Los riesgos de las copias de seguridad

963

Realizar copias de seguridad de nuestras bases de datos personales (y otro tipo de información importante), no es sólo una obligación legal, es una lógica medida que pretende defender de su posible deterioro o pérdida un bien tan valioso para la empresa como es la información.

Sin embargo conviene ser cauteloso en el manejo de copias y tener en la empresa una clara política de seguridad, ya que al fin y al cabo cada copia supone un proceso por el cual la información se duplica, con todos los riesgos que ello conlleva y las posibles consecuencias negativas en forma de sanciones de la Agencia Española de Protección de Datos (AEPD), como veremos en estos tres casos reales.

Cuidado con las copias de seguridad

Cuando se hace una copia de seguridad y ha de restaurarse posteriormente habrá que incorporar todas las actuaciones realizadas sobre la base de datos desde el momento de la copia hasta el de la pérdida o deterioro del fichero, incluidas las realizadas al amparo de la LOPD.

Esto fue lo que se les olvidó a la entidad GREEN TAL S.A., que ya en el procedimiento PS/00309/2007 había recibido una sanción por enviar correo por enviar correo no autorizado a D. S.S.S. Por un fallo en el sistema de alojamiento en el servidor que GREEN TAL tenía contratado con ARSYS, se procedió a reinstaurar toda la información que constaba anteriormente, entre ella, la dirección del correo electrónico del denunciante. Este hecho provocó que en la siguiente campaña D. S.S.S. recibiera dos correos electrónicos que denunció a la AEPD, inciándose el procedimiento Nº PS/00585/2008.

Y a pesar de los intentos de alegaciones de GREEN TAL, el Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad GREEN TAL, S.A., por una infracción del artículo artículo 21.1 de la LSSI, tipificada como leve en el artículo 38.4.d) de la LSSI, una multa de 1.200 €, de conformidad con lo establecido en el artículo 39.1 c) y 40 de la citada LSSI.

No hagas copias en otros equipos

El procedimiento sancionador PS/00523/2008, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad LITOMAR 29 S.L., se inició tras la denuncia presentada por G.G.G. en la que exponía que tras haber solicitado a la denunciada información sobre la fuente de la que habían obtenido su dirección de correo electrónico y requerir la baja de sus datos, recibió un correo electrónico en el que le informaban de que sus datos habían sido obtenidos de una fuente de acceso público, en concreto del Libro del Colegio Oficial de Abogados, y le comunicaban que sus datos habían sido borrados de sus archivos. Sin embargo, poco después volvió a recibir varios correos electrónicos desde dominios de Litomar.

La empresa explicó durante el procedimiento que “procedió a cancelar el dato del correo electrónico de sus bases de datos de forma inmediata, si bien no se percataron de que dicha información estaba duplicada en otro equipo informático”.
Y por lo tanto, el Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad LITOMAR 29 S.L., por una infracción del artículo 21.1 de la LSSI, tipificada como leve en el artículo 38.4.d) de dicha norma, una multa de 1.200 € (Mil doscientos euros), de conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada Ley.
SEGUNDO: IMPONER a la entidad LITOMAR 29 S.L., por una infracción del artículo 22.1 de la LSSI, tipificada como leve en el artículo 38.4.h) de dicha norma, una multa de 600 € (Seiscientos euros), de conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada Ley.

No dupliques las bases de datos

El procedimiento sancionador PS/00032/2009, instruido por la Agencia Española de Protección de Datos a la entidad WOLTERS KLUWE ESPAÑA, S.A., se inició tras la denuncia presentada por A.A.A. en la que explicaba que tras haber solicitado a WOLTERS la cancelación de sus datos personales y haber recibido de dicha empresa la confirmación de tal cancelación, posteriormente recibió publicidad postal nominativa de la entidad.

Aunque WOLTERS había tomado la precaución de marcar los datos del denunciante como “Robinson”, haciendo referencia a su deseo de no recibir más comunciaciones comerciales, ésta acción se llevó a cabo en la base de datos central, pero no en otro fichero elaborado con anterioridad por el departamento de marketing destinado a ser utilizado en distintas campañas de marketing posteriores. Este fue el fichero utilizado en la campaña de marketing origen de la denuncia y en la fecha de generación de este fichero, el Sr. A.A.A. no constaba como “Robinson”.

En sus alegaciones, además de reclamar una posible caducidad el procedimiento, WOLTERS intenta que se acepten tales datos como “distintos”, argumentando que canceló y no volvió a usar los datos que el denunciante le había proporcionado como cliente, pero que los de la campaña objeto de denuncia provenían de fuentes de acceso público. Semejante enroque no es aceptado por la AEPD, en buena lógica ya que su implantación haría casi imposible el ejercicio del derecho de cancelación para una persona física, a la que obligaría a solicitarla tantas veces como orígenes distintos haya tenido la recopilación de esa información por parte de la entidad.

Por tanto, el Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad WOLTERS KLUWE ESPAÑA, S.A., por una infracción del artículo 16 de la LOPD, tipificada como grave en el artículo 44.3 f) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euro con veintiún céntimos de euro) de conformidad con lo establecido en el artículo 45 de la citada Ley Orgánica.

Vota este artículo

4 Comentarios

  1. Un artículo muy interesante y muy bien documentado, creo que acompañarlo de casos reales es la clave para comprender mejor como debemos actuar al realizar copias de seguridad. Gracias.

Dejar respuesta