El documento de seguridad

El documento de seguridad es un documento privado pero de acceso público en el que señalan las políticas de seguridad que se van a seguir por quienes tratan datos, es decir, recogerá las medidas de índole técnica y organizativa, que será de obligado cumplimiento para el personal con acceso a los datos.

Medidas, normas, procedimientos y reglas de seguridad exigidos
Algunas de las medidas más importantes que tendrán que reflejar en su documento de seguridad:

  • Identificación y autentificación.
  • Control de acceso.
  • Registro de incidencias.
  • Gestión de soportes y documentos.
  • Criterios de archivo.
  • Almacenamiento de información.
  • Copias de seguridad.
  • Traslado de documentación.
  • Ficheros tratados fuera de los locales de la empresa.
  • Funciones y obligaciones del personal.

Procedimiento general de información al personal
En el documento de seguridad deberemos indicar, cuál es el procedimiento por el que se informará a cada persona con acceso a los datos, de las normas que deben cumplir y de las consecuencias de no hacerlo. Ej: circulares, recordatorios, nuevas normas, etc. (Circular interna…).

Funciones y obligaciones de carácter personal
Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso al os datos de carácter personal y a los sistemas de información estarán claramente definidas.

Procedimiento de notificación, gestión y respuesta ante las incidencias
Especificar los procedimientos de notificación y gestión de incidencias.

Procedimientos de revisión
Especificar los procedimientos previstos para la modificación del documento de seguridad, con especificación concreta de las personas que pueden o deben proponerlos aprobarlos.

Consecuencias del incumplimiento del documento de seguridad
Indicar la normativa sancionadora aplicable, ante el incumplimiento de las obligaciones y medidas de seguridad establecidas en el presente documento.

Auditoría

  • En el caso de ser una externa deberá realizarse contrato con la persona que realice el procedimiento de auditoría.
  • Consiste en la verificación de las Medidas de Seguridad del RD 1720/2007
  • Es obligatoria en ficheros de nivel Medio y Alto
  • Se puede realizar de forma interna o externa
  • Será opcional en los ficheros de nivel básico
  • Debe realizarse cada dos años.