El Documento de Seguridad 2: Ámbito y Medidas

1688

Para comenzar a redactar el Documento de Seguridad al que hacíamos referencia en el anterior post de la serie, el responsable del fichero habrá de definir el ámbito de aplicación del documento, es decir, indicar a qué ficheros con datos de carácter personal se aplica, ya que la ley autoriza a redactar un documento por cada fichero o uno genérico para todos los ficheros de la entidad, siendo éste el caso más usual para un profesional o pyme.

Asimismo habrá que indicar cuál es el nivel de seguridad (bajo, medio o alto) a aplicar a cada fichero atendiendo a la naturaleza de la información tratada, en relación con la menor o mayor necesidad de garantizar la confidencialidad y la integridad de la información, indicando también si se trata de sistemas automatizados, manuales o mixtos.

Sin embargo el grueso del texto será la descripción de las medidas, normas, procedimientos, reglas y estándares encaminados a garantizar los niveles de seguridad exigidos en el documento.

Hay que distinguir esta parte del documento de los Anexos que se incluyen al final del mismo. Es en estos Anexos dónde se indicarán los listados y registros que hay que mantener actualizados, mientras que aquí estamos estableciendo las medidas tomadas para garantizar y proteger los datos de carácter personal, digamos las “reglas del juego”.

Sea cual sea el nivel de protección exigido, el Documento de Seguridad deberá incluir estos apartados:

  • Identificación y autenticación.
  • Control de accesos.
  • Gestión de soportes y documentos.
  • Acceso a datos a través de redes de comunicaciones.
  • Régimen de trabajo fuera de los locales de ubicación del fichero.
  • Ficheros temporales o copias de trabajo de los documentos.
  • Funciones y obligaciones del personal y procedimiento de información.
  • Procedimientos de notificación, gestión y respuesta ante incidencias.
  • Procedimientos de revisión.

En el caso de ficheros de nivel medio o alto, se añadirá además:

  • Procedimiento de registro de accesos.
  • Procedimiento de registro de entrada y salida de soportes.
  • Criterios de archivo.
  • Almacenamiento de la información.
  • Custodia de soportes.
  • Mecanismos de cifrado.
  • Traslado de documentación.
  • Copias de respaldo y recuperación.
  • Responsable de seguridad.
  • Procedimiento de auditoría.

Como ya indicaba, algunos de estos procedimientos generan la obligación de mantener listados (personal con acceso a datos, autorizaciones, copias de seguridad, etc…) que se incorporan al Documento de Seguridad como Anexos. En el siguiente post de la serie veremos qué Anexos son y la obligación de mantenerlos actualizados.

Viene de: El Documento de Seguridad 1: Generalidades
Continúa en: El Documento de Seguridad 3: Anexos

Vota este artículo
Compartir

11 Comentarios

  1. Tengo una duda sobre el documento de seguridad: ¿es necesario tener una copia física en cada ubicación de la empresa a disposición de una posible inspección?

  2. Hola
    Tengo un par de dudas respecto a la inscripción de datos en el registro de la AEPD.

    En primer lugar: ¿existe alguna disposición, resolución o artículo concreto en el que se defina qué es exactamente un fichero mixto? ya que sí queda bién claro qué es un fichero automatizado y qué es un fichero manual, pero no encuentro información sobre el mixto.

    En segundo lugar: En el supuesto de que ya tuviéramos registrado un fichero bajo un sistema automatizado, y posteriormente encontrásemos ese mismo fichero en soporte papel, sería necesario realizar una modificación en el registro para registrarlo como fichero mixto?

    Gracias con antelación y perdón por el tostón.

    • Carlos: gracias por la visita y el comentario.

      En el manual del Formulario Nota se dice: “Se entiende por sistema de tratamiento el modo en que se organiza la información o utiliza un sistema de información. Atendiendo al sistema de tratamiento, los sistemas de información podrían ser automatizados, no automatizados (manual) o parcialmente automatizados (mixto).”

      En el supuesto consultado se debería efectivamente realizar una modificación de la inscripción, concretamente en el Apartado 7: Tipos de datos, estructura y organización del fichero.

  3. Buenos dias,

    Somos administradores de fincas y debemos redactar el documento de seguridad, me podrias indicar si desde algun enlace existe un documento estandar redactado que podamos guiarnos?
    Gracias por anticipado

  4. Hola Jesús
    Gracias de antemano por tu ayuda.
    Estoy preparando el documento de seguridad y me surgen un par de dudas.
    1. la empresa donde trabajo se dedica al entrenamiento y rehabilitación. Por un lado tiene los datos de administración (utilizados por la empleada de administración y los básicos como nombre y teléfono, utilizados por todos), luegos datos-resultados de test deportivos (sólo utilizados y conocidos por el preparador físico) y resultados de test de rehabilitación (sólo utilizados y conocidos por el fisioterapeuta).
    Como los datos del fisioterapeuta necesitan nivel de seguridad alto mi pregunta es si debería crear 3 ficheros diferentes. Dos de nivel bajo y el tercero, el del fisio, de nivel alto.

    2. Por otro lado, los datos del fisio los archiva en un documento en su ordenador, al que nadie tiene acceso porque está protegido con contraseña, tanto el arranque del ordenador como el documento en sí.
    En el apartado de Control de acceso > Sólo ficheros automatizados, pide:”Registro de accesos: usuario, hora, fichero, tipo de acceso, autorizado o denegado. Revisión mensual del registro por el responsable de seguridad.”
    Mi pregunta es, si en nuestro caso es necesario hacer ese registro de accesos y, en caso afirmativo, si sería suficiente con apuntarlo de forma manual en un archivo en papel. Somos una empresa pequeña con pocos recursos como para instalar un software de control de accesos…

    Gracias por tu ayuda y un saludo

    • Hola Belén: sobre el punto 1 un par de matices: los datos de test deportivos según cuáles sean pueden caer también en la categoría de nivel alto; por otro lado diría que te estás liando con el concepto de fichero. Esto es “Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.” Es decir, que datos de test deportivos y de test de rehabilitación, incluso los administrativos que comentas, son en realidad parte de un mismo fichero.

      Respecto a ese registro de accesos, como a cualquier otro de los que la LOPD obliga a llevar, pueden ser efectivamente anotados en un registro en papel o en uno informático que no tiene porqué ser un software específico (podría ser un fichero word o excell).

  5. Hola, trabajo en un centro de acupuntura que acaba de abrir, y estamos preparando todo el tema de la proteccion de datos y tenemos algunas dudillas…
    -Es necesario contratar a una empresa que nos lleve todo el tema de la LOPD o lo podemos hacer nosotros mismos?
    -Por otro lado, si los contrataramos y hubiera un error por su parte, la sancion seria para ellos o para nosotros como responsables de los ficheros?
    -Si tenemos archivos automatizados( en ordenador ), este puede estar conectado a Internet?
    -Que medidas de seguridad minimas tendria que tener este ordenador para cumplir con la LOPD? Por lo que he visto en comentarios anteriores, con tener una contraseña en el ordenador y en el archivo es necesario?

    Siento el toston, es un tema muy complejo y confuso para nosotros. Muchas gracias.

Dejar respuesta