En nuestra empresa, un despacho de 22 trabajadores,dedicado a auditoría y asesoría fiscal y contable, estamos poniendo al día nuestro sistema para dar cumplimiento a las obligaciones derivadas de la Ley de Protección de Datos personales. En cuanto al documento de seguridad que tenemos que realizar, quería saber qué contenidos han de incluirse, quién ha de tener acceso a dicho documento y si tenemos que enviarlo a la Agencia Española de Protección de Datos para su revisión.
El documento de seguridad tiene carácter interno dentro la empresa, debe mantenerse siempre actualizado y ha de recoger toda la información señalada en la normativa de seguridad establecida al respecto. Deberá plasmar la integridad de las medidas, normas, reglas, obligaciones…
que rigen el trabajo en esta materia, asegurándose además que, las mismas, se adaptan a las exigencias legales.
Además, recogerá las funciones y obligaciones del personal que vaya a tratar los datos. En este sentido, deberemos asegurarnos de que dicho personal sea conocedor de sus funciones y obligaciones en dicha materia. Asimismo se recogerán las posibles incidencias surgidas de manera que las mismas puedan ser solucionadas y evitadas en el futuro.
No es necesario enviar dicho documento a la AEPD para su revisión, no obstante, deberá estar disponible ante un posible requerimiento por la autoridad competente, dentro del marco de una posible inspección.
Disponer del documento de seguridad es una obligación para todos los responsables de ficheros y, en su caso, para los encargados del tratamiento, con independencia del nivel de seguridad que sea necesario aplicar.
Como mínimo el contenido del documento de seguridad ha de ser el siguiente:
– Ámbito de aplicación.
– Especificación detallada de los recursos protegidos.
– Medidas, normas, procedimientos, reglas y estándares de seguridad.
– Funciones y obligaciones del personal.
– Estructura y descripción de los ficheros y sistemas de información.
– Procedimiento de notificación, gestión y respuesta ante incidencias.
– Procedimiento de copias de respaldo y recuperación de datos.
– Medidas adoptadas en el transporte, destrucción y/o reutilización de soportes y documentos.
Si además existen datos de nivel de seguridad medio y/o alto, de forma adicional a lo anteriormente manifestado habrá de incluirse:
– Identificación del responsable de seguridad.
– Control periódico del cumplimiento del documento.
En definitiva, se podrá incorporar al documento cualquier otra medida que se considere oportuna para incrementar la seguridad de los tratamientos, o incluso, adoptar las medidas exigidas para un nivel de seguridad superior al
que por el tipo de información les correspondería, teniendo en cuenta la infraestructura y las circunstancias particulares del despacho.
En caso de haber contratado la prestación de servicios por terceros para determinados ficheros, dicha circunstancia debe hacerse constar en el documento de seguridad,haciendo referencia al contrato suscrito y su vigencia, y mención expresa a los ficheros afectados por esta circunstancia.
El RLOPD especifica que se puede disponer de un solo documento que incluya todos los ficheros y tratamientos con datos personales de los que una persona física o jurídica sea responsable, un documento por cada fichero o tratamiento, o los que determine el responsable atendiendo a los criterios organizativos que haya establecido.