El Art. 9. Seguridad de los datos, de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter  Personal, (LOPD), genera a los Responsables de ficheros y Encargados del tratamiento, una Obligación de Seguridad. Esta conlleva la implementación de medidas de seguridad de tipo: técnico, organizativo etc.  Para garantizar la seguridad de los datos personales y evitar su alteración, perdida, acceso o tratamiento  no autorizado. Sus destinatarios habitualmente personas jurídicas, la cumplen, elaborando e implementando el preceptivo Documento de Seguridad (D.S.). Este afecta a  tratamientos automatizados y a los “convencionales” o no automatizados.

El “carácter” del D.S., y su “fuerza”, es un tema de gran transcendencia  para sus destinatarios, por lo general personas jurídicas, aunque también lo son, personas físicas (empresarios individuales, profesionales etc.) y para aquellos, vinculados mediante contratos laborales, mercantiles etc., que desarrollan la actividad en su entorno, sean usuarios finales de los sistemas de información o no. Esto es así, porque el D.S. no tiene carácter de recomendación. La normativa de protección de datos personales prohíbe realizar el tratamiento si no están implementadas las medidas de seguridad. La Inspección de la Agencia Española de Protección  de Datos (AEPD) lo solicita en la visita y es pieza clave en cualquier proceso de auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)  u (LOPD). 

La normativa de protección de datos personales, sostiene que, el D.S. tiene “carácter de documento interno de la organización”. En cuanto a su “fuerza” plantea, que es de “obligado cumplimiento para el personal” que accede a los sistemas de información. El D.S. supone, por lo tanto, un reglamento interno para los obligados o  destinatarios. No observarlo implica: incurrir en infracciones administrativas tipificadas en la (LOPD). Infracciones y faltas laborales catalogadas en el Estatuto de los Trabajadores, Convenio Colectivo etc. Ilícitos civiles, que generan responsabilidad por daños y perjuicios de naturaleza contractual o extracontractual, etc. Por ellas responden el Responsable del Fichero y sus empleados, el Encargado del Tratamiento y los suyos, los proveedores de servicios y sus empleados, etc. 

El contenido mínimo del D.S. lo indica  el Art. 88.3 del Real Decreto 1720/2007 que desarrolla la (LOPD) este es: Ámbito de aplicación y recursos protegidos; Medidas, normas, procedimientos etc. que garanticen el nivel de seguridad; Funciones y obligaciones del personal vinculadas con el tratamiento de datos; Estructura de ficheros con datos personales y descripción de los sistemas de información que los tratan; Procedimiento, gestión, incidencias de seguridad; Procedimientos de copia de respaldo y recuperación de datos; Medidas aplicables al transporte de soportes y documentos; Medidas concernientes a la destrucción de documentos y soportes, así como para su reutilización. Esta estructura del D.S. responde al nivel de seguridad básico. Las medidas, normas, etc. correspondiente a los niveles medio y alto se “acumulan” sobre las preexistentes. 

La implantación del D.S. exige que el Responsable del Fichero, “comunique” a los usuarios de los sistemas de información, que  ostenten funciones de: Administración de sistemas, redes, seguridad, gestión de soportes de datos, auditoria TIC interna, etc. o sean usuarios finales de los mismos. “Las normas de seguridad que afecten al desarrollo de sus funciones” y las consecuencias del incumplimiento. Conforme a esto, las personas físicas que intervienen en el tratamiento de datos personales, deben conocer y tener presentes: las medidas, normas, procedimientos etc. adoptados para lograr el nivel de seguridad; las funciones que ejecutan respecto del tratamiento de datos personales; las obligaciones de hacer y/o no hacer, vinculadas con sus competencias. 

Esta “comunicación” se logra, junto a otros medios, impartiendo una acción formativa, destinada al 100% de la plantilla, agrupado en bloques homogéneos, creados de acuerdo con los perfiles de los participantes. La estructura tipo de la acción formativa puede ser: 

• La Obligación de Seguridad;
• Secciones del Documento de Seguridad;
• Política de Seguridad de la Información;
• Activos, amenazas e incidencias de seguridad;
• Tratamiento de datos personales y niveles de seguridad;
• Medidas aplicables a ficheros y tratamientos no automatizados;
• El Registro de Incidencias;
• Procedimientos transversales del Documento de Seguridad;
• Normas uso: ficheros, sistemas, soportes de datos, aplicaciones, telefonía y dispositivos móviles, servicios Internet; 
• Obligaciones de quienes intervienen en el tratamiento y consecuencias de su incumplimiento.

Estudio-Legal Velázquez elabora e imparte acciones formativas (LOPD, LSSI etc.) en el ámbito del Derecho de Tecnologías de la Información. Los cursos son estándar ó diseñados a medida para el cliente. 

Cuando los empleados de los proveedores de servicios desarrollen la actividad en las oficinas  o locales del Responsable del Fichero, como el contenido del D.S. les afecta, pero no son  destinatarios naturales de la acción formativa, el Responsable del fichero debe “comunicarles”, la Política de Seguridad, las medidas, normas, procedimientos, etc., que les conciernen, publicándolas  en el área de Seguridad de Datos de la Intranet, incorporándolas en un folleto informativo etc. También el contrato TIC celebrado con el proveedor de servicios, debe comprender, lo relativo a la Obligación de seguridad, así como lo referente a la responsabilidad del proveedor cuando incumpla dicha obligación. 

El  Responsable del Fichero o tratamiento, también debe elaborar un procedimiento que estandarice  la “comunicación” de las normas de seguridad que incidan en el desarrollo de las funciones del personal y las consecuencias del incumplimiento. Este debe recoger: la personalización de los envíos, el acuse de recibo por los destinatarios, la recepción de los archivos adjuntos al correo electrónico, etc. Aspectos esenciales para acreditar la recepción de contenidos que incorporan obligaciones jurídicamente exigibles.  

La acción formativa tiene un objeto general: “concienciar sobre las implicaciones de la seguridad de los datos e información personal”. Y otros derivados como: Tratar el deber de secreto profesional respecto de los datos personales; Analizar la figura del Encargado del Tratamiento; Plantear el catálogo de incidencias de seguridad; Examinar procedimientos transversales como: Comunicación y gestión incidencias de seguridad, Régimen de trabajo fuera de las instalaciones donde está ubicado el Fichero, etc. 

La evaluación de la acción formativa (programa, metodología, monitor, duración etc.) es esencial, para saber si se lograron los objetivos y mejorarla. Las conclusiones del cuestionario de evaluación, hay que “conectarlas” con el listado de personas que participaron en la acción formativa, el cual debe comprender: nombre y apellidos, departamento o área,  puesto desempeñado, fecha en la que se  impartió, etc. Esta documentación se  incorpora  en  un Registro, que está  a disposición de los auditores, internos o externos, que ejecutan la auditoria (LOPD) y  las vinculadas con los Sistemas Gestión Seguridad Información (SGSI).

Puede consultar más información sobre Tratamiento Datos Personales en nuestra sección:

Noticias Jurídicas y de Negocios

© Rafael Velázquez Bautista. Madrid, 2012