Lo que dice la ley, en una frase
El Reglamento General de Protección de Datos (RGPD), en su artículo 32, obliga a las empresas a aplicar medidas técnicas para garantizar, entre otras cosas, «la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico». Traducido: si un ataque, un incendio o un fallo destruye los datos de tus clientes, tienes que poder recuperarlos, y rápido. Eso, en la práctica, significa copias de seguridad que funcionen.
El mismo artículo pide también «verificar, evaluar y valorar regularmente» que esas medidas funcionan. Es decir: no basta con tener copias, hay que probar periódicamente que se restauran.
Perder los datos también es una brecha
Cuando se piensa en el RGPD, se piensa en filtraciones. Pero la ley protege tres cosas: la confidencialidad, la integridad y la disponibilidad de los datos. Un ransomware que cifra tus expedientes, o un disco que muere sin copia, es una brecha de seguridad igual que una filtración: puede haber que notificarla a la Agencia Española de Protección de Datos en un plazo de 72 horas y, si hay riesgo para las personas, comunicársela a los propios afectados.
Además de la posible sanción, está el daño real: una gestoría que pierde las contabilidades de sus clientes, o una clínica que pierde historiales, tiene un problema con la AEPD, con sus clientes y con su reputación, todo a la vez.
Qué deben cumplir tus copias para estar en regla
- Existir de verdad y estar al día. Una copia de hace tres meses no es «restaurar de forma rápida». Hace falta copia reciente y alguien que vigile a diario que se hace.
- Estar cifradas. El RGPD cita el cifrado expresamente. Una copia sin cifrar en un disco USB que se pierde es, en sí misma, una brecha notificable.
- Sobrevivir al incidente. Si el mismo ataque que cifra tus datos borra también las copias, no has cumplido nada. De ahí la copia inmutable y la regla 3-2-1: al menos una copia fuera de la oficina y a prueba de borrado.
- Estar probadas y documentadas. La verificación regular que pide la ley se demuestra con informes: qué se probó, cuándo, cuánto se tardó y con qué resultado. Ese papel es oro ante una inspección o un ciberseguro.
Gestorías, despachos y clínicas: el listón está más alto
Quien custodia datos de terceros (contabilidades y nóminas de clientes, expedientes jurídicos, historiales de salud, datos de categoría especial) responde no solo de sus datos, sino de los de todos sus clientes. Y sus clientes, cada vez más, exigen garantías por contrato como encargados del tratamiento. Poder enseñar un informe periódico que diga «las copias se hacen, están cifradas, son inmutables y se ha probado que se restauran en X horas» convierte una obligación en un argumento comercial.
Cómo te lo resuelve Amana
El servicio de Amana está pensado exactamente para esto: copias cifradas e inmutables (local + nube, y discos desconectados en el nivel máximo), supervisión diaria, pruebas de restauración cronometradas y un informe periódico en lenguaje claro que sirve como evidencia ante la AEPD, tu ciberseguro o el auditor de turno. Tú te dedicas a tu negocio; el papel del cumplimiento te lo damos hecho.
¿Pasarían tus copias una inspección? Revisamos tu situación gratis y sin compromiso.
Pide una demostración gratuita