Ayuda Ley Protección Datos

¿Qué es el Documento de Seguridad? Modelo incluido

Los lectores me preguntan frecuentemente sobre cómo deben redactar un Documento de Seguridad según el tipo de datos que tratan. Por eso os daré unas nociones sobre él, para todos los casos en que manejemos datos de carácter personal.

¿Qué es el Documento de seguridad?

El Documento de Seguridad es aquel en el que se adoptan las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal

Es una de las partes fundamentales de la protección de datos y obligatorio para el responsable de fichero o encargado del tratamiento.

Debemos tener en cuenta que no disponer de este Documento de Seguridad puede suponer una infracción grave, según la LOPD.

A partir de mayo de 2018 el Reglamento General de Protección de Datos (RGPD) lo que establece es que los responsables del fichero o del tratamiento y los encargados del mismo, aplicarán las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo, en función de:

Estas medidas de seguridad deberán incluir, al menos:

¿Cómo elaborar un Documento de Seguridad en mi empresa?

Os voy a dar unos consejos para poder elaborar ese documento con los requisitos exigidos por la ley.

¿Cuándo debo redactarlo?

Según la LOPD, es obligatorio adoptar un Documento de Seguridad siempre que se recojan o traten datos de carácter personal, cualquiera que sea el nivel de seguridad al que correspondan e independientemente de que los datos se contengan en ficheros automatizados o no automatizados.

Así, el art. 9 establece que:

“El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural”.

El RGPD no establece la obligación de tener un Documento de seguridad. Pero sí establece la obligación de realizar un Análisis de riesgos y aplicar las medidas de seguridad necesarias para proteger los datos. Por tanto, es recomendable seguir redactando un Documento de seguridad en la empresa.

¿Constituye una infracción no tenerlo?

La Ley de Protección de Datos establece que mantener lo ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen constituye una infracción grave.

Esta infracción es sancionable por la AEPD con multas entre 60.000 y 300.000 €.

Con la nueva normativa también se considera como infracción grave o muy grave no aplicar las medidas de seguridad oportunas a los tratamientos de datos realizados.

¿Quién debe elaborarlo?

El Documento de Seguridad debe ser elaborado por el responsable del fichero y, en su caso, por el encargado del tratamiento.

Puede ser único para todos los tratamientos o individualizado para cada uno. Una vez elaborado, debe ponerse en conocimiento de todo el personal que tenga acceso a los sistemas de información. Estos tienen la obligación de tratar los datos cumpliendo todas las normas establecidas en ese documento.

Es responsabilidad del responsable del fichero adoptar las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.

Ámbito y aplicación del Documento de Seguridad

Debemos indicar que el presente documento será de aplicación a los ficheros que contienen datos de carácter personal que pertenecen al responsable del fichero. Incluyendo

En concreto, se indicarán los tratamientos sujetos a las medidas de seguridad establecidas en este documento, con indicación del nivel de seguridad correspondiente.

Medidas, normas, procedimientos, reglas y estándares dirigidos a respaldar los niveles de seguridad requeridos en el Documento

Información y obligaciones del personal

Todo el personal que acceda a los datos de carácter personal está obligado a entender y acatar las medidas, normas, procedimientos, reglas y estándares que afecten a las funciones que desarrolla. Están obligados a guardar secreto y confidencialidad sobre los datos personales que conozcan en el desarrollo de su trabajo.

El personal que efectúe trabajos que no conlleven el tratamiento de datos personales tendrán limitado el acceso a estos datos, a los soportes en los que se incluyan, o a los recursos del sistema de información.

Cuando se trate de personal ajeno, el contrato de prestación de servicios se indicará de manera expresa la prohibición de acceder a los datos personales y la obligación de secreto respecto a los datos a los que hayan accedido durante la prestación del servicio.

También deben establecerse los efectos del incumplimiento del Documento de Seguridad.

Procedimiento de notificación, gestión y respuesta ante las incidencias

Se consideran incidencias de seguridad cualquier incumplimiento de la normativa desarrollada en este Documento de Seguridad, así como a cualquier irregularidad que dañe o pueda dañar la seguridad de los datos de carácter personal. Se establecerá el procedimiento a seguir para notificar las incidencias:

También se indicará la forma en que se almacenará el registro, que puede ser manual o informático, y en el que deberán figurar, al menos,

Contenido mínimo

El documento deberá contener, según la LOPD, como mínimo, los siguientes aspectos:

¿Qué debo incluir?

Por tanto, lo que se debe incluir en este documento es:

  1. Identificación de la empresa y sus servicios
  2. Tratamientos de datos que realiza la empresa y su estructura:
    • nombre,
    • tipo de datos que recogen,
    • medidas de seguridad aplicables,
    • encargado del tratamiento si lo hubiera.
  3. Medidas de seguridad aplicables: se incluyen datos como,
    • armarios cerrados con llave,
    • despachos cerrados con llave,
    • destructoras de papel en los despachos que contiene documentación en soporte papel,
    • contraseñas personales en los ordenadores con acceso a datos personales,
    • caducidad de las contraseñas,
    • cómo, dónde y cuándo se hacen las copias de seguridad,
    • dónde se guardan las referidas copias de seguridad,
    • con qué periodicidad se hacen,
    • cuál es el procedimiento a seguir en caso de que se produzca una incidencia.
  4. Relación de encargados del tratamiento: empresas con las que se ha contratado la prestación de un servicio y, para ello, van a tener acceso a esos datos personales.
  5. Inventario de los soportes con acceso a datos personales donde se realizan las copias de seguridad, de los equipos informáticos que tienen acceso a datos y de los programas informáticos.
  6. Lista del personal de la empresa que tiene acceso a los datos y sus funciones.

Debe mantenerse actualizado en todo momento y debe ser revisado siempre que se produzcan cambios significativos en el sistema de información. El contenido debe adecuarse a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.

Si al fichero deben aplicarse medidas de seguridad de nivel medio o alto, el documento de Seguridad deberá contener además:

Actualización

Debe mantenerse actualizado en todo momento y ser revisado siempre que se produzcan cambios relevantes en el sistema de información, sistema de tratamiento, en la organización, en el contenido de la información incluida o como consecuencia de los controles realizados. Un cambio se considera relevante cuando puede afectar al cumplimiento de las medidas de seguridad implantadas.

Se debe actualizar el Documento de Seguridad siempre que se produzcan los siguientes cambios:

¡Cuidado! Debe mantenerse actualizado en todo momento y ser revisado

Anexos

Documento de seguridad en el RGPD

Como indicaba anteriormente, la nueva normativa europea no exige la elaboración del Documento de seguridad. Pero resulta aconsejable y muy útil seguir manteniéndolo.

Con esta modificación en las normas de protección de datos, puede ocurrir que puedas seguir aplicando las mismas medidas de seguridad, si del análisis de riesgos que debes hacer como responsable, concluyes que debes aplicarla. En otros casos, te verás obligado a complementarlas con otras medidas de seguridad.

Para establecer las medidas de seguridad se tendrán que evaluar los riesgos que puedan presentarse en el tratamiento de los datos, sobre todo y especialmente lo relativo a:

También habrá que evaluar los supuestos de comunicaciones o accesos no autorizados a los mismos.

Podrás acreditar que cumples adecuadamente con las medidas de seguridad si te adhieres a algún código de conducta sobre protección de datos, o bien, obtienes una certificación sobre su cumplimiento.

Muy importante, a tener en cuenta, es que debes tomar todas las medidas oportunas para que la persona que nombres para poder acceder a los datos, cumpla estrictamente tus instrucciones u órdenes.

Modelo

Aquí puedes descargar en pdf el modelo de Documento de Seguridad.

Y esto es todo lo que debes saber para tener un Documento de seguridad adaptado a la normativa.

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos