Los lectores me preguntan frecuentemente sobre cómo deben redactar un Documento de Seguridad según el tipo de datos que tratan.

Por eso os daré unas nociones sobre este Documento necesario para cumplir la Ley de Protección de Datos en todos los casos en que manejemos datos de carácter personal.

¿Qué es el Documento de seguridad?

El Documento de Seguridad es aquel en el que se adoptan las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal

Es una de las partes fundamentales de la protección de datos y obligatorio para el responsable de fichero o encargado del tratamiento.

Debemos tener en cuenta que no disponer de este Documento de Seguridad puede suponer una infracción grave, según la LOPD.

A partir de mayo de 2018 el Reglamento General de Protección de Datos (RGPD) lo que establece es que los responsables del fichero o del tratamiento y los encargados del mismo, aplicarán las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo, en función de:

  • situación técnica
  • costes de aplicarlo
  • naturaleza, alcance, contexto y fines del tratamiento.

Estas medidas de seguridad deberán incluir, al menos:

  • seudominización y el cifrado de datos personales
  • garantizar la confidencialidad, integridad, disponibilidad y resilencia permanentes en los sistemas y servicios de tratamiento
  • poder restaurar la disponibilidad y acceso a los datos si hubiera algún tipo de incidencia física o técnica.
  • un proceso de verificación, evaluación y valoración de la eficacia de las medidas técnicas y organizativas.

¿Cómo elaborar un Documento de Seguridad en mi empresa?

Es fácil.

Os voy a dar unos consejos para poder elaborar ese documento con los requisitos exigidos por la ley.

Ámbito y aplicación del Documento de Seguridad

Debemos indicar que el presente documento será de aplicación a los ficheros que contienen datos de carácter personal que pertenecen al responsable del fichero. Incluyendo

  • sistemas de información,
  • soportes y equipos utilizados para el tratamiento de datos de carácter personal, que tienen que ser protegidos según lo dispuesto en normativa vigente,
  • personas que participan en el tratamiento y
  • locales en los que se ubican.

En concreto, se indicarán los tratamientos sujetos a las medidas de seguridad establecidas en este documento, con indicación del nivel de seguridad correspondiente.

Contenido mínimo

El documento deberá contener, según la LOPD, como mínimo, los siguientes aspectos:

  • Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
  • Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento.
  • Funciones y obligaciones del personal.
  • Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
  • Procedimiento de notificación, gestión y respuesta ante las incidencias.
  • Los procedimientos de realización de copias de respaldo y de recuperación de los datos.

¿Qué debo incluir?

Por tanto, lo que se debe incluir en este documento es:

  1. Identificación de la empresa y sus servicios
  2. Tratamientos de datos que realiza la empresa y su estructura:
    • nombre,
    • tipo de datos que recogen,
    • medidas de seguridad aplicables,
    • encargado del tratamiento si lo hubiera.
  3. Medidas de seguridad aplicables: se incluyen datos como,
    • armarios cerrados con llave,
    • despachos cerrados con llave,
    • destructoras de papel en los despachos que contiene documentación en soporte papel,
    • contraseñas personales en los ordenadores con acceso a datos personales,
    • caducidad de las contraseñas,
    • cómo, dónde y cuándo se hacen las copias de seguridad,
    • dónde se guardan las referidas copias de seguridad,
    • con qué periodicidad se hacen,
    • cuál es el procedimiento a seguir en caso de que se produzca una incidencia.
  4. Relación de encargados del tratamiento: empresas con las que se ha contratado la prestación de un servicio y, para ello, van a tener acceso a esos datos personales.
  5. Inventario de los soportes con acceso a datos personales donde se realizan las copias de seguridad, de los equipos informáticos que tienen acceso a datos y de los programas informáticos.
  6. Lista del personal de la empresa que tiene acceso a los datos y sus funciones.documento de seguridad reglamento general de proteccion de datos

Debe mantenerse actualizado en todo momento y debe ser revisado siempre que se produzcan cambios significativos en el sistema de información. El contenido debe adecuarse a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.

Si al fichero deben aplicarse medidas de seguridad de nivel medio o alto, el documento de Seguridad deberá contener además:

  • Identificación del responsable o responsables de seguridad.
  • Controles periódicos a realizar para verificar el cumplimiento de lo establecido en este documento.

Actualización

Debe mantenerse actualizado en todo momento y ser revisado siempre que se produzcan cambios relevantes en el sistema de información, sistema de tratamiento, en la organización, en el contenido de la información incluida o como consecuencia de los controles realizados. Un cambio se considera relevante cuando puede afectar al cumplimiento de las medidas de seguridad implantadas.

Se debe actualizar el Documento de Seguridad siempre que se produzcan los siguientes cambios:

  • Usuarios que acceden a los ficheros.
  • Modificaciones en los procedimientos.
  • Encargados del tratamiento y servicios prestados.
  • Equipamiento informático.
  • Actualizaciones/instalaciones de software.
  • Incidencias que se produzcan.
  • Personas autorizadas para salidas de soportes, uso de portátiles, etc.
  • Administradores de los ficheros y responsables de seguridad.
  • Comenzamos a recoger datos que antes no se recogían (ej. correo electrónico de los clientes).
  • Nuevos soportes que deban incluirse en el inventario de soportes y documentos.
aviso alerta

¡Cuidado! Debe mantenerse actualizado en todo momento y ser revisado

Anexos

  • Descripción de tratamientos de datos de carácter personal:
    • nombre del fichero,
    • finalidades o usos previstos,
    • cesiones,
    • transferencias internacionales,
    • procedimiento de recogida de los datos,
    • servicio ante el que se ejercitarán los derechos ARCO, etc.
  • Nombramientos: como el Responsable de Seguridad o el Delegado de Protección de Datos.
  • Autorizaciones de salida o recuperación de datos.
  • Delegación de autorizaciones.
  • Relación de soportes.
  • Inscripción de incidencias.
  • Encargados de tratamiento:  recoger aquí el contrato que deberá reflejarse por escrito o de cualquier otra forma que posibilite la acreditación de su celebración y contenido, y que establecerá expresamente que:
    • el encargado de tratamiento manejará los datos según a las instrucciones del responsable del tratamiento,
    • no los usará para finalidad distinta a la que figure en dicho contrato, y
    • no los comunicarán, ni siquiera para su conservación a otras personas.
  • Registro de entrada y salida de soportes.
  • Medidas alternativas: caso de que no sea posible adoptar las medidas exigidas por la Ley en relación con la identificación de los soportes, los dispositivos de depósito de los documentos o los sistemas de almacenamiento de la información, indicar las causas que justifican que ello no sea factible y las medias opcionales que se han aprobado.

Documento de seguridad en el RGPD

Como indicaba anteriormente, la nueva normativa europea no exige la elaboración del Documento de seguridad. Pero resulta aconsejable y muy útil seguir manteniéndolo.

Con esta modificación en las normas de protección de datos, puede ocurrir que puedas seguir aplicando las mismas medidas de seguridad, si del análisis de riesgos que debes hacer como responsable, concluyes que debes aplicarla. En otros casos, te verás obligado a complementarlas con otras medidas de seguridad.

Para establecer las medidas de seguridad se tendrán que evaluar los riesgos que puedan presentarse en el tratamiento de los datos, sobre todo y especialmente lo relativo a:

  • posible destrucción,
  • pérdida o
  • modificación accidental o ilícita de los datos.

También habrá que evaluar los supuestos de comunicaciones o accesos no autorizados a los mismos.

Podrás acreditar que cumples adecuadamente con las medidas de seguridad si te adhieres a algún código de conducta sobre protección de datos, o bien, obtienes una certificación sobre su cumplimiento.

Muy importante, a tener en cuenta, es que debes tomar todas las medidas oportunas para que la persona que nombres para poder acceder a los datos, cumpla estrictamente tus instrucciones u órdenes.

Modelo

Aquí puedes descargar en pdf el modelo de Documento de Seguridad.

Y esto es todo lo que debes saber para tener un Documento de seguridad adaptado a la normativa.

Si tienes cualquier duda estaré encantada de ayudarte.

Todo sobre Protección de Datos

¿Qué es el Documento de Seguridad?
4.7 (93.79%) 29 votos

Comments are closed.