Notas de prensa » Alimentación

Cómo afrontar el GDPR en tu empresa sin correr ningún riesgo

El honor del “derecho al olvido” de los datos personales de las personas en las empresas tiene que cumplirse, siempre siguiendo los pasos indicados para no cometer infracciones de cumplimiento o recibir las multas que esto conlleva

Madrid 26 de Marzo de 2018. Con el GDPR que entrará en vigor oficialmente el día 25 de mayo de 2018, surgen varias dudas en relación al “derecho a ser olvidado” que afecta a los datos personales almacenados en archivos de copia de seguridad.

Honrar el derecho del usuario a ser olvidado se puede resumir en dos preguntas:

· ¿Cómo podemos proteger los datos personales mientras continúa existiendo un archivo de copia de seguridad?

· ¿Cómo podemos respetar los principios de minimización de datos de GDPR, manteniendo solo los datos que necesitamos durante un período de tiempo determinado?

Acronis recoge las mejores prácticas de cumplimiento del GDPR y características de producto diseñadas para ayudar a sus socios (incluyendo MSPs y ofreciendo el servicio backup en la plataforma Acronis Data Cloud) y a sus clientes (empresas que sirven como controladores de datos de los ciudadanos de EEUU) para cumplir esta obligación.

Las soluciones de Acronis para sus socios y clientes se divide en:

- Cuando se puede, los controladores deben organizar el backup para que cada objeto de datos tenga su propio archivo de respaldo para datos personales.

o Esta solución es ideal porque permite la eliminación únicamente de archivos personales sin afectar los registros de otros usuarios.

o Desafortunadamente este enfoque es poco práctico para algunas empresas, ya que los datos personales de una persona, a menudo se encuentran dispersos en varias aplicaciones, ubicaciones, dispositivos de almacenamiento y copias de seguridad.

- Los archivos de backup siempre deben estar guardados utilizando encriptación. De esta manera, incluso si un archivo de backup con datos personales que fuese a ser suprimido fuese robado, los ladrones no podrían usarlo.

- Cuando las personas solicitan la eliminación de sus datos personales, los encargados de realizarlo (controladores) deben ser transparentes con ellos sobre lo que pasará con las copias de seguridad:

o Sus datos serán borrados con la velocidad correspondiente.

o Sus datos personales pueden residir en archivos de copias de seguridad que deben conservarse durante un período de tiempo más largo, ya sea porque no es práctico aislar los datos personales dentro del archivo, o porque el controlador debe retener los datos por más tiempo contractual, legal o de cumplimiento.

o La persona en cuestión puede estar seguro de que sus datos personales no se restaurarán en sistemas de producción (excepto en casos excepcionales como por ejemplo la necesidad de recuperar datos por un desastre natural o una violación de seguridad grave). En tal caso, los datos personales del usuario pueden recuperarse a partir de copias de seguridad, pero el controlador llevará a cabo los pasos necesarios para cumplir con la solicitud inicial y borrar los datos nuevamente.

o Los archivos de copias de seguridad que contienen datos personales serán protegidos con una encriptación fuerte, de tal manera que si los criminales fuesen capaces de robar esos archivos, su contenido resultase inútil para ellos.

o Se han establecido reglas de retención para que los datos personales en los archivos de copia de seguridad se conserven durante el tiempo que sea estrictamente necesario antes de eliminarlo automáticamente.

o Se conservarán los registros de todos los datos personales que pidan los solicitantes, así como los registros de auditoría que registrarán todas las actividades en los archivos de copia de seguridad que contienen los datos personales. Esto significa que el usuario puede estar seguro de que sus datos personales se han respaldado conforme a los principios de seguridad del GDPR por diseño y por defecto, así como en la minimización de datos, y que se han respetado sus derechos, incluido el derecho al olvido.

Acronis respetará el derecho al olvido de todos los interesados en relación con sus datos personales cuando los datos ya no sean necesarios para su finalidad original o el usuario retire su consentimiento.

Cuando un cliente solicita a Acronis que “le olvide”, Acronis elimina sus datos personales de sus sistemas de producción en un plazo de 30 días si no hay motivos legales para seguir procesándolo.

Acronis eliminará las copias de los archivos de seguridad de los datos personales de sus archivos tan pronto como sea posible en la medida permitida por otras obligaciones de retención de datos (por ejemplo, para proteger otros datos almacenados en los mismos archivos de copia de seguridad, o cumplir con otros requisitos reglamentarios o legales). Una vez que se hayan cumplido esas obligaciones, se procederá a eliminar permanentemente esos archivos lo más rápido posible.

Además Acronis también retendrá auditorías que muestren el historial de todas las operaciones de los datos personales del cliente durante el período requerido por las obligaciones legales. Ciertos elementos que el usuario puede considerar datos personales; por ejemplo, entradas realizadas en paneles de discusión de la comunidad o en páginas de opiniones pueden retenerse de acuerdo con los Términos y Condiciones que el usuario acepta cuando postea en alguno de estos sitios web. Acronis siempre llevará a cabo los pasos necesarios para mantener todos los datos personales seguros e inaccesibles a individuos no autorizados.

CONCLUSIÓN

Independientemente de que seas un controlador, procesador o ambos en términos del GDPR, se debe respetar el derecho a “ser olvidado” por parte de los sujetos. Es bastante sencillo: si reside en el sistema de producción, necesitas borrarlo rápidamente. Pero si el mismo dato está guardado en los archivos de copia de seguridad puede ser algo más difícil de manejar: se debe eliminar lo antes posible, pero pueden tener obligaciones por las que deban mantenerlo más tiempo.

La mejor manera de prevenir una posible infracción de cumplimiento y las estrictas multas que esto conlleva es seguir los mismos principios generales del GDPR para las copias de seguridad que para los datos personales en los sistemas de producción:

- Seguir los pasos razonables para mantener los archivos de la copia de seguridad a salvo de miradas indiscretas.

- No guardar los archivos más del tiempo necesario.

- Registrar y documentar las políticas, procedimientos, y actuales operaciones en las copias de seguridad de archivos para así poder probar que has actuado de buena fe para honrar los derechos de los interesados con respecto a sus datos personales.

- Ser transparente con los usuarios acerca de por qué sus datos personales en las copias de seguridad pueden mantenerse durante más tiempo, cómo se mantendrá esta información a salvo hasta que pueda eliminarse y cuándo se eliminará.