Todo sobre el documento de seguridad

El documento de seguridad tendrá que recoger las medidas de seguridad que afectan a todos los ficheros que contienen datos de carácter personal. 

El documento de seguridad es un documento interno de la empresa, autónomo, asociación, comunidad de propietarios, entidad u organismo público. Todos ellos deben tenerlo siempre que estén en poder de datos de personas físicas que permitan identificarlas o que las identifiquen. Al ser un documento interno propio de la organización del responsable, no se notifica a la Agencia Española de Protección de Datos, pero sí tiene que quedar a su disposición en caso de ser requerido por las autoridades de control.

No tienen que tenerlo cuando los datos de carácter personal que allí aparezcan sean utilizados por personas físicas en el ámbito doméstico, ya que la Ley Orgánica de Protección de Datos no se aplica en este ámbito.

¿Qué debe contener el documento de seguridad?

El documento de seguridad tendrá que recoger las medidas de seguridad que afectan a todos los ficheros que contienen datos de carácter personal. Teniendo en cuenta la forma en la que tratamos los datos que pueden ser de forma:

• Automatizada (todo digital).
• Manual (en soporte físico–papel).
• Mixta (tanto digital como en soporte físico).

Todos los ficheros se pueden recoger en un único documento, o en varios si se contempla hacer un documento de seguridad por cada fichero. Además, se contará con anexos, que deberán estar redactados conforme a la normativa, recogiendo las medidas de índole técnica y organizativa necesarias para garantizar la protección de los datos de carácter personal, así como la confidencialidad de los mismos.

El documento de seguridad deberá contener principalmente:

• El ámbito de aplicación del documento con especificación de los datos de carácter personal protegidos.
• Identificación de los ficheros (denominación) y su código de inscripción en la Agencia Española de Protección de Datos.
• Identificación del responsable de los ficheros y en su caso, de la persona o personas a las que se les han delegado las obligaciones del responsable.
• Identificación del Delegado de Protección de Datos (DPD) en caso de que sea necesario.
• Descripción de los ficheros: personas afectadas, tipo de dato que contienen (p. ej. nombres, apellidos, DNI, dirección, correo electrónico, información académica, nóminas, cuenta bancaria, imágenes, videos, información ideológica, religiosa, antecedentes penales, sanciones administrativas, etc. Aquí no se exponen los datos específicos de esas personas físicas, sino qué contiene el fichero en el caso de consistir en nombres de personas. Si contiene grabaciones de voz, es una identificación del tipo de dato y no los nombres en sí.
• Procedimientos de gestión de reclamaciones/solicitudes por parte de las personas afectadas en el ejercicio de sus derechos de información, acceso, rectificación, cancelación y oposición (ARCO), así como el derecho al olvido.
• Personas o empresas que acceden a los datos de carácter personal del fichero, información y obligaciones del personal. Confidencialidad.
• Las medidas técnicas y organizativas encaminadas a garantizar la protección de los datos de carácter personal exigida para el tratamiento de esos datos, ya que no es lo mismo tratar datos sensibles que tratar datos no sensibles.
• Personas que acceden a los datos de carácter personal desde el local de trabajo del responsable y desde fuera.
• Lugar donde se alojan los datos y a quién pertenece. Niveles de seguridad de los locales físicos y de los que se hallan en soporte digital, que tienen que ser conforme al nivel de seguridad implantado en función del tipo de datos que contienen.
• Indicación del país origen y país de destino, en caso de que se realicen transferencias internacionales de datos de carácter personal, en las que se requiere autorización por parte del Director de la Agencia Española de Protección de Datos, o el consentimiento inequívoco del afectado, a países fuera del Espacio Económico Europeo (EEE), medidas de seguridad contempladas en la transferencia internacional de datos.
• Códigos de conducta a los que se encuentra adherido el responsable del fichero.
• Procedimientos de notificación, gestión y respuestas ante las incidencias.
• Procedimientos de revisión. Auditorías.

Anexos al documento de seguridad

A continuación, muy esquemáticamente se exponen los Anexos:

• Anexo I. Descripción de ficheros. Incluirá: nombre del fichero o tratamiento, unidad con acceso al tratamiento, nº de identificador en el Registro General de Protección de Datos de la Agencia Española, identificador del responsable, indicación de si está incluido como Código Tipo Aplicable previsto en el art. 32 de la LOPD, estructura del fichero, finalidad, personas o colectivos afectados, nivel de seguridad implantado, cesiones previstas, transferencias internacionales y sistema de tratamiento. Además, indicación del tiempo en el que se guardan estos datos y actividades de registro del tratamiento.
• Anexo II. Nombramientos del responsable del fichero y sus representantes si los hubiera.
• Anexo III. Autorización de salida o recuperación de datos. Se han de adjuntar todas las autorizaciones que el responsable del fichero haya firmado para la salida de soportes que tengan datos de carácter personal, incluso de aquellos que tengan un carácter periódico. Identificación de las personas encargadas de la recuperación de los datos.
• Anexo IV. Delegación de autorizaciones. Indicación de las personas a las que el responsable del fichero haya delegado alguna de las funciones, como copia de documentos en soporte papel o salida de portátiles de la oficina.
• Anexo V. Inventario de soportes que contienen los datos de carácter personal.
• Anexo VI. Registro de incidencias para el caso de que la información total o parcialmente se extravíe por cualquier causa. Medidas de recuperación de los datos de carácter personal.
• Anexo VII. Encargados de tratamiento. Indicación de quiénes son los encargados del tratamiento, a qué tipo fichero acceden y qué servicio prestan al responsable del fichero.
• Anexo VIII. Registro de entrada y salida de soportes. Esta solo es obligatoria cuando los datos de carácter personal requieren el nivel de seguridad medio y alto. Si está informatizado deberá indicar en el registro de entrada y salida de soporte la forma en la que entran y salen los archivos, y desde dónde lo hacen.
• Anexo IX. Medidas alternativas. Se tendrán que indicar, cuando no sea posible adoptar las medidas previstas para el cumplimiento del RGPD, otras medidas alternativas que permitan garantizar el almacenamiento de la información en condiciones de seguridad adeudadas.

En resumen, es obligatorio tener el documento de seguridad que recopile la forma del tratamiento de los datos de carácter personal, que deberá estar actualizado siempre que se produzcan cambios que lo requieran. Por ejemplo, si nuestro personal laboral cambia tiene que actualizarse, si la forma en la que tratamos los datos varía, también; la actualización es obligatoria.