El DOCUMENTO DE SEGURIDAD: un documento a revisar
Javier Puyol, abogado y socio de Ecix Group
Tal como señala Juan Carlos Galván, tuvieron que pasar más de 20 años desde la previsión contenida en el artículo 18.4 de nuestra Constitución (“La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.”) hasta la promulgación de la Ley Orgánica de Protección de Datos de Carácter Personal, y unos cuantos más hasta su desarrollo reglamentario, donde por fin se ahondó en aquéllas cuestiones técnicas y tecnológicas que se referían a la seguridad.
Aún tras este largo recorrido, la seguridad en la protección de datos constituye hoy en día un caballo de batalla con el que muchas empresas deben lidiar a diario, debido principalmente a una ley y un reglamento excesivamente rígidos que otorgan poco margen de maniobra a una seguridad sencilla y eficaz.
Y en este entorno se sitúa el llamado “documento de seguridad”, como más adelante se justificará es una de las partes fundamentales de la protección de datos.
Es el documento mediante el cual se elabora y adoptan las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal, su adopción es de obligado cumplimiento para el responsable del fichero, o en su caso, del encargado del tratamiento.
Para SBQ, el conocimiento de la utilidad, del contenido y de la importancia de este Documento de Seguridad es obligatorio para todos aquellos que están relacionados en algún punto con los ficheros empleados para el tratamiento de datos de carácter personal, sin embargo, muchas empresas desconocen la necesidad de disponer de este documento, convirtiéndolo en el gran desconocido.
Tal como señala la Agencia Española de Protección de Datos, en una de sus publicaciones, el artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter personal, (LOPD) establece en su punto 1º que «el responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural«.
Del mismo modo, el Real Decreto 1720/2007, de 21 de diciembre, aprobó el Reglamento de desarrollo de la LOPD que, en su Título VIII, establece las medidas de índole técnico y organizativo que los responsables de los tratamiento o los ficheros y los encargados de tratamiento han de implantar para garantizar la seguridad en los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de datos de carácter personal.
Entre estas medidas, se encuentra la elaboración de un documento que recogerá las medidas de índole técnica y organizativa acorde a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los datos de carácter personal, el cual ha de encontrarse siempre actualizado y revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento de datos, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados.
El documento de seguridad debe contener las medidas de seguridad, tanto técnicas como organizativas de la empresa, en relación a los datos personales que recoge y trata. Por tanto, el documento de seguridad contendrá:
a). Identificación de la empresa, sus servicios y ámbito de aplicación del documento de seguridad.
b). Los ficheros que la empresa tiene (clientes, pacientes, trabajadores, cámaras de seguridad, etc.) y su estructura, es decir, nombre del fichero, origen de los datos, forma de tratamiento de los datos (soporte papel o informático), tipos de datos que se recogen (nombre, apellidos, dirección postal, teléfono, dirección electrónica…), nivel de seguridad del fichero (básico, medio o alto) y la empresa encargada de gestionar el fichero si la hubiere (por ejemplo: la gestoría laboral es la encargada de gestionar el fichero de RRHH, en tanto y en cuanto, elabora las nóminas de los trabajadores).
c). Cuáles son las medidas de seguridadque las empresa tiene para proteger esos ficheros, señalar, entre otras: armarios cerrados con llave, despachos cerrados con llave, destructoras de papel en los despachos que contiene documentación en soporte papel, contraseñas personales en los ordenadores con acceso a datos personales, caducidad de las contraseñas, cómo, dónde y cuándo se hacen las copias de seguridad, dónde se guardan las referidas copias de seguridad, con qué periodicidad se hacen, cuál es el procedimiento a seguir en caso de que se produzca una incidencia en la empresa respecto a datos personales, etc.
d). Relación de los encargados del tratamiento, es decir, de las empresas a las que se ha contratado la prestación de un servicio y en función de dicha prestación tienen acceso a datos personales. Por ejemplo: la gestoría laboral, gestoría fiscal, la empresa de mantenimiento informático, la empresa de prevención de riesgos laborales, etc.).
e). Inventario de: los soportes con acceso a datos personales dónde se realizan las copias de seguridad, de los equipos informáticos que tienen acceso a datos y de los programas informáticos.
f). Lista del personal de la empresa con acceso a datos y las funciones de cada uno de ellos (a qué ficheros acceden y qué pueden acceder con los datos personales que tratan).
En este sentido el artículo 88.3 del RLOPD, establece:
El documento deberá contener, como mínimo, los siguientes aspectos:
a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
b) Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento.
c) Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.
d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
e) Procedimiento de notificación, gestión y respuesta ante las incidencias.
f) Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.
g) Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.
Y el apartado 4 del mismo artículo añade:
4. En caso de que fueran de aplicación a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto, previstas en este título, el documento de seguridad deberá contener además:
a) La identificación del responsable o responsables de seguridad.
b) Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.
A la vista de esta normativa, tal como expone SBQ, se debe entender que el Documento de Seguridad no constituye una documentación de carácter estático, sino como una ayuda para la gestión de la seguridad de los ficheros de datos y para adaptarse a las posibles evoluciones de la empresa.
Y Mar del Peso ha señalado que no hay que olvidar que el documento de seguridad debe mantenerse actualizado en todo momento y revisado no solamente cuando se produzcan cambios en las disposiciones vigentes en materia de seguridad de los datos de carácter personal, como en este caso, sino también cuando:
a). Se produzcan cambios relevantes en el sistema de información.
b). Se produzcan cambios relevantes en el sistema de tratamiento empleado.
c). Se produzcan cambios relevantes en su organización.
d). Se produzcan cambios relevantes en el contenido de la información incluida en los ficheros o tratamientos.
e).Como consecuencia de los controles periódicos realizados.
Consecuentemente con ello, el Documento de Seguridad es un documento esencial para que la empresa pueda gestionar adecuadamente la seguridad de los datos personales que contiene el o los ficheros de la empresa y, por ello, debe contener como mínimo los datos del ámbito de aplicación, el procedimiento de actuación ante incidencias, las medidas de seguridad en el caso de transportes de soportes y documentos, el procedimiento de realización de las copias de seguridad, las funciones del personal que están relacionados con los ficheros y el uso que pueden ejercer de ellos, etc. Todo ello para garantizar que sea cual sea su nivel de seguridad se establecen las medidas adecuadas para proteger los datos personales de que dispone la empresa y garantizar su seguridad. Por lo tanto, se puede indicar que es una parte esencial del cumplimiento de la Ley Orgánica de Protección de Datos, ya que no solo se debe afirmar que se protegen los datos y que los mismos son tratados adecuadamente, sino que hay que demostrarlo y poner las medidas que permitan que se garantice su correcta gestión y su seguridad.
Sin embargo, cabe reflexionar, si hoy en día el concepto y la normativa que regula el documento de seguridad no adolece del resto de la obsolescencia que se achaca a la normativa vigente en materia de protección de datos de carácter personal.
Juan Carlos Pascual ha señalado que dado que tenemos, y seguiremos teniendo, novedades que irrumpan en el mercado con nuevas y prometedoras funcionalidades, es necesario hacer un enfoque global y aplicar todas las herramientas que la tecnología nos ofrece para que la seguridad no se limite a un simple acto de levantar barreras e imponer restricciones.
Necesitamos que la tecnología forme parte del proceso de diseño de cualquier elemento, que el concepto “security by design” esté presente en redes y sistemas y que la entrada en escena de nuevos actores que puedan asumir el protagonismo de la tecnología en cualquier momento no suponga un nuevo reto a la ciberseguridad. En este sentido, las fronteras de la información se vuelven borrosas y nunca podrá controlarse el número creciente de dispositivos que tratan de acceder a información restringida. Las empresas no tendrán control sobre los dispositivos con los que trabajan, así el enfoque debería ser “Choose Your Own Security”, construyendo una seguridad por capas que permita el nivel de acceso adecuado a los datos.
Y todo ello debe estar vinculado a la gobernanza de seguridad y el amplio enfoque al que deben aspirar las prácticas de seguridad, bien preparadas, engrasadas y ejercitadas para estar listas ante cualquier ataque. Pero también existe la necesidad de que los estándares de seguridad se establezcan en las relaciones inter-empresa de manera que las compañías que se relacionan y comparten información, colaboren también en las medidas y prácticas de seguridad.
Todas estas cuestiones exigen un replanteamiento de la seguridad en la protección de datos, y concretamente en el contenido del documento de seguridad, donde tengan entrada cuestiones nuevas que efectivamente potencien no sólo la seguridad de los datos, sino la mitigación de la ciberdelincuencia. En este sentido, cabe indicar que son escasas las empresas que en sus manuales internos, contemplan los procedimientos a seguir ante la producción de ciberincidentes, ante el que no es extraño que no se sepa cómo reaccionar, o cómo afrontar la producción de una brecha de seguridad, desde las más complejas que comprometen el funcionamiento todo el sistema y la integridad de la información en el contenida, a las más elementales, como el simple extravío de un dispositivo móvil o un pendrive.
Estas cuestiones, si bien son ciertamente novedosas, cada día es más importante que formen parte de las políticas y de las medidas de seguridad que debe adoptar cualquier operador que trate datos de carácter personal, y que no solamente no deben ser ajenas al contenido del citado “documento de seguridad”, sino que deberían pasar a formar parte esencial del mismo dada la trascendencia que habitualmente ellas tienen.
Por todo ello, puede concluirse afirmando que la seguridad a la que se hace referencia, ha dejado de ser algo esencialmente estático, y de manera necesaria tiene que adaptarse y acomodarse a la evolución de la tecnología, y a las nuevas exigencias que la lucha contra la ciberdelincuencia lleva consigo.
