Obligacions de la LOPD pels Backups
Objectiu
Conèixer les obligacions que imposa la LOPD pel tractament de les còpies de seguretat en l’entorn empresarial.
Afectació
Totes les empreses amb tractament de dades digitals
La LOPD (Llei Orgànica de Protecció de Dades) obliga a totes les organitzacions, empreses i institucions a garantir la seguretat de les dades de caràcter personal que tracten i emmagatzemen als seus sistemes d’informació i classifica aquestes dades en tres nivells de seguretat. Bàsic, Mitjà i Alt.
Nivell | Tipus de dades | Tipus d'empreses |
---|---|---|
Bàsic | Dades de caràcter personal(Nom, adreces,telèfons, etc.). | Afecta qualsevol activitat,empresa, agrupació,associació, etc. |
Mitjà | Dades relatives a la comissió d'infraccions administratives o penals,hisenda pública, serveis financers, solvència patrimonial i crèdit. | Afecta especialment la administració pública, entitats financeres i sector jurídic. |
Alt | Dades relacionades amb la ideologia, origen racial, salut,creences, filiació sindical,religió i sexe. | Afecta especialment a centres de formació,partits polítics, salut, RR-HH, clubs i agrupacions de lleure i totes les empreses que gestionen les nòmines. |
Obligacions
Per a cada nivell s’imposen una sèrie d’obligacions en matèria de Backup des de la pròpia realització del backp, passant per garantir la restauració de les dades al moment anterior de produir-se la pèrdua, fins a l’obligació d’un backup externalitzat.
Obligacions | Bàsic | Mitjà | Alt |
---|---|---|---|
Realització de backup. Realització de còpies de backup almenys amb una freqüència setmanal. (art.94.1.RD 1720/2007) | SI | SI | SI |
Garantir restauració de les dades. Hauran de garantir la restauració de les dades al moment anterior de produir-se la perduda. (art.94.1.RD 1720/2007) | SI | SI | SI |
Autorització per a restauració. Necessària autorització per a la execució de procediments de restauració de dades. (art.100.2 RLOPD) | SI | SI | |
Emmagatzematge extern. Emmagatzematge extern de còpies i procediments de restauració de dades. (art.102 RLOPD) | SI |
Què diu exactament la normativa (R.D.L.O.P.D 1720/2007)
Art.101.2 Xifrat de les dades.
La distribució dels suports que continguin dades de caràcter personal es realitzarà xifrant aquestes dades garantint que aquesta informació no s’albira ni manipulada durant el seu transport.
Per a l’encriptació es recomana un xifratge de 128 bits
Art. 103. Registre d’accessos
L’administrador no té accés a les dades tret d’autorització expressa del client. En el cas de necessitar executar una recuperació al Data-Center, lusuari ha de proporcionar la seva clau de seguretat.
L’accés queda enregistrat
Art. 102. Còpies de suport en un lloc diferent del que es troben els equips informàtics que els tracten
Obligatori a les còpies per a la protecció de dades d’alt nivell
Art. 104. Transmissió de dades per xarxes de Telecomunicacions
Les dades es transmeten, xifrades i comprimides, sempre hauran d’anar transmeses per SSL/TLS
Art. 94.2 Verificació periòdica de la còpia
El responsable del fitxer s’encarregarà de verificar cada sis mesos la correcta definició, aplicació i funcionament dels procediments de realització de còpies de respatller i recuperació de dades.
L'incompliment de la Llei
L’incompliment de la Llei pot donar lloc a sancions econòmiques, que en funció del seu gravetat pot ser:
Lleus: No complir les instruccions de l’Agència de Protecció de Dades, tenir dades obsolets, no rectificar o cancel·lar inexactituds, etc. De 601€ a 60.101€.
Greus: Crear fitxers amb finalitats diferents de l’objecte legítim de l’entitat, tractar dades ser part d’un centre sense l’existència d’un contracte que reculli la problemàtica de la protecció de dades, etc. De 60.101€ a 300.506€.
Molt greus: Comunicació o cessió no permesa de dades personals, vulneració de principis per a dades especialment protegides. De 300.506 € a 601.012 €
Revisió
Analitzar-ho tot és complicat, a Level4 realitzem aquest tipus de tasques complint la totalitat de la normativa de la llei.