Epsilon Backup está diseñado especialmente para el cumplimiento de los artículos 32 y 34 del Reglamento Europeo de Protección de Datos y las normas ISO de Seguridad de la información (27001, etc.)
- Generamos copias de seguridad cifradas de todos los datos personales con seudomización de ficheros y carpetas, de manera totalmente automatizada.
- Verificamos todas las copias, simulando procesos de restauración para garantizar la integridad de cada copia de seguridad.
- Frente a violaciones de seguridad, robos de documentación, robos de equipos informáticos etc., restauramos toda la documentación a su estado original.
- En caso de perdida de datos almacenamos un histórico mínimo de 15 días de copias de seguridad.
- En caso de fugas de información, el programa MSBackup genera todos los informes necesarios para demostrar ante la Agencia Española de Protección de Datos las evidencias del cumplimento del artículo 32 del GDPR.
Ventajas
Nuestra tecnología está desarrollada para evitar la perdida y fuga de información o la transferencia internacional de datos no autorizada que se realiza en los procesos de copias de seguridad con dispositivos externos no cifrados (USB, Discos duros externos, etc.), o con programas de Backup que almacenan la documentación en servidores que no cumplen los mínimos niveles de seguridad exigidos por la ley, o que almacenan los datos fuera de las fronteras de la Unión Europea.
¿Que dice el Reglamento Europeo de Protección de Datos?
Artículo 32 – Seguridad del tratamiento
1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros
- a) la seudonimización y el cifrado de datos personales;
- b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
- c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
- d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo.
4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.
Artículo 34 – Comunicación de una violación de seguridad de los datos personales al interesado.
1. Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.
2. La comunicación al interesado contemplada en el apartado 1 del presente artículo describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la información y las medidas a que se refiere el artículo 33, apartado 3, letras b), c) y d).
3. La comunicación al interesado a que se refiere el apartado 1 no será necesaria si se cumple alguna de las condiciones siguientes:
- a) el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado;
- b) el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado 1;
- c) suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.
4. Cuando el responsable todavía no haya comunicado al interesado la violación de la seguridad de los datos personales, la autoridad de control, una vez considerada la probabilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá decidir que se cumple alguna de las condiciones mencionadas en el apartado 3.