Utiliza este documento de seguridad, actualizado a la nueva normativa, si tu empresa tiene ficheros, ya sea informatizados o en papel, donde se incluyan datos personales, de clientes, o de contactos. Estás obligado a tener un documento de seguridad donde se incluyan y desarrollen las medidas de seguridad necesarias para que esos datos estén protegidos adecuadamente según la Ley de Protección de Datos (LOPD).
Más información sobre el Modelo de documento de seguridad
¿Cuándo usar?
Debes tener este documento de seguridad siempre que por tu actividad tengas y por lo tanto, seas responsable de un fichero, ya sea informatizado o en papel, donde se incluyan datos personales, de clientes, o de contactos.
El contenido de este modelo incluye las medidas organizativas y técnicas para garantizar la necesaria confidencialidad y protección, así como los recursos personales y materiales necesarios para llevarlas a cabo, según la normativa de protección de datos de carácter personal.
¿Qué cubre?
Este documento de seguridad tiene una estructura definida a partir de la cual, podemos entender su finalidad, su contenido, y por lo tanto, para qué está previsto.
Así, este documento se aplicará a todos los ficheros que tengan datos de carácter personal e incluyendo todos los sistemas de información o informáticos, soportes y los equipos que se utilicen para el tratamiento de esos datos. Todo lo anterior, debe ser protegido de acuerdo con la normativa de protección de datos, debiéndose incluir estas medidas en el documento de seguridad.
Su contenido en general es el siguiente:
-
Medidas y procedimientos para garantizar los niveles de seguridad exigidos.
-
Cómo informar y hacer cumplir tus obligaciones en esta materia al personal.
-
Procedimiento de notificación y gestión de las incidencias.
-
Procedimientos de revisión y actualización del propio documento de seguridad.
-
Descripciones de los ficheros
-
Nombramiento de personas autorizadas al acceso de la información, a realizar copias de seguridad, etc.
-
Registros de acceso e incidencias
Deberás rellenar cada una de las preguntas que te hacemos y y deberás incluir el contenido de la estructura que acabamos describir, según las características y lo que hayas definido en tu empresa.
Medidas y procedimientos para garantizar los niveles de seguridad exigidos
En primer lugar deberás especificar la normas de identificación y de autenticación de las personas que tengan acceso a los ficheros de los datos personales. Esta autenticación se debe hacer con contraseñas y deberás incluir el procedimiento para su asignación, distribución y almacenamiento, garantizando la confidencialidad.
Como responsable de los ficheros deberás detallar qué personas son las autorizadas para conceder, alterar o anular los acceso a los datos personales. También indicarás los procedimientos de alta, modificación y baja de esas autorizaciones y la forma de controlar los accesos. mediante un registro.
En relación con los soportes físicos deberás incluir, dónde se encuentran los ficheros que contienen los datos personales, también la forma de identificarlos mediante etiquetado, el lugar dónde se encuentran, las personas que tienen acceso, los movimientos de salidas y entradas de esos ficheros o de sus soportes mediante un registro,etc.
Muy importante son las medidas de seguridad que tomarás cuando se produzca el acceso de los datos de carácter personal a las redes de comunicaciones. Y el procedimiento y personas encargadas de realizar las copias de seguridad y respaldo, así como el proceso de recuperación de los datos en caso de desaparición. Deberás indicar el nombre del responsable de seguridad.
Cómo informar y hacer cumplir sus obligaciones en esta materia al personal
Para tener seguridad de que todos tus empleados son conocedores del documento de seguridad, así como también, de las consecuencias de su incumplimiento, en todo lo que se refiere al acceso y tratamiento de datos personales, debes indicar el procedimiento, a través del cual, informarás a los empleados sobre las normas que deben cumplir, e incluso, contemplarás la posibilidad de enviar información de manera periódica.
Procedimiento de notificación y gestión de las incidencias
Nos referimos a las incidencias de seguridad, así como a los casos de incumplimiento de lo indicado en el manual de seguridad.
Deberás indicar el procedimiento que has establecido para notificar y gestión las incidencias, llevando un registro para ello, cuyo contenido y funcionamiento deberás describir.
Procedimientos de revisión
El documento de seguridad deberás mantenerlo actualizado y tendrá que ser revisado cuando haya que incorporar en él cambios importantes que se produzcan en tu sistema de información de tu empresa, o en el contenido de los ficheros, o en otra cuestión que deba incorporarse actualizada al documento.
Tendrás que indicar cuáles son los procedimientos para la revisión. Y en algunos casos, será necesario la elaboración de un informe de auditoría de seguridad por parte del responsable de seguridad que hayas nombrado como responsable de los ficheros.
Más asesoramiento
-
si tienes dudas sobre el contenido que tengas que incluir o describir en el documento de seguridad
-
si tienes dudas sobre cuáles serán los mejores procedimientos a establecer en tu empresa para cumplir con la normativa de protección de datos y que deberás incluir en este documento de seguridad
También puedes consultar nuestra Guía Rápida El documento de seguridad en la protección de datos.