DOCUMENTO DE SEGURIDAD LOPD

El documento de seguridad es una de las partes fundamentales de la protección de datos. Se trata de un documento mediante el cual se elabora y adoptan las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal, su adopción es de obligado cumplimiento para el responsable del fichero, o en su caso, del encargado del tratamiento.

¿Cuándo es obligatorio adoptar el documento de seguridad?
El Real Decreto 1720/2007 establece que es obligatoria su adopción siempre que se traten datos personales, cualquiera que sea el nivel de seguridad al que correspondan.

¿Constituye alguna infracción la inexistencia del documento de seguridad?
Se considera una infracción grave "Mantener lo ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen" Artículo 43.h) Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (en adelante LOPD).

¿Dónde se encuentra el fundamento legal de la obligatoriedad de adopción del documento de seguridad?
El artículo 9 de la LOPD, establece en su párrafo 1 que "El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural".

¿Cuál es el contenido del documento de seguridad de nivel básico?
Artículo 88 R.D 1720/2007

3. El documento deberá contener, como mínimo, los siguientes aspectos:

a)   Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.

b)    Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento.

c)    Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.

d)   d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.

e)   Procedimiento de notificación, gestión y respuesta ante las incidencias.

f)     Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.

g)    Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.

¿Es de obligatorio que los empleados conozcan la existencia y contenido del documento de seguridad o sólo concierne al responsable del fichero?
Toda persona con acceso a datos personales, o que intervenga en alguna fase del tratamiento de los mismos, debe ceñirse a lo establecido en el documento de seguridad, en el cual se establecerán claramente las funciones y obligaciones del personal. Artículo 9.1 R.D 994/1999.

Sin embargo, es responsabilidad del responsable del fichero adoptar las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento. Artículo 89.2 R.D 1720/2007

¿Cuál es el contenido del documento de seguridad de nivel medio?
Artículo 109 y ss R.D 1720/2007