¡Pide presupuesto en 2 min! ✓
Documentos

Documento de Seguridad LOPD

4 Mins read

Nos encontramos ante una de las principales obligaciones para las empresas en materia de Protección de Datos. Y es que la LOPD no establece expresamente la obligación de elaborar un documento de seguridad en el cuál se recojan todas las medidas de seguridad que vamos a aplicar sobre los datos de carácter personal que estamos tratando. Pero sí es recomendable como medida de responsabilidad proactiva de la empresa.

¿Qué es el Documento de Seguridad?

El documento de seguridad es una de las partes fundamentales de la protección de datos. Es el documento mediante el cual se elaboran y adoptan las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal, su adopción es de obligado cumplimiento para el responsable del fichero, o en su caso, para el encargado del tratamiento.

Es obligatorio adoptar este Documento de Seguridad siempre que se traten datos personales, cualquiera que sea el nivel de seguridad al que correspondan.

Se considera una infracción grave disponer de ficheros, locales, programas o equipos con datos de carácter personal sin las debidas condiciones de seguridad que la normativa establece.

Corresponde al responsable del fichero o al encargado del tratamiento establecer las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos personales que manejan y eviten su alteración, pérdida o acceso no autorizado.

Toda persona con acceso a datos personales, o que intervenga en alguna fase del tratamiento de los mismos, debe ceñirse a lo establecido en el documento de seguridad, en el cual se establecerán claramente las funciones y obligaciones del personal.

Contenido

El contenido mínimo para el Documento de Seguridad es:

  1. Ámbito de aplicación del documento. Se aplicará a todos los ficheros que contengan datos de carácter personal incluyendo los sistemas de información, soportes y equipos empleados para el tratamiento de datos de carácter personal, que deban ser protegidos de acuerdo a lo dispuesto en normativa vigente, las personas que intervienen en el tratamiento y los locales en los que se ubican.
  2. Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar los niveles de seguridad exigidos en este documento. Medidas y normas relativas a la identificación y autenticación del personal autorizado para acceder a los datos personales, control de accesos, registro de accesos, gestión de soportes y documentos, registro de entrada y salida de soportes, gestión y distribución de soportes, criterios de archivo y almacenamiento de la información, custodia de soportes, acceso a datos a través de redes de comunicación, régimen de trabajo fuera de los locales donde se ubica el fichero, traslado de documentación,copia o reproducción, copias de respaldo y recuperación y responsable de seguridad.
  3. Información y obligaciones del personal. Consecuencias del incumplimiento.
  4. Procedimientos de notificación, gestión y respuestas ante las incidencias
  5. Procedimientos de revisión. El documento deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información, en el contenido de la información incluida en los ficheros o como consecuencia de los controles periódicos realizados. En todo caso se entenderá como cambio relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas. Asimismo, deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.
documento de seguridad

Documento de seguridad

Anexos

  • Descripción de ficheros
  • Nombramientos (Responsable de seguridad)
  • Autorizaciones de salida o recuperación de datos
  • Delegación de autorizaciones
  • Inventario de soportes
  • Registro de incidencias
  • Encargados del tratamiento
  • Registro de entrada y salida de soportes
  • Medidas alternativas

¿Dónde se regula el Documento de Seguridad?

El documento de seguridad es la base de la normativa de Protección de datos. La antigua LOPD establecía los requisitos técnicos y organizativos mínimos exigibles que debían incluirse en el documento de seguridad.

Puede establecerse un solo documento que incluya todos los tratamientos con datos personales de los que una persona física o jurídica sea responsable, un documento por cada fichero o tratamiento, o los que determine el responsable atendiendo a los criterios organizativos que haya establecido. Cualquiera de las opciones puede ser válida.

En este caso se ha optado por el primer tipo, organizando el “documento de seguridad” en dos partes: en la primera se recogen las medidas que afectan a todos los sistemas de información de forma común con independencia del sistema de tratamiento sobre el que se organizan: informatizado, manual o mixto, y en la segunda se incluye un anexo por cada fichero o tratamiento, con las medidas que le afecten de forma concreta. Además, se han especificado aquellas medidas que afectan sólo a ficheros automatizados y las que afectan a los no automatizados de forma exclusiva.

Este documento no tiene porque ser presentado en la AEPD pero si deberá estar a disposición de ella en caso de que sea necesario para una inspección. Del mismo modo, si se implantan medidas de nivel medio o alto, deberá ser auditado cuando se realice la auditoría.

Si se contrata la prestación de servicios por terceros para determinados ficheros, esto deberá estar reflejado en el documento de seguridad, indicando la referencia del contrato y su vigencia.

Cuando la contratación sea para la totalidad de los ficheros y tratamientos del responsable y los servicios se prestan en las instalaciones del encargado  se podrá delegar en este la responsabilidad del documento de seguridad.

Related posts
Documentos

Texto de Protección de Datos para factura

4 Mins read
Somos expertos en Protección de Datos en todos sus ámbitos. Te explicamos qué tiene que incluír como mínimo tu factura. ✅ ¡Entra ahora!
Documentos

Modelo cláusula informativa RGPD

6 Mins read
La RGPD introdujo muchos cambios en la Protección de Datos. Sabes que necesitas contar con un modelo de cláusula informativa? Entra e infórmate.
Documentos

Correos publicitarios, ¿cuándo son legales?

6 Mins read
Son muchas las preguntas que recibimos de nuestros clientes sobre este tema: ¿Puedo usar emails públicos de Internet? ¿Es posible comprar una base…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.