Nuevo modelo del Documento de Seguridad

La Agencia de Protección de Datos (AEPD) celebró ayer su III Sesión Abierta (de la que se puede leer un completo resumen en el blog Marketing Positivo) y entre otras novedades anunció un nuevo modelo de Documento de Seguridad editable y disponible para descarga en su página web.

Este documento sustituye al que se incluía en la anterior edición de la Guía de Seguridad, y tiene la novedad de publicarse en forma independiente y en formato Word (en vez del PDF anterior) lo que facilita su edición y modificación.
Sigue siendo importante recordar que este documento es una plantilla básica que necesita la correcta y ajustada adecuación a la ley y a la situación de cada responsable del fichero, y es por eso que la AEPD advierte que:

la utilización de esta guía debe, en todo caso, tener en cuenta los aspectos y circunstancias aplicables en cada caso concreto, sin prejuzgar el criterio de la Agencia Española de Protección de Datos en el ejercicio de sus funciones.

Descargue la guía modelo del Documento de Seguridad

Nuevo modelo del Documento de Seguridad
4.25 (85%) 4 votos
Compartir

59 Comentarios

  1. Esperemos que ahora, no haya una avalancha de “listos” que no lean la advertencia y que se sientan seguros con tener la plantilla básica sin adaptar.

  2. Hola: Yo soy propietaria de una pequeña mercería, soy autónoma y no tengo empleados. Mi único medio moderno es un TPV (no tengo ordenador en la tienda). He consultado a la AEPD y me dicen que al tener TPV me tengo que dar de alta en el nivel básico. Lo único que guardo (bajo llave) son los tickets del TPV, con vistas a posibles reclamaciones. En dichos tickets, figura l nombre del cliente, los cuatro últimos dígitos de la tarjeta, y la firma (la firma, cada vez menos, puesto que las nuevas tarjetas la omiten al exigir el PIN). Mi duda es sobre el Documento de Seguridad, en qué términos debo redactarlo, etc., puesto que los datos que tengo que proteger, me parece que no tienen demasiada relevancia. Gracias.

  3. Hola Jesús,

    ¿Qué hay que hacer o poner en el Documento de seguridad en caso de un sitio web cuyo servidor no controlas directamente, es decir, las medidas de seguridad las aplica la empresa proveedora de hosting?

    Gracias y saludos.

    • Jose Luis: dependerá de la relación entre el sitio y la recogida o mantenimiento de datos de carácter personal. Por dar el ejemplo más extremo, si el sitio no recoge datos de ningún tipo, no tiene login/password ni formulario de contacto, es decir, no hay dato alguno… entonces ni siquiera se referenciará en el Documento de Seguridad.
      En caso de que sea necesario incluirlo en el DS, se indicará la situación de hosting con un tercero y que existen determinadas mediadas de seguridad que deberán estar especificadas en contrato de prestación de servicios entre proveedor del hosting y cliente web.

  4. Hola,
    Nosotros hemos creando una pequeña empresa, que dispone de datos de clientes (telf, email, número de cuenta, etc etc)
    Ya me he leido las 26 paginas de la Guía de Seguridad de Datos y mi pregunta es: puede que mi documento solo contenga una explicación de como desarollamos la proteción de datos en nuestra empresa y los recursos que utilizamos pero esta explicación solo nos ocupe 2 folios!
    Es posible!??!?!

    Ya me direis! NEcessito vuestra ayuda!

    • Hola Anna: el documento de seguridad no tiene una medida estándar, dependerá de cada caso, pero lo cierto es que 2 folios es imposible que recojan todo lo que hay que indicar, por pequeña que sea la empresa.
      Si se siguen las instrucciones del modelo (a partir de la página 3) y aunque se prescinda de algunas partes por no ser procedentes, tiene que salir mas de 2 folios.

  5. Buenas tardes, queria hacer una pregunta, hace unos meses hemos abierto un pequeño negocio en el que trabajamos dos personas.
    Ya estamos inscritos en el fichero de la AGPD. Los datos que utilizamos son nombre y apellidos, o razon social si es empresa, dni/cif, y direccion para confeccionar las facturas que nos pida el cliente. la gran mayoria de los clientes que nos piden facturas son empresas.
    Mi pregunta es, estamos obligados a realizar el documento de seguridad?
    en caso de estarlo, que creo que si, del que aparece como modelo, que puedo borrar y que es imprescindible que deje? un saludo, gracias

    • Hola David: efectivamente siempre que existe fichero debe cumplimentarse el Documento de Seguridad. Respecto al modelo, en las páginas iniciales encontrarás las instrucciones para rellenar todo lo que está entre los símbolos <>. Prescindir sólo de aquellas cosas que no se apliquen la negocio, por ejemplo un autónomo no tendrá lógicamente anexo con lista de empleados, pero en la mayor parte de los casos será necesario cumplimentar todas las secciones.

  6. Bueno, parece que ahora si me va a dejar.lklevo intentandolo desde ayer por la tarde!!
    en primer lugar, gracias por la respuesta. En el documewnto veo partes que indican “nivel medio, nivel alto” a eso es a lo que me refiero sobre si ¿es necesario que aparezca aunque no sea de aplicacion o se puede suprimir?nosotros somos una Comunidad de Bienes formada por 2 Autonomos que somos los unicos que tenemos acceso a la informacion, bueno, nosotros y la gestoria que nos lleva la contabilidad. y otra pregunta mas, ¿es necesario imprimirlo o se puede tener guardado en pdf? un saludo y de nuevo muchas gracias

    • Hola David: lamento las dificultades para comentar, no sé qué pasaría 🙁
      Respecto a lo que dices depende: las medidas de seguridad son acumulativas, por lo que ficheros de nivel alto han de cumplir las normas de bajo, medio y alto; los de medio las medidas de bajo y medio; y sólo en el caso de que estar en nivel bajo se puede prescindir del resto.
      El documento no tiene porqué estar impreso. Lo lógico es mantenerlo en formato electrónico para no tener que imprimirlo cada vez que se actualiza, y sólo convertirlo en papel si lo pide una inspección de la Agencia.

  7. Hola, estoy ayudando a una amiga a hacer el documento de seguridad y los ficheros y tengo una duda pues he estado mirando otros documentos de seguridad y son todo de empresas y mi amiga es o será empresaria individual y no se como afecta esto a la hora de hacer el DS.
    Me podrías ayudar y explicarme la diferencia que hay (si la hay) cuando es una sociedad o un empresario individual.
    Además cuando son datos recabados por internet, ¿hay que tener un cuidado especial o simplemente tengo que hacer el fichero?
    Gracias por adelantado
    Saludos

    • Sandra: la forma jurídica del responsable del fichero sólo es relevante en el DS a la hora de identificarle.
      Respecto a recabar datos, lo importante es disponer del consentimiento del afectado, y el nivel de seguridad a implantar estará en función de la tipología del dato.

  8. Hola, todavia siguo dandole vueltas a este asunto,
    me he inscrito ya en el fichero, y ya tengo el documento que lo acredita, pero, no se supne que ese fichero tiene que contener unos datos?

    no se supone que cada vez que yo obtenga datos de ese cliente tengo que entrar en ese fichero de la agencia y modificarlo?

    por que es todo tan complicado?
    encima en la agpd nadie te ayuda, te remiten a la legislacion…

    y del documento de seguridad ya ni os cuento…..

    por favor, necesito ayuda

    • Hola David: lo que has hecho (supongo) es comunicar a la AEPD que dispones de un fichero, pero ni has de comunicar su contenido ni por supuesto decir nada cuando introduzcas cada cliente. Entiende que hacer eso por parte de todas las empresas de España sería inabarcable.

      Respecto a la complejidad… pues a cada uno le parece complejo lo de los demás, que suele ser aquello que no conce. No sé a qué te dedicas, pero seguramente lo que tu haces, si yo me pusiera a hacerlo, también me parecería demasiado complejo.

  9. Hola. Estoy rellenando el formulario para dar de alta un fichero y tengo una duda: soy autónoma, por lo que solo trato los datos yo mismo, pero cada trimestre paso la información a la gestoría que me lleva las cuentas de facturas enviadas y recibidas. ¿Hay que indicar algo respecto a esto en algún apartado (tanto en el formulario como después en el documento de seguridad) o ya se entiende que esto es algo normal? Gracias y un saludo.

  10. Hola,
    En mi caso es una web con una zona de acceso solo para usuarios registrados y clientes. Solo recojo nombre y correo electrónico.Se almacenan los datos en una base SQL alojada en un servidor estadounidense safe harbor. Solo yo tengo acceso. Imagino que con el nivel básico será suficiente, verdad? El hosting solo aloja pero no tienen acceso. Como debe constar en el documento?
    Gracias

    • Hola Rafa: efectivamente bastaría con medidas de seguridad de nivel bajo. Respecto a cómo indicarlo en DS, dependerá de cada caso en función de las condiciones firmadas en el contrato de prestación de servicios con la empresa de hosting.

  11. Otra duda que tengo del DS, ¿en él tiene que reflejarse todos las personas que tienen acceso a los datos¿.
    Por ejemplo en una oficina, el jefe tendrá acceso a todo, el jefe de administración tb, luego los empleados dependiendo de sus funciones tendrán acceso a determinados datos o no.
    Pero cuando en una empresa son 50 trabajadores, ¿todos tienen que estar reflejados en el documento de seguridad?
    No se si me he explicado bien.
    Gracias
    Un saludo

  12. Gracias por la respuesta. Entonces, si en el alta del fichero y en el documento de seguridad se refleja que la gestoría tratará los datos para llevar la contabilidad, ¿hay que firmar alguna especie de contrato interno con ellos donde se especifique que tratarán los datos y cumplirán ciertas medidas de seguridad? En caso afirmativo, ¿hay algún modelo estándar para descargar y firmar? Saludos.

  13. Buenos días Jesús y gracias de antemano por tu ayuda.
    Con respecto al documento de seguridad y en el apartado: “Si la autenticación se realiza mediante contraseñas, detallar el procedimiento de asignación, distribución y almacenamiento que deberá garantizar su confidencialidad e integridad, e indicar la periodicidad con la que se deberán cambiar, en ningún caso superior a un año”

    En mi empresa se utilizan contraseñas, pero no se distribuyen ni almacenan. ¿Es obligatorio almacenar las contraseñas en algún documento o pueden almacenarse en la “memoria” del responsable del fichero y único usuario de ese fichero con datos personales?
    Gracias y saludos

  14. Hola,

    Antes de nada, muchas gracias por la creación de esta página web y por la información que ofreces 🙂

    Mi duda es:

    ¿el documento de seguridad no hay que entregarlo en la agencia de protección de datos?, es decir, lo que hay que enviar a la agencia es el formulario electrónico de notificacion de ficheros y la hoja de solicitud pero el documento de seguridad lo creas y lo guardas en tu empresa sin enviarlo a la agencia de proteccion de datos ¿es asi?

    Muchas gracias y un cordial saludo

    • Natalia: garcias a ti por visitarnos y comentar.

      Efectivamente es tal y como dices: el Documento de Seguridad no se envía a la Agencia, sino que ha de quedar a disposición de la inspección en caso de que lo solicite.

  15. Buenas tardes,

    Mi hermano es podólogo. La información que recopila de sus pacientes es: nombre, apellidos, dirección, respuestas de si han padecido alguna enfermedad o si es alérgico a algún medicamento y, finalmente, datos sobre su tratamiento podológico. ¿Ese tipo de fichero correspondería a un nivel alto de medidas de seguridad?

    Por otro lado,¿es necesario que elabore un documento que tengan que firmar sus pacientes para el tratamiento de sus datos? Entiendo que al asistir a la consulta ya se sobreentiende el consentimiento expreso por lo que no haria falta dicho documento firmado.¿Qué opina?

    Muchas gracias

    • Natalia: los datos de salud (cualquier dato de salud) son unos de los indicados de forma muy clara por la legislación vigente como necesitados de medidas de seguridad de nivel alto.

      Respecto a la segunda cuestión habría que matizar. El mero hecho de entrar en un consultorio médico podría de alguna forma entenderse como un consentimiento otorgado al profesional titular puesto que resulta evidente que no se puede solicitar una consulta médica sin dar datos de la propia salud, pero el concepto documental del consentimiento va más allá de un mero “permiso” para el tratamiento de los datos, además el usuario debe conocer al responsable del fichero, sus derechos ARCO, cómo ejercerlos de una forma sencilla y gratuita, cuál es la finalidad del fichero, etc… Además, legalmente puede ser difícil demostrar un consentimiento no documentado hasta que no haya una factura y un pago por los servicios prestados, y sin embargo los datos de salud serán necesarios para su hermano desde el momento inicial de su contacto con el paciente, por lo que se crearía un espacio de tiempo (desde la llegada del paciente hasta la facturación de los servicios) durante el cual técnicamente no habría consentimiento.

      Por tanto mi consejo sería disponer de un documento de consentimiento que ofrecer para su firma al paciente desde el primer contacto. Además de darle a su hermano una garantía jurídica del 100%, demostraría a sus pacientes que se preocupa por sus derechos desde el contacto inicial.

      Importante considerar que este consentimiento no es imprescindible plasmarlo en un documento específico separado. Seguro que su hermano dispone de algún tipo de ficha donde se rellenan los datos iniciales de todo paciente. Puede aprovechar esa misma ficha para introducir la correspondiente cláusula y dársela a firmar al paciente sin tener que crear de esta forma ningún documento aparte.

  16. Hola,

    primero que todo muchas gracias por esta página y tu ayuda.

    Me gustaría preguntar con respecto a la inscripción de ficheros, si tengo uno de historias clínicas (Nivel Alto), otro de datos de agenda con nombres, teléfono y nº de historia y otro con los datos de las empresas que me prestan servicios, como por ejemplo la gestoría, todos esos fichero pasan a ser de seguridad alta, ¿verdad?

    Muchas gracias

  17. Estimado señor:

    La empresa que incribio mis ficheros en la agencia de proteccion de datos ha desaparecido y ahora no tengo ls datos para el documento de seguridad donde podria pedir los datos de la inscripcion como codigo de inscripcion nombre y descripcion para hacer yo el documento de seguridad.Mi negocio es optica me imagino que es nivel alto Verdad?
    Gracias

  18. Buenos días,

    He sido elegido presidente de mi comunidad de vecinos y tengo claro que es obligatoria la inscripción de fichero, pero con respecto al documento de seguridad, al no tener administrador de fincas y pasar los datos de unos propietarios a otros según vayan saliendo elegidos para el cargo de presidente o secretario, qué medidas habría que tomar si la documentación es en soporte papel y algunos ficheros electrónicos como envío de escritos, listados de nombres y números de teléfonos, etc …

    Muchas gracias por el blog y por tu ayuda.
    Saludos

    • Fernando: es una pregunta excesivamente amplia para responder en un comentario. Que se trate de una comunidad de propietarios y no haya administrador simplifica bastante el documento de seguridad, pero en cualquier caso hay que tenerlo y debe ser redactado en función de las condiciones particulares de cada caso.

  19. Buenas Tardes,

    Acabo de empezar a trabajar en una empresa que oferta una tarjeta gratuita para que el cliente pueda acudir a unos establecimientos concretos y pueda beneficiarse de una serie de ventajas haciendo el gasto en las mismas. Los clientes se podrán hacer la tarjeta mediante un folleto que se le da en los establecimientos o a través de la página web de la empresa. Mi pregunta es: ¿Cuántos ficheros tengo que dar de alta en la AEPD?. Pensaba que únicamente era necesario dar de alta un único fichero en el que voy a tener todos datos básicos de mis clientes (nivel básico), pero estoy leyendo en los comentarios que si la facturación de mi empresa la lleva una gestoria a la que le tengo que dejar mis facturas emitidas y recibidas… ¿También tendría que dar de alta otro fichero a parte?. Y en el caso del Alta en la Web también hay que dar de alta otro fichero aparte aunque esos datos que de el cliente sean los mismos que el formulario de papel que se dan en los centros? Simplemente el cliente facilitaría sus datos para que le gestionemos el alta pero no se le asignará un usuario y contraseña ya que solo es un formulario normal.

    Disculpa el rollo que te he contado, pero estoy un poco perdida y me gustaría que me contestases. Muchas gracias por el blog y tu impagable ayuda!!!.

    • Cris: todos los datos homogéneos (por ejemplo todos los de clientes) se pueden declarar en un sólo fichero aunque luego se gestionen desde diferentes aplicaciones. Con la gestoría lo que debe cumpimentar es un contrato de tratamiento de datos.

  20. Buenas tardes,

    Sólo tengo ficheros manuales puesto que no tengo ordenador en mi consulta de psicología. En el documento de seguridad hay un apartado en el que tienes que decir como haces copias de respaldo o seguridad, pero al ser ficheros manuales eso es practicamente imposible escribir dos veces sobre lo mismo. Llame a la Agencia de Protección de Datos y me dicen que no hace falta en el caso de MANUAL. Me lo puedes confirmar?
    Y si es asi, supongo que obviaria el apartado no?

    Gracias

  21. Perdona por abusar , pero tengo un par de dudas si puedes responderme te lo agradecería:

    1. En el documento de Seguridad pongo que se hacen Auditorias Internas cada dos años, ¿estas Auditorias las puedo realizar yo de alguna forma o es necesario contratar a una empresa para que las haga?

    2. Una vez que actualizo el documento de seguridad porque por ejemplo me he cambiado de domicilio o he incluido a alguien como Encargado o Usuario de los datos. Yo lo actualizo a esa fecha ,…. entonces empieza otra vez a contar dos años para la auditoria desde la fecha que pongo ? En este caso elaboro un nuevo documento , pero tengo que guardar el anterior o no hace falta?

    Gracias

    • Pedro: la Auditoría puede ser interna o externa sin problema, pero siempre como máximo cada dos años, independientemente de otras circunstancias (salvo algún cambio trascendental que pudiera obligar a realizarla con antelación).

  22. Buenos días, después de leer mucho en la página de la aepd y de hablar con amigos me quedan unas dudas que me gustaría solucionar.
    ¿el Documento de seguridad lo puedo hacer yo misma o es necesario que se lo encargue a una empresa externa? Nosotros solo vamos a dar de alta dos ficheros, uno de proveedores y otro de clientes, con los datos básicos y las cuentas bancarias ¿esto qué nivel de seguridad es? Yo entiendo que básico pero no estoy segura, y que tampoco implicaría el tema de las auditorías…

    Te doy las gracias de antemano.

  23. Buenos días,
    Mi familia tiene una pequeña empresa y me han encargado a mi el que le realice el documento de seguridad e insciba los ficheros.
    Y me surgen un para de dudas:
    1ª.- Los ficheros que inscribiríamos son: Clientes, Proveedores, Empleados. Tratamos sus datos de identificación básicos: Nombre, NIF, Dirección, TELF, mail, y en algún caso sus cuentas bancarias para realizar los pagos de proveedores y las nóminas de los empleados.
    Entiendo que son datos Básicos, ¿No?
    2ª .- No se si habría que inscribir un fichero de nóminas. ¿Debería?
    3ª.- ¿Como responsable de los datos se puede poner a cualquier persona? ¿Tiene que estar en plantilla de la empresa? ¿Debe tener algún titulo en Protección de Datos?
    4ª.- ¿En caso de sanción quien es el responsable la empresa o la persona que se asigne como responsable?

    Un saludo, y garcias de antemano.

    • Raul:
      1.- pues no lo se, el nivel de protección se fija en función del tipo de datos, no de la categoría de quien se recogen. Igual de cliente es el de una ferretería (nivel bajo) que el de un odontólogo (nivel alto).
      2.- no, eso se incluye en el de trabajadores.
      3.- responsable de seguridad puede ser cualquiera, efectivamente. Ni tiene porque ser un empleado ni necesita ningún título.
      4.- las sanciones son en principio para el responsable del fichero (salvo que se pueda demostrar mala fe o actuación en contra de las instrucciones recibidas, en cuyo caso sí podrían recaer sobre un encargado de tratamiento). EWl responsable de seguridad es sólo una figura de intermediación con la adminsitración.

  24. Buenas tardes,
    La empresa de mi familia es de reformas y decoración, y los datos de Clientes que tratamos son Nombre, Dirección, Teléfono, mail, DNI.
    Para los proveedores en Nombre Fiscal, Dirección, Teléfono, mail y en algún caso cuenta bancaria para hacer algún pago.
    Para empleados: Nombre dirección, telefono, cuenta bancaria para pagar las nóminas, Nº S.S.
    Tambien archivamos Curriculun de persona que nos los envian, tendría que añadir un fichero para este concepto?
    ¿El responsable de seguridad podría ser yo?
    Pero siempre el responsable del fichero sería la empresa, ¿no?
    Muchas gracias y perdón por la insitencia.

  25. Buenas tardes,
    Estoy realizando el inventario de los soportes y mi duda es si los PC´s se consideran soporte.
    Al igual que estoy inventariando los estantes con archivadores y los discos duros externos.
    Un saludo.

  26. Buenas tardes, espero que me puedas aclarar una duda y muchas gracias de antemano.
    En que consiste exactamente la Auditoria que se hace cada dos años? ¿es una revisión de que se esté cumpliendo todo? o hay que presentar a la AEPD algún informe?
    No me queda muy claro esa cuestión, ya que, me gustaría saber si yo misma puedo realizar las auditorias o al ser algo mas complejo debería hacerlas una empresa externa.
    Nuevamente muchas gracias!

  27. Estimado Jesús,
    En primer lugar agradecer encarecidamente su encomiable ayuda!
    Tendo dos dudas:

    1. Mi actividad genera datos a través de una serie de plantaformas de venta online (vía Bigcartel) con sus respectivas pasarelas de pago seguro (vía Stripe y Paypal), generando datos que yo no puedo editar ya que sus respectivos sistemas los generan de forma automática. Dado que todo ello al fin y al cabo hace referencia a clientes, ¿debo dar de alta un único fichero CLIENTES (me ha parecido entender eso mismo de tus respuestas a anteriores comentarios) donde deba trascribir todos los datos generados por tales compras (Nombre, Dirección, Email y Teléfono), o por el contrario, debo darles un tratamiento diferenciado como ficheros independientes, uno a cada tienda y uno para cada modo de pago (tarjeta versus paypal)?

    2. Por otra parte tengo un Boletín de Noticias (Newsletter via Mailchimp) donde no necesariamente se registran clientes. ¿Consideras que debo dar de alta otro fichero BOLETÍN para cubrir este otro perfil de datos?

    Mil gracias anticipadas,
    Saludos!
    Antonio

    • Buenas tardes Antonio,
      Respecto a la primera cuestión que nos planteas, bastaría con un único fichero de CLIENTES ya que lo que se recoge son esos datos de clientes independientemente de cuál sea la pasarela de pago. Respecto a la segunda cuestión, sí deberías inscribir ese fichero BOLETÍN para evitar problemas. Muchas gracias a tí por leer nuestro blog y por tu consulta

Dejar respuesta