Actualmente el uso y las transferencias de datos son un hecho cada vez más común y que se realiza de forma masiva por lo que la protección de los datos personales es un elemento esencial para la intimidad de las personas, derecho fundamental que recoge la Constitución. Por ello, es necesario que se tomen una serie de medidas que ofrezcan unas garantías suficientes para la seguridad de los datos.
Así pues, el artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en adelante LOPD, establece que el responsable del fichero o el encargado deberá tomar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos. Además, el Real Decreto 1720/2007, de 21 de diciembre, que desarrolla la LOPD, en adelante RDLOPD, añade que entre éstas medidas se encuentra la elaboración de un documento que recoja el conjunto de medidas de seguridad, es decir, el llamado documento de seguridad.
Así pues, el artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en adelante LOPD, establece que el responsable del fichero o el encargado deberá tomar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos. Además, el Real Decreto 1720/2007, de 21 de diciembre, que desarrolla la LOPD, en adelante RDLOPD, añade que entre éstas medidas se encuentra la elaboración de un documento que recoja el conjunto de medidas de seguridad, es decir, el llamado documento de seguridad.
Dicho esto, podemos afirmar que
siempre que se traten datos se deberá tener un documento de seguridad, sean pocos
o muchos, un fichero o más. Y, ¿cómo debe ser este documento? El mismo RDLOPD
se encarga de desarrollarlo en su capítulo II y, además, permite distintas
opciones en relación a dicho documento: que se tenga un documento común para
todos los ficheros, uno para cada fichero o uno por grupo.
Dicho lo anterior, vamos a ver qué debe contener el documento de
seguridad y por ello nos remitimos al artículo 88.3 RDLOPD que nos establece el
contenido mínimo:
- Ámbito de aplicación del documento.
- Medidas, normas y procedimientos de actuación. Es la parte básica del documento, se fijan las bases y protocolos de actuación en el tratamiento de datos dentro de la organización determinando los procesos existentes y actualizando el documento cuando existan procesos nuevos o nuevas normas.
- Funciones y obligaciones del personal que trate datos. Es uno de los apartados más importantes ya que se va a definir quién tiene acceso a qué datos, en qué condiciones y qué responsabilidades se derivan de ello.
- Estructura de los ficheros y los sistemas de información. Se deberá hacer una descripción detallada de los ficheros así como los sistemas manteniendo actualizada la relación.
- Procedimiento de notificación, gestión y respuesta ante incidencias. Hace referencia a todo aquello relacionado con las incidencias de modo que cuándo se produzca una exista un protocolo de actuación en todos los sentidos: notificación, gestión y respuesta ante la misma.
- Procedimiento de copias de respaldo y recuperación de los datos. En este apartado se deberá hacer referencia a periodicidad de las copias, cómo se realizaran y quién será el encargado de realizarlas, etc.
- Medidas necesarias para el transporte de soportes y documentos, destrucción y/o reutilización. El objetivo final es la destrucción de los datos de forma efectiva de modo que se establezca un proceso que no deje lugar a posibles fugas o pérdidas de información en el proceso de destrucción. Por ejemplo, si se contrata a un tercero para ello deberá constar en el documento identificando el tercero así como las condiciones.
Asimismo si hay tratamiento de datos por cuenta de terceros
también se deberá reflejar en el documento con la identificación de ficheros y
tratamientos así como el contrato y sus condiciones. También, si hay
tratamiento de datos de forma exclusiva por parte del tercero se deberá
reflejar en él.
Finalmente será imprescindible
que se mantenga actualizado en todo
momento y se adecue a las disposiciones vigentes en materia de protección de
datos así como deberá contener todo lo relevante en relación a los tratamientos
de datos que se produzcan en la organización intentando plasmar lo mejor
posibles los protocolos y procesos que se ejecutan para minimizar los riesgos
posibles.
Así pues, queda constancia de que
se trata de un documento imprescindible que facilita la tarea ante cualquier
incidencia así como nos garantiza el cumplimiento de la normativa de protección
de datos de modo que toda empresa debe tenerlo sobre todo si trata datos de
carácter medio o alto. Por otro lado, su actualización periódica o ante cualquier cambio relevante será esencial para que refleje la situación real de los procesos de tratamiento y la situación general de la empresa en términos de protección de datos.
No hay comentarios:
Publicar un comentario