20 de julio de 2009

Y cuidado también con las copias de seguridad

Veíamos en la anterior nota que hay que tener cuidado con las disecciones que en marketing se hacen de las bases de datos para segmentar posibles clientes, ya que si uno de estos solicita al amparo de la LOPD ejercer su derecho de cancelación y que sus datos no sean usado en más ocasiones para la remisión de mensajes publicitarios, la entidad responsable de los datos deberá tener la precaución de bloquear o borrar tales datos no sólo en la base de datos original, sino en cualquiera de estas particiones que se hayan preparado en el tiempo y pudieran incluir los datos del sujeto en cuestión.

Ahora veremos que lógicamente lo mismo ocurre cuando se hace una copia de seguridad y ha de restaurarse posteriormente: habrá que incorporar todas las actuaciones realizadas sobre la base de datos desde el momento de la copia hasta el de la pérdida o deterioro del fichero, incluidas las realizadas al amparo de la LOPD.

Esto fue lo que se les olvidó a la entidad GREEN TAL S.A., que ya en el procedimiento PS/00309/2007 había recibido una sanción por enviar correo por enviar correo no autorizado a D. S.S.S. Por un fallo en el sistema de alojamiento en el servidor que GREEN TAL tenía contratado con ARSYS, se procedió a reinstaurar toda la información que constaba anteriormente, entre ella, la dirección del correo electrónico del denunciante. Este hecho provocó que en la siguiente campaña D. S.S.S. recibiera dos correos electrónicos que denunció a la AEPD, inciándose el procedimiento Nº PS/00585/2008.

Y a pesar de los intentos de alegaciones de GREEN TAL, el Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad GREEN TAL, S.A., por una infracción del artículo artículo 21.1 de la LSSI, tipificada como leve en el artículo 38.4.d) de la LSSI, una multa de 1.200 €, de conformidad con lo establecido en el artículo 39.1 c) y 40 de la citada LSSI.

3 comentarios:

NFRMTC dijo...

Este comentario que puse en el post anterior, realmente quería ponerlo aquí,aunque en cierto modo vale para los dos casos:

Vale, estoy de acuerdo con tu planteamiento, pero es que en este caso si miras las fechas en el procedimiento se restauró con una copia bastante anterior en el tiempo. Las copias de seguridad hay que hacerlas cada día, por duplicado y guardarlas en lugares diferentes (físicos o virtuales, pero diferentes), sino no tiene sentido.

Anónimo dijo...

Según el RDLPD las copias de seguridad se deben realizar con una periodicidad mínima de una semana, salvo que no se hayan modificado os datos, además de contar con los procedimientos que permitan recuperar el fichero al estado en que estaba en el momento de la pérdida.
Por otra parte, la interpretación que hace la Agencia suele ser finalista: no entran en discutir los prodecimientos de seguridad, siempre y cuando no tengas incidentes de seguridad, pero si tienes un incidente de seguridad, ello muestra que no tenias una seguridad adecuada a tus riesgos, entonces te sancionan. La única posibilidad de poder librarse de una sanción así es demostrar que no era posible cubrirte respecto del riesgo que ha provocado el incidente.

En el caso que nos ocupa, es curioso que no entrasen en la infracción de seguridad producida, pero afortunadamente la Agencia está de rebajas, así que han preferido hacer la vista gorda.

Pit.-

Marketing Positivo dijo...

Pit: yo creo que NFRTMC al hablar de periodicidad de copias se refiere más a una actuación lógica y práctica que a los requisitos legales.
Respecto a ignorar la incidencia... como bien dices, andan de rebajas

Publicar un comentario

Respetamos los comentarios de Anónimos, pero se agradece la firma.
Se anularán los comentarios que:
1. No tengan algún tipo de relación con la temática de la nota.
2. Tenga insultos al autor de la nota o a otros comentaristas.
3. Sean de un troll o un hoygan
4. Hagan spam.