Para una óptima protección de los datos se requiere de un documento de seguridad LOPD. Este documento permite crear y llevar a cabo, los procedimientos necesarios para garantizar la seguridad de todos los datos personales, la inclusión de dicho fichero es obligatoria, ya sea de cara al responsable del mismo o del responsable de su tratamiento.
¿Cuándo estamos obligados a incluir el documento de seguridad LOPD?
El Real Decreto 994/1999, de 11 de Junio, mediante el cual se aprueba el Reglamento de medidas de seguridad de todos aquellos ficheros que sean creados, editados o borrados de forma automática y que alberguen datos personales, dicta que es obligada su adopción en el caso de que se traten de datos personales, independientemente del nivel de seguridad al que correspondan dichos datos.
¿Se incurre en una infracción si no se dispone de documento de seguridad LOPD?
Se incurrirá en infracción grave en el caso de que se posean ficheros, locales, programas o equipos que dispongan de datos personales, sin haber aplicado los requisitos de seguridad que se especifican en el Artículo 43.h) Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal.
¿En qué lugar aparece el fundamento legal que me obliga a adoptar el documento de seguridad LOPD?
En el artículo 9 de la LOPD, indica en el primer párrafo: «El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural».
¿Los empleados de la organización deben ser conscientes de la existencia y contenido del documento de seguridad LOPD o tan solo el responsable del tratamiento del mismo?
Todo aquel con acceso a datos personales, o que manipule estos, debe estar sujeto a las funciones y obligaciones que estipula el Artículo 9.1 Real Decreto 994/1999.
Aunque el responsable del documento de seguridad LOPD, debe aplicar las medidas necesarias, para que todo el personal que tenga acceso a datos personales, conozca las normas de seguridad que se aplican a su actividad, así como de las consecuencias derivadas de su incumplimiento. Artículo 9.2 Real Decreto 994/1999.
Desde Epic Solutions S.L. nos encargamos de hacer el estudio de seguridad, inscripción de las bases de datos en la Agencia de Protección de Datos y de elaborar el correspondiente Plan de seguridad informática y de su mantenimiento con todos los apartados que conlleva:
- Los procedimientos de creación, conservación y borrado de ficheros temporales.
- Los procedimientos de Gestión y Notificación de Incidencias.
- Los procedimientos de realización de copias de respaldo y recuperación.
- El control y registro de accesos a la información, con determinación de perfiles de usuarios y privilegios.
- Los procedimientos de acceso y transmisión de datos a través de redes de telecomunicación.
- Los procedimientos de cifrado de información sensible.
- Los procedimientos de borrado y destrucción de soportes.
- Los procedimientos de pruebas de nuevas aplicaciones/herramientas con datos reales.
- Los procedimientos de acceso, almacenamiento, conservación y destrucción de datos en formato papel.