Por una parte tenemos que buena parte de la información que sobre la entidad responsable de un fichero con datos de carácter personal queda recogida en el Documento de Seguridad es de carácter dinámica, es decir, puede verse modificada en el tiempo. Esta información, normalmente en forma de listados, suele recogerse en diferentes Anexos al documento.

Por otro lado, el artículo 7 del Reglamento de desarrollo de la LOPD dice: “El documento de seguridad deberá mantenerse en todo momento actualizado (...)”.

Nos encontramos entonces con que la mayor complejidad en la gestión del Documento de Seguridad no está tanto en su redacción como en su mantenimiento. Veamos de qué se componen estos Anexos y qué cambios han de reflejar.

Es importante aclarar que el Reglamento LOPD no impone un listado taxativo de estos Anexos, sino que indica la obligación de mantener actualizadas una serie de informaciones requeridas, y por lo tanto existe cierta flexibildad a la hora de redactar estos documentos. Esta es una propuesta para organizarlos y agruparlos de una forma lógica:

• Descripción de ficheros: nombre del fichero o tratamiento, descripción; unidad/es con acceso al fichero o tratamiento; identificador del Registro General de Protección de Datos de la AEPD; nivel de medidas seguridad a adoptar (básico, medio o alto); Código Tipo y otras leyes aplicables (si las hubiere); procedimiento y servicio ante el que puedan ejercitarse los derechos de acceso, rectificación, cancelación y oposición; descripción detallada y periodicidad de las copias de respaldo y de los procedimientos de recuperación; relación de usuarios con acceso autorizado; funciones del personal con acceso a los datos personales; descripción de los procedimientos de control de acceso e identificación, y el responsable de seguridad (éste último dato sólo para niveles medio o alto).
• Nombramientos: que afecten a los diferentes perfiles incluidos en este documento, como el del responsable de seguridad.
• Autorizaciones de salida o recuperación de datos: autorizaciones que el responsable del fichero ha firmado para la salida de soportes que contengan datos de carácter personal, así como aquellas relativas a la ejecución de los procedimientos de recuperación de datos.
• Inventario de soportes y registro de salida y entrada: los soportes deberán permitir identificar el tipo de información, que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al personal autorizado para ello. Además en los niveles medio y alto es obligatorio llevar un registro de salida y entrada de cada soporte.
• Registro de incidencias: las que se produzcan en cualquier fichero y puedan afectar a la integridad y seguridad de la información.
• Encargados del tratamiento: recoger aquí el contrato que establecerá expresamente que el encargado de tratamiento tratará los datos conforme a las instrucciones del responsable del los ficheros, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, y que no los comunicarán, ni siquiera para su conservación a otras personas. El contrato estipulará las medidas de seguridad que el encargado del tratamiento esta obligado a implementar.

En el caso de que la empresa tenga frecuentes cambios en estas áreas puede ser conveniente automatizar los listados mediante alguna aplicación informática.

En Tecnología Pyme | LOPD: Guías prácticas y conceptos básicos

Para comenzar a redactar el Documento de Seguridad al que hacíamos referencia en el anterior post de la serie, el responsable del fichero habrá de definir el ámbito de aplicación del documento, es decir, indicar a qué ficheros con datos de carácter personal se aplica, ya que la ley autoriza a redactar un documento por cada fichero o uno genérico para todos los ficheros de la entidad, siendo éste el caso más usual en una pyme.

Asimismo habrá que indicar cuál es el nivel de seguridad (bajo, medio o alto) a aplicar a cada fichero atendiendo a la naturaleza de la información tratada, en relación con la menor o mayor necesidad de garantizar la confidencialidad y la integridad de la información, indicando también si se trata de sistemas automatizados, manuales o mixtos.

Sin embargo el grueso del texto será la descripción de las medidas, normas, procedimientos, reglas y estándares encaminados a garantizar los niveles de seguridad exigidos en el documento.

Hay que distinguir esta parte del documento de los Anexos que se incluyen al final del mismo. Es en estos Anexos dónde se indicarán los listados y registros que hay que mantener actualizados, mientras que aquí estamos estableciendo las medidas tomadas para garantizar y proteger los datos de carácter personal, digamos las “reglas del juego”.

Sea cual sea el nivel de protección exigido, el Documento de Seguridad deberá incluir estos apartados:

• Identificación y autenticación.
• Control de accesos.
• Gestión de soportes y documentos.
• Acceso a datos a través de redes de comunicaciones.
• Régimen de trabajo fuera de los locales de ubicación del fichero.
• Ficheros temporales o copias de trabajo de los documentos.
• Funciones y obligaciones del personal y procedimiento de información.
• Procedimientos de notificación, gestión y respuesta ante incidencias.
• Procedimientos de revisión.

En el caso de ficheros de nivel medio o alto, se añadirá además:

• Procedimiento de registro de accesos.
• Procedimiento de registro de entrada y salida de soportes.
• Criterios de archivo.
• Almacenamiento de la información.
• Custodia de soportes.
• Mecanismos de cifrado.
• Traslado de documentación.
• Copias de respaldo y recuperación.
• Responsable de seguridad.
• Procedimiento de auditoría.

Como ya indicaba, algunos de estos procedimientos generan la obligación de mantener listados (personal con acceso a datos, autorizaciones, copias de seguridad, etc…) que se incorporan al Documento de Seguridad como Anexos. En el siguiente post de la serie veremos qué Anexos son y la obligación de mantenerlos actualizados.

En Tecnología Pyme | LOPD: Guías prácticas y conceptos básicos

Nuestro objetivo no es, en ningún caso, convertirnos en la fuente básica sobre la que enfocar el cumplimiento de la ley en vuestra empresa (para ello, deberíais acudir a cualquier consultoría especializada que os ofrezca confianza, la importancia del tema lo merece), sino proporcionar la información necesaria para comprender los pasos que hay que dar y una vez adaptados vuestros procedimientos a la ley, ser capaces de mantenerlos al día con los requisitos que se os exigen, quizá uno de los aspectos más complicados y menos comentados de esta ley.

Esta es una cita de José M. Cestero del primer post de la serie que he querido repetir, ya que tras haber visto el procedimiento para el alta de ficheros, un paso que cualquier empresa puede llevar a cabo por sus propios medios sin recurrir a un asesoramiento externo, vamos a ver un asunto más complejo: qué es y de qué se compone el Documento de Seguridad que toda pyme que mantenga ficheros con datos de carácter personal ha de redactar y tener a disposición de la inspección de la Agencia Española de Protección de Datos (AEPD).

El Real Decreto 1720/2007, Reglamento de desarrollo de la LOPD, establece las medidas de índole técnico y organizativo que los responsables de los los ficheros y los encargados de tratamiento han de implantar para garantizar la seguridad en los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de datos de carácter personal.
Entre estas medidas, se encuentra la elaboración de un documento que recogerá las medidas de índole técnica y organizativa acorde a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los datos de carácter personal.

El documento deberá contener, como mínimo, los siguientes aspectos:

• Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
• Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento.
• Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.
• Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
• Procedimiento de notificación, gestión y respuesta ante las incidencias.
• Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.
• Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.

En caso de que fueran de aplicación a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto, previstas en este título, el documento de seguridad deberá contener además:

• La identificación del responsable o responsables de seguridad.
• Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.

Además cuando exista un tratamiento de datos por cuenta de terceros, el documento de seguridad deberá contener la identificación de los ficheros o tratamientos que se traten en concepto de encargado con referencia expresa al contrato o documento que regule las condiciones del encargo, así como de la identificación del responsable y del período de vigencia del encargo.

El documento de seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados. En todo caso, se entenderá que un cambio es relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas.

En los siguientes posts de la Guía LOPD veremos cómo redactar el Ámbito de aplicación, las Medidas que se han de implantar para garantizar los niveles de seguridad y los Anexos que han de complementar el Documento de Seguridad.

En Tecnología Pyme | LOPD: Guías prácticas y conceptos básicos