¿Crees que tus copias de seguridad te cubren las espaldas? Piénsalo dos veces
Una correcta retención de backups es el gran olvidado en la estrategia de cumplimiento RGPD de muchas empresas. Das por hecho que guardar copias es suficiente, pero la realidad es más compleja. ¿Cuánto tiempo las guardas? ¿Por qué ese plazo y no otro? Si no tienes una respuesta clara, tienes un problema.
Hablamos de un conflicto directo entre dos principios del RGPD: la necesidad de garantizar la integridad y disponibilidad de los datos (Art. 32) y la obligación de no conservarlos más tiempo del necesario (principio de limitación del plazo de conservación, Art. 5).
Define tu política de retención de backups
No existe un «plazo mágico» que sirva para todos. Tu política debe ser un traje a medida. Tienes que sentarte y documentar por qué guardas cada tipo de backup durante un periodo concreto. Considera estos puntos:
- Necesidad operativa: ¿Cuánto tiempo necesitas para recuperar datos de forma efectiva tras un desastre? ¿Una semana? ¿Un mes? Sé realista.
- Obligaciones legales: Ciertos datos, como facturas o expedientes, tienen plazos de conservación mínimos por ley que debes respetar, incluso en tus copias.
- El derecho al olvido: ¿Qué haces cuando un usuario ejerce su derecho de supresión? Borrarlo del sistema en producción es solo el primer paso. Debes tener un plan para que esos datos desaparezcan también de tus backups. Si te interesa profundizar, aquí te explicamos cómo se gestiona el olvido de datos RGPD para borrar el rastro online.
Los riesgos de una mala retención de backups
Ignorar la retención de backups te expone a dos frentes. Por un lado, a sanciones económicas. Si una inspección revela que guardas datos personales indefinidamente «por si acaso», la AEPD lo interpretará como una vulneración del principio de limitación del plazo. Estas multas no son ninguna broma, como demuestran las últimas sanciones Digi RGPD que acumulan millones.
Por otro lado, aumentas tu superficie de ataque. Cuantas más copias antiguas almacenes, más datos sensibles podrían quedar expuestos en caso de una brecha de seguridad. La información que ya no necesitas para operar se convierte en un lastre peligroso.
Actúa ya: audita tus copias
El primer paso es simple: revisa qué estás guardando, dónde y por cuánto tiempo. Crea un inventario y documenta los plazos de retención. Asegúrate de que tu equipo técnico entiende que las copias de seguridad también contienen datos personales y deben gestionarse conforme a la ley.
Para más información sobre buenas prácticas, el Instituto Nacional de Ciberseguridad (INCIBE) ofrece recursos valiosos para empresas.
En definitiva, no dejes que tus copias de seguridad pasen de ser tu red de seguridad a ser tu mayor riesgo legal. Define, documenta y ejecuta una política de retención coherente.
Si necesitas asesoramiento especialista para auditar tu política de copias y ajustar la retención de backups a tu caso particular, estaremos encantados de escucharte. Puedes consultarnos en nuestra sección de contacto y en breve te responderemos.