¿Qué es el documento de seguridad de la LOPD? Contenido y Modelo

El Documento de Seguridad es el documento que deben tener todas las empresas/profesionales que deben cumplir con la LOPD.

Las empresas que deben cumplir con la LOPD son todas aquellas que recojan datos personales de personas físicas (trabajadores, clientes, cámaras de videovigilancia…). Y, en este sentido, el Documento de Seguridad debe recoger las medidas de seguridad de la empresa respecto de los datos personales que trata.

¿Es obligatorio tener un documento de seguridad?

Siempre que recojamos y tratemos datos personales de personas físicas, estaremos obligados a cumplir con la LOPD y, en ese caso, estaremos obligados a disponer de un documento de seguridad.

Por tanto, una de las obligaciones básicas para cumplir con la normativa de protección de datos es disponer de un documento de seguridad. En definitiva, sí es obligatorio disponer de un documento de seguridad.

¿Dónde está regulada la obligación de disponer de documento de seguridad?

El artículo 88.1 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RLOPD) establece la necesidad de disponer de documento de seguridad:

El responsable del fichero o tratamiento elaborará un documento de seguridad que recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información.

¿Qué debe contener el documento de seguridad?

El documento de seguridad debe contener las medidas de seguridad, tanto técnicas como organizativas de la empresa, en relación a los datos personales que recoge y trata. Por tanto, el documento de seguridad contendrá:

  1. Identificación de la empresa, sus servicios y ámbito de aplicación del documento de seguridad.
  2. Los ficheros que la empresa tiene (clientes, pacientes, trabajadores, cámaras de seguridad, etc.) y su estructura, es decir, nombre del fichero, origen de los datos, forma de tratamiento de los datos (soporte papel o informático), tipos de datos que se recogen (nombre, apellidos, dirección postal, teléfono, dirección electrónica…), nivel de seguridad del fichero (básico, medio o alto) y la empresa encargada de gestionar el fichero si la hubiere (por ejemplo: la gestoría laboral es la encargada de gestionar el fichero de RRHH, en tanto y en cuanto, elabora las nóminas de los trabajadores).
  3. Cuáles son las medidas de seguridad que las empresa tiene para proteger esos ficheros, señalar, entre otras: armarios cerrados con llave, despachos cerrados con llave, destructoras de papel en los despachos que contiene documentación en soporte papel, contraseñas personales en los ordenadores con acceso a datos personales, caducidad de las contraseñas, cómo, dónde y cuándo se hacen las copias de seguridad, dónde se guardan las referidas copias de seguridad, con qué periodicidad se hacen, cuál es el procedimiento a seguir en caso de que se produzca una incidencia en la empresa respecto a datos personales, etc.
  4. Relación de los encargados del tratamiento, es decir, de las empresas a las que se ha contratado la prestación de un servicio y en función de dicha prestación tienen acceso a datos personales. Por ejemplo: la gestoría laboral, gestoría fiscal, la empresa de mantenimiento informático, la empresa de prevención de riesgos laborales, etc.).
  5. Inventario de: los soportes con acceso a datos personales dónde se realizan las copias de seguridad, de los equipos informáticos que tienen acceso a datos y de los programas informáticos.
  6. Lista del personal de la empresa con acceso a datos y las funciones de cada uno de ellos (a qué ficheros acceden y qué pueden acceder con los datos personales que tratan).

En este sentido el artículo 88.3 del RLOPD, establece:

El documento deberá contener, como mínimo, los siguientes aspectos:

a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.

b) Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento.

c) Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.

d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.

e) Procedimiento de notificación, gestión y respuesta ante las incidencias.

f) Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.

g) Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.

Y el apartado 4 del mismo artículo añade:

4. En caso de que fueran de aplicación a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto, previstas en este título, el documento de seguridad deberá contener además:

a) La identificación del responsable o responsables de seguridad.

b) Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.

¿Debe actualizarse el documento de seguridad?

La respuesta es sí. Así el articulo 88.7 del RLOPD establece:

El documento de seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados. En todo caso, se entenderá que un cambio es relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas.

Por tanto, el documento de seguridad deberá actualizarse siempre que haya cambios sustanciales y, en su caso, anualmente para mantenerlo en todo momento actualizado, según la situación actual de la empresa.

Modelo del documento de seguridad

La Agencia Española de Protección de Datos, órgano competente en España en materia de protección de datos, ha puesto a disposición de su página web una guía para elaborar el documento de seguridad y un modelo de documento de seguridad editable que paso a adjuntar:

modelo_doc_seguridad (1)

 ¿Consecuencias de no disponer del documento de seguridad?

La consecuencia básica de no disponer de documento de seguridad, cuando estamos obligado a ellos, es la imposición de una sanción por parte de la Agencia Española de Protección de Datos. En este caso, podría tratarse de una sanción grave por no cumplir con las medidas de seguridad del RLOPD y la sanción podría alcanzar los 300.000 euros.

Además, debemos tener en cuenta que en caso de recibir una denuncia por vulneración del derecho a la protección de datos, la Agencia Española de Protección de Datos tendrá en cuenta, a la hora de cuantificar o modular la sanción, si cumplimos o no con la normativa y, entre otras, si disponemos de documento de seguridad.