El Real Decreto 1720/2007, Reglamento de desarrollo de la LOPD, establece, entre otras, la obligación de elaborar de un documento que recoja las medidas de carácter técnico y organizativo acorde a la normativa de seguridad vigente, que serán de obligado cumplimiento para el personal que tenga acceso a los datos de carácter personal.
Con la entrada en vigor en mayo de 2018 del nuevo Reglamento General de Protección de Datos (RGPD) se sustituye la figura del documento de seguridad por la de Registro de Actividades.
Según la ley, el documento deberá, como mínimo, contener los siguientes aspectos:
- Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
- Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento.
- Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.
- Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
- Procedimiento de notificación, gestión y respuesta ante las incidencias.
- Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.
- Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.
Si además fueran de aplicación a los ficheros las medidas de seguridad de nivel medio o nivel alto, el documento de seguridad deberá disponer también de:
- La identificación del responsable o responsables de seguridad.
- Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.
Si el tratamiento de datos se realiza por cuenta de terceros, el documento de seguridad deberá reflejar la identificación de los ficheros o tratamientos que se traten en concepto de encargado con referencia expresa al contrato o documento que regule las condiciones del encargo, así como de la identificación del responsable y del período de vigencia del encargo.
El documento de seguridad ha de estar siempre actualizado y revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento de datos, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados.
Para facilitar la tarea y explicar mejor cómo hacer el Documento de Seguridad, la Agencia Española de Protección de Datos ofrece un modelo de documento de seguridad junto con un resumen de Medidas de Seguridad y la relación de comprobaciones para la realizar una Auditoria de Seguridad.
