Pocas son las medianas y pequeñas empresas que tienen una conciencia real de que el activo más importante de sus negocios no es ni más ni menos que los datos y documentación de sus clientes.

Las que son conscientes de ello se han preocupado de implantar algún sistema de copias de seguridad o respaldo enfocado a recuperar la información en caso de pérdida o sustracción. Sin embargo, parece haber pasado desapercibida la obligación legal que ya desde el año 1999, con el derogado Real Decreto 994/1999, y en la actualidad, con el Real Decreto 1720/2007, se impone a toda entidad pública o privada que trate datos de carácter personal de forma automatizada o no, de realizar unas copias de seguridad o respaldo de sus ficheros, aunque en este caso nos referiremos sólo al tratamiento automatizado.

Que una ley imponga la realización de este tipo de copias ya es indicativo de que el legislador era consciente de que las propias empresas y Administraciones Públicas no están preocupadas por la integridad de la información que manejan, a pesar de que su subsistencia dependa de ella. Pues bien, en el citado RD 1720/2007 podemos encontrar cómo y cuándo se deben realizar las copias de seguridad, dependiendo de si los datos afectados son de nivel básico, medio o alto:
En relación al nivel básico: la regulación legal viene establecida en el artículo 94: "Cualquier empresa o Administración que trate datos de carácter personal, sea cual fuera su naturaleza, deberá establecer procedimientos de actuación para la realización, como mínimo semanal, de copias de respaldo, salvo que en dicho periodo no se hubiera producido ninguna actualización de los datos"; además, cada seis meses se deberá comprobar que se están realizando correctamente.
En relación al nivel medio: no hay especialidades.
En relación al nivel alto: además de lo contenido para el nivel básico, habrá que cumplir lo dispuesto en el artículo 102 en el caso de que tratemos datos relativos, por ejemplo, a la salud. Así, deberá conservarse una copia de respaldo de los datos y de los procedimientos de recuperación de los mismos en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan.

En conclusión, si tratamos datos de carácter personal de forma automatizada, sea cual sea su naturaleza, deberemos realizar copias de seguridad, al menos de forma semanal, y si además tratamos datos de nivel alto (salud, religión, ideología, vida sexual, etc.) una copia deberá estar en una ubicación distinta del sistema de información, recomendablemente fuera del edificio donde se encuentren las oficinas.

Hagan copias de seguridad... aunque sólo sea por respetar la Ley...

FUENTE: SAMUEL PARRA SÁEZ