psicologo
de Seguridad de Datos
©AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
NIPO: 052-08-003-6
Diseño Gráfico:
É N
Imprime: NILO Industria Gráfica, S.A.
GUíA
de Seguridad de Datos
GUíA
de Seguridad de Datos
indice
4
INTRODUCCIÓN
7
7
8
MEDIDAS DE SEGURIDAD
APLICACIÓN DE NIVELES
MEDIDAS A APLICAR
8
10
EL DOCUMENTO DE SEGURIDAD
CUADRO RESUMEN
1414
15
GUÍA MODELO DEL DOCUMENTO DE SEGURIDAD
ORGANIZACIÓN DEL MODELO
DOCUMENTO DE SEGURIDAD
17
19
29
29
31
32
33
ÁMBITO DE APLICACIÓN DEL DOCUMENTO
MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTÁNDARES ENCAMINADOS A GARANTIZAR LOS
NIVELES DE SEGURIDAD EXIGIDOS EN ESTE DOCUMENTO
PROCEDIMIENTO GENERAL DE INFORMACIÓN AL PERSONAL
FUNCIONES Y OBLIGACIONES DEL PERSONALPROCEDIMIENTOS DE NOTIFICACIÓN, GESTIÓN Y RESPUESTA ANTE LAS INCIDENCIAS
PROCEDIMIENTOS DE REVISIÓN
CONSECUENCIAS DEL INCUMPLIMIENTO DEL DOCUMENTO DE SEGURIDAD
34
ANEXO I - DESCRIPCIÓN DE FICHEROS
37
ANEXO II - NOMBRAMIENTOS
37
ANEXO III - AUTORIZACIONES DE SALIDA O RECUPERACIÓN DE DATOS
37
ANEXO IV - DELEGACIÓN DE AUTORIZACIONES
38
ANEXO V - INVENTARIO DE SOPORTES
38ANEXO VI - REGISTRO DE INCIDENCIAS
38
ANEXO VII - ENCARGADOS DE TRATAMIENTO
39
ANEXO VIII - REGISTRO DE ENTRADA Y SALIDA DE SOPORTES
39
ANEXO IX - MEDIDAS ALTERNATIVAS
40
40
40
40
41
41
53
COMPROBACIONES PARA LA REALIZACIÓN DE LA AUDITORÍA DE SEGURIDAD
OBJETIVO
DETERMINACIÓN DEL ALCANCE DE LA AUDITORÍA
PLANIFICACIÓN
RECOLECCIÓN DE DATOS
EVALUACIÓN DE PRUEBASELABORACIÓN DEL INFORME
54
PREGUNTAS FRECUENTES
INTRODUCCIÓN
El artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de
carácter personal (LOPD), establece en su punto 1 que "el responsable del fichero, y, en su
caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datosde carácter personal y eviten
su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la
tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya
provengan de la acción humana o del medio físico o natural".
El Reglamento de desarrollo de la LOPD (RLOPD), aprobado por el Real Decreto 1720/2007,
de 21 de diciembre, fue publicadoen el BOE número 17, de 19 de enero de 2008. El Título
VIII de este reglamento desarrolla las medidas de seguridad en el tratamiento de datos de
carácter personal y tiene por objeto establecer las medidas de índole técnica y organizativa
necesarias para garantizar la seguridad que deben reunir los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas queintervengan en el tratamiento de los datos de carácter personal.
Entre estas medidas, se encuentra la elaboración e implantación de la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los
datos de carácter personal.
Con el objeto de facilitar a los responsables de ficheros y a los encargados de tratamientos
de datos personales la adopción de lasdisposiciones del RLOPD, la Agencia Española de
Protección de Datos pone a su disposición este documento, en el que se recopila un cuadro resumen de las medidas de seguridad recogidas en el citado Título VIII, un modelo de
"Documento de Seguridad", que sirve de guía y facilita el desarrollo y cumplimiento de la
normativa sobre protección de datos, y por último, una relación de comprobaciones conel
objeto de facilitar la realización de la auditoría de seguridad.
4
AVISO IMPORTANTE:
Debe entenderse, en cualquier caso, que siempre habrá que atenerse a lo dispuesto en la LOPD, en el RLOPD, y en el resto de previsiones relativas a la protección de datos de carácter personal, y
que la utilización de este modelo como guía de ayuda para desarrollar un "Documento de Seguridad" debe,...
Regístrate para leer el documento completo.