Requisitos de Copias de Seguridad de Ficheros que contengan Datos personales
Los requisitos de copias de seguridad que exige la normativa sobre Protección de Datos se encuentran contenidos en los siguientes artículos del Reglamento:
NIVEL BASICO
Artículo 14. Copias de respaldo y recuperación.
1. El responsable de fichero se encargará de verificar la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.
2. Los procedimientos establecidos para la realización de copias de respaldo y para la recuperación de los datos deberán garantizar su reconstrucción en el estado en el que se encontraban al tiempo de producirse la pérdida o destrucción.
3. Deberán realizarse copias de respaldo, al menos semanalmente, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.
Artículo 24. Registro de accesos.
1. De cada acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.
2. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.
3. Los mecanismos que permiten el registro de los datos detallados en los párrafos anteriores estarán bajo el control directo del responsable de seguridad competente sin que se deba permitir, en ningún caso, la desactivación de los mismos.
4. El período mínimo de conservación de los datos registrados será de dos años.
5. El responsable de seguridad competente se encargará de revisar periódicamente la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes.
Artículo 25. Copias de respaldo y recuperación.
Deberá conservarse una copia de respaldo y de los procedimientos de recuperación de los datos en un lugar diferente de aquél en que se encuentren los equipos informáticos que los tratan cumpliendo en todo caso, las medidas de seguridad exigidas en este Reglamento.
OBSERVACIONES
En la práctica, lo que el reglamento exige es una clara política de copias de seguridad, que imposibilite un accidente en relación a la posible desaparición de ficheros que contengan datos personales.
Para el nivel básico de datos, se establece que "deberán realizarse copias de respaldo al menos semanalmente" de los datos, salvo que "no se haya producido ninguna modificación" de los mismos. Esto implica que no basta con tener los datos en soportes magnéticos, como el disco duro del ordenador, sino que hace necesario el establecimiento de soluciones hardware o software que hagan que dichos datos se encuentren en otro lugar distinto al de la ubicación principal de los mismos, es decir, que exista, simplemente, otra copia de los datos que no solo sea, por ejemplo, el ordenador de la oficina.
Para el nivel alto de datos, se establece un periodo mínimo de conservación de los registros de acceso a datos de dos años, además de la obligación para el Responsable de Seguridad de la revisión de dichos accesos al menos una vez al mes y que las copias de seguridad de los datos han de descansar en un lugar geográfico distinto al de la ubicación principal de los datos. Para la correcta conservación de los registros de accesos, se requerirá, igualmente, unas adecuadas medidas de copias de seguridad donde éstas se puedan conservar. En el documento de seguridad correspondiente se deberán describir los procedimientos de copias de seguridad que se establezcan.
Recomendamos que sea el administrador o el Responsable de Seguridad ó el Responsable del Fichero, la persona que describa dichos procedimientos.
|
|
|
