recuperaciones al menos semestralmente  para comprobar el buen funcionamiento de estas”

En el artículo de esta semana vamos a centrarnos en uno de los principios más sencillos de cumplir del RGPD así como uno de los más prácticos y que podrán sernos de mayor ayuda en caso de sufrir algún percance en nuestras instalaciones o tras el hackeo de nuestros terminales o servidores, hoy vamos a hablar de LAS COPIAS DE SEGURIDAD EN LA EMPRESA.

Las copias de seguridad obedecen a una recomendación lógica que toda empresa debería asumir. El tratamiento de todos los datos que tienen carácter personal es muy delicado y nadie está a salvo de sufrir un robo, un virus informático o un incendio. Por si esto ocurre, un “backup” es la mejor solución si quieres que esa información tan valiosa de la que dispones esté periódicamente actualizada, ubicada fuera de las instalaciones de la propia empresa y, especialmente, que cumpla con todos los requisitos deL RGPD y la LOPD-GDD.

 

OBLIGATORIEDAD DE LAS COPIAS DE SEGURIDAD

La regulación de las copias de seguridad en la LOPD varía según el nivel de los datos que deben protegerse. Es decir, no es lo mismo proteger tu nombre y tus apellidos que tus datos médicos. Las exigencias que se deben cumplir en la protección de datos según el nivel de protección se señalan en la RGPD y la LOPD-GDD.

La normativa sectorial de protección de datos exige la realización de copias de seguridad de los datos personales que tenga almacenados en el marco de la actividad que realice.

Por tanto, es necesario que:

  • Se realicen en un dispositivo externo o interno situado en lugar diferente que la localización habitual de los datos
  • Sea realizada de forma periódica, al menos una vez a la semana
  • Establecer un procedimiento para llevarla acabo
  • Verificación semestral de los procedimientos
  • Pruebas con datos reales

safety iuris protección de datos

TIPOS DE COPIAS DE SEGURIDAD

Existen diferentes tipos de copias de seguridad:

  • Completa

Consiste en una copia al completo de todos los datos alojados. Se pueden comprimir y proteger mediante contraseña para asegurar su confidencialidad (recomendable).

Es la opción recomendable en el caso de que no estemos seguros de que datos queremos proteger, ya que tendremos siempre toda la información disponible.

  • Espejo

Esta es muy similar a la copia completa. Lo que la diferencia de esta es que los archivos no se comprimen. Por consiguiente, ocupa mucho más espacio que la anterior y es menos segura, ya que tampoco puede ser protegida por contraseña.

  • Incremental

Es el método más rápido de realización de copias. Se trata solo de copiar los datos que han cambiado desde la última vez que se hizo la copia. Sólo los archivos nuevos y/o modificados.

  • Diferencial

Es muy similar a la incremental, ya que la primera vez que se lleva a cabo copia todos los datos modificados y nuevos desde el último buckup.

La diferencia con al anterior es que cada vez que se vuelva a realizar, seguirá copiando todos los datos, es decir, no solo copiará los nuevos desde la última copia, sino desde la primera vez que se hizo la diferencial.

 

MEDIDAS DE SEGURIDAD EN BACKUP

  • Copias para datos de nivel básico

En primer lugar, debes saber cuáles son esos datos de nivel básico. Estos son las copias de todos aquellos ficheros cuya información esté relacionada con nombres, teléfonos, direcciones de correos electrónicos, fotografías en las que se pueda identificar a las personas o bien datos bancarios.

El primer requisito que se exige en este caso es, de acuerdo con la Ley de protección de datos, la periodicidad en la realización de la copia, la cual, como decíamos, deberá ser semanal, si bien cabe una excepción, que se dará si en un período semanal no has actualizado los datos.

Asimismo, el uso adecuado del sistema que tengas en las copias tendrá que comprobarse cada seis meses. Si estás realizando pruebas para implantar o, en su caso, hacer modificaciones en los sistemas de seguridad que tienes, deberás también hacer una copia de seguridad para ello.

  • Copias para datos de nivel alto

Estas copias se van a dar fundamentalmente en aquellos sistemas que traten datos de salud. En este caso, el hecho de que la copia se encuentre en un sitio distinto a aquel en el que estén los equipos informáticos que tienen dichos datos no es una opción, sino una exigencia. Por tanto, en las copias para datos de nivel alto resulta aún más recomendable el uso de un backup en nube.

En la práctica, los datos de estas características suelen cuanto menos guardarse en soportes externos fuera de la sala en la que se encuentre el equipo aunque en las mismas instalaciones. No obstante, muchas empresas no cumplen siquiera con estas medidas de seguridad mínimas.

No cumplir estos requisitos tan esenciales en el tratamiento de datos de carácter personal puede llevar a que se te impongan sanciones muy cuantiosas así como la pérdida de información sin la cual una empresa no puede funcionar correctamente. Por ello, es en este tipo de datos que son de alto nivel donde más interesa contar con los servicios de una consultoría de LOPD.

 

copia de seguridad backup

LA COPIA DE SEGURIDAD REALIZADA POR UN TERCERO (LA NUBE).

Es habitual, que contratemos a una empresa para que nos haga nuestras copias de seguridad.

Por lo tanto estamos ante el caso de que ese tercero, aunque solo sea para tareas de mantenimiento, puede acceder a nuestros archivos.

En ese caso deberemos realizar las siguientes acciones:

  • Firmar un contrato de encargado de tratamiento de datos con el tercero
  • Solicitar certificado de su cumplimiento de las normativas aplicables
  • Evaluar de forma continuada el cumplimiento de las condiciones de contratación del servicio por parte del tercero

 

EL USO DE UN BACKUP EN TU EMPRESA

Un alto número de usuarios y empresas reconoce no tener un sistema efectivo de copias de seguridad.

Un backup es una copia de seguridad externa que está automatizada en su seguridad, actualización periódica y cumplimiento de la LOPD. En este último punto, como advertíamos, es recomendable contar con los servicios de una consultoría de LOPD que se encargue de supervisar los contratos de accesos a los datos que procedan por cuenta de terceros y de que los mismos no vayan a salir del Espacio Económico Europeo, además del cumplimiento de las medidas de seguridad que se exigen, tales como el pertinente cifrado antes de que sean enviados. Se promoverá a su vez una conexión segura al servidor y una constante supervisión y seguimiento del backup.

 

CONSEJOS PRÁCTICOS PARA REALIZAR BACKUPS

Por lo expuesto, para conseguir una buena copia de seguridad podemos seguir estos consejos:

  • Ver qué tipo de copia nos será más útil y práctica según el tipo de datos y la forma de trabajar de nuestra entidad
  • Evaluar previamente al tercero si vamos a externalizar el servicio
  • Utilizar aplicaciones que hagan copias de seguridad de forma automática. De esta manera se podrán proteger tanto archivos antiguos como los que se modifican a diario. Automatizando las copias de seguridad es más difícil cometer errores u olvidarnos de hacer la copia de seguridad
  • Es recomendable hacer más de una copia de seguridad y utilizar diferentes soportes de almacenamiento ya sean CD, memorias USB o algún servicio de nube
  • Hay que comprobar cuál es el estado de los dispositivos en los que almacenamos las copias y guardar estos en lugares distintos para que en caso de robo o desastre natural no se pierdan todas las copias
  • En el mayor número de ocasiones, la pérdida de información se produce por un fallo del hardware del equipo. Si se muestra alguna advertencia hay que tomar medidas antes de que se pierdan los datos
  • Aunque se automaticen las copias de seguridad es recomendable comprobar que todo está correcto y que se puede disponer de los datos en caso de que fuera necesario

safety iuris despacho de abogados

PRÁCTICA

La cuestión de si las copias deben estar o no fuera de las propias oficinas es muy debatida a la hora de realizarlas. Como te hemos señalado, al menos una vez durante la semana, tendrás que hacer una copia de respaldo a menos que no hayas modificado ninguno de los datos. Sin embargo, las copias externas son fundamentales en los ficheros con datos de alto nivel.

Una vez aclarado este punto, solo nos queda decirte que para la recuperación de los datos habrás de tener varios factores en cuenta, como anotar la pérdida y la recuperación en el registro de incidencias, autorizar por el responsable dicha recuperación si se trata de datos de nivel alto e indicar quién realizó el proceso y cuáles se han tenido que grabar de manera manual.

Actualmente, son las pymes las que más descuidan la creación de copias de seguridad. Sin embargo, estas son fundamentales en todas las empresas debido a la gran importancia que tiene en la actualidad la protección de datos de carácter personal, sobre todo con vistas a ciberataques.

 

Para más información o consulta, en Safety Iuris estaremos encantados de ayudarle desde nuestro departamento de Protección de Datos, en el telf. 968 93 19 60 o en el correo electrónico info@safetyiuris.com .