Volvemos con más LOPD, si me lo permiten. ¿Recuerdan cómo empieza el Reglamento de Medidas de Seguridad (RMS), verdad? Les hago memoria, por si acaso:
El resto se lo saben, seguro. Por supuesto, la ley mencionada en ese párrano no es la LOPD, sino la LORTAD, ya que como saben, la LOPD carece de reglamento, en perpetua elaboración. Pasemos a otras cosas. ¿Saben lo que dice el RMS sobre las copias de seguridad, verdad? Les vuelvo a hacer memoria, de nuevo, por si acaso:
1. El responsable del fichero se encargará de verificar la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.
2. Los procedimientos establecidos para la realización de copias de respaldo y para la recuperación de los datos deberá garantizar su reconstrucción en el estado en el que se encontraban al tiempo de producirse la pérdida o destrucción.
3. Deberán realizarse copias de respaldo, al menos semanalmente, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.»
A la vista de esto, hay dos cosas que parecen claras. La primera es que los datos de carácter personal (DCP) gestionados por una empresa son de su responsabilidad —que no de su propiedad—, y por tanto los DCP tratados por un empleado son responsabilidad de la empresa, no del empleado. La segunda cosa que parece clara es que hay que hacer copias periódicas de éstos.
Ahora bien, a poco que uno estudia la política de copias de seguridad que suele haber en muchas empresas, se da cuenta de que algo cruje. Y no me refiero a la cantidad de aplicativos y DCP, en ocasiones sensibles, que a menudo existen a espaldas de los departamentos de Sistemas de Información, bien sean hojas Excel, programas de gestión de Recursos Humanos, o simples documentos Word. Aunque no es del todo correcto disculpar totalmente a los responsables de TI de que se produzcan este tipo de situaciones, sí es cierto que aún poniendo el departamento en cuestión los medios necesarios y suficientes, tales como unidades de red departamentales o sistemas de copia de seguridad de determinados directorios del PC del usuario, es típico que el empleado ignore sistemáticamente estas facilidades e insista casi de modo perverso y maligno en utilizar ubicaciones lógicas de las que sabe —o debería saber, y esto puede ser tanto responsabilidad y/o culpa tanto de unos como de otros, cuya ignorancia debería ser subsanada a través de normativas escritas y entregadas, políticas adecuadamente publicitadas o sesiones de formación del personal— que no se hace copia de seguridad.
No, como les decía no me refiero a esas situaciones. No. De lo que estoy hablando, concretamente, es de esas políticas en las que el departamento de TI establece, a veces por escrito, a veces de facto, que el usuario es el único responsable y encargado de la realización de las copias de seguridad de su PC o portátil, y que la pérdida de datos es, de una forma coloquial, “su problema”. Bien, pues como seguramente han adivinado, va a ser que no; si antes podíamos de alguna forma compadecer al departamento de TI por la maldad y poca colaboración del usuario, ahora no, ya que en la medida en que en ese PC o en ese portátil contienen DCP, sus datos son responsabilidad de la empresa.
Determinar quién debe por tanto preocuparse por que esas copias se hagan, se deja como ejercicio para el lector avispado.