HD Doctor Logo

Protección de Datos en Recuperación

Respuesta directa

Entregar HDD o backup con datos personales a un proveedor de recuperación configura compartir datos bajo regulaciones de protección. Sin contrato correcto, su empresa puede recibir multa del 2-4% de la facturación. Vea qué exigir.

Cómo la protección de datos afecta la recuperación

Cuando envía medio con datos personales (DNI, email, datos de salud, financieros) para recuperación, el proveedor se vuelve operador de datos bajo la ley. Su empresa permanece como controladora y mantiene responsabilidad. La ley exige que el controlador elija operadores que ofrezcan garantía adecuada. Sin documentación correcta, una eventual filtración durante la recuperación responsabiliza primero a su empresa.

Qué exigir del proveedor compliant

  1. 1.
    Contrato con cláusula específica de datos personales. No genérico. La cláusula debe mencionar la ley por nombre, definir finalidad del tratamiento, plazo de retención, devolución/destrucción al fin, obligación de notificar incidentes.
  2. 2.
    DPO designado e identificado. La ley exige que el operador indique responsable. Nombre, contacto directo, autoridad. Sin eso, el contratante no tiene con quién hablar en incidente.
  3. 3.
    Política de incidentes documentada. El operador debe tener procedimiento para notificar al controlador en hasta 24h tras detectar incidente. Permite cumplir el plazo regulatorio de 72h.
  4. 4.
    Seguridad física y lógica documentada. ISO 27001 o equivalente. Cámaras en la sala limpia. Caja fuerte ignífuga. Acceso registrado. Cifrado en tránsito para envío.
  5. 5.
    Política de subprocesamiento. El operador NO puede tercerizar a otro operador sin autorización. La recuperación de datos sensibles debe ser 100% interna al proveedor.
  6. 6.
    Devolución o destrucción certificada. Al fin del contrato, el medio vuelve + las copias internas se destruyen con certificado. Sin eso, su dato personal queda en caché del proveedor.

Preguntas frecuentes

¿Y si el caso es personal, no corporativo?

Las leyes de protección de datos aplican al tratamiento de datos personales en general. Para uso personal/familiar, existen excepciones. Pero si es profesional autónomo (médico, abogado, contador) y el HDD contiene datos de clientes/pacientes, la ley aplica íntegramente.

¿Puedo firmar un acuerdo simplificado?

Técnicamente sí para casos simples sin dato sensible. Pero el contrato completo es seguridad jurídica en caso de eventual incidente. HD Doctor pone a disposición contrato modelo gratuito para análisis.

¿Ya se aplicó una multa real?

Sí. Los reguladores han aplicado multas significativas en varios países. No existe más 'período de aclimatación' — las multas están activas hace años.

¿Y para datos de salud (hospital, clínica, pericia)?

El dato sensible tiene protección reforzada. El tratamiento exige consentimiento específico u otra base legal. La recuperación para hospital/clínica debe usar contrato con cláusulas adicionales cubriendo dato sensible.

¿Necesita un contrato compliant?

Contrato modelo HD Doctor: cláusulas de protección de datos + dato sensible + cadena de custodia.

Próximas lecturas