Guías prácticas de la LOPD (VII): Anexos al Documento de Seguridad

Guías prácticas de la LOPD (VII): Anexos al Documento de Seguridad
Sin comentarios

Por una parte tenemos que buena parte de la información que sobre la entidad responsable de un fichero con datos de carácter personal queda recogida en el Documento de Seguridad es de carácter dinámica, es decir, puede verse modificada en el tiempo. Esta información, normalmente en forma de listados, suele recogerse en diferentes Anexos al documento.

Por otro lado, el artículo 7 del Reglamento de desarrollo de la LOPD dice: "El documento de seguridad deberá mantenerse en todo momento actualizado (...)".

Nos encontramos entonces con que la mayor complejidad en la gestión del Documento de Seguridad no está tanto en su redacción como en su mantenimiento. Veamos de qué se componen estos Anexos y qué cambios han de reflejar.

Es importante aclarar que el Reglamento LOPD no impone un listado taxativo de estos Anexos, sino que indica la obligación de mantener actualizadas una serie de informaciones requeridas, y por lo tanto existe cierta flexibildad a la hora de redactar estos documentos. Esta es una propuesta para organizarlos y agruparlos de una forma lógica:

  • Descripción de ficheros: nombre del fichero o tratamiento, descripción; unidad/es con acceso al fichero o tratamiento; identificador del Registro General de Protección de Datos de la AEPD; nivel de medidas seguridad a adoptar (básico, medio o alto); Código Tipo y otras leyes aplicables (si las hubiere); procedimiento y servicio ante el que puedan ejercitarse los derechos de acceso, rectificación, cancelación y oposición; descripción detallada y periodicidad de las copias de respaldo y de los procedimientos de recuperación; relación de usuarios con acceso autorizado; funciones del personal con acceso a los datos personales; descripción de los procedimientos de control de acceso e identificación, y el responsable de seguridad (éste último dato sólo para niveles medio o alto).
  • Nombramientos: que afecten a los diferentes perfiles incluidos en este documento, como el del responsable de seguridad.
  • Autorizaciones de salida o recuperación de datos: autorizaciones que el responsable del fichero ha firmado para la salida de soportes que contengan datos de carácter personal, así como aquellas relativas a la ejecución de los procedimientos de recuperación de datos.
  • Inventario de soportes y registro de salida y entrada: los soportes deberán permitir identificar el tipo de información, que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al personal autorizado para ello. Además en los niveles medio y alto es obligatorio llevar un registro de salida y entrada de cada soporte.
  • Registro de incidencias: las que se produzcan en cualquier fichero y puedan afectar a la integridad y seguridad de la información.
  • Encargados del tratamiento: recoger aquí el contrato que establecerá expresamente que el encargado de tratamiento tratará los datos conforme a las instrucciones del responsable del los ficheros, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, y que no los comunicarán, ni siquiera para su conservación a otras personas. El contrato estipulará las medidas de seguridad que el encargado del tratamiento esta obligado a implementar.

En el caso de que la empresa tenga frecuentes cambios en estas áreas puede ser conveniente automatizar los listados mediante alguna aplicación informática.

En Tecnología Pyme | LOPD: Guías prácticas y conceptos básicos

Temas
Comentarios cerrados
Inicio