Fecha última actualización:
19 de Mayo de 2002
DOCUMENTO DE SEGURIDAD LOPD
El documento de seguridad es una de las partes fundamentales
de la protección de datos. Se trata de un documento mediante
el cual se elabora y adoptan las medidas técnicas y organizativas
necesarias para garantizar la seguridad de los datos de carácter
personal, su adopción es de obligado cumplimiento para el
responsable del fichero, o en su caso, del encargado del tratamiento.
¿Cuándo es obligatorio adoptar el documento
de seguridad?
El Real Decreto 994/1999,de 11 de Junio, por el que se aprueba el
Reglamento de medidas de seguridad de los ficheros automatizados
que contengan datos de carácter personal (en adelante R.D),
establece que es obligatoria su adopción siempre que se traten
datos personales, cualquiera que sea el nivel de seguridad al que
correspondan.
¿Constituye alguna infracción la inexistencia
del documento de seguridad?
Se considera una infracción grave "Mantener lo ficheros,
locales, programas o equipos que contengan datos de carácter
personal sin las debidas condiciones de seguridad que por vía
reglamentaria se determinen" Artículo 43.h) Ley Orgánica
15/1999, de Protección de Datos de Carácter Personal
(en adelante LOPD).
¿Dónde se encuentra el fundamento legal de la
obligatoriedad de adopción del documento de seguridad?
El artículo 9 de la LOPD, establece en su párrafo
1 que "El responsable del fichero, y, en su caso, el encargado
del tratamiento deberán adoptar las medidas de índole
técnica y organizativas necesarias que garanticen la seguridad
de los datos de carácter personal y eviten su alteración,
pérdida, tratamiento o acceso no autorizado, habida cuenta
del estado de la tecnología, la naturaleza de los datos almacenados
y los riesgos a que están expuestos, ya provengan de la acción
humana o del medio físico o natural".
¿Cuál es el contenido del documento de seguridad
de nivel básico?
Artículo 8 R.D 994/1999.
2. El documento deberá contener, como mínimo, los
siguientes aspectos:
- Ámbito de aplicación del documento con especificación
detallada de los recursos protegidos.
- Medidas, normas, procedimientos, reglas y estándares
encaminados a garantizar el nivel de seguridad exigido en este
Reglamento.
- Funciones y obligaciones del personal.
- Estructura de los ficheros con datos de carácter personal
y descripción de los sistemas de información que
los tratan.
- Procedimiento de notificación, gestión y respuesta
ante las incidencias.
- Los procedimientos de realización de copias de respaldo
y de recuperación de los datos.
3. El documento deberá mantenerse en todo momento actualizado
y deberá ser revisado siempre que se produzcan cambios relevantes
en el sistema de información o en la organización
del mismo.
4. El contenido del documento deberá adecuarse, en todo
momento, a las disposiciones vigentes en materia de seguridad de
los datos de carácter personal.
¿Es de obligatorio que lo empleados conozcan la existencia
y contenido del documento de seguridad o sólo concierne al
responsable del fichero?
Toda persona con acceso a datos personales, o que intervenga
en alguna fase del tratamiento de los mismos, debe ceñirse
a lo establecido en el documento de seguridad, en el cual se establecerán
claramente las funciones y obligaciones del personal. Artículo
9.1 R.D 994/1999.
Sin embargo, es responsabilidad del responsable del fichero adoptar
las medidas necesarias para que el personal conozca las normas de
seguridad que afecten al desarrollo de sus funciones así
como las consecuencias en que pudiera incurrir en caso de incumplimiento.
Artículo 9.2 R.D 994/1999.
¿Cuál es el contenido del documento de seguridad
de nivel medio?
Artículo 15 R.D 994/1999.
El documento de seguridad deberá contener, además
de lo dispuesto en el artículo 8 del presente Reglamento:
1. La identificación del responsable o responsables de seguridad:
El responsable del fichero designará uno o varios responsables
de seguridad encargados de coordinar y controlar las medidas definidas
en el documento de seguridad. En ningún caso esta designación
supone una delegación de la responsabilidad que corresponde
al responsable del fichero de acuerdo con este Reglamento. Artículo
16 R.D 994/1999.
2. Los controles periódicos que se deban realizar para verificar
el cumplimiento de lo dispuesto en el propio documento . Los sistemas
de información e instalaciones de tratamiento de datos se
someterán a una auditoría interna o externa, que verifique
el cumplimiento del presente Reglamento, de los procedimientos e
instrucciones vigentes en materia de seguridad de datos, al menos,
cada dos años. Artículo 17.1 R.D 994/1999.
3. Las medidas que sea necesario adoptar cuando un soporte vaya
a ser desechado o reutilizado. Deberá establecerse un sistema
de registro de entrada y salida de soportes informáticos.
Cuando un soporte vaya a ser desechado o reutilizado, se adoptarán
las medidas necesarias para impedir cualquier recuperación
posterior de la información almacenada en él, previamente
a que se proceda a su baja en el inventario. Artículo 20
R.D 994/1999.
¿Cuál es el contenido del documento de seguridad
de nivel alto?
Además de las medidas de nivel básico y medio, se
adoptarán las siguientes:
1. La distribución de los soportes que contengan datos de
carácter personal se realizará cifrando dichos datos
o bien utilizando cualquier otro mecanismo que garantice que dicha
información no sea inteligible ni manipulada durante su transporte.
Artículo 23 R.D 994/1999.
2. Registro de accesos. Artículo 24 R.D 994/1999.
De cada acceso se guardarán, como mínimo, la identificación
del usuario, la fecha y hora en que se realizó, el fichero
accedido, el tipo de acceso y si ha sido autorizado o denegado.
- En el caso de que el acceso haya sido autorizado, será
preciso guardar la información que permita identificar
el registro accedido.
- Los mecanismos que permiten el registro de los datos
detallados en los párrafos anteriores estarán
bajo el control directo del responsable de seguridad competente
sin que se deba permitir, en ningún caso, la desactivación
de los mismos.
- El período mínimo de conservación
de los datos registrados será de dos años.
- El responsable de seguridad competente se encargará
de revisar periódicamente la información
de control registrada y elaborará un informe de
las revisiones realizadas y los problemas detectados al
menos una vez al mes.
3. Copias de respaldo y recuperación. Artículo
25 R.D 994/1999.
- Deberá conservarse una copia de respaldo y de
los procedimientos de recuperación de los datos
en un lugar diferente de aquél en que se encuentren
los equipos informáticos que los tratan cumpliendo
en todo caso, las medidas de seguridad exigidas en este
Reglamento.