¡Pide presupuesto en 2 min! ✓
Documentos

El Documento de Seguridad LOPD/RGPD

6 Mins read

La elaboración del documento de seguridad era una de las principales obligaciones para las empresas en materia de Protección de Datos. Sin embargo, con la entrada en vigor del RGPD y la LOPDGDD, esta obligación ha quedado anulada en favor de la elaboración del registro de actividades de tratamiento.

¿Qué es el Documento de Seguridad?

El documento de seguridad LOPD era una de las partes fundamentales de la protección de datos. Se trataba del documento mediante el cual se elaboraban y adoptaban las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal, su adopción era de obligado cumplimiento para el responsable del fichero, o en su caso, para el encargado del tratamiento.

La elaboración de este Documento de Seguridad era obligatoria siempre que se tratasen datos personales, cualquiera que sea el nivel de seguridad al que correspondan.

Se consideraba una infracción grave disponer de ficheros, locales, programas o equipos con datos de carácter personal sin las debidas condiciones de seguridad que la normativa establece.

Correspondía al responsable del fichero o al encargado del tratamiento establecer las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos personales que manejan y eviten su alteración, pérdida o acceso no autorizado.

Sin embargo, la entrada en vigor del RGPD europeo y la LOPDGDD en España ha suprimido la obligación de inscribir los ficheros en la AEPD (Agencia Española de Protección de Datos) y la elaboración del documento de seguridad.

Pero, ¿quiere esto decir que se eliminan las obligaciones que exigía este documento de seguridad? NO.

Toda persona con acceso a datos personales, o que intervenga en alguna fase del tratamiento de los mismos, debe realizar un registro de actividades de tratamiento, en el cual se establecerán claramente las funciones y obligaciones del personal.

Aunque ya no sea necesario elaborar un documento de seguridad por separado, en el registro de actividades de tratamiento se han de seguir incluyendo las medidas técnicas y organizativas para garantizar la seguridad, privacidad e integridad de la información, es decir, la misma información que se incluía en el documento de seguridad.

Regulación del Documento de Seguridad

El artículo 88 de la LOPD señalaba la obligatoriedad por parte de los responsables de los ficheros de elaborar un documento de seguridad, en el cual se recogieran las medidas técnicas y organizativas necesarias para garantizar el cumplimiento de la información por parte del personal con acceso a los sistemas de información.

Sin embargo, y queremos dejar claro esto, la entrada en vigor del RGPD y la LOPDGDD suprime la necesidad de inscribir los ficheros en la AEPD. Ahora es el responsable o encargado del tratamiento quien debe realizar un registro de tratamiento de datos.

Se suprime también la obligación de elaborar el documento de seguridad, toda vez que estas medidas de seguridad han de ser incluidas en el registro de actividades de tratamiento.

Por tanto, el documento de seguridad RGPD ya no existe como tal, sino que sus principios se han de incluir en los registros de actividades de tratamiento.

Contenido y anexos del documentos de seguridad

El documento de seguridad debía incluir una serie de información que ahora ha sido ligeramente modificada. Un ejemplo de documento de seguridad  de una empresa debía incluir un contenido principal y una serie de anexos.

Contenido principal

El contenido mínimo para el Documento de Seguridad era el siguiente:

  1. Ámbito de aplicación del documento. Se aplicará a todos los ficheros que contengan datos de carácter personal incluyendo los sistemas de información, soportes y equipos empleados para el tratamiento de datos de carácter personal, que deban ser protegidos de acuerdo a lo dispuesto en normativa vigente, las personas que intervienen en el tratamiento y los locales en los que se ubican.
  2. Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar los niveles de seguridad exigidos en este documento. Medidas y normas relativas a la identificación y autenticación del personal autorizado para acceder a los datos personales, control de accesos, registro de accesos, gestión de soportes y documentos, registro de entrada y salida de soportes, gestión y distribución de soportes, criterios de archivo y almacenamiento de la información, custodia de soportes, acceso a datos a través de redes de comunicación, régimen de trabajo fuera de los locales donde se ubica el fichero, traslado de documentación,copia o reproducción, copias de respaldo y recuperación y responsable de seguridad.
  3. Información y obligaciones del personal. Consecuencias del incumplimiento.
  4. Procedimientos de notificación, gestión y respuestas ante las incidencias
  5. Procedimientos de revisión. El documento deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información, en el contenido de la información incluida en los ficheros o como consecuencia de los controles periódicos realizados. En todo caso se entenderá como cambio relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas. Asimismo, deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.
documento de seguridad

Documento de seguridad

Anexos

  • Descripción de ficheros
  • Nombramientos (Responsable de seguridad)
  • Autorizaciones de salida o recuperación de datos
  • Delegación de autorizaciones
  • Inventario de soportes
  • Registro de incidencias
  • Encargados del tratamiento
  • Registro de entrada y salida de soportes
  • Medidas alternativas

¿Cómo y cuándo debemos elaborar un Documento de Seguridad?

Ahora que hemos visto que el documento de seguridad por separado ya no es necesario, trataremos la información de éste como si se tratara del registro de actividades del tratamiento.

En este sentido, el RGPD establece la obligación de llevar este RAT a todas aquellas empresas con un mínimo de 250 empleados. También deberán elaborar este registro aquellas empresa con menos de 250 trabajadores que traten datos personales de forma continua, que incluyan categorías especiales de datos o cuyo tratamiento pueda suponer un riesgo para los derechos o libertades de los interesados.

A su vez, el RGPD ha establecido ciertas obligaciones de información para los responsables de elaborar este registro:

  • Identificación del responsable o encargado del tratamiento, o sus representantes.
  • Finalidad del tratamiento.
  • Cesión de datos a terceros
  • Transferencias internacionales de datos
  • Plazo de conservación de datos
  • Vías para ejercer los derechos de acceso , rectificación, supresión, limitación del tratamiento, portabilidad y oposición.
  • Descripción de las medidas de índole técnica y organizativa para garantizar la seguridad de los datos (lo que antes de conocía como Documento de Seguridad).

¿Existen sanciones por no tener un documento de seguridad?

Los artículos 71, 72 73 y 74 de la LOPDGDD indican los supuestos en los que se incurren en infracciones en materia de protección de datos.

Respecto al registro de actividades del tratamiento, los artículos 73/n y 73/ñ de la LOPDGDD consideran como infracciones graves lo siguiente:

  • No disponer del registro de actividades de tratamiento.
  • No poner el registro de actividades de tratamiento a disposición de la autoridad de protección de datos que lo haya

Los artículos 73/d, 73/e y 73/f también consideran como infracciones graves el cumplimiento de los preceptos que antaño se deberían incluir en el documento de seguridad:

  • La falta de adopción de las medidas técnicas y organizativas para aplicar los principios de protección de datos desde el diseño, la no integración de las garantías necesarias en el tratamiento, el tratamiento de datos para fines específicos o la garantía de un nivel de seguridad adecuado de la información.

Estas infracciones graves podrían ser sancionadas con multas de hasta 10 millones de euros o un 2% de la facturación de la empresa en el último ejercicio.

Por su parte, el artículo 74/l considera como infracción leve disponer de un registro de actividades incompleto o que no incorpore toda la información exigida por el RGPD. Por ejemplo, no detallar de forma clara las medidas de índole técnica y organizativa que sustituyen al Documento de seguridad. En este caso las sanciones podrían alcanzar los 40.000 euros.

¿Quién debe elaborarlo?

Los encargados de elaborar el Documento de Seguridad eran los responsables del tratamiento o, en su caso, los encargados. Esto no cambia respecto a la antigua LOPD. Los responsables y encargados de los ficheros siguen siendo quienes deben elaborar el registro de actividades del tratamiento, incluidas las medidas técnicas y organizativas adoptadas para garantizar la seguridad de los datos.

Related posts
DocumentosEmpresa

El acuerdo de confidencialidad (NDA). Todo lo que necesitas saber

5 Mins read
El acuerdo de confidencialidad (NDA) es un documento habitual en el mundo empresarial, pero ¿qué es exactamente?, ¿para qué se utiliza?, ¿cuándo…
Documentos

Texto de Protección de Datos para factura

4 Mins read
Somos expertos en Protección de Datos en todos sus ámbitos. Te explicamos qué tiene que incluír como mínimo tu factura. ✅ ¡Entra ahora!
Documentos

Modelo cláusula informativa RGPD

6 Mins read
La RGPD introdujo muchos cambios en la Protección de Datos. Sabes que necesitas contar con un modelo de cláusula informativa? Entra e infórmate.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.