GUIA DOCUMENTO DE SEGURIDAD

1.- Entrega de Documentacin Este documento es el que encontramos al principio, mediante la firma del cual formalizaremos la entrega del Documento de Seguridad y dems documentacin para el cumplimiento de la Ley Orgnica de Proteccin de Datos. Una vez firmada una de las dos copias nos la tendr que reenviar. 2.- Documento de Seguridad El presente documento tiene por objeto recopilar la normativa referente a las medidas de seguridad de obligado cumplimiento para todo el personal con acceso a los datos automatizados o no automatizados de carcter personal y a los sistemas de informacin que los tratan, de acuerdo con lo previsto en el Real Decreto 1720/2007. Si miramos el ndice veremos que el Documento de Seguridad lo hemos estructurado en captulos y apndices. A continuacin vamos a explicar cada uno de ellos. 2.1 Responsable de Seguridad En el captulo 3 introducimos la figura del Responsable de Seguridad. Las funciones encomendadas son las de coordinacin y control de todas las medidas definidas en el Documento de Seguridad. Funciones que nombramos en el captulo 5. En el apndice B encontraremos el Nombramiento del Responsable de Seguridad. Este documento lo debern firmar el Responsable del Fichero y el Responsable de Seguridad. El original deber guardarse en el mismo Documento de Seguridad y una copia ser para el Responsable de Seguridad. 2.2 Normativa de seguridad En el captulo 4 tratamos algunos aspectos del sistema informtico que tratan datos de carcter personal.

Gua Documento de Seguridad.pdf

Copyright 2005-2008 CONVERSIA. Derechos reservados.

Pgina 1 de 4

En el punto 4.1 hacemos referencia a las empresas o personas que pueden tener acceso a los sistemas informticos des de fuera de los locales de ubicacin de los ficheros. Estas conexiones debern garantizar un nivel de seguridad equivalente al correspondiente a los accesos a modo local. En el punto 4.2 nos referimos al tratamiento de datos de carcter personal en los porttiles. Relacionando el nmero de porttiles existentes en la entidad y las obligaciones de los empleados que tienen asignado un porttil. Para el tratamiento de datos en los porttiles deber haber una previa autorizacin por parte del Responsable de Seguridad. En el apndice G encontramos la relacin de las personas que realizan tratamiento de datos fuera de los locales de ubicacin del fichero mediante porttiles y la autorizacin del Responsable de Seguridad. Para la autorizacin, el responsable de seguridad deber firmar el apartado autorizacin. En el punto 4.4 describimos el procedimiento que se sigue para la identificacin y autentificacin de los usuarios para acceder a los sistemas de informacin. Es decir, si utilizan usuario y contrasea. Para establecer este procedimiento vemos las pautas a seguir en los apndices I y J. Tal y como establecen estos apndices, todo el personal con acceso a los sistemas de informacin que tratan datos de carcter personal deben tener nombre de usuario y contrasea propio. Para poder dar cumplimiento a las obligaciones establecidas en el Reglamento, nos deber enviar una relacin de usuarios de acuerdo con la tabla que encontrar en el apndice E. Y finalmente en el punto 4.6 encontramos las pautas a seguir para la gestin de soportes que contengan datos de carcter personal. En el apndice H se encuentra una relacin de salidas de soportes previamente autorizadas. 2.3 Funciones y obligaciones del personal En el captulo 5 del Documento de Seguridad establecemos cules son las funciones y obligaciones por parte del personal respecto a la proteccin de datos de carcter personal. Estas obligaciones se habrn comunicado a todo el personal mediante la entrega del comunicado interno y los compromisos de confidencialidad. Cuando estn firmados todos los compromisos de confidencialidad se debern guardar en esta misma carpeta. 2.4 Estructura de los ficheros y descripcin de los sistemas de informacin que los tratan El captulo 6 nos hace referencia a los apndices A y C. En el apndice A relacionamos las aplicaciones que se utilizan por la entidad para el tratamiento de datos de carcter personal. Y en el apndice C identificamos los ficheros que se han inscrito en el Registro General de la Agencia Espaola de Proteccin de Datos indicando, fecha de inscripcin y cdigo de inscripcin. En el supuesto que el cdigo de inscripcin no se encuentre es porque todava no se han recibido los cdigos asignados. En el momento que se reciban se proceder a la actualizacin de dicho apndice. 2.5 Registro de Incidencias En el captulo 7 se desarrolla la forma de proceder en el caso de que se produzcan incidencias durante el tratamiento de datos de carcter personal. En el apndice K titulado gestin de incidencias se describen las pautas a seguir cuando se produzcan incidencias. Cualquier anomala que afecte a la seguridad de los datos debe ser notificada y registrada, sta es una de las obligaciones del Responsable de Seguridad. Ser necesario llevar un control de dichas anomalas, se adjuntan unos modelos para cumplimentar y llevar dicho seguimiento.

Gua Documento de Seguridad.pdf

Copyright 2005-2008 CONVERSIA. Derechos reservados.

Pgina 2 de 4

2.6 Procedimientos de copias de respaldo y recuperacin. En el captulo 8 se describe el procedimiento utilizado para la realizacin de copias de seguridad y tambin el procedimiento a seguir en el caso de la recuperacin de datos. Las copias de seguridad se debern realizar como mnimo semanalmente o cuando se produzca una actualizacin de los datos. 2.7 Consecuencias del incumplimiento del Documento de Seguridad En el captulo 9 advertimos de las consecuencias que se pueden producir si no se cumple con las medidas de seguridad dispuestas en el Documento de Seguridad. Dicho incumplimiento est considerado como una infraccin grave y las infracciones graves estn sancionadas con una multa de 60.101,21 a 300.506,05.

2.8 Contratos de Prestacin de Servicios En el apndice F se recoge una relacin exhaustiva de los terceros que como consecuencia de la prestacin de servicios que hacen al Responsable del Fichero acceden a datos de carcter personal. Durante el proceso de adaptacin el consultor que usted tenga asignado le habr enviado por correo electrnico los contratos de prestacin de servicios que usted deber hacer firmar y guardar una copia en esta misma carpeta. 2.9 Ficheros no automatizados En el apndice L se establecen las medidas de seguridad que se debern adoptar para los ficheros que se encuentren en soporte papel. 3.- Documentacin Adicional El apndice M est estructurado en varios puntos. En cada uno de estos puntos se recoge la documentacin que se ha enviado por correo electrnico para el cumplimiento de las obligaciones establecidas por la Ley Orgnica 15/1999 y el Real Decreto 1720/2007. Esta documentacin complementa lo dispuesto en el Documento de Seguridad. El punto M.1 hace referencia a la documentacin para los clientes. La documentacin que se adjunta es carta para clientes antiguos, clusula para las facturas o albaranes o contratos y nota informativa. La carta clientes antiguos debe enviarse a todos los clientes de la empresa a los que todava no se haya ejercitado el derecho de informacin. Puede mandarse por correo, aunque si les ve asiduamente podra hacrselo firmar. A efectos de la LOPD, ser necesario que el responsable del tratamiento acredite la realizacin del envo y exista un principio de prueba que el envo efectivamente realizado ha llegado a su destino. Por tanto, aconsejamos utilizar el correo certificado. Otra forma de ejercer el deber de informacin y obtener el consentimiento de los clientes es mediante la inclusin de una clusula a las facturas, albaranes o contratos. Deber poder acreditar el cumplimiento de este deber de informacin y consentimiento durante el tratamiento de los datos.

Gua Documento de Seguridad.pdf

Copyright 2005-2008 CONVERSIA. Derechos reservados.

Pgina 3 de 4

El otro documento que se puede utilizar en el caso que no se pueda ejercitar dichos deberes mediante los documentos mencionados anteriormente es la nota informativa. Este documento se deber colocar en un lugar visible para todos los clientes. En el punto M.2 se encuentran distinos modelos de clusulas legales para documentos. En este punto tambin hacemos referencia a los ejercicios de derechos, dnde se encuentra toda la informacin pertinente para poder atender a las peticiones realizadas por clientes, trabajadores o terceros. Si recibe cualquier carta de este tipo debe ponerse en contacto en la mayor brevedad posible para dar respuesta dentro los plazos legalmente establecidos. En el apartado de clusulas legales encontrar diferentes modelos de clasulas para poder ejercitar el deber de informacin al que est obligado y obtener el consentimiento legalmente exigido. En el punto M.4 hay la documentacin necesaria para que el responsable del fichero garantice el deber de secreto con sus empleados. Para ello hemos redactado dos tipos de documentos un comunicado interno dnde informamos de la existencia de la LOPD y de las medidas de seguridad que se deben adoptar. Y un compromiso de confidencialidad que deber entregarse a todo el personal para que lo firme y as certifique su compromiso de velar por la seguridad y el buen uso de los datos. En caso de que se trate de personal sin acceso a datos, deber entregar el comunicado internopersonal sin acceso a datos. Por ltimo, el punto M.5 recoge todos los contratos de prestacin de servicios que se han redactado para su entidad. Estos documentos debern firmarse por dublicado para regularizar las actividades de las empresas que les prestan un servicio y que con esta prestacin tratan datos de carcter personal. Por medio de estos contratos, estas empresas se constituirn encargadas del tratamiento de los datos que ustedes les comunican y debern cumplir con las obligaciones que la LOPD y el Reglamento establecen para los encargados de tratamiento.

Una vez visto el Documento de Seguridad, el consultor asignado empezar con los controles de seguimiento que tienen por objeto ayudarle con la implantacin de las medidas de seguridad y tener actualizado el Documento de Seguridad, tanto a la normativa como a la realidad de la empresa.

Departamento de Consultora

Gua Documento de Seguridad.pdf

Copyright 2005-2008 CONVERSIA. Derechos reservados.

Pgina 4 de 4