Formación y recursos para profesionales


LOPD - LSSI - CIBERSEGURIDAD

¿Cuándo es necesaria una copia de seguridad externa?

El artículo 32 del Reglamento General de Protección de Datos, señala las obligaciones del responsable y el encargado de tratamiento de datos, en referencia a la aplicación de las medidas de seguridad.

No se determinan medidas de seguridad obligatorias concretas, más allá de algunos ejemplos, como la seudonimización y cifrado, para garantizar la confidencialidad, integridad y disponibilidad de los datos, y por supuesto, la capacidad de restaurar los datos de forma rápida en caso de incidente físico o técnico.

Deja en manos del responsable o el encargado la decisión sobre la selección de las medidas a aplicar, en función del nivel de seguridad requerido. Es por tanto imprescindible evaluar los riesgos inherentes al tratamiento de datos que gestionamos, de forma concreta, para poder decidir cuáles son las medidas más adecuadas y equilibradas.

 

¿Cómo decidimos si externalizamos el backup?

Es necesario valorar el cumplimiento del artículo 32 del RGPD, con el coste de las medidas a aplicar y la idoneidad del proveedor elegido. Para tomar la decisión nos basaremos en el tipo de datos que estamos tratando, las políticas de seguridad de la información de solvencia internacional y otra normativa asociada.

El RD 1720/2007, Reglamento de desarrollo de la anterior LOPD, indicaba de forma concreta cuáles eran las medidas de seguridad a aplicar en cada caso.

Aunque este Real Decreto hoy en día está derogado, nos puede servir de guía para determinar qué medidas de seguridad se aplicaban en función de los datos tratados. En su artículo 102 Copias de respaldo y recuperación, podemos encontrar esta información.

En la Guía del análisis de riesgos en los tratamientos de datos personales sujetos al RGPD emitida por la Agencia Española de Protección de Datos, obtenemos multitud de indicaciones sobre cómo evaluar los riesgos asociados a los tratamientos. Este es un primer paso para decidir las medidas de seguridad a aplicar, y por supuesto cumplir el art. 32 del RGPD.

El RD 3/2010, Esquema Nacional de Seguridad en la administración electrónica (ENS), impone la normativa que afecta a la administración pública para aplicar medidas de seguridad a la información tratada en formato electrónico. En su anexo II se indican las medidas de seguridad concretas en función del sistema de tratamiento.

Para verificar si estas medidas son adecuadas, el Centro Criptológico Nacional, ha emitido multitud de guías y protocolos a seguir.

En su Guía CCN-STIC-808 Verificación del cumplimiento de las medidas del ENS, las copias de seguridad es una de las medidas a aplicar (página 78).

La norma UNE-EN ISO 27002 Código para la práctica de la gestión de la seguridad de la información, es una norma de seguridad de reconocimiento internacional, siendo la más extendida y aceptada. Ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables.

 

Conclusiones

Si bien, la actual normativa no obliga a implementar ninguna medida de seguridad concreta, como sí hacía la anterior, todas las normas de seguridad de carácter internacional y las leyes nacionales indican cuales son más adecuadas.

Deja en manos del responsable la decisión de las medidas a aplicar, por supuesto a expensas de que una Autoridad inspectora considere, llegado el caso, si estas han sido suficientes o no.

Es por tanto, obligación de cualquier profesional la implantación de estas normas y asegurar el nivel de protección máximo teniendo en cuenta el coste mínimo.

De este informe, resulta claro, que la copia de seguridad externa es en la práctica obligatoria para sistemas de tratamiento de datos que se puedan considerar comprometidos; datos especialmente protegidos; datos de colectivos vulnerables, información confidencial, etc.

No obstante, dado el coste y el avance técnico, es muy aconsejable implementar esta medida en todos los sistemas de tratamiento, escogiendo al proveedor adecuado.

Hay que tener en cuenta, en caso de externalizar el servicio, la obligación de firmar un contrato de acceso a datos con el proveedor elegido, y verificar el cumplimiento de las garantías adecuadas.

Julio César Miguel

Sobre Julio César Miguel Pérez

Emprendedor desde los 22 años y fundador de varias empresas de base tecnológica. Informático de estudios, aunque luego especializado en protección de datos, seguridad de la información y ciberseguridad. Defensor acérrimo del derecho a la privacidad y hacker ético por hobby. Escritor en ratos de ocio. Formador y comunicador por pasión.

Deje un comentario

You must be logged in to post a comment.

¿Quiéres recibir nuestras actualizaciones en tu email?
Su Dirección de Email*:
  Acepto política de privacidad

union europea

SUSCRÍBETE A NUESTRO BLOG

cfi-nuestro-servicio

¿QUIERES DESCARGAR NUESTRA GUÍA Y SUSCRIBIRTE A NUESTRO BLOG?

* Nombre
* Email
  Acepto política de privacidad