Còpies de seguretat i LOPD
En aquest post, analitzem una de les mesures de seguretat més evidents i recomanables de la legislació vigent: la realització de còpies de seguretat.
Com la resta de mesures de seguretat que regeixen el tractament de dades de caràcter personal, per trobar les obligacions concretes en relació a les còpies de seguretat, hem de consultar el Reial decret 1720/2007, de 21 de desembre, pel qual s’aprova el Reglament de desenvolupament de la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (més conegut com RLOPD).
El deure de realitzar aquestes còpies, com diem, és un dels més lògics i recomanables que ha de complir qualsevol empresa que tracti dades personals, no és la nostra labor recordar la seva importància posat que no hi ha dubte que una empresa sense còpies de seguretat, està en una situació real de risc.
Encara que sembli quelcom evident, encara a data d’avui, visitem empreses amb sistemes de còpies de seguretat massa febles. En aquest post ens centrarem en com es concreta l’obligació per a aquelles empreses que tracten dades personals, segons la legislació actual.
Com en altres mesures de seguretat, les característiques del sistema de còpies de seguretat depèn del tipus de dades personals per l’empresa. Si tracta dades de nivell bàsic, hem d’anar-nos a l’article 94 del RLOPD i si les dades són de nivell alt al 102 del mateix reglament. Aquestes són les obligacions en cada cas:
Còpies de seguretat per a dades de nivell bàsic
Han de complir les mesures de seguretat de nivell bàsic en relació a les còpies de seguretat, aquells fitxers que continguin dades indentificatives de persones físiques (nom, telèfon, email, adreça, fotografies o, per exemple, dades bancàries).
En aquests suposats les còpies de seguretat compliran, almenys els següents requeriments:
– La còpia haurà de ser amb una periodicitat setmanal, tret que en aquest període no s’haguessin actualitzat les dades, Poques empreses actualitzen les dades amb una periodicitat superior a la setmanal, per la qual cosa a la pràctica la periodicitat sol ser diària.
– El procés de còpies, ha de garantir que les dades es recuperaran al moment previ a qualsevol incident.
– Cada 6 mesos ha de comprovar-se el correcte ús del sistema de còpies de seguretat.
– En cas de realitzar proves per a la implantació o modificacions dels sistemes de seguretat, prèviament haurà de realitzar-se una còpia de seguretat.
Còpies de seguretat per a dades de nivell alt
Per abreujar, hauran d’aplicar aquestes mesures, aquells sistemes d’informació que tractin, essencialment, dades de salut. És essencialment una (a més de les previstes per al nivell bàsic): ha de conservar-se una còpia de seguretat en “un lloc diferent d’aquell en què es trobin els equips informàtics que els tracten“. Això tradicionalment s’ha solucionat traient una còpia en algun suport extern, de la sala o lloc on se situa l’equip, equips o servidor, on s’allotgen les dades.
Resulta necessari recordar que totes aquestes mesures van ser “pensades” en el ja derogat Reglament de Mesures de Seguretat del 1999. Això té com a conseqüència que la seva vigència en relació a la realitat dels sistemes d’informació d’avui, sigui simplement nul·la.
Segons la meva opinió, aquestes obligacions, han de ser interpretades com a principis bàsics, però la realitat de les empreses d’avui, malgrat que algunes no compleixen aquests mínims, està, normalment a anys llum d’això. Conèixer aquests mínims pot evitar sancions i, el més important, disgustos per pèrdua d’informació, la gasolina de les empreses.
Si tens dubtes sobre aquest o qualsevol altre tema, no dubtis en contactar-nos!
