Diez Equívocos Frecuentes sobre la LOPD y la LSSICE.
Sexto Desacierto:
El desacierto que discutiremos hoy se refiere al «Documento de Seguridad».
- «¿Documento de qué?»
Sí, has escuchado bien: «Documento de Seguridad».
El error en cuestión radica en no haberlo elaborado.
Aunque las empresas y profesionales a los que visito para explicarles la normativa de protección de datos suelen tener conocimiento de la existencia de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), y de su relevancia para ellos, a menudo desconocen por completo el concepto de «Documento de Seguridad». Me hacen preguntas con sorpresa, cuestionando qué es y de qué trata este documento.
Si tuvieras la mala fortuna de recibir la visita de un inspector de la Agencia Española de Protección de Datos (o de la agencia de tu comunidad, si existiera), una de las cosas que podría solicitarte es precisamente eso: tu «Documento de Seguridad».
Así como un inspector de trabajo puede requerirte documentos relacionados con la cotización, nóminas y contratos de tus empleados, un Inspector de Protección de Datos puede pedirte el «Documento de Seguridad», entre otras cosas.
La esencia de este documento se encuentra en el artículo 9 de la LOPD, que establece el conocido principio de seguridad de los datos. Según este principio, el responsable de los datos está obligado a implementar medidas técnicas y organizativas efectivas para garantizar la seguridad de los datos, evitando su pérdida, alteración o acceso no autorizado.
El «Documento de Seguridad» ya es mencionado en el artículo 88 del Real Decreto 1720/2007, de 21 de diciembre, que aprueba el Reglamento de desarrollo de la LOPD.
Todas las entidades sujetas a la LOPD deben contar con un «Documento de Seguridad» que incluya medidas técnicas y organizativas conformes a la normativa de seguridad vigente, y que sea de cumplimiento obligatorio para el personal con acceso a sistemas de información.
Este documento debe contener como mínimo lo siguiente (según el párrafo 3 del artículo 88 citado):
a) El alcance del documento, con una especificación detallada de los recursos protegidos.
b) Las medidas, normas, procedimientos de actuación, reglas y estándares destinados a garantizar el nivel de seguridad requerido por este reglamento.
c) Las funciones y obligaciones del personal en relación con el tratamiento de datos personales en los archivos.
d) La estructura de los archivos con datos personales y una descripción de los sistemas de información que los gestionan.
e) El procedimiento de notificación, gestión y respuesta ante incidentes.
f) Los procedimientos para realizar copias de seguridad y recuperar datos en los archivos o tratamientos automatizados.
g) Las medidas necesarias para el transporte de soportes y documentos, así como para la destrucción de documentos y soportes, o en su caso, su reutilización.
El «Documento de Seguridad» es un documento dinámico que debe revisarse y actualizarse a medida que se produzcan cambios significativos en los sistemas de información, la organización, los contenidos, etc.
Además, es un documento interno que no requiere notificarse a la Agencia de Protección de Datos, pero que debe estar a disposición de esta última en caso de que se solicite durante una inspección.
Tal vez te preguntes si existe algún modelo de «Documento de Seguridad».
Sí, existe un modelo, aunque más que un modelo, es una guía. En otras palabras, no se ha publicado un modelo oficial, sino instrucciones sobre cómo elaborarlo y una estructura de documento que puedes consultar en el sitio web de la Agencia Española de Protección de Datos, en este enlace: Enlace al modelo de Documento de Seguridad
