“Tenemos copias de seguridad.”
Probablemente es la frase que más escuchamos cuando analizamos el cumplimiento técnico de una asesoría o una pyme.
Sin embargo, no todas las copias garantizan recuperación real de los datos , como explicamos en este análisis sobre las copias de seguridad en la nube y sus riesgos reales.
La respuesta suele venir acompañada de tranquilidad:
“Nuestro proveedor se encarga.”
El problema es que el RGPD no funciona por confianza.
Funciona por evidencias técnicas.
Y cuando ocurre un incidente o una inspección, la pregunta que aparece no es si tienes backups.
La pregunta es otra:
¿puedes demostrar que funcionan?
Y en muchos casos, cuando revisamos esas copias de seguridad, descubrimos algo incómodo:
- no están cifradas
- nadie verifica si se pueden restaurar
- no hay registro de pruebas
- y el responsable del tratamiento ni siquiera sabe dónde están alojadas
Es decir: existen… pero no se pueden demostrar.
El error conceptual: creer que el proveedor se encarga
Este es uno de los síntomas más claros del autoengaño en cumplimiento.
Muchas empresas creen estar preparadas simplemente porque tienen documentos o proveedores contratados.
No es así.
El Artículo 24 del RGPD establece que:
“El responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas para garantizar y poder demostrar que el tratamiento es conforme al presente Reglamento.”
Es decir:
- el proveedor puede ejecutar tareas técnicas
- pero la responsabilidad sigue siendo de la empresa
Cuando una asesoría o pyme delega completamente en su proveedor sin supervisión real, se produce una falsa sensación de seguridad.
Porque no se controla lo que realmente se está haciendo.
¿Cumplen tus copias de seguridad con el RGPD?
En auditorías técnicas encontramos errores que se repiten constantemente.
De hecho, muchos de ellos aparecen también en errores frecuentes detectados en auditorías RGPD en asesorías. (https://blog.ywen.es/errores-rgpd-asesorias-auditoria-real/?utm_source=chatgpt.com)
Copias sin cifrar
Los backups se almacenan sin cifrado o con configuraciones débiles.
Si un tercero accede a ese almacenamiento, los datos quedan expuestos.
Copias en el mismo servidor
En muchos casos las copias están en el mismo entorno que el sistema principal.
Si hay ransomware o fallo del servidor, se pierde todo al mismo tiempo.
Copias que nunca se restauran
Muchas empresas realizan backups automáticos…
pero nunca han probado recuperar los datos.
Sin pruebas de restauración, no existe garantía de que funcionen.
Ausencia de evidencias técnicas
No hay registros que demuestren:
- cuándo se realizaron las copias
- cuándo se verificaron
- quién supervisa el proceso
Sin esa trazabilidad, demostrar cumplimiento se vuelve imposible.
Cuando las copias fallan, el problema ya no es técnico
En varias sanciones analizadas por la AEPD, el problema no fue la ausencia de herramientas.
Fue la incapacidad de demostrar que las medidas funcionaban.
Cuando una empresa no puede restaurar datos o no puede acreditar cómo protege la información personal, el impacto no es solo operativo.
También puede convertirse en un incumplimiento del RGPD.
Lo que exige realmente el Artículo 32 RGPD
El Artículo 32 del RGPD introduce un requisito técnico muy claro.
“Capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.”
(Art. 32.1.c RGPD)
Esto implica algo más que tener backups.
Implica poder demostrar:
- que las copias existen
- que están protegidas
- que pueden restaurarse
- que se verifican periódicamente
En otras palabras: no basta con tener la herramienta.
Hay que poder demostrar cómo se controla.
Cómo demostrar que tus copias realmente cumplen
Cumplir el RGPD en materia de copias de seguridad no depende de la herramienta que utilices.
Depende de cómo se controla y cómo se puede demostrar ese control.
Un sistema de copias alineado con RGPD debería permitir demostrar:
1️⃣ Cifrado de las copias
Los datos deben almacenarse cifrados para evitar accesos no autorizados.
2️⃣ Separación del entorno principal
Las copias deben estar en una infraestructura diferente al sistema original.
3️⃣ Pruebas periódicas de restauración
Debe verificarse que los datos pueden recuperarse.
4️⃣ Registro de verificaciones
Las revisiones deben quedar documentadas.
5️⃣ Control del proveedor
Cuando interviene un proveedor, debe existir contrato conforme al Artículo 28 RGPD que regule el tratamiento.
La pregunta que casi nadie se hace
Muchas empresas creen que cumplen porque su proveedor “lo gestiona”.
Pero el RGPD plantea una cuestión distinta:
¿Podrías demostrar cómo se supervisan esas copias?
Porque el problema no es tener backups.
El problema es no poder demostrar que realmente protegen los datos.
Cuando las copias no funcionan o no se pueden demostrar, el impacto no es solo técnico.
También puede tener consecuencias legales, como muestran varios casos reales de sanciones en despachos profesionales.
¿Las copias de seguridad son obligatorias según el RGPD?
El RGPD no menciona explícitamente “backups”, pero el Artículo 32 exige medidas que permitan restaurar la disponibilidad de los datos en caso de incidente.
¿Qué problema tienen las copias sin cifrar?
Si las copias no están cifradas, cualquier acceso no autorizado podría exponer los datos personales almacenados.
¿Cada cuánto se deben probar las copias?
No existe una periodicidad fija en el RGPD, pero las buenas prácticas recomiendan pruebas periódicas de restauración para garantizar que funcionan.
¿El proveedor tecnológico es responsable del cumplimiento?
No. El proveedor actúa como encargado del tratamiento, pero la responsabilidad final sigue siendo del responsable del tratamiento.
