Para comenzar a redactar el Documento de Seguridad al que hacíamos referencia en el anterior post de la serie, el responsable del fichero habrá de definir el ámbito de aplicación del documento, es decir, indicar a qué ficheros con datos de carácter personal se aplica, ya que la ley autoriza a redactar un documento por cada fichero o uno genérico para todos los ficheros de la entidad, siendo éste el caso más usual en una pyme.
Asimismo habrá que indicar cuál es el nivel de seguridad (bajo, medio o alto) a aplicar a cada fichero atendiendo a la naturaleza de la información tratada, en relación con la menor o mayor necesidad de garantizar la confidencialidad y la integridad de la información, indicando también si se trata de sistemas automatizados, manuales o mixtos.
Sin embargo el grueso del texto será la descripción de las medidas, normas, procedimientos, reglas y estándares encaminados a garantizar los niveles de seguridad exigidos en el documento.
Hay que distinguir esta parte del documento de los Anexos que se incluyen al final del mismo. Es en estos Anexos dónde se indicarán los listados y registros que hay que mantener actualizados, mientras que aquí estamos estableciendo las medidas tomadas para garantizar y proteger los datos de carácter personal, digamos las "reglas del juego".
Sea cual sea el nivel de protección exigido, el Documento de Seguridad deberá incluir estos apartados:
- Identificación y autenticación.
- Control de accesos.
- Gestión de soportes y documentos.
- Acceso a datos a través de redes de comunicaciones.
- Régimen de trabajo fuera de los locales de ubicación del fichero.
- Ficheros temporales o copias de trabajo de los documentos.
- Funciones y obligaciones del personal y procedimiento de información.
- Procedimientos de notificación, gestión y respuesta ante incidencias.
- Procedimientos de revisión.
En el caso de ficheros de nivel medio o alto, se añadirá además:
- Procedimiento de registro de accesos.
- Procedimiento de registro de entrada y salida de soportes.
- Criterios de archivo.
- Almacenamiento de la información.
- Custodia de soportes.
- Mecanismos de cifrado.
- Traslado de documentación.
- Copias de respaldo y recuperación.
- Responsable de seguridad.
- Procedimiento de auditoría.
Como ya indicaba, algunos de estos procedimientos generan la obligación de mantener listados (personal con acceso a datos, autorizaciones, copias de seguridad, etc...) que se incorporan al Documento de Seguridad como Anexos. En el siguiente post de la serie veremos qué Anexos son y la obligación de mantenerlos actualizados.
En Tecnología Pyme | LOPD: Guías prácticas y conceptos básicos