El Documento de Seguridad es un archivo interno que recopila las normas de obligado cumplimiento por el personal con acceso a los sistemas de información que contengan datos de carácter personal (facturas, nóminas, datos de clientes, etc.). Sus indicaciones establecen un protocolo de actuación que garantiza la seguridad de los ficheros y evita su pérdida, alteración, tratamiento o acceso no autorizados.

El texto de esta guía de seguridad interna recogerá:

  • El Ámbito de aplicación: se especificarán los sistemas de información, soportes y equipos empleados para el tratamiento de los datos de carácter personal. Los ficheros se hallan bajo la responsabilidad de la empresa, independientemente de los usuarios que accedan a ellos y de su ámbito de aplicación.
  • Los procedimientos de actuación, medidas, normas, reglas y estándares que garantizarán la seguridad exigida en el reglamento.
  • Las funciones y obligaciones del personal.
  • La estructura de los ficheros y descripción de los sistemas de información utilizados.
  • Los procedimiento para la notificación, gestión y respuesta de las incidencias que puedan producirse con los ficheros (p. e. notificárselo al responsable de seguridad, que restablecerá el último backup).
  • Las medidas se adoptarán en caso de traslado de soportes o documentos, destrucción, etc., que ha de ser autorizado por el responsable de seguridad.
  • Identificar al responsable de seguridad.
  • Los controles periódicos que garantizan el cumplimiento de las disposiciones.

La AGPD ofrece una guía para elaborar el documento de seguridad y un modelo prediseñado donde solo tendrás que rellenar algunos campos personalizables.

Para velar por su adecuado cumplimiento, se definirá desde el principio un Responsable de Seguridad, quien elaborará y actualizará el documento con las medidas, normas y procedimientos; establecerá los usuarios con acceso a cada información, el cual podrá fijarse por niveles dependiendo del usuario, así como conceder, anular o alterar accesos.

Esta figura rendirá cuentas en las auditorías bianuales y en las posibles inspecciones que la LOPD pueda efectuar en nuestra empresa, generalmente a petición de terceros.

Por otra parte, la empresa asumirá la responsabilidad de divulgar la normativa de seguridad entre el personal, especificando las funciones y obligaciones mediante una formación específica o algún medio que garantice su conocimiento por parte de todos los empleados.

Al establecer un protocolo de notificación, gestión y respuesta a las incidencias, el responsable de seguridad creará un «registro de incidencias» y fijar un procedimiento para la recuperación de los datos de nivel alto y medio se dañen. Por ejemplo, si se desaparecen las nóminas de la empresa, estará previsto un modo de reproducción.

La normativa obliga a llevar a cabo una copia de seguridad semanal, que verificará semestralmente, y a que la copia se guarde en una ubicación diferente al original.

Para un mejor control de los accesos al sistema por el personal autorizado, este dispondrá de una autentificación de identidad. La empresa definirá un procedimiento de gestión, un inventario de los soportes, de la información y de los criterios de almacenamiento, si han de estar bajo llave (ficheros manuales), etc.

El personal responsable custodiará los documentos con datos de carácter personal y, en caso de que los ficheros automatizados sean de nivel alto, cifrará las comunicaciones para evitar filtraciones a terceros.

El último de los puntos claves de todo el proceso de adaptación reside en el control posterior de su aplicación. La legislación española estipula la obligación de someterse a una auditoría interna -por personal especializado- o externa -por un auditor autorizado- cada dos años cuando nuestros ficheros automatizados y no automatizados sean de nivel medio o alto.

¿Tu negocio online está preparado para la LOPD y la LSSI-CE?

¡Empieza a adaptarte desde YA y evita sanciones!