El Documento de Seguridad 1: ¿qué es?

447

El Real Decreto 1720/2007, Reglamento de desarrollo de la LOPD, establece las medidas de índole técnico y organizativo que los responsables de los los ficheros y los encargados de tratamiento han de implantar para garantizar la seguridad en los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de datos de carácter personal.

Entre estas medidas, se encuentra la elaboración de un documento, denominado Documento de Seguridad, que recogerá las medidas de índole técnica y organizativa acorde a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los datos de carácter personal.

El documento deberá contener, como mínimo, los siguientes aspectos:

  • Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
  • Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento.
  • Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.
  • Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
  • Procedimiento de notificación, gestión y respuesta ante las incidencias.
  • Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.
  • Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.

En caso de que fueran de aplicación a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto, previstas en este título, el documento de seguridad deberá contener además:

  • La identificación del responsable o responsables de seguridad.
  • Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.

Además cuando exista un tratamiento de datos por cuenta de terceros, el documento de seguridad deberá contener la identificación de los ficheros o tratamientos que se traten en concepto de encargado con referencia expresa al contrato o documento que regule las condiciones del encargo, así como de la identificación del responsable y del período de vigencia del encargo.

El documento de seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados. En todo caso, se entenderá que un cambio es relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas.

En los siguientes artículos de la serie veremos cómo redactar el Ámbito de aplicación, las Medidas que se han de implantar para garantizar los niveles de seguridad y los Anexos que han de complementar el Documento de Seguridad.

El Documento de Seguridad 1: ¿qué es?
Vota este artículo
Compartir

Dejar respuesta