Documento de Seguridad

En Soto & Poveda Asociados, Abogados en Elche (Alicante), le gestionamos los documentos legales para cumplir con la LOPD y la LSSI.

  1. El Documento de Seguridad de la LOPD

  El Documento de Seguridad es el documento que deben tener todas las empresas o profesionales que tengan empleados,  recojan datos personales de sus clientes o tengan cámaras de videovigilancia.   En él  se recogen las medidas de seguridad para proteger los datos personales que trata  y  cumplir con la LOPD.

  1. ¿Es obligatorio disponer de documento de seguridad?

  Sí. El Real Decreto 994/1999, de 11 de Junio establece que es obligatorio tener este documento de seguridad cuando tratemos datos personales de terceros. No disponer de este documento puede suponer una infracción grave.

  El artículo 9 de la LOPD, establece en su párrafo 1 que “El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural”.

  1. ¿Qué debe contener el documento de seguridad?

  El artículo 88.3 del RLOPD, establece el contenido mínimo del documento de seguridad:

a)Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.

b)Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento.

c)Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.

d)Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.

e)Procedimiento de notificación, gestión y respuesta ante las incidencias.

f)Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.

g)Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.

En caso de que fueran de aplicación a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto, previstas en este título, el documento de seguridad deberá contener además:

a)La identificación del responsable o responsables de seguridad.

b)Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.

    4. ¿Debe actualizarse el documento de seguridad?

  Debe mantenerse actualizado en todo momento y ser revisado siempre que se produzcan cambios relevantes en el sistema de información, sistema de tratamiento, en la organización, en el contenido de la información incluida o como consecuencia de los controles realizados. Un cambio se considera relevante cuando puede afectar al cumplimiento de las medidas de seguridad implantadas.

  Se debe actualizar el Documento de Seguridad cuando se produzca algún cambio en alguna de las siguientes acciones:

  • Usuarios que acceden a los ficheros.
  • Modificaciones en los procedimientos.
  • Encargados del tratamiento y servicios prestados.
  • Equipamiento informático.
  • Actualizaciones/instalaciones de software.
  • Incidencias que se produzcan.
  • Personas autorizadas para salidas de soportes, uso de portátiles, etc.
  • Administradores de los ficheros y responsables de seguridad.
  • Comenzamos a recoger datos que antes no se recogían (ej. correo electrónico de los clientes).
  • Nuevos soportes que deban incluirse en el inventario de soportes y documentos.
  1. ¿Es obligatorio que los empleados conozcan la existencia y contenido del documento de seguridad o solo concierne al responsable del fichero?

  Toda persona con acceso a datos personales, o que intervenga en alguna fase del tratamiento de los mismos, debe ceñirse a lo establecido en el documento de seguridad, en el cual se establecerán claramente las funciones y obligaciones del personal. Artículo 9.1 R.D 994/1999.

 Es responsabilidad del responsable del fichero adoptar las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento. Artículo 9.2 R.D 994/1999.

 Todo el personal que acceda a los datos de carácter personal está obligado a entender y acatar las medidas, normas, procedimientos, reglas y estándares que afecten a las funciones que desarrolla. Están obligados a guardar secreto y confidencialidad sobre los datos personales que conozcan en el desarrollo de su trabajo.

 El personal que efectúe trabajos que no conlleven el tratamiento de datos personales tendrán limitado el acceso a estos datos, a los soportes en los que se incluyan, o a los recursos del sistema de información.

  Cuando se trate de personal ajeno, el contrato de prestación de servicios se indicará de manera expresa la prohibición de acceder a los datos personales y la obligación de secreto respecto a los datos a los que hayan accedido durante la prestación del servicio.

  1. ¿Consecuencias de no disponer del documento de seguridad?

  No disponer de documento de seguridad, estando obligados a ello, significa la imposición de una sanción por parte de la Agencia Española de Protección de Datos. En este caso, podría tratarse de una sanción grave por no cumplir con las medidas de seguridad del RLOPD y la sanción podría alcanzar los 300.000 euros.

  1. Medidas, normas, procedimientos, reglas y estándares dirigidos a respaldar los niveles de seguridad requeridos en el Documento.
  1. Identificación de la empresa, sus servicios y ámbito de aplicacióndel documento de seguridad.
  2. Los ficheros que la empresa tiene (clientes, pacientes, trabajadores, videovigilancia, etc.) y su estructura, es decir, nombre del fichero, origen de los datos, forma de tratamiento de los datos (soporte papel o informático), tipos de datos que se recogen (nombre, apellidos, dirección postal, teléfono, dirección electrónica…), nivel de seguridad del fichero (básico, medio o alto) y la empresa encargada de gestionar el fichero si la hubiere (relación mediante contrato)
  3. Cuáles son las medidas de seguridad que las empresa tiene para proteger esos ficheros, señalar, entre otras: armarios cerrados con llave, despachos cerrados con llave, destructoras de papel en los despachos que contiene documentación en soporte papel, contraseñas personales en los ordenadores con acceso a datos personales, caducidad de las contraseñas, cómo, dónde y cuándo se hacen las copias de seguridad, dónde se guardan las referidas copias de seguridad, con qué periodicidad se hacen, cuál es el procedimiento a seguir en caso de que se produzca una incidencia en la empresa respecto a datos personales, etc.
  • Medidas y normas relativas a laidentificación y autenticación del personal acreditado para el acceso a los datos personales.
  • Lista del personal de la empresa con acceso a datosy las funciones de cada uno de ellos.
  • Control de accesos: el personal solo accederá a los datos necesarios para el ejercicio de sus funciones. Debemos indicar los controles de acceso de los que disponemos.
  • Registro de accesos en ficheros de nivel alto: se registrará por cada acceso la identificación del usuario, la fecha y hora en que se efectuó, el fichero afectado, el tipo de acceso y si ha sido autorizado o denegado. Si el acceso fue autorizado, se guardará también la información que posibilite la identificación del registro accedido.
  • Gestión de soportes y documentos: los soportes que almacenen datos personales deberán facilitar la identificación del tipo de información que contienen, ser enumerados y se especificará el lugar donde se custodian y las personas que pueden acceder a los mismos. La salida de soportes y documentos que incluyan datos de carácter personal, incluidos los contenidos en correos electrónicos, en el exterior de los locales controlados por el responsable del tratamiento, deberá ser autorizada por el responsable del fichero o aquel en que se hubiera delegado.
  • Registro de entrada y salida de soportesen ficheros de nivel medio y alto.
  • Gestión y distribución de soportesen ficheros de nivel alto.
  • Criterios de archivo, de almacenamiento de la información y custodia de soportes en los ficheros manuales.
  • Acceso a datos a través de redes de comunicaciones: cifrar datos de nivel alto.
  • Régimen de trabajo fuera de los localesde ubicación del fichero: traslado de documentación, copia o reproducción y copias de seguridad y respaldo.
  • Designar Responsable de Seguridaden ficheros de nivel medio y alto.
  1. Relación de los encargados del tratamiento, es decir, de las empresas a las que se ha contratado la prestación de un servicio y en función de dicha prestación tienen acceso a datos personales. Por ejemplo: una asesoría laboral, o una empresa informática que nos lleva el mantenimiento gestoría fiscal, la empresa de mantenimiento informático,  etc.
  1. Inventariode: los soportes con acceso a datos personales dónde se realizan las copias de seguridad, de los equipos informáticos que tienen acceso a datos y de los programas informáticos.

     8. Anexos al Documento de Seguridad

  • Descripción de ficherosde datos de carácter personal: nombre del fichero, finalidades o usos previstos, cesiones, transferencias internacionales, procedimiento de recogida de los datos, servicio ante el que se ejercitarán los derechos ARCO, etc.
  • Nombramientos: como el Responsable de Seguridad.
  • Autorizacionesde salida o recuperación de datos.
  • Delegación de autorizaciones.
  • Relación de soportes.
  • Inscripción de incidencias.
  • Encargados de tratamiento:  recoger aquí el contrato que deberá reflejarse por escrito o de cualquier otra forma que posibilite la acreditación de su celebración y contenido, y que establecerá expresamente que el encargado de tratamiento manejará los datos según a las instrucciones del responsable del tratamiento, que no los usará para finalidad distinta a la que figure en dicho contrato, y que no los comunicarán, ni siquiera para su conservación a otras personas.
  • Registro de entrada y salida de soportes.
  • Medidas alternativas: caso de que no sea posible adoptar las medidas exigidas por la Ley en relación con la identificación de los soportes, los dispositivos de depósito de los documentos o los sistemas de almacenamiento de la información, indicar las causas que justifican que ello no sea factible y las medias opcionales que se han aprobado.
  1. Modelo del documento de seguridad

  La Agencia Española de Protección de Datos dispone en su web de una guía para elaborar el documento de seguridad en el siguiente enlace:    modelo_doc_seguridad