El Documento de Seguridad se regula en el artículo 88 del Reglamento 1720/2007.
ES UN DOCUMENTO INTERNO DE LA ORGANIZACIÓN.
- Corresponde al Responsable del Fichero o del Tratamiento, elaborar el Documento de Seguridad, cuya finalidad es recoger las medidas de índole técnica y organizativa acordes a la normativa de seguridad.
- Será de obligado cumplimiento para el personal con acceso a los sistemas de información.
- Podrán elaborarse distintos documentos de seguridad agrupando ficheros o tratamientos según el sistema de tratamiento utilizado para su organización, o bien atendiendo a criterios organizativos del Responsable.
- Podrá ser único y comprensivo de todos los ficheros o tratamientos, o bien individualizado para cada fichero o tratamiento.
¿Qué debe contener?
a.Ámbito de aplicación del
documento con especificación
detallada de los recursos
protegidos.
b.Medidas, normas,
procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este
reglamento.
c.Funciones y obligaciones del
personal en relación
con el tratamiento de los
datos de carácter personal
incluidos en los ficheros.
d.Estructura de los ficheros con
datos de carácter personal y descripción de los
sistemas de información
que los tratan.
e.Procedimiento de notificación,
gestión y respuesta ante las incidencias.
f.Los procedimientos de
realización de copias de
respaldo y de recuperación de
los datos en los ficheros o tratamientos automatizados.
g.Las medidas que sea
necesario adoptar para el
transporte de soportes y
documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos
últimos.
Además:
En caso de que fueran de aplicación a los ficheros las medidas
de seguridad de nivel medio o las medidas de seguridad de nivel alto, el documento de seguridad deberá contener:
a)La identificación del responsable
o responsables
de seguridad.
b)Los controles
periódicos que se deban realizar para verificar el
cumplimiento de lo dispuesto en el propio documento.
Y además. cuando exista un tratamiento de datos por cuenta
de terceros,
el documento de
seguridad deberá contener
la identificación de los
ficheros o tratamientos que se traten en concepto de encargado con referencia expresa al
contrato o
documento que regule las condiciones del encargo, así como de la identificación del responsable y del período
de vigencia del encargo.
¿Se puede delegar la llevanza del Documento de Seguridad?
ØCuando tal circunstancia afectase
a parte o a la totalidad de los ficheros o tratamientos del responsable, podrá delegarse
en el
encargado la llevanza del documento de seguridad, salvo en lo relativo a aquellos datos contenidos en recursos propios.
ØEste hecho se
indicará de modo expreso en el contrato celebrado al amparo del artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, con especificación de los ficheros o
tratamientos afectados.
ØEn tal caso, se atenderá al documento de seguridad del encargado al efecto del cumplimiento de lo dispuesto en el Reglamento 1720/2007.
ØEl documento de
seguridad deberá
mantenerse en
todo momento
actualizado y será
revisado siempre que se produzcan cambios relevantes en el sistema de información, en el
sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o
tratamientos o, en su caso, como consecuencia de los controles periódicos realizados.
ØEn todo caso, se entenderá que un
cambio es relevante cuando
pueda repercutir en el
cumplimiento de las medidas de seguridad implantadas.
ØEl contenido del
documento de seguridad deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.
No hay comentarios:
Publicar un comentario