Documento de seguridad en la Protección de Datos

El documento de seguridad es una de las partes fundamentales de la protección de datos. Se trata de un documento mediante el cual se elabora y adoptan las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal, su adopción es de obligado cumplimiento para el responsable del fichero, o en su caso, del encargado del tratamiento.

¿Cuándo es obligatorio adoptar el documento de seguridad?
El Real Decreto 994/1999,de 11 de Junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal (en adelante R.D), establece que es obligatoria su adopción siempre que se traten datos personales, cualquiera que sea el nivel de seguridad al que correspondan.

¿Constituye alguna infracción la inexistencia del documento de seguridad?
Se considera una infracción grave "Mantener lo ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen" Artículo 43.h) Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (en adelante LOPD).

¿Dónde se encuentra el fundamento legal de la obligatoriedad de adopción del documento de seguridad?
El artículo 9 de la LOPD, establece en su párrafo 1 que "El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural".

 

¿Cuál es el contenido del documento de seguridad de nivel básico?
Artículo 8 R.D 994/1999.
2. El documento deberá contener, como mínimo, los siguientes aspectos:

  • Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
  • Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento.
  • Funciones y obligaciones del personal.
  • Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
  • Procedimiento de notificación, gestión y respuesta ante las incidencias.
  • Los procedimientos de realización de copias de respaldo y de recuperación de los datos.

3. El documento deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo.

4. El contenido del documento deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.

¿Es de obligatorio que lo empleados conozcan la existencia y contenido del documento de seguridad o sólo concierne al responsable del fichero?
Toda persona con acceso a datos personales, o que intervenga en alguna fase del tratamiento de los mismos, debe ceñirse a lo establecido en el documento de seguridad, en el cual se establecerán claramente las funciones y obligaciones del personal. Artículo 9.1 R.D 994/1999.

Sin embargo, es responsabilidad del responsable del fichero adoptar las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento. Artículo 9.2 R.D 994/1999.

¿Cuál es el contenido del documento de seguridad de nivel medio?
Artículo 15 R.D 994/1999.
El documento de seguridad deberá contener, además de lo dispuesto en el artículo 8 del presente Reglamento:

1. La identificación del responsable o responsables de seguridad: El responsable del fichero designará uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el documento de seguridad. En ningún caso esta designación supone una delegación de la responsabilidad que corresponde al responsable del fichero de acuerdo con este Reglamento. Artículo 16 R.D 994/1999.

2. Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento . Los sistemas de información e instalaciones de tratamiento de datos se someterán a una auditoría interna o externa, que verifique el cumplimiento del presente Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada dos años. Artículo 17.1 R.D 994/1999.

3. Las medidas que sea necesario adoptar cuando un soporte vaya a ser desechado o reutilizado. Deberá establecerse un sistema de registro de entrada y salida de soportes informáticos. Cuando un soporte vaya a ser desechado o reutilizado, se adoptarán las medidas necesarias para impedir cualquier recuperación posterior de la información almacenada en él, previamente a que se proceda a su baja en el inventario. Artículo 20 R.D 994/1999.

¿Cuál es el contenido del documento de seguridad de nivel alto?
Además de las medidas de nivel básico y medio, se adoptarán las siguientes:

1. La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que dicha información no sea inteligible ni manipulada durante su transporte. Artículo 23 R.D 994/1999.

2. Registro de accesos. Artículo 24 R.D 994/1999.

De cada acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.

  • En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.
  • Los mecanismos que permiten el registro de los datos detallados en los párrafos anteriores estarán bajo el control directo del responsable de seguridad competente sin que se deba permitir, en ningún caso, la desactivación de los mismos.
  • El período mínimo de conservación de los datos registrados será de dos años.
  • El responsable de seguridad competente se encargará de revisar periódicamente la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes.
    3. Copias de respaldo y recuperación. Artículo 25 R.D 994/1999.
  • Deberá conservarse una copia de respaldo y de los procedimientos de recuperación de los datos en un lugar diferente de aquél en que se encuentren los equipos informáticos que los tratan cumpliendo en todo caso, las medidas de seguridad exigidas en este Reglamento.

Abogados Portaley.com
Especialistas en Protección de Datos

You may also like...

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.