[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2016\/05\/20\/plantilla-documento-seguridad-lopd\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2016\/05\/20\/plantilla-documento-seguridad-lopd\/","headline":"\u00bfQu\u00e9 es el Documento de Seguridad? Modelo incluido","name":"\u00bfQu\u00e9 es el Documento de Seguridad? Modelo incluido","description":"Funciones Responsable de Seguridad LOPD especificadas en la plantilla Documento de Seguridad protecci\u00f3n de datos nivel alto para descargar gratis","datePublished":"2016-05-20","dateModified":"2021-09-22","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/#Person","name":"Ana Gonz\u00e1lez","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/05\/modelo-documento-seguridad-lopd.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/05\/modelo-documento-seguridad-lopd.png","height":287,"width":696},"url":"https:\/\/ayudaleyprotecciondatos.es\/2016\/05\/20\/plantilla-documento-seguridad-lopd\/","commentCount":"1","comment":[{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2016\/05\/20\/plantilla-documento-seguridad-lopd\/#Comment1","dateCreated":"2017-03-21 12:31:26","description":"Muy \u00fatil el art\u00edculo, gracias por la aportaci\u00f3n.\r\n\r\nUn saludo","author":{"@type":"Person","name":"Asciende","url":""}}],"about":["GU\u00cdAS","LOPDGDD & RGPD"],"wordCount":2848,"articleBody":" if (typeof BingeIframeRan === \"undefined\") { window.addEventListener(\"message\", receiveMessage, false); function receiveMessage(event) { try { var parsed = JSON.parse(event.data) if (parsed.context === \"iframe.resize\") { var iframes = document.getElementsByClassName(\"binge-iframe\"); for (let i = 0; i < iframes.length; ++i) { if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) { iframes[i].height = parsed.height; } iframes[i].style.opacity = 1; } } } catch (error) { } } var BingeIframeRan = true; } Los lectores me preguntan frecuentemente sobre c\u00f3mo deben redactar un Documento de Seguridad seg\u00fan el tipo de datos que tratan. Por eso os dar\u00e9 unas nociones sobre \u00e9l, para todos los casos en que manejemos datos de car\u00e1cter personal.\u00bfQu\u00e9 es el Documento de seguridad?\u00bfC\u00f3mo elaborar un Documento de Seguridad en mi empresa?\u00bfCu\u00e1ndo debo redactarlo?\u00bfConstituye una infracci\u00f3n no tenerlo?\u00bfQui\u00e9n debe elaborarlo?\u00c1mbito y aplicaci\u00f3n del Documento de SeguridadMedidas, normas, procedimientos, reglas y est\u00e1ndares dirigidos a respaldar los niveles de seguridad requeridos en el DocumentoInformaci\u00f3n y obligaciones del personalProcedimiento de notificaci\u00f3n, gesti\u00f3n y respuesta ante las incidenciasContenido m\u00ednimo\u00bfQu\u00e9 debo incluir?Actualizaci\u00f3nAnexosDocumento de seguridad en el RGPDModelo\u00bfNecesitas cumplir el RGPD?\u00bfQu\u00e9 es el Documento de seguridad?El Documento de Seguridad es aquel en el que se adoptan las medidas t\u00e9cnicas y organizativas necesarias para garantizar la seguridad de los datos de car\u00e1cter personalEs una de las partes fundamentales de la protecci\u00f3n de datos y obligatorio para el responsable de fichero o encargado del tratamiento.Debemos tener en cuenta que no disponer de este Documento de Seguridad puede suponer una infracci\u00f3n grave, seg\u00fan la LOPD.A partir de mayo de 2018 el Reglamento General de Protecci\u00f3n de Datos (RGPD) lo que establece es que los responsables del fichero o del tratamiento y los encargados del mismo, aplicar\u00e1n las medidas t\u00e9cnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo, en funci\u00f3n de:situaci\u00f3n t\u00e9cnicacostes de aplicarlonaturaleza, alcance, contexto y fines del tratamiento.Estas medidas de seguridad deber\u00e1n incluir, al menos:seudominizaci\u00f3n y el cifrado de datos personalesgarantizar la confidencialidad, integridad, disponibilidad y resilencia permanentes en los sistemas y servicios de tratamientopoder restaurar la disponibilidad y acceso a los datos si hubiera alg\u00fan tipo de incidencia f\u00edsica o t\u00e9cnica.un proceso de verificaci\u00f3n, evaluaci\u00f3n y valoraci\u00f3n de la eficacia de las medidas t\u00e9cnicas y organizativas.\u00bfC\u00f3mo elaborar un Documento de Seguridad en mi empresa?Os voy a dar unos consejos para poder elaborar ese documento con los requisitos exigidos por la ley.\u00bfCu\u00e1ndo debo redactarlo?Seg\u00fan la LOPD, es obligatorio adoptar un Documento de Seguridad siempre que se recojan o traten datos de car\u00e1cter personal, cualquiera que sea el nivel de seguridad al que correspondan e independientemente de que los datos se contengan en ficheros automatizados o no automatizados.As\u00ed, el art. 9 establece que:\u201cEl responsable del fichero, y, en su caso, el encargado del tratamiento deber\u00e1n adoptar las medidas de \u00edndole t\u00e9cnica y organizativas necesarias que garanticen la seguridad de los datos de car\u00e1cter personal y eviten su alteraci\u00f3n, p\u00e9rdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnolog\u00eda, la naturaleza de los datos almacenados y los riesgos a que est\u00e1n expuestos, ya provengan de la acci\u00f3n humana o del medio f\u00edsico o natural\u201d.El RGPD no establece la obligaci\u00f3n de tener un Documento de seguridad. Pero s\u00ed establece la obligaci\u00f3n de realizar un An\u00e1lisis de riesgos y aplicar las medidas de seguridad necesarias para proteger los datos. Por tanto, es recomendable seguir redactando un Documento de seguridad en la empresa.\u00bfConstituye una infracci\u00f3n no tenerlo?La Ley de Protecci\u00f3n de Datos establece que mantener lo ficheros, locales, programas o equipos que contengan datos de car\u00e1cter personal sin las debidas condiciones de seguridad que por v\u00eda reglamentaria se determinen constituye una infracci\u00f3n grave.Esta infracci\u00f3n es sancionable por la AEPD con multas entre 60.000 y 300.000 \u20ac.Con la nueva normativa tambi\u00e9n se considera como infracci\u00f3n grave o muy grave no aplicar las medidas de seguridad oportunas a los tratamientos de datos realizados.\u00bfQui\u00e9n debe elaborarlo?El Documento de Seguridad debe ser elaborado por el responsable del fichero y, en su caso, por el encargado del tratamiento.Puede ser \u00fanico para todos los tratamientos o individualizado para cada uno. Una vez elaborado, debe ponerse en conocimiento de todo el personal que tenga acceso a los sistemas de informaci\u00f3n. Estos tienen la obligaci\u00f3n de tratar los datos cumpliendo todas las normas establecidas en ese documento.Es responsabilidad del responsable del fichero adoptar las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones as\u00ed como las consecuencias en que pudiera incurrir en caso de incumplimiento.\u00c1mbito y aplicaci\u00f3n del Documento de SeguridadDebemos indicar que el presente documento ser\u00e1 de aplicaci\u00f3n a los ficheros que contienen datos de car\u00e1cter personal que pertenecen al responsable del fichero. Incluyendosistemas de informaci\u00f3n,soportes y equipos utilizados\u00a0para el tratamiento de datos de car\u00e1cter personal, que tienen que\u00a0ser protegidos seg\u00fan\u00a0lo dispuesto en normativa vigente,personas que participan\u00a0en el tratamiento ylocales en los que se ubican.En concreto, se indicar\u00e1n los tratamientos sujetos a las medidas de seguridad establecidas en este documento, con indicaci\u00f3n del nivel de seguridad correspondiente.Medidas, normas, procedimientos, reglas y est\u00e1ndares dirigidos a respaldar los niveles de seguridad requeridos en el DocumentoMedidas y normas relativas a la identificaci\u00f3n y autenticaci\u00f3n del personal acreditado para el acceso a los datos personales.Control de accesos: el personal solo acceder\u00e1 a los datos necesarios para el ejercicio de sus funciones. Debemos indicar los controles de acceso de los que disponemos.Registro de accesos en ficheros de nivel alto: se registrar\u00e1 por cada acceso:identificaci\u00f3n del usuario,fecha y hora en que se efectu\u00f3,fichero afectado,tipo de acceso ysi ha sido autorizado o denegado. Si el acceso fue autorizado, se guardar\u00e1 tambi\u00e9n la informaci\u00f3n que posibilite la identificaci\u00f3n del registro accedido.Gesti\u00f3n de soportes y documentos: los soportes que almacenen datos personales deber\u00e1n facilitar la identificaci\u00f3n del tipo de informaci\u00f3n que contienen, ser enumerados y se especificar\u00e1 el lugar donde se custodian y las personas que pueden acceder a los mismos. La salida de soportes y documentos que incluyan datos de car\u00e1cter personal, incluidos los contenidos en correos electr\u00f3nicos, en el exterior de los locales controlados por el responsable del tratamiento, deber\u00e1 ser autorizada por el responsable del fichero o aquel en que se hubiera delegado.Registro de entrada y salida de soportes en ficheros de nivel medio y alto.Gesti\u00f3n y distribuci\u00f3n de soportes en ficheros de nivel alto.Criterios de archivo, de almacenamiento de la informaci\u00f3n y custodia de soportes en los ficheros manuales.Acceso a datos a trav\u00e9s de redes de comunicaciones: cifrar datos de nivel alto.R\u00e9gimen de trabajo fuera de los locales de ubicaci\u00f3n del fichero:traslado de documentaci\u00f3n,copia o reproducci\u00f3n ycopias de seguridad y respaldo.Designar Responsable de Seguridad en ficheros de nivel medio y alto.Informaci\u00f3n y obligaciones del personalTodo el personal que acceda a los datos de car\u00e1cter personal est\u00e1 obligado a entender y acatar las medidas, normas, procedimientos, reglas y est\u00e1ndares que afecten a las funciones que desarrolla. Est\u00e1n obligados a guardar secreto y confidencialidad sobre los datos personales que conozcan en el desarrollo de su trabajo.El personal que efect\u00fae trabajos que no conlleven el tratamiento de datos personales tendr\u00e1n limitado el acceso a estos datos, a los soportes en los que se incluyan, o a los recursos del sistema de informaci\u00f3n.Cuando se trate de personal ajeno, el contrato de prestaci\u00f3n de servicios se indicar\u00e1 de manera expresa la prohibici\u00f3n de acceder a los datos personales y la obligaci\u00f3n de secreto respecto a los datos a los que hayan accedido durante la prestaci\u00f3n del servicio.Tambi\u00e9n deben establecerse los efectos del incumplimiento del Documento de Seguridad.Procedimiento de notificaci\u00f3n, gesti\u00f3n y respuesta ante las incidenciasSe consideran incidencias de seguridad cualquier incumplimiento de la normativa desarrollada en este Documento de Seguridad, as\u00ed como a cualquier irregularidad que da\u00f1e o pueda da\u00f1ar la seguridad de los datos de car\u00e1cter personal. Se establecer\u00e1 el procedimiento a seguir para notificar las incidencias:qui\u00e9n debe notificarla,ante qui\u00e9n yde qu\u00e9 modo.Tambi\u00e9n se indicar\u00e1 la forma en que se almacenar\u00e1 el registro, que puede ser manual o inform\u00e1tico, y en el que deber\u00e1n figurar, al menos,tipo de incidencia,momento en que se ha producido o en su caso detectado,persona lo notifica,a qui\u00e9n se comunica,efectos que se hubieran derivado de la misma ymedidas correctoras aplicadas.Contenido m\u00ednimoEl documento deber\u00e1 contener, seg\u00fan la LOPD, como m\u00ednimo, los siguientes aspectos:\u00c1mbito de aplicaci\u00f3n del documento con especificaci\u00f3n detallada de los recursos protegidos.Medidas, normas, procedimientos, reglas y est\u00e1ndares encaminados a garantizar el nivel de seguridad exigido en este Reglamento.Funciones y obligaciones del personal.Estructura de los ficheros con datos de car\u00e1cter personal y descripci\u00f3n de los sistemas de informaci\u00f3n que los tratan.Procedimiento de notificaci\u00f3n, gesti\u00f3n y respuesta ante las incidencias.Los procedimientos de realizaci\u00f3n de copias de respaldo y de recuperaci\u00f3n de los datos.\u00bfQu\u00e9 debo incluir?Por tanto, lo que se debe incluir en este documento es:Identificaci\u00f3n de la empresa y sus serviciosTratamientos de datos que realiza la empresa y su estructura:nombre,tipo de datos que recogen,medidas de seguridad aplicables,encargado del tratamiento si lo hubiera.Medidas de seguridad aplicables: se incluyen datos como,armarios cerrados con llave,despachos cerrados con llave,destructoras de papel en los despachos que contiene documentaci\u00f3n en soporte papel,contrase\u00f1as personales en los ordenadores con acceso a datos personales,caducidad de las contrase\u00f1as,c\u00f3mo, d\u00f3nde y cu\u00e1ndo se hacen las copias de seguridad,d\u00f3nde se guardan las referidas copias\u00a0de seguridad,con qu\u00e9 periodicidad se hacen,cu\u00e1l es el procedimiento a seguir en caso de que se produzca una incidencia.Relaci\u00f3n de encargados del tratamiento: empresas con las que se ha contratado la prestaci\u00f3n de un servicio y, para ello, van a tener acceso a esos datos personales.Inventario de los soportes con acceso a datos personales donde se realizan las copias de seguridad, de los equipos inform\u00e1ticos que tienen acceso a datos y de los programas inform\u00e1ticos.Lista del personal de la empresa que tiene acceso a los datos y sus funciones.Debe mantenerse actualizado en todo momento y debe ser revisado siempre que se produzcan cambios significativos en el sistema de informaci\u00f3n. El contenido debe adecuarse a las disposiciones vigentes en materia de seguridad de los datos de car\u00e1cter personal.Si al fichero deben aplicarse medidas de seguridad de nivel medio o alto, el documento de Seguridad deber\u00e1 contener adem\u00e1s:Identificaci\u00f3n del responsable o responsables de seguridad.Controles peri\u00f3dicos a realizar para verificar el cumplimiento de lo establecido en este documento.Actualizaci\u00f3nDebe mantenerse actualizado en todo momento y ser revisado siempre que se produzcan cambios relevantes en el sistema de informaci\u00f3n, sistema de tratamiento, en la organizaci\u00f3n, en el contenido de la informaci\u00f3n incluida o como consecuencia de los controles realizados. Un cambio se considera relevante cuando puede afectar al cumplimiento de las medidas de seguridad implantadas.Se debe actualizar el Documento de Seguridad siempre que se produzcan los siguientes cambios:Usuarios que acceden a los ficheros.Modificaciones en los procedimientos.Encargados del tratamiento y servicios prestados.Equipamiento inform\u00e1tico.Actualizaciones\/instalaciones de software.Incidencias que se produzcan.Personas autorizadas para salidas de soportes, uso de port\u00e1tiles, etc.Administradores de los ficheros y responsables de seguridad.Comenzamos a recoger datos que antes no se recog\u00edan (ej. correo electr\u00f3nico de los clientes).Nuevos soportes que deban incluirse en el inventario de soportes y documentos.\u00a1Cuidado! Debe mantenerse actualizado en todo momento y ser revisadoAnexosDescripci\u00f3n de tratamientos\u00a0de datos de car\u00e1cter personal:nombre del fichero,finalidades o usos previstos,cesiones,transferencias internacionales,procedimiento de recogida de los datos,servicio ante el que se ejercitar\u00e1n los derechos ARCO, etc.Nombramientos: como el Responsable de Seguridad o el Delegado de Protecci\u00f3n de Datos.Autorizaciones de salida o recuperaci\u00f3n de datos.Delegaci\u00f3n de autorizaciones.Relaci\u00f3n\u00a0de soportes.Inscripci\u00f3n\u00a0de incidencias.Encargados de tratamiento:\u00a0\u00a0recoger aqu\u00ed el contrato que deber\u00e1 reflejarse\u00a0por escrito o de cualquier\u00a0otra forma que posibilite\u00a0la acreditaci\u00f3n de su celebraci\u00f3n y contenido, y que establecer\u00e1 expresamente que:el encargado de tratamiento manejar\u00e1\u00a0los datos seg\u00fan\u00a0a las instrucciones del responsable del tratamiento,no los usar\u00e1\u00a0para finalidad\u00a0distinta a la que figure en dicho contrato, yno los comunicar\u00e1n, ni siquiera para su conservaci\u00f3n a otras personas.Registro de entrada y salida de soportes.Medidas alternativas:\u00a0caso de que no sea posible adoptar las medidas exigidas por la\u00a0Ley\u00a0en relaci\u00f3n con la identificaci\u00f3n de los soportes, los dispositivos de dep\u00f3sito\u00a0de los documentos o los sistemas de almacenamiento de la informaci\u00f3n, indicar las causas que justifican que ello no sea factible\u00a0y las medias opcionales\u00a0que se han aprobado.Documento de seguridad en el RGPDComo indicaba anteriormente, la nueva normativa europea no exige la elaboraci\u00f3n del Documento de seguridad. Pero resulta aconsejable y muy \u00fatil seguir manteni\u00e9ndolo.Con esta modificaci\u00f3n en las normas de protecci\u00f3n de datos, puede ocurrir que puedas seguir aplicando las mismas medidas de seguridad, si del an\u00e1lisis de riesgos que debes hacer como responsable, concluyes que debes aplicarla. En otros casos, te ver\u00e1s obligado a complementarlas con otras medidas de seguridad.Para establecer las medidas de seguridad se tendr\u00e1n que evaluar los riesgos que puedan presentarse en el tratamiento de los datos, sobre todo y especialmente lo relativo a:posible destrucci\u00f3n,p\u00e9rdida omodificaci\u00f3n accidental o il\u00edcita de los datos.Tambi\u00e9n habr\u00e1 que evaluar los supuestos de comunicaciones o accesos no autorizados a los mismos.Podr\u00e1s acreditar que cumples adecuadamente con las medidas de seguridad si te adhieres a alg\u00fan c\u00f3digo de conducta sobre protecci\u00f3n de datos, o bien, obtienes una certificaci\u00f3n sobre su cumplimiento.Muy importante, a tener en cuenta, es que debes tomar todas las medidas oportunas para que la persona que nombres para poder acceder a los datos, cumpla estrictamente tus instrucciones u \u00f3rdenes.ModeloAqu\u00ed puedes descargar en pdf el modelo de Documento de Seguridad.Y esto es todo lo que debes saber para tener un Documento de seguridad adaptado a la normativa. \u00bfNecesitas cumplir el RGPD? Solicita varios presupuestos "},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2016\/05\/20\/plantilla-documento-seguridad-lopd\/#breadcrumbitem","name":"\u00bfQu\u00e9 es el Documento de Seguridad? Modelo incluido"}}]}]