Obligaciones de la LOPD para los Backups

Objetivo

Conocer las obligaciones que impone la LOPD por el tratamiento de las copias de seguridad en el entorno empresarial.

Afectación

Todas las empresas con tratamiento de datos digitales

La LOPD (Ley Orgánica de Protección de Datos) obliga a todas las organizaciones, empresas e instituciones a garantizar la seguridad de los datos de carácter personal que tratan y almacenan en sus sistemas de información y clasifica estos datos en tres niveles de seguridad. Básico, Medio y Alto.

NivelTipo de datosTipo de empresas
BàsicoDatos de carácter personal (Nombre, direcciones, teléfonos, etc.).Afecta a cualquier actividad, empresa, agrupación, asociación, etc.
MedioDatos relativos a la comisión de infracciones administrativas o penales, hacienda pública, servicios financieros, solvencia patrimonial y crédito.Afecta especialmente a la administración pública, entidades financieras y sector jurídico.
AltoDatos relacionados con la ideología, origen racial, salud, creencias, filiación sindical, religión y sexo.Afecta especialmente a centros de formación, partidos políticos, salud, RR-HH, clubes y agrupaciones de ocio y todas las empresas que gestionan las nóminas.

Obligaciones

Para cada nivel se imponen una serie de obligaciones en materia de Backup desde la propia realización del backp, pasando por garantizar la restauración de los datos en el momento anterior de producirse la pérdida, hasta la obligación de un backup externalizado.

ObligacionesBásicoMedioAlto
Realización de backup. Realización de copias de backup al menos con una frecuencia semanal. (art.94.1.RD 1720/2007)SISISI
Garantizar restauración de los datos. Deberán garantizar la restauración de los datos en el momento anterior de producirse la perdida. (art.94.1.RD 1720/2007)SISISI
Autorización para restauración. Necesaria autorización para la ejecución de procedimientos de restauración de datos. (art.100.2 RLOPD)SISI
Almacenamiento externo. Almacenamiento externo de copias y procedimientos de restauración de datos. (art.102 RLOPD)SI

¿Qué dice exactamente la normativa (R.D.L.O.P.D 1720/2007)

Art.101.2 Cifrado de los datos.

La distribución de los soportes que contengan datos de carácter personal se realizará cifrando estos datos garantizando que esta información no se vislumbra ni manipulada durante su transporte.

Para la cifrado se recomienda un cifrado de 128 bits

Arte. 103. Registro de accesos

El administrador no tiene acceso a los datos salvo autorización expresa del cliente. En el caso de necesitar ejecutar una recuperación en el Data-Center, el usuario debe proporcionar su clave de seguridad.

El acceso queda registrado

Arte. 102. Copias de soporte en un lugar distinto al que se encuentran los equipos informáticos que los tratan

Obligatorio en las copias para la protección de datos de alto nivel

Arte. 104. Transmisión de datos por redes de Telecomunicaciones

Los datos se transmiten, cifrados y comprimidos, siempre tendrán que ir transmitidos por SSL/TLS

Arte. 94.2 Verificación periódica de la copia

El responsable del fichero se encargará de verificar cada seis meses la correcta definición, aplicación y funcionamiento de los procedimientos de realización de copias de respaldo y recuperación de datos.

El incumplimiento de la ley

El incumplimiento de la Ley puede dar lugar a sanciones económicas, que en función de su gravedad puede ser:

Leves: No cumplir las instrucciones de la Agencia de Protección de Datos, tener datos obsoletos, no rectificar o cancelar inexactitudes, etc. De 601€ a 60.101€.

Graves: Crear ficheros con fines distintos al objeto legítimo de la entidad, tratar datos de ser parte de un centro sin la existencia de un contrato que recoja la problemática de la protección de datos, etc. De 60.101 € a 300.506 €.

Muy graves: Comunicación o cesión no permitida de datos personales, vulneración de principios para datos especialmente protegidos. De 300.506 € a 601.012 €

Revisión

Analizar todo es complicado, en Level4 realizamos este tipo de tareas cumpliendo la totalidad de la normativa de la ley.