Afrontar el 'derecho al olvido' cumpliendo con el GDPR
El honor del 'derecho al olvido' de los datos personales de las personas en las empresas tiene que cumplirse, siempre siguiendo los pasos indicados para no cometer infracciones de cumplimiento o recibir las multas que esto conlleva.
James Slaby, Gerente Senior de Campañas de Marketing Global en Acronis señala que con el GDPR que entrará en vigor oficialmente el día 25 de mayo de 2018, surgen varias dudas en relación al “derecho a ser olvidado” que afecta a los datos personales almacenados en archivos de copia de seguridad.
“Cuando se puede, los controladores deben organizar el backup para que cada objeto de datos tenga su propio archivo de respaldo para datos personales. Esta solución es ideal porque permite la eliminación únicamente de archivos personales sin afectar los registros de otros usuarios. Desafortunadamente este enfoque es poco práctico para algunas empresas, ya que los datos personales de una persona, a menudo se encuentran dispersos en varias aplicaciones, ubicaciones, dispositivos de almacenamiento y copias de seguridad”, señala Slaby.
Desde la perspectiva de Acronis, los archivos de backup siempre deben estar guardados utilizando encriptación. De esta manera, incluso si un archivo de backup con datos personales que fuese a ser suprimido fuese robado, los ladrones no podrían usarlo. Cuando las personas solicitan la eliminación de sus datos personales, los encargados de realizarlo (controladores) deben ser transparentes con ellos sobre lo que pasará con las copias de seguridad borrando los datos serán borrados con la velocidad correspondiente.
La persona en cuestión puede estar seguro de que sus datos personales no se restaurarán en sistemas de producción (excepto en casos excepcionales como por ejemplo la necesidad de recuperar datos por un desastre natural o una violación de seguridad grave). En tal caso, los datos personales del usuario pueden recuperarse a partir de copias de seguridad, pero el controlador llevará a cabo los pasos necesarios para cumplir con la solicitud inicial y borrar los datos nuevamente.
Los archivos de copias de seguridad que contienen datos personales serán protegidos con una encriptación fuerte, de tal manera que si los criminales fuesen capaces de robar esos archivos, su contenido resultase inútil para ellos. Asimismo, se han establecido reglas de retención para que los datos personales en los archivos de copia de seguridad se conserven durante el tiempo que sea estrictamente necesario antes de eliminarlo automáticamente.
Se conservarán los registros de todos los datos personales que pidan los solicitantes, así como los registros de auditoría que registrarán todas las actividades en los archivos de copia de seguridad que contienen los datos personales. Esto significa que el usuario puede estar seguro de que sus datos personales se han respaldado conforme a los principios de seguridad del GDPR por diseño y por defecto, así como en la minimización de datos, y que se han respetado sus derechos, incluido el derecho al olvido.
Independientemente de que seas un controlador, procesador o ambos en términos del GDPR, se debe respetar el derecho a “ser olvidado” por parte de los sujetos. Es bastante sencillo: si reside en el sistema de producción, necesitas borrarlo rápidamente. Pero si el mismo dato está guardado en los archivos de copia de seguridad puede ser algo más difícil de manejar: se debe eliminar lo antes posible, pero pueden tener obligaciones por las que deban mantenerlo más tiempo.
