¿Documento de seguridad yo…? ¿de verdad lo necesito?
Es muy posible que te hayas hecho esta pregunta muchas veces en caso de que sepas que es un documento de seguridad.
No son pocas las empresas que he visitado durante todos estos años con un documento de seguridad que jamás habían leído pero satisfechas de tenerlo…
¿Insólito verdad?
Voy a empezar por explicarte que NO es un documento de seguridad
- No es una carpeta atrapapolvo.
- No sirve en sí mismo para acreditar que cumples con la LOPD.
- No es un documento para encajonar.
El documento de seguridad es un documento vivo donde se plasman los procedimientos y medidas de seguridad que debes adoptar para reforzar la seguridad de tu negocio, evitar daños irreparables (o al menos minimizarlos) y garantizar la confidencialidad de la información de terceros que gestionas.
Menos rollo.
¿Para qué quiero un documento de seguridad?
Para empezar, para que empieces a pensar como un profesional PRO-Evolution y dejes de ser una bella durmiente.
Y porque además:
- Habitas en un mundo digitalizado, procesas información de diferentes fuentes: un blog, encuestas, seminarios, concursos, redes sociales, etc.
- Recoges datos de clientes, activos y potenciales, suscriptores, seguidores de redes sociales, empleados, colaboradores, alumnos, pacientes, usuarios de tu web, etc.
Necesitas aprender a gestionar todos esos datos de manera segura, ética y responsable.
El documento de seguridad es un documento interno que debes mantener siempre actualizado.
La LOPD establece la obligatoriedad de contar con un documento de seguridad, pero siempre y cuando sea operativo y funcional y no un mero objeto decorativo.
«La elaboración de un documento que recogerá las medidas de índole técnica y organizativa acorde a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los datos de carácter personal»- Artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter personal, (LOPD)
Mi empresa es muy pequeña para diseñar protocolos de seguridad
En realidad se trata de medidas de puro sentido común, medidas sencillas que tienen toda la lógica del mundo y que no le das importancia hasta que no te toca lamentarte.
¿Por ejemplo?
Una de las medidas de seguridad que van a aparecer en tu documento de seguridad es hacer copias de respaldo y guardarlas en lugar físico diferente.
Puro sentido común.
Si haces copias de seguridad, debes prevenir que esas copias no estén sujetas a las mismas contingencias que pudiera sufrir el equipo sobre el que se realizan las copias.
Imagina que el edificio sufre un incendio, un robo, una inundación. Ambos soportes sufrirían las mismas consecuencias.
Siempre puedes utilizar algunas medidas alternativas, como conservar la copia en armarios ignífugos, implantación de sistemas antiincendio, etc).
Otro ejemplo
Ese documento de seguridad, ha de ser compartido con todos los profesionales o empresas externas que intervengan en el tratamiento de información personal de tu negocio, como una gestoría, un colaborador externo, tu desarrollador web.
Y otra vez, por pura lógica y sentido común.
Si compartes información personal de clientes o empleados con otros, de nada sirve que tú te molestes en cuidarlos y protegerlos y los otros no.
Imagina que un empleado proactivo se pone a buscar direcciones de correo electrónico de páginas web y empieza a mandar correos electrónicos en masa para promocionar tu negocio.
Imagina que uno de los receptores te denuncia ante la Agencia Española de Protección de Datos. Si no le has informado a ese empleado que puede o que no puede hacer con el correo corporativo y no tienes manera de acreditar que le has informado sobre ello, tienes a big problem.
Siempre serás tú el responsable de la información que recoges y gestiones y como responsable, debes asegurarte que todas las personas o empresas a quienes les des acceso a esa información hagan un uso adecuado y conforme a tus exigencias en materia de seguridad.
Si ellos meten la pata y tú no les han indicado las medidas de seguridad que debían aplicar y como debían tratar los datos que les has confiado, sobre ti caerá toda la responsabilidad y el aparato sancionador.
Básicamente, te ayudará a trabajar mejor, a optimizar tiempo, a evitar perdidas de información, a minimizar las incidencias de seguridad, a garantizar derechos de quienes confían en ti, a blindarte legalmente frente a metidas de para ajenas a ti.
¿Y que debe incluir mi documento de seguridad?
Los apartados mínimos que debe incluir el documento de seguridad son:
- Ámbito de aplicación: especificación detallada de los recursos protegidos;
- Medidas, normas, procedimientos, reglas y estándares de seguridad;
- Funciones y obligaciones del personal, estructura y descripción de los ficheros y sistemas de información;
- Procedimiento de notificación, gestión y respuesta ante incidencias;
- Procedimiento de copias de respaldo y recuperación de datos;
- Medidas adoptadas en el transporte, destrucción y/o reutilización de soportes y documentos.
A partir del nivel medio de medidas de seguridad, además de los apartados anteriores:
- Identificación del responsable de seguridad y control periódico del cumplimiento del documento
- En caso de haber contratado la prestación de servicios por terceros para determinados ficheros en el documento de seguridad se debe hacer constar esta circunstancia, indicando una referencia al contrato y su vigencia, así como los ficheros objeto de este tratamiento.
Aquí tienes una guía de un documento de seguridad (PDF) editado por la Agencia Española de Protección de datos.
¿Que te parece estrenar tu propio documento de seguridad?
Imagen: Inkilandscape
4 comentarios
Hola Marina,
Menudo tutorial de documento de seguridad. Después de leer este post, no hay excusas.
Eres única enseñando!
Un abrazo 🙂
Gracias Yolanda, siempre es reconfortante poder ofrecer algo sin pedir nada a cambio.
Un gran abrazo!
gracias por el articulo te felicito buen trabajo un abrazo
Gracias a ti Rolando por visitarme y animarte a comentar, espero verte pronto por aquí.
Un abrazo