Conoce Atico34 - Solicita presupuesto
DocumentosLOPDGDD & RGPD

Del Documento de Seguridad al Registro de Actividades de Tratamiento

La elaboración del Documento de Seguridad era una de las principales obligaciones para las empresas en materia de Protección de Datos. Sin embargo, con la entrada en vigor del RGPD y la LOPDGDD, esta obligación ha quedado anulada en favor de la elaboración del Registro de Actividades de Tratamiento (RAT). En este artículo revisamos cuáles eran las principales características del Documento de Seguridad, algunas de las cuales todavía comparte con el RAT.

¿Qué es el Documento de Seguridad?

El Documento de Seguridad LOPD era una de las partes fundamentales de la protección de datos. Se trataba del documento mediante el cual se elaboraban y adoptaban las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal, su adopción era de obligado cumplimiento para el responsable del fichero, o en su caso, para el encargado del tratamiento.

La elaboración de este Documento de Seguridad en protección de datos era obligatoria siempre que se tratasen datos personales, cualquiera que fuera el nivel de seguridad al que correspondían.

Se consideraba una infracción grave disponer de ficheros, locales, programas o equipos con datos de carácter personal sin las debidas condiciones de seguridad que establecía la LOPD.

Correspondía al responsable del fichero o al encargado del tratamiento establecer las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos personales que manejaban y evitar su alteración, pérdida o acceso no autorizado.

Sin embargo, la entrada en vigor del RGPD europeo y la LOPDGDD en España suprimió la obligación de inscribir los ficheros en la AEPD (Agencia Española de Protección de Datos) y la elaboración del Documento de Seguridad.

Sin embargo, esto no eliminó la obligación de adoptar medidas técnicas y organizativas de seguridad, ni de realizar los correspondientes análisis de riesgos para adoptar las medidas más adecuadas para garantizar la confidencialidad, integridad y disponibilidad de los datos. Tampoco de documentar y registrar dichas medidas de seguridad, solo que ahora se haría en el denominado Registro de Actividades de Tratamiento, que en cierto sentido podríamos denominar documento de seguridad RGPD (aunque, como hemos dicho, ya no tiene asociadas las obligaciones que imponía el artículo 88 de LOPD para el Documento de Seguridad).

tarifas proteccion datos

Contenidos y anexos del Documento de Seguridad

El Documento de Seguridad debía incluir una serie de información que ahora ha sido ligeramente modificada. Un ejemplo de documento de seguridad de una empresa debía incluir un contenido principal y una serie de anexos.

Así, el contenido principal mínimo del Documento de Seguridad era el siguiente:

  • Ámbito de aplicación del documento. Aplicado a todos los ficheros que contengan datos de carácter personal, incluyendo los sistemas de información, soportes y equipos empleados para el tratamiento de datos de carácter personal, que deban ser protegidos de acuerdo a lo dispuesto en normativa vigente, las personas que intervienen en el tratamiento y los locales en los que se ubican.
  • Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar los niveles de seguridad exigidos en este documento. Medidas y normas relativas a:
    • La identificación y autenticación del personal autorizado para acceder a los datos personales
    • Control de accesos
    • Registro de accesos
    • Gestión de soportes y documentos
    • Registro de entrada y salida de soportes
    • Gestión y distribución de soportes
    • Criterios de archivo y almacenamiento de la información
    • Custodia de soportes
    • Acceso a datos a través de redes de comunicación
    • Régimen de trabajo fuera de los locales donde se ubica el fichero
    • Traslado de documentación
    • Copia o reproducción, copias de respaldo y recuperación y responsable de seguridad
  • Información y obligaciones del personal. Consecuencias del incumplimiento.
  • Procedimientos de notificación, gestión y respuestas ante las incidencias.
  • Procedimientos de revisión. El documento debía mantenerse en todo momento actualizado y debía ser revisado siempre que se produjeran cambios relevantes en el sistema de información, en el contenido de la información incluida en los ficheros o como consecuencia de los controles periódicos realizados. En todo caso, se entendería como cambio relevante cuando pudiera repercutir en el cumplimiento de las medidas de seguridad implantadas. Asimismo, debía adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.

Por su parte, los anexos del Documento de Seguridad LOPD eran los siguientes:

  • Descripción de ficheros
  • Nombramientos (Responsable de seguridad)
  • Autorizaciones de salida o recuperación de datos
  • Delegación de autorizaciones
  • Inventario de soportes
  • Registro de incidencias
  • Encargados del tratamiento
  • Registro de entrada y salida de soportes
  • Medidas alternativas

Modelo del Documento de Seguridad LOPD

Aquí te dejamos un modelo del Documento de Seguridad LOPD creado por la AEPD, para que puedas ver cuáles eran los requisitos que establecía

documento de seguridad

¿Debemos elaborar el Documento de Seguridad?

Como ya hemos dicho, la entrada en vigor del RGPD y la LOPDGDD derogaron la LOPD de 1999 y, por tanto, ya no es necesario que las empresas elaboren el Documento de Seguridad, aunque como vamos a ver en el siguiente punto, parte de su contenido figura ahora en el Registro de Actividades de Tratamiento, cuya elaboración si es obligatoria cuando concurre alguna de estas circunstancias:

  • Empresas de más de 250 empleados
  • Empresas de menos de 250 empleados que traten datos personales de forma continua, que incluyan categorías especiales de datos y/o cuyo tratamiento pueda suponer un riesgo para los derechos o libertades de los interesados.

Del Documento de Seguridad al Registro de Actividades de Tratamiento

Como decíamos, el Documento de Seguridad ha sido «sustituido» por el Registro de Actividades de Tratamiento, que en gran medida recoge la información que debía figurar en el Documento de Seguridad LOPD, pero con la diferencia de que el RAT no establece en sí las medidas de seguridad, sino que las documenta (junto a otra información relativa al tratamiento de datos específico) y que ya no es necesario inscribirlo en la AEPD (aunque sí debe estar actualizado y disponible en caso de que esta lo solicite en el transcurso de una inspección).

Evidentemente, para poder adoptar las medidas de seguridad técnicas y organizativas adecuadas que garanticen la protección de datos, es necesario realizar previamente los correspondientes análisis de riesgos derivados o que pueden derivarse del tratamiento de datos a hacer (y en su caso, evaluaciones de impacto). Una vez implementadas las medidas de seguridad escogidas, estas deben quedar documentadas en el RAT de la actividad de tratamiento correspondiente.

Es obligación del responsable del tratamiento y del encargado del tratamiento no solo realizar los análisis de riesgos y adoptar las medidas de seguridad en protección de datos, sino también asegurar que todos los empleados con acceso a datos personales conocen y cumplen con las medidas de seguridad establecidas.

Finalmente, el contenido mínimo del RAT es el siguiente:

  • Identificación del responsable o encargado del tratamiento, o sus representantes.
  • Finalidad del tratamiento.
  • Categorías de interesados y categorías de datos personales.
  • Categorías de destinatarios a quienes se les comunicarán o cederán datos personales.
  • En su caso, transferencias internacionales de datos.
  • Plazo de conservación de datos.
  • Descripción de las medidas de índole técnica y organizativa para garantizar la seguridad de los datos (lo que figuraba en el propio Documento de Seguridad).

Sanciones por no tener el Registro de Actividades de Tratamiento

Como ya no podemos hablar de sanciones por no disponer del Documento de Seguridad, tenemos que remitirnos a las sanciones relacionadas con el Registro de Actividades de Tratamiento.

El artículo 73, letras n y ñ de la LOPDGDD considera como infracciones graves lo siguiente:

  • No disponer del Registro de Actividades de Tratamiento.
  • No poner el Registro de Actividades de Tratamiento a disposición de la autoridad de protección de datos que lo haya.

El artículo 73, letras d, e y f también consideran como infracciones graves el cumplimiento de los preceptos que antaño se deberían incluir en el Documento de Seguridad:

  • La falta de adopción de las medidas técnicas y organizativas para aplicar los principios de protección de datos desde el diseño, la no integración de las garantías necesarias en el tratamiento, el tratamiento de datos para fines específicos o la garantía de un nivel de seguridad adecuado de la información.

Estas infracciones graves podrían ser sancionadas con multas de hasta 10 millones de euros o un 2% de la facturación de la empresa en el último ejercicio.

Por su parte, el artículo 74.l considera como infracción leve disponer de un Registro de Actividades de Tratamiento incompleto o que no incorpore toda la información exigida por el RGPD. Por ejemplo, no detallar de forma clara las medidas de índole técnica y organizativa que sustituyen al Documento de Seguridad. En este caso las sanciones podrían alcanzar los 40.000 euros.

En definitiva, recuerda que este documento de seguridad LOPD ya no es obligatorio, pero puede ser interesante consultarlo para conocer algunas buenas prácticas en protección de datos.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.