El documento de seguridad en la protección de datos (LOPD)

Cumple con tu nivel de seguridad

Debes documentar el procedimiento de seguridad aplicable a tus ficheros de datos personales según la Ley de protección de datos.

El documento de seguridad es obligatorio en el momento que tengas archivos o ficheros de datos personales de tus clientes. 

Crea tu modelo de documento de seguridad
Comenzar
Responde unas pocas preguntas. Nosotros nos encargaremos del resto

Es un conjunto organizado de datos personales, con independencia a como se cree, almacene o acceda al mismo.

Si quieres crear un fichero de datos personales, tiene que ser necesario para tu empresa y para tu actividad.

Hasta mayo de 2018, según los datos que incluyas en el fichero pueden existir tres tipos de sistemas de seguridad, según la normativa vigente hasta ese momento:

Nivel de seguridad básico, que es el tendrás que aplicar a cualquier fichero que contenga algún dato personal.

Nivel de seguridad medio:

  • los que contengan datos sobre comisión de infracciones administrativas o penales

  • los que contengan información sobre solvencia patrimonial y crédito

  • aquellos de los que sean responsables Administraciones tributarias en su actividad

  • aquellos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros; las entidades gestoras y servicios comunes de la Seguridad Social dentro de sus competencias; las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social

  • aquellos que contengan una definición de la personalidad de los ciudadanos o del comportamiento de los mismos

Nivel de seguridad alto: para ficheros que contengan datos relativos a ideología, afiliación sindical o política, religión, creencias, raza, sanitario o vida sexual; los que contengan o se refieran a datos recogidos para fines policiales sin consentimiento de las personas afectadas o aquéllos que contengan datos derivados de actos de violencia de género.

A partir de mayo de 2018 el Reglamento General de Protección de Datos (RGPD) lo que establece es que los responsables del fichero o del tratamiento y los encargados del mismo, aplicarán las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo, en función de:

  • situación técnica

  • costes de aplicarlo

  • naturaleza,  alcance, contexto y fines del tratamiento

Estas medidas de seguridad deberán incluir, al menos:

  • la seudominización y el cifrado de datos personales

  • debe garantizar la confidencialidad, integridad, disponibilidad y resilencia permanentes en los sistemas y servicios de tratamiento

  • debe poder restaurar la disponibilidad y acceso a los datos si hubiera algún tipo de incidencia física o técnica.

  • un proceso de verificación, evaluación y valoración de la eficacia de las medidas técnicas y organizativas.

Con esta modificación en las normas de protección de datos, puede ocurrir que puedas seguir aplicando las mismas medidas de seguridad, si del análisis de riesgos que debes hacer como responsable, concluyes que debes aplicarla. En otros casos, te verás obligado a complementarlas con otras medidas de seguridad.

Para establecer las medidas de seguridad se tendrán que evaluar los riesgos que puedan presentarse en el tratamiento de los datos, sobre todo y especialmente lo relativo a la posible destrucción, pérdida o modificación accidental o ilícita de los datos. También habrá que evaluar los supuestos de comunicaciones o accesos no autorizados a los mismos.

Podrás acreditar que cumples adecuadamente con las medidas de seguridad si te adhieres a algún código de conducta sobre protección de datos, o bien, obtienes una certificación sobre su cumplimiento.

Muy importante, a tener en cuenta, es que debes tomar todas las medidas oportunas para que la persona que nombres para poder acceder a los datos, cumpla estrictamente tus instrucciones u órdenes.

En tu empresa debes elaborar un documento de seguridad de obligado cumplimiento para el personal interno, colaboradores y empresas que le presten servicios, en el que se detallen todos los sistemas de seguridad que se aplican a tus ficheros, independientemente del soporte en el que se encuentren.

Este documento lo puedes elaborar con nuestro modelo de documento de seguridad,  que incluirá las reglas y procedimientos de conducta, las funciones y obligaciones del personal, la estructura de los ficheros y, la descripción de los sistemas informáticos.

Su contenido, en lo que afecta a las funciones de los usuarios de los datos personales, deberás difundirlo y darlo a conocer entre ellos.

Si tienes ficheros a partir de un nivel medio de seguridad, deberás, además nombrar uno o varios representantes de seguridad que se encarguen del cumplimiento de la Ley de protección de datos.

Hasta mayo de 2018, para ficheros informatizados, según su nivel de protección, hacemos la siguiente clasificación con sus respectivos sistemas de seguridad:

Nivel de seguridad básico: documento de seguridad, registro de incidencias, control de acceso a los datos, deben permitir  la identificación del tipo de información que contienen, ser inventariados y almacenarse donde sólo las personas autorizadas en el documento de seguridad puedan acceder, establecer medidas para evitar accesos y sustracciones en el caso de traslado de los ficheros, destrucción o borrado de información desechada, realización de copias de seguridad semanales.

Nivel de seguridad medio: todas las del nivel básico y además, documento de seguridad con un contenido más amplio con auditoría de cumplimiento de la Ley de protección de datos al menos cada 2 años, limitación de accesos no autorizados, acceso limitado al lugar físico donde estén los ficheros, registro de entrada y salida de la información de los ficheros y registro de incidencias más amplio.

Nivel de seguridad alto: todas las del nivel básico y medio y además, registro de cada intento de acceso, cifrado de datos para que no sean manipulados, sistema de gestión y distribución de soporte que permita la identificación del contenido y su sistematización, copia de seguridad que se guarda en lugar distinto a donde estén los equipos con los ficheros de datos personales.

Para ficheros no informatizados, las medidas a adoptar serán las siguientes:

Nivel de seguridad básico: archivar los documentos asegurando su conservación, localización y consulta, garantizando los derechos de acceso, rectificación, cancelación y oposición por parte de los clientes o interesados; mecanismos de control de acceso de personas no autorizadas; custodiar la información si se cambia de lugar.

Nivel de seguridad medio: se estiman las mismas medidas que para los ficheros automatizados.

Nivel de seguridad alto: almacenar la información en áreas seguras bajo llave; sólo el personal autorizado en el documento de seguridad puede acceder y realizar copias que después de su utilización se deberán destruir; control de acceso; medidas de seguridad en caso de traslado.

 

A partir de 2018, esta diferenciación entre las medidas de seguridad desaparece con el nuevo Reglamento General de Protección de Datos (RGPD), tal y como hemos indicado más arriba.

Si quieres saber más sobre el documento de seguridad de los ficheros y archivos de datos personales, pregunta a un abogado.

Crea tu modelo de documento de seguridad
Comenzar
Responde unas pocas preguntas. Nosotros nos encargaremos del resto

Abogado a la Escucha

Recibe asesoramiento legal de un Abogado

Rocket Lawyer Abogado a la Escucha

Número de caracteres restantes: 600

Tu pregunta supera los 600 caracteres permitidos. Por favor vuelve a escribirla.

Obtener respuesta