Documento de seguridad – LOPD en los despachos de abogados


Séptima entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados en la que les comentaré lo relativo al documento de seguridad y a su importancia vital en el proceso de protección de datos personales.

Documento de seguridad LOPD

Qué es el documento de seguridad

El documento de seguridad contiene todas las normas y procedimientos implantados en el despacho a fin de dar cumplimiento a la normativa en materia de protección de datos personales.

El responsable del tratamiento de los datos es el encargado de elaborar este documento y sobre quién recae la responsabilidad de su corrección. Deberá incluir en el mismo todas las medidas técnicas y organizativas orientadas a dar cumplimiento a la normativa vigente, y será de obligado cumplimiento para el personal del despacho así como para terceras partes involucradas en el tratamiento de los datos.

Este documento constituye el núcleo de las medidas para garantizar un correcto uso de datos de carácter personal y su corrección, completitud y detalle son fundamentales.

Qué contiene el documento de seguridad

El documento de seguridad deberá recoger, como mínimo, los siguientes aspectos:

  • Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
  • Medidas, normas, procedimientos de actuación, reglas y estándares en vigor en el despacho encaminados a garantizar el nivel de seguridad exigido.
  • Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.
  • Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
  • Procedimiento de notificación, gestión y respuesta ante las incidencias.
  • Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.
  • Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.
  • La identificación del responsable o responsables de seguridad.
  • Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.
  • Cuando exista un tratamiento de datos por cuenta de terceros, el documento de seguridad deberá contener la identificación de los ficheros o tratamientos que se traten en concepto de encargado con referencia expresa al contrato o documento que regule las condiciones del encargo, así como de la identificación del responsable y del período de vigencia del encargo.
  • En aquellos casos en los que datos personales de un fichero o tratamiento se incorporen y traten de modo exclusivo en los sistemas del encargado del tratamiento, podrá delegársele la llevanza del documento de seguridad, salvo en lo relativo a aquellos datos contenidos en recursos propios.

Hay muchas más cosas a tener en cuenta, pero no se agobie. Se las iré explicando en detalle, paso a paso en sucesivas entregas.

Aspectos a analizar para elaborar el documento de seguridad

Para elaborar el documento de seguridad de su despacho jurídico va a tener que analizar numerosos aspectos, entre los que cabe destacar:

LOS FICHEROS DE DATOS

Tendrá que determinar la naturaleza, tipología y finalidad de utilización de todos los datos de carácter personal que maneje.

LA ADQUISICIÓN, USO, CESIÓN Y DESTRUCCIÓN DE LA INFORMACIÓN

Tendrá que establecer una serie de metodologías para la admisión de información personal en el despacho, su uso y acceso en función de su tipología y finalidad, así como la cesión o acceso de terceros a dicha información.

A su vez tendrá que determinar la forma en la que se procede a la destrucción de los datos personales una vez se ha cumplido la finalidad de los mismos.

MEDIDAS DE SEGURIDAD

En función de la tipología de los datos personales que gestione, variarán las características de los procedimientos de seguridad que deberá implantar en su despacho jurídico. Algunos de esos procedimientos de seguridad son:

  • Identificación y Autenticación de Usuarios.
  • Control de acceso.
  • Administración de Usuarios.
  • Ficheros temporales.
  • Separación de los recursos de desarrollo y producción.
  • Gestión de Soportes y Documentos.
  • Desechado y reutilización de soportes.
  • Almacenamiento de ficheros no automatizados.
  • Custodia de soportes.
  • Criterios de archivo.
  • Seguridad en redes de comunicación.
  • Copias de respaldo.
  • Régimen de trabajo fuera de los locales de la ubicación del fichero.
  • Traslado de documentación.

Así mismo, en esta área deberá evaluar el impacto que supondría, tanto para el despacho como para el afectado, la sustracción, pérdida o deterioro de los datos personales. Con ello limitará su responsabilidad acreditando la implantación de medidas suficientes para evitar estos extremos.

DERECHOS DE LOS AFECTADOS

Como ya vimos en la entrega anterior, deberá velar por los derechos de las personas sobre las que versan los datos personales que maneja, implementando procedimientos que permitan ejercer a los afectados sus derechos.

FUNCIONES Y OBLIGACIONES DEL PERSONAL

El personal del despacho tendrá una serie de obligaciones respecto del tratamiento de los datos personales que se manejen, entre los que destacan:

  • Propiedad intelectual.
  • Control de acceso físico.
  • Confidencialidad de los datos de carácter personal.
  • Acceso a los sistemas de información y aplicaciones.
  • Acceso a los sistemas no automatizados.
  • Uso apropiado de recursos informáticos.
  • Conectividad a internet.
  • Correo electrónico.
  • Gestión de soportes, documentos y ficheros temporales.
  • Salidas y entradas de datos de carácter personal.
  • Notificación de incidencias

SERVICIOS PRESTADOS POR TERCEROS

Deberá delimitar las condiciones en las que terceras partes acceden a los datos personales de su despacho en el marco de la prestación de servicios, la finalidad del acceso y la forma en la que este tercero debe manejar la información en función de su naturaleza.

MEDIOS DE ALMACENAMIENTO DE LA INFORMACIÓN

Tendrá que establecer la forma en la que se almacenarán los datos personales: papel, digital o mixto. En función de esto deberá establecer las características de los medios de almacenamiento, medidas para su conservación y preservación, control de acceso y gestión de incidencias.

CONTRATOS Y CLÁUSULAS LEGALES

En función de todo lo anterior deberá preparar contratos y cláusulas legales a fin de garantizar aspectos tales como deber de secreto sobre los datos personales, el ejercicio de los derechos de los afectados por el tratamiento, condiciones en las que se cede la información a terceros, y un largo etcétera.

Retos ante la elaboración del documento de seguridad

No le engañaré: elaborar un documento de seguridad es una tarea ardua y compleja. Los negocios en España, al contrario que en el ámbito centroeuropeo o anglosajón, no procedimentan la mayoría de sus procesos, por ello, crear el documento de seguridad supone un choque importante, dado que se trata precisamente de eso, de procedimentar el funcionamiento del negocio.

La elaboración de este documento va a requerirle, entre otros una serie de esfuerzos que no siempre se está dispuesto a realizar:

  • Autodiagnóstico.
  • Establecimiento de reglas de juego internas.
  • Delimitación de responsabilidades en el despacho.
  • Transparencia en el funcionamiento.
  • Adaptación.

Igual que le comento lo anterior, también le indico que hacerlo será beneficioso para su despacho. En el proceso de autodiagnóstico podrá apercibirse de las cosas que funcionan mal. El establecimiento de reglas de juego internas evitará conflictos, delimitándose las responsabilidades de cada cual. La transparencia en el funcionamiento, al estar los procedimientos por escrito, facilitará la evaluación del funcionamiento en el despacho a la par que se pondrán de manifiesto duplicidades e ineficiencias.

El principal reto al que se enfrentará será el de adaptarse mentalmente a un modelo de trabajo más ordenado y procedimientado, frente a un funcionamiento casual y caótico, tan abundante en los negocios españoles.

Recomendaciones

Una vez más, le recomiendo que no se agobie. Todo lo que le comento en este artículo se lo iré desgranando en detalle en próximas entregas.

Como ya ha visto, para elaborar el documento de seguridad van a requerirse conocimientos muy variados, desde la gestión de riesgos o seguridad de la información hasta recursos humanos y gestión de proyectos. Además de estos conocimientos, deberá invertir bastante tiempo que deberá detraer del que le dedica a sus clientes. Por ello le recomiendo que se apoye en un profesional externo.

Por último y no menos importante, huya de los documentos de seguridad prefabricados, esos que se ofrecen tanto en Internet a un precio poco menos que ridículo. Piense en ello: es menos costoso realizar un documento de seguridad a medida que adaptar todo su despacho a un documento de seguridad.

El documento de seguridad no es un papel que se tiene por si surgen problemas y evitar en lo posible una multa, sino un compendio de medidas que correctamente aplicadas le evitará problemas y logrará un mejor funcionamiento de su despacho. Y es esto lo realmente importante.

Les espero en la próxima entrega: “Tipologías de ficheros de datos personales

¿Qué te ha parecido la información?
Comparte esto:

mm

Acerca de Pedro De La Torre

Soy perito informático judicial colegiado, legalmente habilitado para actuar ante los tribunales de Justicia, conferenciante y ponente habitual en jornadas sobre peritaje informático, ciberseguridad y tecnologías de la información. Consultor especializado en estrategia digital y seguridad de la información.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

17 − 14 =