Documento de Seguridad 3: Anexos

1642

Por una parte tenemos que buena parte de la información que sobre la entidad responsable de un fichero con datos de carácter personal queda recogida en el Documento de Seguridad es de carácter dinámica, es decir, puede verse modificada en el tiempo. Esta información, normalmente en forma de listados, suele recogerse en diferentes Anexos al documento.

Por otro lado, el artículo 7 del Reglamento de desarrollo de la LOPD dice: “El documento de seguridad deberá mantenerse en todo momento actualizado (…)”.

Nos encontramos entonces con que la mayor complejidad en la gestión del Documento de Seguridad no está tanto en su redacción como en su mantenimiento. Veamos de qué se componen estos Anexos y qué cambios han de reflejar.

Es importante aclarar que el Reglamento LOPD no impone un listado taxativo de estos Anexos, sino que indica la obligación de mantener actualizadas una serie de informaciones requeridas, y por lo tanto existe cierta flexibildad a la hora de redactar estos documentos. Esta es una propuesta para organizarlos y agruparlos de una forma lógica:

  • Descripción de ficheros: nombre del fichero o tratamiento, descripción; unidad/es con acceso al fichero o tratamiento; identificador del Registro General de Protección de Datos de la AEPD; nivel de medidas seguridad a adoptar (básico, medio o alto); Código Tipo y otras leyes aplicables (si las hubiere); procedimiento y servicio ante el que puedan ejercitarse los derechos de acceso, rectificación, cancelación y oposición; descripción detallada y periodicidad de las copias de respaldo y de los procedimientos de recuperación; relación de usuarios con acceso autorizado; funciones del personal con acceso a los datos personales; descripción de los procedimientos de control de acceso e identificación, y el responsable de seguridad (éste último dato sólo para niveles medio o alto).
  • Nombramientos: que afecten a los diferentes perfiles incluidos en este documento, como el del responsable de seguridad.
  • Autorizaciones de salida o recuperación de datos: autorizaciones que el responsable del fichero ha firmado para la salida de soportes que contengan datos de carácter personal, así como aquellas relativas a la ejecución de los procedimientos de recuperación de datos.
  • Inventario de soportes y registro de salida y entrada: los soportes deberán permitir identificar el tipo de información, que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al personal autorizado para ello. Además en los niveles medio y alto es obligatorio llevar un registro de salida y entrada de cada soporte.
  • Registro de incidencias: las que se produzcan en cualquier fichero y puedan afectar a la integridad y seguridad de la información.
  • Encargados del tratamiento: recoger aquí el contrato que establecerá expresamente que el encargado de tratamiento tratará los datos conforme a las instrucciones del responsable del los ficheros, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, y que no los comunicarán, ni siquiera para su conservación a otras personas. El contrato estipulará las medidas de seguridad que el encargado del tratamiento esta obligado a implementar.

En el caso de que la empresa tenga frecuentes cambios en estas áreas puede ser conveniente automatizar los listados mediante alguna aplicación informática.

Viene de: El Documento de Seguridad 2: Ámbito y Medidas
Fin de la serie

Documento de Seguridad 3: Anexos
Vota este artículo
Compartir

6 Comentarios

  1. Buenos días
    me gustaría saber si, cuando sólo una parte de los datos que maneja la empresa son de nivel alto, todas las acciones que lleve a cabo deben cumplir con ese nivel de seguridad.
    Por ejemplo, en la salida de soportes/documentos de la empresa. Si envío documentación a la asesoría con datos contables de los clientes (nombre, apellido, dirección dni y teléfono) ¿debo cumplir con los requisitos de seguridad de nivel alto aunque esos datos que manejamos de nivel alto, nunca salgan de la empresa?
    Me temo que la respuesta es sí pero quiero asegurarme…
    Gracias

    • Belén, realmente la calificación del nivel de seguridad exigido no es en conjunto para la empresa, sino para los ficheros en concreto, de forma que sí que puede ocurrir que se manejen situaciones con exigencias de nivel alto junto con otras de nivel bajo. Así, el fichero de clientes de un hospital tendrá nivel alto por incluir datos de salud, pero si como dices el hospital envía datos básicos para facturar, entonces ese envío en concreto pude hacerse con las condiciones del nivel bajo.

  2. Hola,
    Alguien me podría facilitar un modelo/ejemplo de las autorizaciones de salida o recuperación de datos que hay que incluir en el anexo III.
    Muchísimas gracias.

  3. La gestión de inventario de soportes, me queda claro cuando son soportes informáticos, pero para los soportes no informáticos tengo duda si lo que hay que inventariar son los armarios donde se guarda la documentación o cada carpeta o caja en donde se archivan. Me podrían ayudar por favor…

Dejar respuesta