Todo el personal de la organización recibirá una formación básica para que conozcan lo que deben o no deben hacer para evitar fugas de datos, infección de equipos, etc.En el caso de que la organización sufra una Brecha de Seguridad esta debe informarse a la AEPD en plazo y forma correcta. Recibirá un asesoramiento de cómo debe hacerlo para evitar una sanción de la AEPD.El 95% de los programas actualmente son en la nube, (SaaS, Cloud, etc.) en los que alojamos infinidad de datos, este tratamiento debe regularse por ley y debe hacerse de forma correcta para evitar fuga de datos y tratamiento incorrectos.Para la realización de campañas de marketing y Redes Sociales y el uso de imágenes tan habitual, dispone de un servicio de asesoramiento para que lo ejecute sin incumplir la normativa y evitar sanciones.En caso de que la AEPD inspeccione a la organización tendrá a su disposición un abogado con experiencia en la normativa para interponer el recurso en la AEPD.Disponemos de un seguro de responsabilidad civil para cubrir sanciones de la Agencia Española de Protección de Datos.Dispone de una línea directa de asistencia con su consultor asignado para resolver dudas sobre la aplicación de la normativa en su organización.Todos los meses recibe en su correo un Boletín con noticias relevantes e importantes que hayan ocurrido dentro del mes anterior.Al finalizar la implantación y tras una comprobación se hará entrega de un certificado de implantaciónRecibirá el sello de organización adaptada a la LOPD y/o LSSI en formato digital para incluir en documentos y una pegatina para pegar en el establecimiento.Conectará con un consultor que recabará la información necesaria para elaborar la documentación y diseñar la hoja de ruta para adecuar su actividad a la normativa.

El artículo 32 del Reglamento General de Protección de Datos, señala las obligaciones del responsable y el encargado de tratamiento de datos, en referencia a la aplicación de las medidas de seguridad.

No se determinan medidas de seguridad obligatorias concretas, más allá de algunos ejemplos, como la seudonimización y cifrado, para garantizar la confidencialidad, integridad y disponibilidad de los datos, y por supuesto, la capacidad de restaurar los datos de forma rápida en caso de incidente físico o técnico.

Deja en manos del responsable o el encargado la decisión sobre la selección de las medidas a aplicar, en función del nivel de seguridad requerido. Es por tanto imprescindible evaluar los riesgos inherentes al tratamiento de datos que gestionamos, de forma concreta, para poder decidir cuáles son las medidas más adecuadas y equilibradas.

 

¿Cómo decidimos si externalizamos el backup?

Es necesario valorar el cumplimiento del artículo 32 del RGPD, con el coste de las medidas a aplicar y la idoneidad del proveedor elegido. Para tomar la decisión nos basaremos en el tipo de datos que estamos tratando, las políticas de seguridad de la información de solvencia internacional y otra normativa asociada.

El RD 1720/2007, Reglamento de desarrollo de la anterior LOPD, indicaba de forma concreta cuáles eran las medidas de seguridad a aplicar en cada caso.

Aunque este Real Decreto hoy en día está derogado, nos puede servir de guía para determinar qué medidas de seguridad se aplicaban en función de los datos tratados. En su artículo 102 Copias de respaldo y recuperación, podemos encontrar esta información.

En la Guía del análisis de riesgos en los tratamientos de datos personales sujetos al RGPD emitida por la Agencia Española de Protección de Datos, obtenemos multitud de indicaciones sobre cómo evaluar los riesgos asociados a los tratamientos. Este es un primer paso para decidir las medidas de seguridad a aplicar, y por supuesto cumplir el art. 32 del RGPD.

El RD 3/2010, Esquema Nacional de Seguridad en la administración electrónica (ENS), impone la normativa que afecta a la administración pública para aplicar medidas de seguridad a la información tratada en formato electrónico. En su anexo II se indican las medidas de seguridad concretas en función del sistema de tratamiento.

Para verificar si estas medidas son adecuadas, el Centro Criptológico Nacional, ha emitido multitud de guías y protocolos a seguir.

En su Guía CCN-STIC-808 Verificación del cumplimiento de las medidas del ENS, las copias de seguridad es una de las medidas a aplicar (página 78).

La norma UNE-EN ISO 27002 Código para la práctica de la gestión de la seguridad de la información, es una norma de seguridad de reconocimiento internacional, siendo la más extendida y aceptada. Ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables.

 

Conclusiones

Si bien, la actual normativa no obliga a implementar ninguna medida de seguridad concreta, como sí hacía la anterior, todas las normas de seguridad de carácter internacional y las leyes nacionales indican cuales son más adecuadas.

Deja en manos del responsable la decisión de las medidas a aplicar, por supuesto a expensas de que una Autoridad inspectora considere, llegado el caso, si estas han sido suficientes o no.

Es por tanto, obligación de cualquier profesional la implantación de estas normas y asegurar el nivel de protección máximo teniendo en cuenta el coste mínimo.

De este informe, resulta claro, que la copia de seguridad externa es en la práctica obligatoria para sistemas de tratamiento de datos que se puedan considerar comprometidos; datos especialmente protegidos; datos de colectivos vulnerables, información confidencial, etc.

No obstante, dado el coste y el avance técnico, es muy aconsejable implementar esta medida en todos los sistemas de tratamiento, escogiendo al proveedor adecuado.

Hay que tener en cuenta, en caso de externalizar el servicio, la obligación de firmar un contrato de acceso a datos con el proveedor elegido, y verificar el cumplimiento de las garantías adecuadas.