El Documento de Seguridad (DS) en materia de Protección de Datos, es como su propio nombre indica, un Documento que deben tener todos los profesionales/empresas que, están sujetos a la obligatoriedad y el cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Siguiendo con la definición del Documento de Seguridad, haremos un paréntesis para hacer mención sobre los profesionales/empresas que están obligados a poseer un DS . Pues bien, los profesionales y/o empresas sometidos a adaptar su actividad a la Lopd y por ende tener un DS son todos aquellos que recojan y almacenen datos personales de personas físicas (pacientes/clientes, trabajadores, curriculum vitae, etc..), es decir, si por nuestra actividad profesional o empresarial recabamos y almacenamos datos de terceras personas físicas, estaremos obligados a cumplir con la LOPD y por tanto a  disponer de un Documento de Seguridad de acuerdo con el artículo 88.1 del Real Decreto 1720/2007, de 21 de diciembre el cual reza lo que sigue:

“El responsable del fichero o tratamiento elaborará un documento de seguridad que recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información”.

Una vez definido que es un Documento de seguridad y quien tiene la obligación de tenerlo en su actividad profesional pasaremos al contenido del mismo, es decir:

¿Qué debe contener y/o plasmar el Documento de Seguridad?

  1. La íntegra identificación de la empresa, la actividad y servicios que presta y sobre todo el ámbito de aplicación del Documento de Seguridad.
  2. Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento.
  3. Funciones y obligaciones del personal en relación con el tratamiento de los  datos de carácter personal incluidos en los ficheros.
  4. Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
  5. Procedimiento de notificación, gestión y respuesta ante las incidencias.
  6. Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.
  7. Las medidas que sean necesarias adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.

Los requisitos plasmados más arriba, establecidos por el artículo 88.3 del Reglamento de desarrollo de la Ley Orgánica 15/1999, son suficientes siempre y cuando nuestra actividad esté incardinada dentro del nivel básico de seguridad en materia de Protección de Datos. De lo contrario habría que sumar algunos requisitos mas, es decir,  suponiendo que nuestra actividad esté catalogada tanto en el nivel medio de seguridad, como por ejemplo puede ser la actividad bancaria (datos relativos a solvencia patrimonial, operaciones financieras y de crédito) o en el nivel alto (actividad sanitaria entre otras..) tendríamos que implementar dentro del Documento de Seguridad dos contenidos más:

  1.  La identificación del responsable o responsables de seguridad.
  2.  Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.

Desde mi punto de vista, el presente artículo podría considerarse como una definición amplía del Documento de Seguridad en materia de Protección de Datos, el cual considero piedra angular a la hora de llevar a la práctica el desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal nacida al amparo del espíritu del artículo 18.1 de la Constitución española el cual  garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen.