Documento de Seguridad para la aplicación de la Ley Orgánica de Protección de Datos. Ejemplo básico.

El documento de seguridad no debe hacerse por cada fichero que deba isncribirse en la AEPD.

La Organización debe tener un documento de seguridad, es decir, la piedra angular de la seguridad de la información y la protección de datos, que englobe los cargos que asuman responsabilidades, las políticas o procedimeintos que se apliquen para la captación, almacenamiento, tratamiento o cancelación de los datos, y que recoja los requerimientos legales mínimos.

Primero deberéis detectar los datos de caracter personal que tenéis: empleados, socios, beneficiarios, patrocinadores, etc. cada uno de estos bloques supone un fichero, que se determina por la finalidad. Y cada uno debe inscribirse, a nombre de la organización, en la Agencia Española de Protección de Datos.

Después hay que definir el nivel de los datos, para establecer el grado de protección que debáis aplicar, y que definirá cómo habrá de ser vuestro documento d seguridad.

Como ejemplo básico, os recojo cómo puede ser un índice para un documento de seguridad que recola las medidas aplicables a datos de nivel básico, como ejemplo, y con ejemplo de anexos. :

1. INTRODUCCIÓN

2.ÁMBITO DE APLICACIÓN

3. MEDIDAS, NORMAS Y PROCEDIMIENTOS COMUNES DE SEGURIDAD: inventario de ficheros

4.MEDIDAS DE SEGURIDAD APLICABLES A LOS FICHEROS DE NIVEL BÁSICO

4.1. Funciones y Obligaciones del Personal

4.2. Procedimiento de notificación y gestión de incidencias

4.3. Identificación y Autenticación

4.4. Control de acceso

4.5. Gestión de soportes

4.6. Copias de respaldo y recuperación

ANEXO 1: Recursos Protegidos

ANEXO 2: Relación de personal autorizado

ANEXO 3: Catálogo de incidencias

ANEXO 3.1: Formulario de notificación de incidencias

ANEXO 3.2: Registro de incidencias

ANEXO 4: Funciones y obligaciones del personal

ANEXO 5: Formulario de alta, baja o modificación de usuarios

ANEXO 6: inventario de soportes

ANEXO 6.1: Registro de entrada de soportes

ANEXO 6.2: Registro de salida de soportes

ANEXO 7: Histórico de Auditorías

ANEXO 8: Controles periódicos de verificación

ANEXO 9: Flujo de información 71

ANEXO 10: Versiones del documento de seguridad

ANEXO 11: Notificación de creación, supresión o rectificación de ficheros al RGPD

ANEXO 12: Modelos de ejercicio de derechos para los interesados

ANEXO 13: Modelos de respuesta ante el ejercicio de derechos

Podrá hacerse más o menos sencillo, acorde con las posibilidades y necesidades de la Organización, pero siempre cumpliendo con la LO 15/1999 y RD 1720/2007.

Para ayudaros, podéis usar el MODELO DE DS que publica la AEPD,

y usar la guia de seguridad,