Tanto las leyes
internacionales como europeas y españolas se esfuerzan por regular el derecho a
la privacidad, el honor y la propia imagen de cada persona, creando
instrumentos que garanticen la seguridad de los datos personales en una era
digital donde circulan más allá de las fronteras de cada estado. La información
personal se está convirtiendo en un valor al alza, en un producto muy preciado
por muchas empresas.
Actualmente estamos
asistiendo al desarrollo de infraestructuras que permiten almacenar información
en el llamado Cloud Computing o
Servicios en la Nube. Muchas empresas utilizan esta herramienta para ofrecen
servicios de correo electrónico, servicios de almacenamiento de documentos o
alojamiento de páginas web donde el usuario puede almacenar la información en
servidores y acceder donde y cuando lo desee simplemente desde internet.
Sin embargo, al ser la
información un producto muy preciado, grandes empresas están trabajando en la
recopilación y almacenamiento masivo de datos en el Cloud Computing dando origen al nacimiento del Big data, Datos masivos o Inteligencia de datos. La finalidad es
esencialmente la de análisis para un sinfín de propósitos: marketing,
investigación científica, predicción de comportamientos en todos los ámbitos, creación
de patrones o perfiles personales, etc.
Por otro lado, hay que
recordar que gran parte de las empresas, aunque trabajan con equipos
informáticos y dispositivos móviles, siguen empleando otros formatos de
almacenamiento de información como el papel para contratos, nominas, albaranes,
facturas, documentación fiscal, seguros sociales, etc.
Toda esta información
contenida en la “Nube”, equipos informáticos, dispositivos electrónicos y en
papel debe ser recopilada, tratada y compartida de manera segura para
garantizar los derechos a la intimidad, privacidad, honor y a la propia imagen.
Para ello se viene exigiendo a toda persona física o jurídica, que trate datos
personales con fines profesionales, la creación del llamado Documento de seguridad y el registro de
las bases de datos en la Agencia Española
de Protección de Datos.
¿Qué se entiende por Documento de seguridad?
Es un compendio de normas
o medidas
de índole técnica y organizativa imprescindibles para garantizar la
protección, confidencialidad, integridad y disponibilidad de los datos de
carácter personal.
Actualmente la Ley Orgánica de Protección de Datos y el
Reglamento que lo desarrolla denominan Documento de Seguridad a este
conjunto de normas o medidas, sin embargo, el Reglamento europeo, en su artículo
47 habla de “Normas corporativas
vinculantes”. A la espera de que la LOPD se modifique para adaptarse a la
legislación europea, podemos establecer que ambos conceptos se complementan.
Contenido
El artículo 88.3 y 88.4 del
Reglamento que desarrolla la Ley Orgánica
de Protección de Datos, establece el contenido principal:
a) Ámbito de aplicación
del documento con especificación detallada de los recursos protegidos.
b) Medidas, normas,
procedimientos de actuación, reglas y estándares encaminados a garantizar el
nivel de seguridad exigido en este reglamento.
c) Funciones y
obligaciones del personal en relación con el tratamiento de los datos de carácter
personal incluidos en los ficheros.
d) Estructura de los
ficheros con datos de carácter personal y descripción de los sistemas de
información que los tratan.
e) Procedimiento de
notificación, gestión y respuesta ante las incidencias.
f) Los procedimientos de
realización de copias de respaldo y de recuperación de los datos en los
ficheros o tratamientos automatizados.
g) Las medidas que sea
necesario adoptar para el transporte de soportes y documentos, así como para la
destrucción de los documentos y soportes, o en su caso, la reutilización de estos
últimos.
h) La identificación del
responsable o responsables de seguridad.
i) Los controles
periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto
en el propio documento.
Asimismo, se incluirán
los siguientes anexos:
1. Descripción de
ficheros: nombre del fichero, departamento que tiene acceso al mismo,
identificador asignado en el Registro de la Agencia Española de Protección de
Datos, descripción y el nivel de medidas de seguridad.
2. Nombramientos del
responsable del fichero, responsable de seguridad, encargado del tratamiento,
importador y exportador de datos personales y terceras personas autorizadas.
3. Autorizaciones de
salida o recuperación de datos.
4. Inventario de soportes
que contienen los datos de carácter personal.
5. Registro de entrada y
salida de soportes.
6. Registro de todas las
incidencias que se produzcan.
El RGPD, por su parte, en el artículo 47.2 añade qué información complementaria debe
proporcionarse para una mayor garantía en la protección de datos personales:
a) Las transferencias o
conjuntos de transferencias de datos, incluidas las categorías de datos
personales, el tipo de tratamientos y sus fines, el tipo de interesados
afectados y el nombre del tercer o los terceros países en cuestión.
b) El carácter
jurídicamente vinculante, tanto a nivel interno como externo.
c) La limitación de la
finalidad, la minimización de los datos, los periodos de conservación
limitados, la calidad de los datos, la protección de los datos desde el diseño
y por defecto, la base del tratamiento, el tratamiento de categorías especiales
de datos personales, las medidas encaminadas a garantizar la seguridad de los
datos y los requisitos con respecto a las transferencias ulteriores a
organismos no vinculados por las normas corporativas vinculantes.
d) Los derechos de los
interesados en relación con el tratamiento y los medios para ejercerlos.
e) La aceptación por
parte del responsable o del encargado del tratamiento de la responsabilidad por
cualquier violación de las normas corporativas vinculantes por parte de
cualquier miembro de que se trate no establecido en la Unión.
f) La forma en que se
facilita a los interesados la información sobre las normas corporativas
vinculantes.
g) Las funciones de todo
delegado de protección de datos.
h) Los procedimientos de
reclamación.
i) Los mecanismos
establecidos para garantizar la verificación del cumplimiento de las normas
corporativas vinculantes: auditorías de protección de datos y métodos para
garantizar acciones correctivas para proteger los derechos del interesado.
j) Los mecanismos
establecidos para comunicar y registrar las modificaciones introducidas en las
normas.
k) El mecanismo de
cooperación con la autoridad de control para garantizar el cumplimiento de las
verificaciones de las del cumplimiento de las normas corporativas vinculantes.
l) La formación en
protección de datos pertinente para el personal que tenga acceso permanente o
habitual a datos personales.
Elaboración del Documento de seguridad
Será el responsable del
fichero o tratamiento quien elabore el documento de seguridad y obligará a todo
el personal que acceda a los sistemas de información seguir lo establecido en
el mismo (art. 88.1 Reglamento LOPD).
En función de la
organización de la empresa, se puede diseñar un solo documento de seguridad que
englobe todos los ficheros o crear específicos para cada uno de ellos.
Siempre tendrán el
carácter de documento interno de la empresa, deberá actualizarse constantemente y revisarse siempre que se produzcan cambios importantes (art. 88.7 Reglamento LOPD).