Entre los múltiples riesgos existentes podemos encontrarnos con el malfuncionamiento de los ordenadores o de los programas informáticos que tengamos instalados en los mismos, robos que podamos sufrir o incluso incendios o inundaciones que pueden suceder.
En el sector sanitario además se tiene que hacer especial hincapié a la hora de realizar las copias de seguridad, puesto que tratamos con datos de especial sensibilidad como son los de la salud de los pacientes y la pérdida de sus historiales podría suponer un grave riesgo para la salud de los mismos.
Pero no solamente es imprescindible por lo anteriormente expuesto sino que se trata de una obligación establecida por ley en los casos en los que tratemos datos de carácter o contenido personal. Concretamente viene regulada como medida de seguridad en el Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal en sus artículos 94 y 102.
Las medidas de seguridad del Reglamento establecen la obligación de que las aplicaciones que manejan datos personales contemplen procedimientos de respaldo periódicos que permitan recuperar los datos en caso de destrucción accidental o premeditada.
En este sentido, la Ley nos advierte de la necesidad de establecer un procedimiento semanal para realizar copias de respaldo o seguridad, salvo que en dicho periodo no se hubiera producido ninguna actualización de datos. Estas copias deben garantizar la reconstrucción de los datos en el estado en el que se encontraban al tiempo de producirse la pérdida o destrucción de los mismos.
Únicamente en el caso de que la pérdida o destrucción afectase a ficheros mixtos, es decir parte en soporte papel y parte en soporte informatizado, se deberá proceder a grabar manualmente los datos, quedando constancia del procedimiento seguido en el Documento de Seguridad.
Asimismo el responsable del fichero tiene la obligación de verificar cada seis meses el correcto funcionamiento de los procedimientos de realización de copias de respaldo y de recuperación de los datos.
Otra medida a tener en cuenta es que si queremos realizar pruebas con anterioridad a la implantación o modificación de los sistemas de información que traten los datos de carácter personal de nivel medio o alto no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tipo de dato tratado y se anote en el Documento de Seguridad.
Del mismo modo, si queremos realizar pruebas en nuestro sistema con datos reales, previamente debemos realizar una copia de seguridad.
En los casos en los que tratemos con datos de contenido sensible como es el caso de los datos de salud, la copia que realicemos deberá conservarse en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan.
Los soportes recomendables para la realización de las copias de seguridad son los removibles como cintas streamer, DVD’s, CD’s, disquetes o discos duros externos.
Otra posibilidad a contemplar es la de contratar con otra empresa la prestación de este servicio y mantener copias sincronizadas en servidores diferentes ubicados en sedes alejadas. En este caso se hace necesario tener un acuerdo de encargado del tratamiento con dicha empresa ya que trata datos personales por cuenta del responsable del fichero y como consecuencia de esta relación jurídica tendrá que asumir las mismas obligaciones que el responsable del fichero.
Publicado en Redacción Médica el jueves 22 de julio de 2010. Número 1280. Año VI.