Documento de seguridad

Lo que incluimos
¿Qué es un Documento de seguridad?
Utiliza este documento de seguridad, actualizado a la nueva normativa, si tu empresa tiene ficheros, ya sea informatizados o en papel, donde se incluyan datos personales, de clientes, o de contactos. Estás obligado a tener un documento de seguridad donde se incluyan y desarrollen las medidas de seguridad necesarias para que esos datos estén protegidos adecuadamente según la Ley de Protección de Datos (LOPD).
¿Cuándo se usa un Documento de seguridad?
Debes tener este documento de seguridad siempre que por tu actividad tengas y por lo tanto, seas responsable de un fichero, ya sea informatizado o en papel, donde se incluyan datos personales, de clientes, o de contactos.
El contenido de este modelo incluye las medidas organizativas y técnicas para garantizar la necesaria confidencialidad y protección, así como los recursos personales y materiales necesarios para llevarlas a cabo, según la normativa de protección de datos de carácter personal.
Ejemplo del Documento de seguridad
Los términos de tu documento se actualizarán en función de tus respuestas
DOCUMENTO DE SEGURIDAD
El presente Documento de Seguridad, redactado en cumplimiento de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos de Carácter Personal y Garantía de los Derechos Digitales y del resto de normativa aplicable, en particular al RGPD (Reglamento Europeo General de Protección de Datos) recoge las medidas de índole técnica y organizativa necesarias para garantizar la protección, confidencialidad, integridad y disponibilidad de los datos de carácter personal de .
El presente Documento de Seguridad se refiere a todos los ficheros o tratamientos de los que es responsable .
1. Ámbito de aplicación
El presente Documento de Seguridad incluye los ficheros y tratamientos que deben protegerse y de los que es responsable
Se incluyen también en el presente Documento de Seguridad los sistemas de información, soportes y equipos que se utilizan por , así como las personas que participan en el tratamiento de datos de carácter personal.
El tratamiento se realiza en local de , situado en .
Los ficheros de los que es responsable son los indicados en el anexo I, donde también se incluyen sus características.
2. Medidas, normas, procedimientos de actuación, reglas y estándares que garantizan la seguridad exigida
a. Identificación y autenticación:
Se incluyen a continuación las medidas y normas relativas a la identificación y autenticación del personal autorizado para acceder a los datos de carácter personal.
Usuarios aptos para acceder:
Contraseñas.
Medidas de seguridad de las contraseñas:
b. Controles de acceso:
El personal sólo puede acceder a los datos y recursos necesarios para el desempeño de sus funciones bajo la responsabilidad de
El responsable del fichero realizará los siguientes mecanismos para evitar el acceso a datos o ficheros de una manera reiterada y no autorizada:
Sólo el responsable de los ficheros podrá permitir, cambiar o anular los accesos sobre los ficheros de datos.
Los procedimientos de alta, modificación y baja de autorizaciones son los siguientes:
Los controles de acceso a los sistemas de información son los siguientes:
Si existiera alguna persona ajena o que no formara parte de la plantilla del responsable del fichero deberá, en cualquier caso, estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio.
En los accesos a los ficheros de datos sensibles, se registrará por cada acceso la identificación del usuario, la fecha y la hora en que se realizó, el fichero al que se accede, el tipo de acceso y si este ha sido o no autorizado. En los accesos autorizados, se conservará la información que permita identificar a qué registro del fichero se ha accedido en cada acceso. Para estos casos el sistema de registro es el siguiente:
La información de este registro de accesos se deberá conservar durante el plazo de .
El responsable de seguridad deberá revisar como mínimo una vez al mes la información de control que se encuentra en el registro de accesos y deberá elaborar un informe de auditoría de seguridad.
c. Gestión de soportes y documentos:
Los soportes de se identifican por medio de , están inventariados de la siguiente manera y almacenados en por medio de restringido el acceso por medio de .
Sólo tendrá acceso a los soportes , salvo razones de urgencia o fuerza mayor, en cuyo caso podrán acceder .
El traslado o salida de ficheros, soportes o documentos fuera de los locales de que incluyan datos de carácter personal deberá ser autorizada por , responsable del tratamiento, por escrito, debiendo aplicar las siguientes medidas para evitar la sustracción, pérdida o acceso no autorizado:
Procedimiento de registro de salida y entradas:
Procedimiento de gestión y distribución:
El sistema de etiquetado confidencial para datos sensibles:
El cifrado de datos en la distribución de soportes para datos sensibles:
La destrucción de ficheros, soportes o documentos se realizará mediante . Por lo que la información no podrá recuperarse.
d. Redes de comunicaciones:
Las medidas de seguridad exigibles a los accesos a datos de carácter personal a través de redes de comunicaciones deberán garantizar una seguridad equivalente a la correspondiente a los accesos en modo local.
Se disponen de las siguientes redes de comunicaciones:
Tipo:
Descripción:
Medidas de seguridad:
Accesos previstos:
Modo de cifrar los datos sensibles:
e. Trabajo fuera de los locales:
f. Ficheros temporales y copias de respaldo y seguridad:
Se realizarán las siguientes copias de seguridad de los ficheros cada por . Las copias de seguridad y los ficheros temporales serán destruidos una vez hayan dejado de ser necesarios para los fines que motivaron su creación.
El procedimiento para la recuperación de datos será el siguiente .
El responsable del fichero verificará cada seis meses los procedimientos para realizar las copias de respaldo y recuperación de datos.
La reconstrucción de los datos a partir de la última copia se efectuará siguiendo el procedimiento siguiente .
Para los ficheros con datos sensibles la copia de seguridad y los procedimientos de recuperación se realizarán en lugar diferente del que se encuentren los equipos.
g. Responsable de Seguridad y auditorias:
Se designa a Responsable de Seguridad por, quien supervisará el presente Documento de Seguridad, coordinará y controlará su cumplimiento en la organización. También realizará las correspondientes auditorías de seguridad.
Para los ficheros con datos sensibles el procedimiento para la auditoría de seguridad es el siguiente: .
h. Medidas técnicas mínimas para garantizar la seguridad de los datos personales:
Actualización de ordenadores y dispositivos: Los dispositivos y ordenadores utilizados para el almacenamiento y el tratamiento de los datos personales se mantienen actualizados en la media posible.
Malware: En los ordenadores y dispositivos donde se realice el tratamiento automatizado de los datos personales existe un sistema de antivirus que garantice en la medida posible el robo y destrucción de la información y datos personales. El sistema de antivirus se actualiza de forma periódica.
Cortafuegos o firewall: Para evitar accesos remotos indebidos a los datos personales se garantiza la existencia de un firewall activado en aquellos ordenadores y dispositivos en los que se realice el almacenamiento y/o tratamiento de datos personales.
Cifrado de datos: Cuando se precise realizar la extracción de datos personales fuera del recinto donde se realiza su tratamiento, ya sea por medios físicos o por medios electrónicos, se valorará la posibilidad de utilizar un método de encriptación para garantizar la confidencialidad de los datos personales en caso de acceso indebido a la información.
Copia de seguridad: Periódicamente se realizará una copia de seguridad en un segundo soporte distinto del que se utiliza para el trabajo diario. La copia se almacenará en lugar seguro, distinto de aquél en que esté situado el ordenador con los ficheros originales, con el fin de permitir la recuperación de los datos personales en caso de pérdida de la información.
3. Información al personal
Para asegurar que todos los empleados de puedan cumplir este Documento de Seguridad y conocer las consecuencias de su incumplimiento, se aplicarán las siguientes medidas .
Derechos de los titulares de los datos:
Se informará a todos los trabajadores sobre el procedimiento para atender los derechos de los interesados, definiendo de forma clara la manera en los pueden ejercerse los derechos (por ejemplo: medios electrónicos, referencia al Delegado de Protección de Datos si lo hubiera, dirección postal, etc.) teniendo en cuenta lo siguiente:
- Previa presentación de su D.N.I. (Documento Nacional de Identidad) o pasaporte, los titulares de los datos personales (interesados) podrán ejercer sus derechos de acceso, rectificación, supresión y oposición. El responsable del tratamiento deberá dar respuesta a los interesados sin retrasos indebidos.
- Para el derecho de acceso se facilitará a los interesados la lista de los datos personales disponibles junto con la finalidad para la que han sido recogidos, la identidad de los destinatarios de los datos, los plazos de conservación y la identidad del responsable ante el que pueden solicitar la rectificación, supresión y oposición al tratamiento de los datos.
- Para el derecho de rectificación y cancelación se realizará la modificación, supresión o eliminación de los datos de los interesados que fueran inexactos o incompletos teniendo en cuenta los fines del tratamiento.
- Para el derecho de supresión (o derecho al olvido) se suprimirán los datos de los interesados cuando estos manifiesten su negativa u oposición al consentimiento para el tratamiento de sus datos y no exista deber legal que lo impida.
- Para el ejercicio del derecho al olvido
- Para el derecho a la limitación del tratamiento, se realizarán las modificaciones en el tratamiento de los datos que el interesado solicite.
- Para el derecho a la portabilidad, se realizarán los trabajos necesarios para facilitar a los interesados la entrega de sus datos en un soporte accesible para él y además, si se solicita la transmisión de los datos a nuevo responsable del tratamiento.
El responsable del tratamiento deberá informar a todas las personas con acceso a los datos personales sobre como actuar para atender los derechos de los interesados, la forma y el procedimiento en que se atenderán dichos derechos.
4. Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros
El personal de la organización tendrá la obligación de conocer este Documento de Seguridad. Para lograr esto, se realizarán las siguientes actuaciones o medidas .
El personal de la organización deberá guardar el debido secreto y confidencialidad sobre los datos de carácter personal que conozcan en su relación laboral.
El personal de la organización que conozca alguna incidencia de seguridad seguirá el Documento de Procedimiento de notificación, gestión y respuesta de incidencias.
Las funciones de los usuarios o perfiles con acceso a datos personales serán:
Las obligaciones de los usuarios o perfiles con acceso a datos personales serán:
Las funciones de los usuarios o perfiles con acceso a los sistemas de información serán:
Las obligaciones de los usuarios o perfiles con acceso a los sistemas de información serán:
El personal que realice trabajos que no impliquen el tratamiento de estos datos personales tendrán limitado el acceso a todos los datos, a los soportes que los contengan, o a los recursos del sistema de información.
Cuando se trate de personal ajeno, el contrato de prestación de servicios incluirá en sus cláusulas una que prohíba el acceso a los datos personales y la obligación del secreto respecto de aquellos datos que no hubiera podido conocer durante la prestación del servicio.
Se llevan a cabo por el responsable de los ficheros las siguientes autorizaciones en las personas o perfiles que se indican: .
5. Procedimientos de notificación, gestión y respuesta de incidencias
Cuando se produzcan violaciones de seguridad de datos de carácter personal, como por ejemplo, el robo o acceso indebido a los datos personales, se notificará a la Agencia de Protección de Datos en un plazo de de 72 horas acerca de dichas violaciones de seguridad, incluyendo toda la información necesaria para aclarar los hechos que hubieran dado lugar al acceso indebido a los datos personales.
Cualquier incumplimiento de este Documento de Seguridad, así como de la normativa relativa a la protección de los datos de carácter personal se considerará una incidencia de seguridad.
En estos casos, se seguirá el siguiente procedimiento para notificar y gestionar las incidencias:.
Se llevará un registro de incidencias que se gestionará de la siguiente manera: .
En el registro de incidencias se incluirán también los procedimientos de recuperación de datos sensibles de manera que se incluya su procedimiento, los datos restaurados, los datos que ha sido necesario grabar manualmente en su recuperación, el código adjudicado al proceso de recuperación en los sistemas automatizados en la información del tipo de incidencia. El procedimiento y la persona que realizará la recuperación de los datos se indican a continuación:
Procedimiento recuperación de datos:
Persona que lo realizará:
6. Captación de imágenes con cámaras y finalidad de seguridad (Video vigilancia)
Ubicación de las cámaras: Se evitará la toma de imágenes en zonas destinadas al descanso de los trabajadores.
- Ubicación de los monitores: Los monitores donde se visualicen las imágenes de las cámaras se colocarán en un espacio de acceso restringido de forma que no sean accesibles a terceros.
- Conservación de imágenes: Las imágenes se almacenarán durante el plazo máximo de un mes, con excepción de las imágenes que sean aportadas a los tribunales y las fuerzas y cuerpos de seguridad.
- Deber de información: Se informará acerca de la existencia de las cámaras y grabación de imágenes mediante un distintivo informativo donde mediante un pictograma y un texto, se detalle el responsable ante el cual los interesados podrán ejercer su derecho de acceso. En el propio pictograma se podrá incluir el texto informativo.
- Control laboral: Cuando las cámaras vayan a ser utilizadas con la finalidad de control laboral, se informará al trabajador o a sus representantes acerca de las medidas de control establecidas por el empresario con indicación expresa de la finalidad de control laboral de las imágenes captadas por las cámaras.
- Derecho de acceso a las imágenes: Para dar cumplimiento al derecho de acceso de los interesados se solicitará una fotografía reciente y el D.N.I (Documento Nacional de Identidad) del interesado, así como la fecha y hora a la que se refiere el derecho de acceso.
No se facilitará al interesado acceso directo a las imágenes de las cámaras en las que se muestren imágenes de terceras personas. En caso de no ser posible la visualización de las imágenes por el interesado sin mostrar imágenes de terceros, se le facilitará un documento en el que se confirme o niegue la existencia de imágenes del interesado.
7. Registro de actividades de tratamiento
Partiendo de la información de los ficheros de datos, se detallan en este registro, todas las operaciones de tratamiento que se realicen sobre cada conjunto de datos.
En este registro se indicará la base legal del mismo, su finalidad, el colectivo al que se dirige, la categoría de los datos, la categoría de los destinatarios, si están o no previstas transferencias internacionales, el tiempo de conservación de los datos y su supresión, las medidas de seguridad adoptadas y quien es el responsable del tratamiento.
Este tratamiento está vinculado a la finalidad básica para la que se utilizan esos datos personales.
8. Revisión del presente Documento de Seguridad
Este Documento de Seguridad se mantendrá en todo momento actualizado.
Se realizarán su revisión y actualización cuando se produzcan cambios en la normativa, en el sistema de información o en los ficheros, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos, o cuando sea necesario de acuerdo con los controles periódicos realizados, o cuando resulte necesario con ocasión de la implementación de las correspondientes medidas de seguridad.
El contenido de este Documento de Seguridad deberá adaptarse, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.
La modificación se realizará por previa propuesta y aprobación por el responsable de los ficheros .
10.Anexo I. Descripción de los ficheros
Nombre del fichero o tratamiento:
Fecha de autoevaluación de riesgos:
Medidas de seguridad a adoptar:
Tipo de sistema: (informatizado o no):
Estructura del fichero: .
Información y descripción del fichero: .
Fecha de revisión y actualización:
10. Anexo II. Nombramientos de Personas autorizadas
Se debe adjuntar original o copia de los nombramientos que afecten a los diferentes perfiles incluidos en este documento.
11. Anexo III. Delegación de autorizaciones
Se deben adjuntar las autorizaciones que el responsable del fichero ha firmado para la salida de soportes que contengan datos de carácter personal, incluyendo aquellas que se refieran a salidas que tengan un carácter periódico o planificado. También se deben incluir las autorizaciones relativas a la ejecución de los procedimientos de recuperación de datos.
12. Anexo IV. Inventario de soportes/Registro de entrada y salida de soportes no informatizados
Si el inventario o el registro no están informatizado, se debe adjuntar como anexo la información en la forma indicada en gestión de soportes y documentos del apartado 2.C de este documento. Si el inventario de soportes está informatizado, indicar la aplicación o ruta de acceso del archivo que lo contiene.
13. Anexo V. Autorizaciones de salida o recuperación de datos
Se debe adjuntar como anexo las autorizaciones efectuadas y firmadas por el responsable del fichero.
14. Anexo VI. Registro de incidencias
La ruta de acceso al archivo que contiene el registro de incidencias es: .
15. Anexo VII. Encargado del tratamiento
El encargado del tratamiento de los datos es . Se debe incluir el contrato firmado con la empresa encargada del tratamiento.
En , a
Sobre el Documento de seguridad
-
Cómo hacer un Documento de seguridad
Crear un Documento de seguridad es fácil, solo responde unas pocas preguntas y Rocket Lawyer redactará el documento por ti. Cuando tengas todos los datos preparados, crear tu Documento de seguridad será un proceso fácil y rápido.
Necesitarás la siguiente información:
Datos de los responsables de protección de datos
-
¿Quién es el responsable de los ficheros?
-
¿Quiénes tienen autorización para acceder a los ficheros de datos?
-
¿Cuáles son los cargos, funciones y obligaciones de las personas con acceso a los datos personales?
-
¿Quién es el Delegado de Protección de Datos?
Administración de los ficheros
-
¿Los ficheros de datos están automatizados?
-
¿Cuáles son los sistemas de control para acceder a la información?
-
¿Cómo se registran los accesos a los ficheros con datos sensibles?
-
¿Cuánto tiempo se conserva la información en los ficheros?
-
¿Cómo se identifican los soportes de los ficheros en función de su información?
-
¿De qué ficheros se harán copias de seguridad y de respaldo?
-
¿Cada cuánto tiempo se harán las copias de seguridad y de respaldo de los ficheros?
Tratamiento de datos personales
-
¿Se van a realizar trabajos de tratamiento de datos fuera de las oficinas de la empresa que es responsable de los ficheros?
-
¿Cuál será el procedimiento de recuperación y de reconstrucción de los datos?
-
¿Cuál es el procedimiento para la auditoría de seguridad de datos sensibles?
Gestión de incidencias
-
¿Cuál es el procedimiento para notificar y gestionar las incidencias?
-
¿Cómo se gestiona su registro?
-
¿El registro de incidencias está informatizado?
-
¿Cuál es la ruta de acceso al archivo que contiene el registro de incidencias?
-
-
Términos frecuentes en la Documento de seguridad
-
Datos personales: Es la información que puede identificar o hacer fácilmente identificable a una persona, como el nombre y apellidos, la dirección de correo electrónico, la dirección IP… Esta información está sujeta a un régimen de protección para evitar el conocimiento por terceros no autorizados.
-
Tratamiento de datos: Es el conjunto de actividades que suponen un procesamiento por un tercero distinto del titular de los datos personales, como el registro, la cesión, la modificación, eliminación o utilización para fines comerciales.
-
Responsable de tratamiento: Es el profesional legalmente autorizado para supervisar que los procesos de recogida y procesamiento de datos personales cumplen con las exigencias del Reglamento General de Protección de Datos, realizar informes de seguimiento e identificar posibles vulneraciones de datos personales.
-
Delegado de Protección de Datos: Es el responsable de la aplicación de la política de protección de datos en una organización. Sus funciones principales son las de supervisar que todos los procesos cumplen con las disposiciones del Reglamento de Protección de Datos, comunicar a la Agencia Española de Protección de Datos las posibles brechas o vulneraciones y la resolución de consultas en materia de protección de datos.
Si desea que su Documento de seguridad incluya disposiciones adicionales o más detalladas, puede editar su documento. Sin embargo, si hace esto, es posible que desee que un abogado revise el documento por usted (o que haga los cambios por usted) para asegurarse de que cumple con todas las leyes pertinentes y satisface sus necesidades específicas. Use el servicio de Rocket Lawyer Pregunta a un abogado.
-
FAQ’s sobre el Documento de seguridad
-
¿Qué contiene el documento de seguridad?
Este documento de seguridad tiene una estructura definida a partir de la cual, podemos entender su finalidad, su contenido, y por lo tanto, para qué está previsto.
Así, este documento se aplicará a todos los ficheros que tengan datos de carácter personal e incluyendo todos los sistemas de información o informáticos, soportes y los equipos que se utilicen para el tratamiento de esos datos. Todo lo anterior, debe ser protegido de acuerdo con la normativa de protección de datos, debiéndose incluir estas medidas en el documento de seguridad.
Su contenido en general es el siguiente:
-
Medidas y procedimientos para garantizar los niveles de seguridad exigidos.
-
Cómo informar y hacer cumplir tus obligaciones en esta materia al personal.
-
Procedimiento de notificación y gestión de las incidencias.
-
Procedimientos de revisión y actualización del propio documento de seguridad.
-
Descripciones de los ficheros
-
Nombramiento de personas autorizadas al acceso de la información, a realizar copias de seguridad, etc.
-
Registros de acceso e incidencias
-
Deberás rellenar cada una de las preguntas que te hacemos y deberás incluir el contenido de la estructura que acabamos describir, según las características y lo que hayas definido en tu empresa.
-
-
¿Cómo se establecen las medidas de seguridad de los datos personales?
En primer lugar deberás especificar las normas de identificación y de autenticación de las personas que tengan acceso a los ficheros de los datos personales. Esta autenticación se debe hacer con contraseñas y deberás incluir el procedimiento para su asignación, distribución y almacenamiento, garantizando la confidencialidad.
Como responsable de los ficheros deberás detallar qué personas son las autorizadas para conceder, alterar o anular los acceso a los datos personales. También indicarás los procedimientos de alta, modificación y baja de esas autorizaciones y la forma de controlar los accesos. mediante un registro.
En relación con los soportes físicos deberás incluir, dónde se encuentran los ficheros que contienen los datos personales, también la forma de identificarlos mediante etiquetado, el lugar dónde se encuentran, las personas que tienen acceso, los movimientos de salidas y entradas de esos ficheros o de sus soportes mediante un registro,etc.
Muy importante son las medidas de seguridad que tomarás cuando se produzca el acceso de los datos de carácter personal a las redes de comunicaciones. Y el procedimiento y personas encargadas de realizar las copias de seguridad y respaldo, así como el proceso de recuperación de los datos en caso de desaparición. Deberás indicar el nombre del responsable de seguridad.
-
¿Cómo informo a mis trabajadores de las normas de seguridad?
Debes dar a conocer a todos tus empleados el documento de seguridad, así como las consecuencias de su incumplimiento, en todo lo que se refiere al acceso y tratamiento de datos personales. También debes indicar el medio por el que se informará a los empleados sobre las normas que deben cumplir, e incluso, puedes contemplar la posibilidad de enviar actualizaciones de manera periódica.
-
¿Cómo se gestionan las incidencias o incumplimientos del documento de seguridad?
Debes indicar el procedimiento que has establecido para notificar y gestión las incidencias, llevando un registro para ello, cuyo contenido y funcionamiento deberás describir.
-
¿Cómo se actualiza el contenido del documento de seguridad?
El documento de seguridad deberás mantenerlo actualizado y tendrá que ser revisado cuando haya que incorporar en él cambios importantes que se produzcan en tu sistema de información de tu empresa, o en el contenido de los ficheros, o en otra cuestión que deba incorporarse actualizada al documento.
Tendrás que indicar cuáles son los procedimientos para la revisión. Y en algunos casos, será necesario la elaboración de un informe de auditoría de seguridad por parte del responsable de seguridad que hayas nombrado como responsable de los ficheros.

Nuestra Garantía de Calidad
Garantizamos que nuestro servicio es seguro y que los documentos firmados de Rocket Lawyer son legalmente ejecutables bajo la legislación española.
¿Necesitas ayuda? ¡No hay problema!
Realiza una pregunta gratis o consigue tu servicio legal asequible de nuestro abogado.