¿Qué es el documento de seguridad?

publicado en: Legal | 0

A tenor de lo establecido en el artículo 9.1 de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), "el responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural".

En su normativa de desarrollo, Reglamento de desarrollo de la LOPD (RLOPD), aprobado por el Real Decreto 1720/2007, de 21 de diciembre, y, en concreto, en su Título VIII, se desarrollan las medidas de seguridad a adoptar en el tratamiento de datos de carácter personal, estableciendo las medidas de índole técnica y organizativa necesarias para garantizar la seguridad que deben reunir los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de los datos de carácter personal.

Entre estas medidas, se encuentra la elaboración e implantación de la normativa de seguridad mediante un DOCUMENTO de obligado cumplimiento para el personal con acceso a los datos de carácter personal.

El denominado documento de seguridad, es por lo tanto, un documento interno de la organización, que debe mantenerse siempre actualizado y que recoge toda la normativa de seguridad de una determinada organización. Disponer del documento de seguridad es una obligación para todos los responsables de ficheros y, en su caso, para los encargados del tratamiento, con independencia del nivel de seguridad que sea necesario aplicar.

Como mínimo el contenido del documento de seguridad ha de ser el siguiente:

– Ámbito de aplicación.

– Especificación detallada de los recursos protegidos.

– Medidas, normas, procedimientos, reglas y estándares de seguridad.

– Funciones y obligaciones del personal.

– Estructura y descripción de los ficheros y sistemas de información.

– Procedimiento de notificación, gestión y respuesta ante incidencias

– Procedimiento de copias de respaldo y recuperación de datos

– Medidas adoptadas en el transporte, destrucción y/o reutilización de soportes y documentos.

Si además existen datos de nivel de seguridad medio y/o alto, de forma adicional a lo anteriormente manifestado habrá de incluirse:

– Identificación del responsable de seguridad.

– Control periódico del cumplimiento del documento.

En caso de haber contratado la prestación de servicios por terceros para determinados ficheros, dicha circunstancia debe hacerse constar en el documento de seguridad, haciendo referencia al contrato suscrito y su vigencia, y mención expresa a los ficheros afectados por esta circunstancia. Es recomendable, incluso, que dicho contrato quede adjunto como anexo al documento de seguridad.

En resumen, dicho documento es el protocolo que, en materia de seguridad y tratamiento de datos de carácter personal, deberá seguirse en nuestra empresa. Es muy importante que dicho documento sea personalizado y se adapte perfectamente a nuestro trabajo, es decir, que es fundamental que el redactor del mismo (sobre todo en caso de ser un asesor externo) sea perfectamente conocedor de la situación de nuestra empresa y del tratamiento que se da a los datos, de manera corrija en caso de ser necesario nuestras maneras de actuar o, en caso contrario, sea capaz de plasmar en el documento de seguridad la integridad de las medidas, normas, reglas, obligaciones…que rigen nuestro trabajo en esta materia, asegurándose además que, las mismas, se adaptan a las exigencias legales. Pudiendo, por qué no, incluso mejorarlas.

Del mismo modo en dicho documento deberán quedar perfectamente plasmadas no sólo las medidas y los procedimientos estándares de seguridad sino también las funciones y obligaciones del personal que vaya a tratar los datos, debiéndonos por lo tanto asegurar de que dicho personal sea conocedor de sus funciones y obligaciones en dicha materia. Asimismo se recogerán las posibles incidencias surgidas de manera que las mismas puedan ser controladas, solucionadas y evitadas en el futuro.

Por todo ello es además muy importante, mantener informado a nuestro asesor en la materia, de cualquier incidencia o variación que pueda producirse en este aspecto, ya que de una correcta información dependerá, en gran medida, que su resultado final sea el adecuado, no sólo a las necesidades de nuestra empresa, sino también a la legislación vigente.

Dejar una opinión