A través del documento de seguridad rgpd, la empresa desarrolla las medidas para cumplir con la normativa en protección de datos de carácter personal.

Este, se queda como documento interno de la empresa, en donde se establecen las medidas técnicas y organizativas necesarias para garantizar la seguridad que debe cumplir la empresa en sus oficinas, equipos, sistemas, programas y personal que intervenga en el tratamiento de los datos de carácter personal.

Contenido del documento de seguridad

Dicho documento debe mantenerse siempre actualizado, incluyendo como mínimo el siguiente contenido:

  1. La información que identifique a la empresa, con los datos de sus servicios.
  2. Detallar los ficheros que posee la empresa en relación, por ejemplo, a sus clientes, empleados, cámaras de videovigilancia.  Se deberá de detallar el tipo y finalidad de utilización de todos los datos de carácter personal que se incluyan en los ficheros.
  3. Para asegurar un adecuado cumplimiento, se definirá desde el principio un responsable de seguridad, que actualizará el documento con las medidas, normas y procedimientos.
  4. Establecer las funciones y obligaciones del personal de la empresa.
  5. Describir un sistema de tratamiento de datos, incluyéndose la forma en la que se tratan los datos, diferenciando el tipo de soporte: informático o papel, los tipos de información tratada, los niveles de seguridad del fichero, que pueden ser básico, medio o alto.
  6. Incluir un procedimiento de notificación y respuesta de las incidencias que puedan producirse. El responsable de seguridad creará un registro de incidencias  y fijará un procedimiento para la recuperación de los datos.
  7. Realizar un inventario con soportes que incluyan datos personales, llevando un registro tanto de los soportes informáticos como de los documentales.
  8. Redactar un procedimiento de generación y distribución de contraseñas uniforme para toda la empresa.
  9. Establecer, en función del tipo de datos que se gestione, las medidas de seguridad acordes: destructoras de documentos, cerraduras en despachos y armarios, contraseñas que caducan, copias de seguridad.
  10. Incluir una relación de los encargados de tratamiento que traten datos, identificándolos, delimitando su tratamiento y periodo de vigencia del tratamiento. En este caso puede ser una gestoría, la empresa que se ocupa del mantenimiento de los equipos informáticos o cualquier otra entidad que tenga acceso a datos de tipo personal.
  11. Crear una lista del personal de la empresa que puede acceder a los datos protegidos y concretar sus funciones, detallar sus responsabilidades, así como establecer sus límites de acceso.
  12. Establecer controles periódicos para verificar el cumplimiento de lo dispuesto en el propio documento.
  13. La empresa tendrá la responsabilidad de divulgar la normativa de seguridad entre el personal, especificando las funciones y obligaciones mediante una formación específica o algún medio que garantice su conocimiento por parte de todos los empleados.

Por último, es muy importante el control posterior de la aplicación del documento de seguridad rgpd. La normativa estipula la obligación de someterse a una auditoría interna o externa, por un auditor autorizado, cada dos años cuando los ficheros de la empresa sean automatizados y no automatizados de un nivel medio o alto.

No obstante, pese los contenidos expuestos, lo adecuado es elaborar el documento de seguridad de la manera más cercana al funcionamiento de la empresa, asegurando con ello reflejar todas su medidas técnicas y organizativas concretas.

Letslaw

Letslaw es un despacho especializado en privacidad y protección de datos personales.