¿Tenemos obligación de disponer de documento de seguridad?

La LOPD se debe cumplir en todos los casos en los que llevemos a cabo la recolección de datos personales que correspondan a personas físicas. Esto implica que será obligatorio contar con un documento dedicado a la seguridad. En base a esto se puede comprobar que en la normativa correspondiente a la protección de datos hay que tener, como obligación básica, un documento de seguridad.

¿Qué regulación ampara el documento de seguridad?

La regulación del documento de seguridad se basa en el artículo 88 según lo especificado en el manual de la Ley Orgánica de Protección de Datos (Real Decreto 1720/2007), tratándose de un factor clave que debe ser respetado para aplicar las medidas que sean necesarias en términos de seguridad. Es imprescindible que esté presente en todas las empresas en las que haya un archivo de datos personal sin importar qué tipo de uso se esté realizando con esta información, siendo indiferente tanto si se usan ficheros automatizados (utilizando aplicaciones informáticas) o ficheros no automatizados (de manera manual y con papel).

¿Cómo elaborar el documento de seguridad?

La elaboración del documento de seguridad tiene que ser responsabilidad de la persona que tenga la supervisión del fichero, siendo también responsabilidad de quien esté al cargo de este. En base a lo especificado en el artículo 88.2 del Real Decreto 1720/2007, cada fichero o tratamiento puede tener un encargado individualizado o existir uno único para todos ellos. Es posible, por otro lado, llevar a cabo la elaboración de múltiples documentos de seguridad teniendo en cuenta la posibilidad de agrupar ficheros dependiendo de los criterios organizativos de la persona que esté al cargo o del tratamiento que se haya usado. Cuando el documento esté terminado se tiene que compartir con todas las personas que tengan acceso de los sistemas de información, que a su vez tendrán la responsabilidad de tratar la información incluida en el mismo siguiendo las normas aplicables.

Pautas en la elaboración del documento de seguridad

Dentro del contenido de seguridad deben estar presentes las distintas medidas de seguridad que se aplican en la empresa, tanto las organizativas como las técnicas, incluyendo lo siguiente:

• Información que sirva para identificar la empresa, con datos de sus servicios y el entorno en el que se aplica el documento de seguridad.
• Ficheros que posee la empresa en términos de datos con relación a sus clientes, empleados, cámaras de seguridad o pacientes dependiendo de cada caso, así como la estructura. Se tienen que incluir datos como el nombre del fichero, el origen de la información, la forma en la que se tratan los datos para diferenciar el soporte informático del papel, los tipos de información recolectada (como si está el teléfono, la dirección postal o el nombre y los apellidos) los niveles de seguridad del fichero, que puede ser básico, medio o alto, además del nombre de la empresa que se ha contratado para la seguridad del documento en el caso de haberlo hecho.
• Datos de las medidas que se han utilizado en términos de seguridad para que estos ficheros se encuentren a salvo, indicando si se usan destructoras de papel en aquellos lugares que hay documentación impresa, despachos que tienen cerradura con llave, armarios inaccesibles para personas no autorizadas, contraseñas en equipos informáticos, contraseñas que caducan, copias de seguridad y sus características, procedimientos ante incidencias de seguridad y lugar de localización de las copias.
• Relación de personas que están al cargo de los datos en cuanto a las empresas externas contratadas para supervisar la seguridad del documento. En este caso puede ser la gestoría laboral y fiscal, la empresa que se ocupa del mantenimiento de los equipos informáticos o cualquier otra entidad que tenga acceso a datos de tipo personal.
• Deberá haber un inventario que reúna soportes en los que haya acceso al sistema de copias de seguridad, equipos informáticos que disponen de acceso a la información y programas instalados con esta capacidad de consulta.
• Lista de las personas de la empresa que puede acceder a estos datos y funciones y responsabilidades que tienen en el trabajo, así como indicación de los ficheros a los que acceden o a los que podrían tener acceso.

Modelo del documento de seguridad

Con el objetivo de ayudarnos a la hora de implantar las medidas de seguridad correspondientes la Agencia Española de Protección de Datos publica una guía en la cual se comparte un modelo del Documento de Seguridad que podemos editar y usar como punto de inicio para nuestro archivo.