¿Cómo elaborar un Documento de Seguridad según el RGPD?

Autor: Dudatis.com

¿Cómo elaborar un Documento de Seguridad según el RGPD?

Los lectores me preguntan frecuentemente sobre cómo deben redactar un Documento de Seguridad según el tipo de datos que tratan. Por eso os daré unas nociones sobre él, para todos los casos en que manejemos datos de carácter personal.

¿Qué es el Documento de seguridad?

El Documento de Seguridad es aquel en el que se adoptan las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal. Es una de las partes fundamentales de la protección de datos y obligatorio para el responsable de fichero o encargado del tratamiento.

Debemos tener en cuenta que no disponer de este Documento de Seguridad puede suponer una infracción grave, según la LOPD. A partir de mayo de 2018 el Reglamento General de Protección de Datos (RGPD) lo que establece es que los responsables del fichero o del tratamiento y los encargados del mismo, aplicarán las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo.

¿Cómo elaborar un Documento de Seguridad en mi empresa?

Para elaborar un Documento de Seguridad correctamente, hay algunos consejos que debemos seguir:

  • Identificación de la empresa y sus servicios
  • Tratamientos de datos que realiza la empresa y su estructura
  • Medidas de seguridad aplicables
  • Relación de encargados del tratamiento
  • Inventario de los soportes con acceso a datos personales
  • Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan
  • Procedimiento de notificación, gestión y respuesta ante las incidencias
  • Procedimientos de realización de copias de respaldo y de recuperación de los datos

¿Cuándo debo redactarlo?

Según la LOPD, es obligatorio adoptar un Documento de Seguridad siempre que se recojan o traten datos de carácter personal, cualquiera que sea el nivel de seguridad al que correspondan e independientemente de que los datos se contengan en ficheros automatizados o no automatizados.

El RGPD no establece la obligación de tener un Documento de seguridad. Pero sí establece la obligación de realizar un Análisis de riesgos y aplicar las medidas de seguridad necesarias para proteger los datos. Por tanto, es recomendable seguir redactando un Documento de seguridad en la empresa.

¿Constituye una infracción no tenerlo?

La Ley de Protección de Datos establece que mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad constituye una infracción grave. Esta infracción es sancionable por la AEPD con multas entre 60.000 y 300.000 €.

Con la nueva normativa también se considera como infracción grave o muy grave no aplicar las medidas de seguridad oportunas a los tratamientos de datos realizados.

¿Quién debe elaborarlo?

El Documento de Seguridad debe ser elaborado por el responsable del fichero y, en su caso, por el encargado del tratamiento. Puede ser único para todos los tratamientos o individualizado para cada uno. Una vez elaborado, debe ponerse en conocimiento de todo el personal que tenga acceso a los sistemas de información.

Es responsabilidad del responsable del fichero adoptar las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.

Ámbito y aplicación del Documento de Seguridad

El Documento de Seguridad se aplica a los ficheros que contienen datos de carácter personal que pertenecen al responsable del fichero. Incluyendo sistemas de información, soportes y equipos utilizados para el tratamiento de datos de carácter personal, que deben ser protegidos según lo dispuesto en normativa vigente, personas que participan en el tratamiento y locales en los que se ubican.

Medidas, normas, procedimientos, reglas y estándares

El Documento de Seguridad debe contener medidas, normas, procedimientos, reglas y estándares dirigidos a respaldar los niveles de seguridad requeridos. Algunas de estas medidas incluyen:

  • Identificación y autenticación del personal
  • Control de accesos
  • Gestión de soportes y documentos
  • Registro de entrada y salida de soportes en ficheros de nivel medio y alto
  • Gestión y distribución de soportes en ficheros de nivel alto
  • Criterios de archivo y almacenamiento de la información
  • Acceso a datos a través de redes de comunicaciones
  • Régimen de trabajo fuera de los locales de ubicación del fichero

Información y obligaciones del personal

Todo el personal que acceda a los datos de carácter personal está obligado a entender y acatar las medidas, normas, procedimientos, reglas y estándares que afecten a las funciones que desarrolla. También deben guardar secreto y confidencialidad sobre los datos personales que conozcan en el desarrollo de su trabajo.

El personal ajeno a la empresa también tiene obligaciones similares en cuanto al acceso y tratamiento de datos personales durante la prestación del servicio.

Procedimiento de notificación, gestión y respuesta ante las incidencias

Se consideran incidencias de seguridad cualquier incumplimiento de la normativa desarrollada en el Documento de Seguridad, así como cualquier irregularidad que dañe o pueda dañar la seguridad de los datos de carácter personal. El Documento de Seguridad debe establecer el procedimiento a seguir para notificar las incidencias, así como las medidas correctoras aplicadas.

Contenido mínimo

Según la LOPD, el Documento de Seguridad debe contener como mínimo los siguientes aspectos:

  • Ámbito de aplicación del documento
  • Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad
  • Funciones y obligaciones del personal
  • Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información
  • Procedimiento de notificación, gestión y respuesta ante las incidencias
  • Procedimientos de realización de copias de respaldo y de recuperación de los datos

Actualización

El Documento de Seguridad debe mantenerse actualizado en todo momento y ser revisado siempre que se produzcan cambios relevantes en el sistema de información. Se debe actualizar en caso de cambios en los usuarios que acceden a los ficheros, modificaciones en los procedimientos, nuevos encargados del tratamiento, actualización de equipos informáticos, entre otros.

Anexos

El Documento de Seguridad puede incluir anexos que describan tratamientos de datos de carácter personal, nombramientos de responsables de seguridad o delegados de protección de datos, autorizaciones de salida o recuperación de datos, entre otros.

Es importante tener en cuenta que el Documento de Seguridad es fundamental para garantizar la seguridad de los datos de carácter personal en el cumplimiento de la normativa vigente. Por tanto, es necesario dedicar el tiempo y los recursos adecuados para su redacción y actualización periódica.

Recuerda que cada empresa tiene sus propias particularidades y podría requerir ajustes adicionales en el Documento de Seguridad. Por ello, es recomendable contar con el apoyo de un profesional especializado en protección de datos para garantizar el cumplimiento legal y la seguridad de tus datos y los de tus clientes.

Modelo

Puedes descargar un modelo de Documento de Seguridad en el enlace adjunto.

Si necesitas cumplir con el RGPD y garantizar la seguridad de los datos de carácter personal en tu empresa, te recomendamos solicitar varios presupuestos a profesionales especializados en protección de datos. Ellos podrán asesorarte y ayudarte en el proceso de elaboración y mantenimiento de tu Documento de Seguridad.


0 Comentarios

En Dudatis.com, nos encanta que participes y expreses tus opiniones. Tu voz es importante para nosotros. Siéntete libre de comentar y compartir tus ideas. Esperamos con interés tus comentarios.


Deja un comentario

Tu dirección de correo electrónico no será publicada. Apreciamos tu participación, y te pedimos que respetes nuestras normas. Recuerda que los campos marcados con * son obligatorios.