¿Cuándo es necesaria una copia de seguridad externa?

El artículo 32 del Reglamento General de Protección de Datos, señala las obligaciones del responsable y el encargado de tratamiento de datos, en referencia a la aplicación de las medidas de seguridad.

No se determinan medidas de seguridad obligatorias concretas, más allá de algunos ejemplos, como la seudonimización y cifrado, para garantizar la confidencialidad, integridad y disponibilidad de los datos, y por supuesto, la capacidad de restaurar los datos de forma rápida en caso de incidente físico o técnico.

Deja en manos del responsable o el encargado la decisión sobre la selección de las medidas a aplicar, en función del nivel de seguridad requerido. Es por tanto imprescindible evaluar los riesgos inherentes al tratamiento de datos que gestionamos, de forma concreta, para poder decidir cuáles son las medidas más adecuadas y equilibradas.

 

¿Cómo decidimos si externalizamos el backup?

Es necesario valorar el cumplimiento del artículo 32 del RGPD, con el coste de las medidas a aplicar y la idoneidad del proveedor elegido. Para tomar la decisión nos basaremos en el tipo de datos que estamos tratando, las políticas de seguridad de la información de solvencia internacional y otra normativa asociada.

El RD 1720/2007, Reglamento de desarrollo de la anterior LOPD, indicaba de forma concreta cuáles eran las medidas de seguridad a aplicar en cada caso.

Aunque este Real Decreto hoy en día está derogado, nos puede servir de guía para determinar qué medidas de seguridad se aplicaban en función de los datos tratados. En su artículo 102 Copias de respaldo y recuperación, podemos encontrar esta información.

En la Guía del análisis de riesgos en los tratamientos de datos personales sujetos al RGPD emitida por la Agencia Española de Protección de Datos, obtenemos multitud de indicaciones sobre cómo evaluar los riesgos asociados a los tratamientos. Este es un primer paso para decidir las medidas de seguridad a aplicar, y por supuesto cumplir el art. 32 del RGPD.

El RD 3/2010, Esquema Nacional de Seguridad en la administración electrónica (ENS), impone la normativa que afecta a la administración pública para aplicar medidas de seguridad a la información tratada en formato electrónico. En su anexo II se indican las medidas de seguridad concretas en función del sistema de tratamiento.

Para verificar si estas medidas son adecuadas, el Centro Criptológico Nacional, ha emitido multitud de guías y protocolos a seguir.

En su Guía CCN-STIC-808 Verificación del cumplimiento de las medidas del ENS, las copias de seguridad es una de las medidas a aplicar (página 78).

La norma UNE-EN ISO 27002 Código para la práctica de la gestión de la seguridad de la información, es una norma de seguridad de reconocimiento internacional, siendo la más extendida y aceptada. Ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables.

 

Conclusiones

Si bien, la actual normativa no obliga a implementar ninguna medida de seguridad concreta, como sí hacía la anterior, todas las normas de seguridad de carácter internacional y las leyes nacionales indican cuales son más adecuadas.

Deja en manos del responsable la decisión de las medidas a aplicar, por supuesto a expensas de que una Autoridad inspectora considere, llegado el caso, si estas han sido suficientes o no.

Es por tanto, obligación de cualquier profesional la implantación de estas normas y asegurar el nivel de protección máximo teniendo en cuenta el coste mínimo.

De este informe, resulta claro, que la copia de seguridad externa es en la práctica obligatoria para sistemas de tratamiento de datos que se puedan considerar comprometidos; datos especialmente protegidos; datos de colectivos vulnerables, información confidencial, etc.

No obstante, dado el coste y el avance técnico, es muy aconsejable implementar esta medida en todos los sistemas de tratamiento, escogiendo al proveedor adecuado.

Hay que tener en cuenta, en caso de externalizar el servicio, la obligación de firmar un contrato de acceso a datos con el proveedor elegido, y verificar el cumplimiento de las garantías adecuadas.

Julio César Miguel Pérez

Julio César Miguel Pérez

CEO de Grupo CFI
Delegado de Protección de Datos Certificado.
Experto en la gestión de la seguridad de la información, ciberseguridad, protección de datos personales y comercio electrónico.

    Entradas recientes