El documento de seguridad para un correcto tratamiento de los datos de carácter personal

Dentro del protocolo interno de seguridad en la empresa, tiene un papel destacado en lo relativo a la protección de datos el denominado Documento de Seguridad, obligatorio para todos los responsables de ficheros de carácter personal y para los encargados de su tratamiento. El responsable de seguridad debe elaborar dicho documento, que ha de recoger las medidas de índole técnica y organizativa acordes con la normativa de seguridad vigente y que es de obligado cumplimiento para el personal con acceso a los sistemas de información.

El Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), establece las medidas que los responsables de seguridad han de implantar para garantizar la seguridad de los ficheros, los centros de tratamiento, locales, sistemas, programas y personas que intervengan en el tratamiento de datos de carácter personal. El documento de seguridad tiene el carácter de documento interno de la organización y debe mantenerse en todo momento actualizado y revisado cuando se produzcan cambios importantes en la empresa. Asimismo, ha de adecuarse en todo momento a la normativa vigente en la materia.

Información del documento de seguridad en la empresa

Es importante que todos los empleados conozcan el documento de seguridad, a fin de evitar errores humanos e incurrir, así, en sanciones impuestas por parte de la Agencia Española de Protección de Datos (AEPD). Y es que en la mayoría de los casos, las infracciones en materia de protección de datos se deben al desconocimiento y la falta de información. Por tanto, todo el personal debe estar informado convenientemente para que no se produzcan infracciones de la Ley, que pueden ser castigadas con multas de hasta 60.101 euros, en el caso de las leves; hasta 300.506 euros para las graves y hasta 601.012 euros para las muy graves. Los únicos sujetos sancionables son el responsable del fichero y el encargado del tratamiento.

Para evitar este tipo de situaciones, el responsable de seguridad debe velar por que en la empresa se lleven a cabo todos los procedimientos descritos en el documento, por lo que es recomendable realizar sesiones de formación interna para que todos los trabajadores lo conozcan en profundidad. Asimismo, ha de controlar la gestión de los soportes de información, ya que la fuga de datos y posterior utilización ilícita de los mismos puede conllevar consecuencias irreparables. Controlar las copias de seguridad, analizar los informes de auditoría de protección de datos y supervisar a los programadores informáticos, tanto externos como internos, son otras de sus funciones.

¿Qué debe contener el documento de seguridad?

Un Documento de Seguridad debe incluir unos apartados fijos, tales como el ámbito de aplicación, una especificación detallada de los recursos protegidos, así como las medidas, normas, procedimientos, reglas y estándares de seguridad. También debe recoger las funciones y obligaciones del personal; la estructura y descripción de los ficheros y sistemas de información; el procedimiento de notificación, gestión y respuesta ante incidencias, y el de copias y respaldo de recuperación de datos. Finalmente, debe especificar las medidas adoptadas en el transporte, destrucción y/o reutilización de soportes y documentos.

En el caso de un documento de seguridad para ficheros de nivel medio o alto es necesario identificar al responsable/s de seguridad y especificar el protocolo para realizar los controles periódicos para adecuar el documento a la estructura de la empresa. Si, en cambio, el tratamiento de los ficheros corre a cargo de terceros, el documento deberá hacer referencia al contrato suscrito para regularizar el acceso y la vigencia de dicho encargo.

Según el reglamento de la Ley de Protección de Datos, el documento de seguridad puede ser único y comprender todos los ficheros, o bien individualizado para cada fichero. El responsable de seguridad puede agrupar ficheros para su mejor organización, en cuyo caso deben elaborarse diferentes documentos de seguridad para cada grupo.

Por último, cabe destacar que el Documento de Seguridad debe adaptarse a las especificidades de cada empresa, ya que es un manual de procedimiento esencial, configurado en base a las necesidades y actuaciones de cada entidad, y que precisa de una adecuada sujeción a la normativa en cada caso concreto.