Obligaciones de la LOPD para los Backups
Objetivo
Conocer las obligaciones que impone la LOPD por el tratamiento de las copias de seguridad en el entorno empresarial.
Afectación
Todas las empresas con tratamiento de datos digitales
La LOPD (Ley Orgánica de Protección de Datos) obliga a todas las organizaciones, empresas e instituciones a garantizar la seguridad de los datos de carácter personal que tratan y almacenan en sus sistemas de información y clasifica estos datos en tres niveles de seguridad. Básico, Medio y Alto.
| Nivel | Tipo de datos | Tipo de empresas |
|---|---|---|
| Bàsico | Datos de carácter personal (Nombre, direcciones, teléfonos, etc.). | Afecta a cualquier actividad, empresa, agrupación, asociación, etc. |
| Medio | Datos relativos a la comisión de infracciones administrativas o penales, hacienda pública, servicios financieros, solvencia patrimonial y crédito. | Afecta especialmente a la administración pública, entidades financieras y sector jurídico. |
| Alto | Datos relacionados con la ideología, origen racial, salud, creencias, filiación sindical, religión y sexo. | Afecta especialmente a centros de formación, partidos políticos, salud, RR-HH, clubes y agrupaciones de ocio y todas las empresas que gestionan las nóminas. |
Obligaciones
Para cada nivel se imponen una serie de obligaciones en materia de Backup desde la propia realización del backp, pasando por garantizar la restauración de los datos en el momento anterior de producirse la pérdida, hasta la obligación de un backup externalizado.
| Obligaciones | Básico | Medio | Alto |
|---|---|---|---|
| Realización de backup. Realización de copias de backup al menos con una frecuencia semanal. (art.94.1.RD 1720/2007) | SI | SI | SI |
| Garantizar restauración de los datos. Deberán garantizar la restauración de los datos en el momento anterior de producirse la perdida. (art.94.1.RD 1720/2007) | SI | SI | SI |
| Autorización para restauración. Necesaria autorización para la ejecución de procedimientos de restauración de datos. (art.100.2 RLOPD) | SI | SI | |
| Almacenamiento externo. Almacenamiento externo de copias y procedimientos de restauración de datos. (art.102 RLOPD) | SI |
¿Qué dice exactamente la normativa (R.D.L.O.P.D 1720/2007)
Art.101.2 Cifrado de los datos.
La distribución de los soportes que contengan datos de carácter personal se realizará cifrando estos datos garantizando que esta información no se vislumbra ni manipulada durante su transporte.
Para la cifrado se recomienda un cifrado de 128 bits
Arte. 103. Registro de accesos
El administrador no tiene acceso a los datos salvo autorización expresa del cliente. En el caso de necesitar ejecutar una recuperación en el Data-Center, el usuario debe proporcionar su clave de seguridad.
El acceso queda registrado
Arte. 102. Copias de soporte en un lugar distinto al que se encuentran los equipos informáticos que los tratan
Obligatorio en las copias para la protección de datos de alto nivel
Arte. 104. Transmisión de datos por redes de Telecomunicaciones
Los datos se transmiten, cifrados y comprimidos, siempre tendrán que ir transmitidos por SSL/TLS
Arte. 94.2 Verificación periódica de la copia
El responsable del fichero se encargará de verificar cada seis meses la correcta definición, aplicación y funcionamiento de los procedimientos de realización de copias de respaldo y recuperación de datos.
El incumplimiento de la ley
El incumplimiento de la Ley puede dar lugar a sanciones económicas, que en función de su gravedad puede ser:
Leves: No cumplir las instrucciones de la Agencia de Protección de Datos, tener datos obsoletos, no rectificar o cancelar inexactitudes, etc. De 601€ a 60.101€.
Graves: Crear ficheros con fines distintos al objeto legítimo de la entidad, tratar datos de ser parte de un centro sin la existencia de un contrato que recoja la problemática de la protección de datos, etc. De 60.101 € a 300.506 €.
Muy graves: Comunicación o cesión no permitida de datos personales, vulneración de principios para datos especialmente protegidos. De 300.506 € a 601.012 €
Revisión
Analizar todo es complicado, en Level4 realizamos este tipo de tareas cumpliendo la totalidad de la normativa de la ley.