¿Qué es el Documento de Seguridad?

4860
plantilla descargar documento seguridad

Los lectores me preguntan frecuentemente sobre cómo deben redactar un Documento de Seguridad según el tipo de datos que tratan por lo que os daré unas nociones sobre este Documento exigido en la Ley de Protección de Datos en todos los casos en que manejemos datos de carácter personal.

El Documento de Seguridad es aquel en el que se adoptan las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal. Es una de las partes fundamentales de la protección de datos y obligatorio para el responsable de fichero o encargado del tratamiento.

Debemos tener en cuenta que no disponer de este Documento de Seguridad puede suponer una infracción grave, según la LOPD.

¿Cómo elaborar un Documento de Seguridad en mi empresa?

Es fácil. Os vamos a dar unos consejos para poder elaborar ese documento con los requisitos exigidos por la ley.

¿Cuándo debo redactar un Documento de Seguridad?

Según la LOPD, es obligatorio adoptar un Documento de Seguridad siempre que se recojan o traten datos de carácter personal, cualquiera que sea el nivel de seguridad al que correspondan e independientemente de que los datos se contengan en ficheros automatizados o no automatizados. Así, el art. 9 establece que “El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural”.

¿Constituye una infracción no tener este Documento de Seguridad?

La Ley de Protección de Datos establece que mantener lo ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen constituye una infracción grave. Esta infracción es sancionable por la AEPD con multas entre 60.000 y 300.000 €.

¿Quién debe elaborarlo?

El Documento de Seguridad debe ser elaborado por el responsable del fichero y, en su caso, por el encargado del tratamiento. Puede ser único para todos los ficheros y tratamiento o individualizado para cada fichero o tratamiento. Una vez elaborado, debe ponerse en conocimiento de todo el personal que tenga acceso a los sistemas de información que tienen la obligación de tratar los datos cumpliendo todas las normas establecidas en ese documento. Es responsabilidad del responsable del fichero adoptar las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.

Ámbito y aplicación del Documento de Seguridad

Debemos indicar que el presente documento será de aplicación a los ficheros que contienen datos de carácter personal que pertenecen al responsable del fichero, incluyendo los sistemas de información, soportes y equipos utilizados para el tratamiento de datos de carácter personal, que tienen que ser protegidos según lo dispuesto en normativa vigente, las personas que participan en el tratamiento y los locales en los que se ubican. En concreto, los ficheros sujetos a las medidas de seguridad establecidas en este documento, con indicación del nivel de seguridad correspondiente, son los siguientes (indicamos todos los ficheros que tenemos).

Medidas, normas, procedimientos, reglas y estándares dirigidos a respaldar los niveles de seguridad requeridos en el Documento

  • Medidas y normas relativas a la identificación y autenticación del personal acreditado para el acceso a los datos personales.
  • Control de accesos: el personal solo accederá a los datos necesarios para el ejercicio de sus funciones. Debemos indicar los controles de acceso de los que disponemos.
  • Registro de accesos en ficheros de nivel alto: se registrará por cada acceso la identificación del usuario, la fecha y hora en que se efectuó, el fichero afectado, el tipo de acceso y si ha sido autorizado o denegado. Si el acceso fue autorizado, se guardará también la información que posibilite la identificación del registro accedido.
  • Gestión de soportes y documentos: los soportes que almacenen datos personales deberán facilitar la identificación del tipo de información que contienen, ser enumerados y se especificará el lugar donde se custodian y las personas que pueden acceder a los mismos. La salida de soportes y documentos que incluyan datos de carácter personal, incluidos los contenidos en correos electrónicos, en el exterior de los locales controlados por el responsable del tratamiento, deberá ser autorizada por el responsable del fichero o aquel en que se hubiera delegado.
  • Registro de entrada y salida de soportes en ficheros de nivel medio y alto.
  • Gestión y distribución de soportes en ficheros de nivel alto.
  • Criterios de archivo, de almacenamiento de la información y custodia de soportes en los ficheros manuales.
  • Acceso a datos a través de redes de comunicaciones: cifrar datos de nivel alto.
  • Régimen de trabajo fuera de los locales de ubicación del fichero: traslado de documentación, copia o reproducción y copias de seguridad y respaldo.
  • Designar Responsable de Seguridad en ficheros de nivel medio y alto.

Información y obligaciones del personal

Todo el personal que acceda a los datos de carácter personal está obligado a entender y acatar las medidas, normas, procedimientos, reglas y estándares que afecten a las funciones que desarrolla. Están obligados a guardar secreto y confidencialidad sobre los datos personales que conozcan en el desarrollo de su trabajo.

El personal que efectúe trabajos que no conlleven el tratamiento de datos personales tendrán limitado el acceso a estos datos, a los soportes en los que se incluyan, o a los recursos del sistema de información.

Cuando se trate de personal ajeno, el contrato de prestación de servicios se indicará de manera expresa la prohibición de acceder a los datos personales y la obligación de secreto respecto a los datos a los que hayan accedido durante la prestación del servicio.

También deben establecerse los efectos del incumplimiento del Documento de Seguridad.

Procedimiento de notificación, gestión y respuesta ante las incidencias

Se consideran incidencias de seguridad cualquier incumplimiento de la normativa desarrollada en este Documento de Seguridad, así como a cualquier irregularidad que dañe o pueda dañar la seguridad de los datos de carácter personal. Se establecerá el procedimiento a seguir para notificar las incidencias (quién debe notificarla, ante quién y de qué modo).

También se indicará la forma en que se almacenará el registro, que puede ser manual o informático, y en el que deberán figurar, al menos, el tipo de incidencia, el momento en que se ha producido o en su caso detectado, la persona lo notifica, a quién se comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.

Contenido mínimo del Documento de Seguridad

El documento deberá contener, según la LOPD, como mínimo, los siguientes aspectos:

  • Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
  • Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento.
  • Funciones y obligaciones del personal.
  • Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
  • Procedimiento de notificación, gestión y respuesta ante las incidencias.
  • Los procedimientos de realización de copias de respaldo y de recuperación de los datos.

Por tanto, lo que se debe incluir en este documento es:

  1. Identificación de la empresa y sus servicios
  2. Ficheros que tiene la empresa y su estructura: nombre, tipo de datos que recogen, medidas de seguridad aplicables, encargado del tratamiento si lo hubiera.
  3. Medidas de seguridad aplicables: se incluyen datos como armarios cerrados con llave, despachos cerrados con llave, destructoras de papel en los despachos que contiene documentación en soporte papel, contraseñas personales en los ordenadores con acceso a datos personales, caducidad de las contraseñas, cómo, dónde y cuándo se hacen las copias de seguridad, dónde se guardan las referidas copias de seguridad, con qué periodicidad se hacen, cuál es el procedimiento a seguir en caso de que se produzca una incidencia.
  4. Relación de encargados del tratamiento: empresas con las que se ha contratado la prestación de un servicio y, para ello, van a tener acceso a esos datos personales.
  5. Inventario de los soportes con acceso a datos personales donde se realizan las copias de seguridad, de los equipos informáticos que tienen acceso a datos y de los programas informáticos.
  6. Lista del personal de la empresa que tiene acceso a los datos y sus funciones.

Debe mantenerse actualizado en todo momento y debe ser revisado siempre que se produzcan cambios significativos en el sistema de información. El contenido debe adecuarse a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.

Si al fichero deben aplicarse medidas de seguridad de nivel medio o alto, el documento de Seguridad deberá contener además:

  • Identificación del responsable o responsables de seguridad.
  • Controles periódicos a realizar para verificar el cumplimiento de lo establecido en este documento.

Actualización del Documento de Seguridad

Debe mantenerse actualizado en todo momento y ser revisado siempre que se produzcan cambios relevantes en el sistema de información, sistema de tratamiento, en la organización, en el contenido de la información incluida o como consecuencia de los controles realizados. Un cambio se considera relevante cuando puede afectar al cumplimiento de las medidas de seguridad implantadas.

Se debe actualizar el Documento de Seguridad siempre que se produzcan los siguientes cambios:

  • Usuarios que acceden a los ficheros.
  • Modificaciones en los procedimientos.
  • Encargados del tratamiento y servicios prestados.
  • Equipamiento informático.
  • Actualizaciones/instalaciones de software.
  • Incidencias que se produzcan.
  • Personas autorizadas para salidas de soportes, uso de portátiles, etc.
  • Administradores de los ficheros y responsables de seguridad.
  • Comenzamos a recoger datos que antes no se recogían (ej. correo electrónico de los clientes).
  • Nuevos soportes que deban incluirse en el inventario de soportes y documentos.

Anexos al Documento de Seguridad

  • Descripción de ficheros de datos de carácter personal: nombre del fichero, finalidades o usos previstos, cesiones, transferencias internacionales, procedimiento de recogida de los datos, servicio ante el que se ejercitarán los derechos ARCO, etc.
  • Nombramientos: como el Responsable de Seguridad.
  • Autorizaciones de salida o recuperación de datos.
  • Delegación de autorizaciones.
  • Relación de soportes.
  • Inscripción de incidencias.
  • Encargados de tratamiento:  recoger aquí el contrato que deberá reflejarse por escrito o de cualquier otra forma que posibilite la acreditación de su celebración y contenido, y que establecerá expresamente que el encargado de tratamiento manejará los datos según a las instrucciones del responsable del tratamiento, que no los usará para finalidad distinta a la que figure en dicho contrato, y que no los comunicarán, ni siquiera para su conservación a otras personas.
  • Registro de entrada y salida de soportes.
  • Medidas alternativas: caso de que no sea posible adoptar las medidas exigidas por la Ley en relación con la identificación de los soportes, los dispositivos de depósito de los documentos o los sistemas de almacenamiento de la información, indicar las causas que justifican que ello no sea factible y las medias opcionales que se han aprobado.

Descargar modelo del Documento de Seguridad

La AEPD establece un Guía-Modelo de Documento de Seguridad para ayudarnos con la elaboración de este documento.

¿Qué es el Documento de Seguridad?
4.44 (88.75%) 16 votos
Compartir

1 Comentario

Dejar respuesta