BACKGROUND IMAGE: canjoena - stock.adobe.com

Este contenido es parte de Guía Esencial: Guía esencial: Respaldo de datos empresariales
Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

GDPR y respaldo: ¿Qué hemos aprendido en un año?

La solicitud de eliminación de un cliente sigue siendo un punto de fricción con respecto a la copia de seguridad y el cumplimiento de GDPR. Obtenga orientación sobre este y otros temas, después del primer cumpleaños de GDPR.

Después de un año de vida con el Reglamento General de Protección de Datos, las organizaciones han aprendido algunas lecciones sobre la estrategia de respaldo y la ejecución que cumplen específicamente con los requisitos de GDPR.

El 25 de mayo marcó el primer aniversario de la implementación de GDPR. En el transcurso de un año, se han entregado alrededor de 100 multas, incluida una multa de $ 57 millones de dólares a Google, lo que demuestra que GDPR tiene dientes y que la Unión Europea no teme usarlos.

Desde los primeros rumores de GDPR, las copias de seguridad han sido un tema acalorado. Muchas organizaciones intentaron averiguar qué se requiere de su GDPR y su estrategia de respaldo para garantizar el cumplimiento.

Respaldos y continuidad de negocio

Parte del GDPR incluye el requisito de una organización de responder a las solicitudes de los usuarios dentro de un tiempo razonable. Según la autoridad supervisora ​​francesa, la Comisión Nacional de Informática y Libertad (CNIL), esto generalmente se considera un mes.

Entonces, puede estar pensando: «Tengo un mes si algo va hacia abajo. Estoy bien». Pero cuando observa ataques cibernéticos, como el ataque de ransomware que lleva a la ciudad de Baltimore a tomar varias semanas para la recuperación operativa, un mes ya no parece el tiempo suficiente. Sus copias de seguridad deben facilitar una rápida recuperación de cualquier parte de su operación que involucre datos personales.

CNIL ha publicado una guía sobre cómo proteger los datos personales, que incluye recomendaciones sobre las copias de seguridad para garantizar las operaciones. En general, su estrategia de recuperación debe brindarle la capacidad de recuperar no solo los datos, sino también tratar con eficacia la seguridad subyacente que protege los sistemas y aplicaciones que interactúan con los datos personales.

Copias de seguridad y el derecho al olvido

Hay dos problemas en juego con la capacidad de un ciudadano de la UE para pedir a una organización que elimine cualquier registro de datos. La primera es la pregunta: «¿Una solicitud de eliminación incluye la eliminación de datos de las copias de seguridad?».

En el último año, varias autoridades supervisoras de la UE han emitido recomendaciones sobre cómo abordar este problema de GDPR y respaldo. La autoridad danesa, el Inspectorado de Datos, declara que la eliminación de los datos de registro de las copias de seguridad es obligatoria «si esto es técnicamente posible». CNIL sostiene que no es necesario eliminar los datos de registro de una copia de seguridad. Pero, según un blog de Quantum, CNIL dijo que «las organizaciones tendrán que explicar claramente al sujeto de los datos (usando un lenguaje claro y sencillo) que sus datos personales han sido eliminados de los sistemas de producción, pero puede quedar una copia de respaldo, pero que expirará después de un cierto tiempo (indique el tiempo de retención en su comunicación con el sujeto de los datos)».

El segundo problema relacionado con GDPR y la copia de seguridad es que, si una organización elimina un registro y luego se recupera de una copia de seguridad más antigua (que contiene el registro ahora eliminado), el registro eliminado se reanimará y se volverá a poner en producción, lo que hará que la organización no esté en cumplimiento.

El Inspectorado de Datos informa a las organizaciones que deben mantener un índice de las eliminaciones solicitadas –utilizando marcadores no identificables, como un número de fila de la base de datos en lugar de detalles personales– que corresponda al tiempo de retención de una copia de seguridad determinada. De esta manera, si la recuperación requiere el uso de una copia de seguridad más antigua que contiene registros ahora eliminados, se puede volver a eliminar dichos registros.

GDPR y copia de seguridad: Hacia el futuro

No espero que cambie mucho con GDPR y el respaldo en los próximos años, a menos que surjan circunstancias específicas que exijan un cambio en la política en torno a las copias de seguridad, como un hacker que robe específicamente una copia de seguridad más antigua y filtre los datos para dañar financieramente a una organización. La conclusión es que una organización debe tener una política operativa en relación con el acceso, la administración y la copia de seguridad de los datos personales, y tener documentación que muestre lo que ha ocurrido con respecto a las copias de los respaldos que contienen datos personales y que se alinean con la política.

Investigue más sobre Copia de seguridad y protección

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close