Logo-level4-sense-marge

Obligacions de la LOPD pels Backups

Objectiu

Conèixer les obligacions que imposa la LOPD pel tractament de les còpies de seguretat en l’entorn empresarial.

Afectació

Totes les empreses amb tractament de dades digitals

La LOPD (Llei Orgànica de Protecció de Dades) obliga a totes les organitzacions, empreses i institucions a garantir la seguretat de les dades de caràcter personal que tracten i emmagatzemen als seus sistemes d’informació i classifica aquestes dades en tres nivells de seguretat. Bàsic, Mitjà i Alt.

NivellTipus de dadesTipus d'empreses
BàsicDades de caràcter personal(Nom, adreces,telèfons, etc.).Afecta qualsevol activitat,empresa, agrupació,associació, etc.
MitjàDades relatives a la comissió d'infraccions administratives o penals,hisenda pública, serveis financers, solvència patrimonial i crèdit.Afecta especialment la administració pública, entitats financeres i sector jurídic.
AltDades relacionades amb la ideologia, origen racial, salut,creences, filiació sindical,religió i sexe.Afecta especialment a centres de formació,partits polítics, salut, RR-HH, clubs i agrupacions de lleure i totes les empreses que gestionen les nòmines.

Obligacions

Per a cada nivell s’imposen una sèrie d’obligacions en matèria de Backup des de la pròpia realització del backp, passant per garantir la restauració de les dades al moment anterior de produir-se la pèrdua, fins a l’obligació d’un backup externalitzat.

Obligacions

Bàsic

MitjàAlt
Realització de backup. Realització de còpies de backup almenys amb una freqüència setmanal. (art.94.1.RD 1720/2007)SISISI
Garantir restauració de les dades. Hauran de garantir la restauració de les dades al moment anterior de produir-se la perduda. (art.94.1.RD 1720/2007)SISISI
Autorització per a restauració. Necessària autorització per a la execució de procediments de restauració de dades. (art.100.2 RLOPD)SISI
Emmagatzematge extern. Emmagatzematge extern de còpies i procediments de restauració de dades. (art.102 RLOPD)SI

Què diu exactament la normativa (R.D.L.O.P.D 1720/2007)

Art.101.2 Xifrat de les dades.

La distribució dels suports que continguin dades de caràcter personal es realitzarà xifrant aquestes dades garantint que aquesta informació no s’albira ni manipulada durant el seu transport.

Per a l’encriptació es recomana un xifratge de 128 bits

Art. 103. Registre d’accessos

L’administrador no té accés a les dades tret d’autorització expressa del client. En el cas de necessitar executar una recuperació al Data-Center, lusuari ha de proporcionar la seva clau de seguretat.

L’accés queda enregistrat

Art. 102. Còpies de suport en un lloc diferent del que es troben els equips informàtics que els tracten

Obligatori a les còpies per a la protecció de dades d’alt nivell

Art. 104. Transmissió de dades per xarxes de Telecomunicacions

Les dades es transmeten, xifrades i comprimides, sempre hauran d’anar transmeses per SSL/TLS

Art. 94.2 Verificació periòdica de la còpia

El responsable del fitxer s’encarregarà de verificar cada sis mesos la correcta definició, aplicació i funcionament dels procediments de realització de còpies de respatller i recuperació de dades.

L'incompliment de la Llei

L’incompliment de la Llei pot donar lloc a sancions econòmiques, que en funció del seu gravetat pot ser:

Lleus: No complir les instruccions de l’Agència de Protecció de Dades, tenir dades obsolets, no rectificar o cancel·lar inexactituds, etc. De 601€ a 60.101€.

Greus: Crear fitxers amb finalitats diferents de l’objecte legítim de l’entitat, tractar dades ser part d’un centre sense l’existència d’un contracte que reculli la problemàtica de la protecció de dades, etc. De 60.101€ a 300.506€.

Molt greus: Comunicació o cessió no permesa de dades personals, vulneració de principis per a dades especialment protegides. De 300.506 € a 601.012 €

Revisió

Analitzar-ho tot és complicat, a Level4 realitzem aquest tipus de tasques complint la totalitat de la normativa de la llei.