Artículos Relacionados

  • Tienes que instalar el plugin 'similar post' para ver esta sección.
  • Hay 35 Comentarios para “Nuevo modelo del Documento de Seguridad”

    1. Enrique Dice:

      Esperemos que ahora, no haya una avalancha de “listos” que no lean la advertencia y que se sientan seguros con tener la plantilla básica sin adaptar.

    2. Francisca Dice:

      Hola: Yo soy propietaria de una pequeña mercería, soy autónoma y no tengo empleados. Mi único medio moderno es un TPV (no tengo ordenador en la tienda). He consultado a la AEPD y me dicen que al tener TPV me tengo que dar de alta en el nivel básico. Lo único que guardo (bajo llave) son los tickets del TPV, con vistas a posibles reclamaciones. En dichos tickets, figura l nombre del cliente, los cuatro últimos dígitos de la tarjeta, y la firma (la firma, cada vez menos, puesto que las nuevas tarjetas la omiten al exigir el PIN). Mi duda es sobre el Documento de Seguridad, en qué términos debo redactarlo, etc., puesto que los datos que tengo que proteger, me parece que no tienen demasiada relevancia. Gracias.

    3. Jesús Pérez Serna - Marketing Positivo Dice:

      Hola Francisca, gracias por visitarnos y comentar.
      La AEPD tiene razón en este caso, al disponer de datos de clientes, aunque sean mínimos, ha de cumplir la LOPD, efectivamente en el nivel bajo de seguridad.
      Ya que su caso es sencillo puede utilizar el modelo de documento de seguridad preparado por la propia AEPD. Puede descargarlo desde esta página: http://www.ayudaleyprotecciondatos.es/2010/10/21/nuevo-modelo-del-documento-de-seguridad/
      Saludos y suerte con la mercería :-)

    4. Jose Luis Dice:

      Hola Jesús,

      ¿Qué hay que hacer o poner en el Documento de seguridad en caso de un sitio web cuyo servidor no controlas directamente, es decir, las medidas de seguridad las aplica la empresa proveedora de hosting?

      Gracias y saludos.

    5. Jesús Pérez Serna - Marketing Positivo Dice:

      Jose Luis: dependerá de la relación entre el sitio y la recogida o mantenimiento de datos de carácter personal. Por dar el ejemplo más extremo, si el sitio no recoge datos de ningún tipo, no tiene login/password ni formulario de contacto, es decir, no hay dato alguno… entonces ni siquiera se referenciará en el Documento de Seguridad.
      En caso de que sea necesario incluirlo en el DS, se indicará la situación de hosting con un tercero y que existen determinadas mediadas de seguridad que deberán estar especificadas en contrato de prestación de servicios entre proveedor del hosting y cliente web.

    6. Anna Dice:

      Hola,
      Nosotros hemos creando una pequeña empresa, que dispone de datos de clientes (telf, email, número de cuenta, etc etc)
      Ya me he leido las 26 paginas de la Guía de Seguridad de Datos y mi pregunta es: puede que mi documento solo contenga una explicación de como desarollamos la proteción de datos en nuestra empresa y los recursos que utilizamos pero esta explicación solo nos ocupe 2 folios!
      Es posible!??!?!

      Ya me direis! NEcessito vuestra ayuda!

    7. Jesús Pérez Serna - Marketing Positivo Dice:

      Hola Anna: el documento de seguridad no tiene una medida estándar, dependerá de cada caso, pero lo cierto es que 2 folios es imposible que recojan todo lo que hay que indicar, por pequeña que sea la empresa.
      Si se siguen las instrucciones del modelo (a partir de la página 3) y aunque se prescinda de algunas partes por no ser procedentes, tiene que salir mas de 2 folios.

    8. David Dice:

      Buenas tardes, queria hacer una pregunta, hace unos meses hemos abierto un pequeño negocio en el que trabajamos dos personas.
      Ya estamos inscritos en el fichero de la AGPD. Los datos que utilizamos son nombre y apellidos, o razon social si es empresa, dni/cif, y direccion para confeccionar las facturas que nos pida el cliente. la gran mayoria de los clientes que nos piden facturas son empresas.
      Mi pregunta es, estamos obligados a realizar el documento de seguridad?
      en caso de estarlo, que creo que si, del que aparece como modelo, que puedo borrar y que es imprescindible que deje? un saludo, gracias

    9. Jesús Pérez Serna - Marketing Positivo Dice:

      Hola David: efectivamente siempre que existe fichero debe cumplimentarse el Documento de Seguridad. Respecto al modelo, en las páginas iniciales encontrarás las instrucciones para rellenar todo lo que está entre los símbolos <>. Prescindir sólo de aquellas cosas que no se apliquen la negocio, por ejemplo un autónomo no tendrá lógicamente anexo con lista de empleados, pero en la mayor parte de los casos será necesario cumplimentar todas las secciones.

    10. David Dice:

      Bueno, parece que ahora si me va a dejar.lklevo intentandolo desde ayer por la tarde!!
      en primer lugar, gracias por la respuesta. En el documewnto veo partes que indican “nivel medio, nivel alto” a eso es a lo que me refiero sobre si ¿es necesario que aparezca aunque no sea de aplicacion o se puede suprimir?nosotros somos una Comunidad de Bienes formada por 2 Autonomos que somos los unicos que tenemos acceso a la informacion, bueno, nosotros y la gestoria que nos lleva la contabilidad. y otra pregunta mas, ¿es necesario imprimirlo o se puede tener guardado en pdf? un saludo y de nuevo muchas gracias

    11. Jesús Pérez Serna - Marketing Positivo Dice:

      Hola David: lamento las dificultades para comentar, no sé qué pasaría :(
      Respecto a lo que dices depende: las medidas de seguridad son acumulativas, por lo que ficheros de nivel alto han de cumplir las normas de bajo, medio y alto; los de medio las medidas de bajo y medio; y sólo en el caso de que estar en nivel bajo se puede prescindir del resto.
      El documento no tiene porqué estar impreso. Lo lógico es mantenerlo en formato electrónico para no tener que imprimirlo cada vez que se actualiza, y sólo convertirlo en papel si lo pide una inspección de la Agencia.

    12. David Dice:

      Muchas gracias de nuevo por responder tan pronto. nosotros tenemosel nivel bajo,por lo que eliminare el resto.

      un saludo

    13. jorge Dice:

      Buenos días:
      no consigo
      descargar la plantilla de
      documentó de seguridad.donde la encuentro?
      Un saludo

    14. Jesús Pérez Serna Dice:

      Jorge: donde dice al final del artículo: “Descargue la guía modelo del Documento de Seguridad”, eso es un enlace al documento, lo pinchas con cursor y te saldrá la pantalla de descarga.

    15. Sandra Dice:

      Hola, estoy ayudando a una amiga a hacer el documento de seguridad y los ficheros y tengo una duda pues he estado mirando otros documentos de seguridad y son todo de empresas y mi amiga es o será empresaria individual y no se como afecta esto a la hora de hacer el DS.
      Me podrías ayudar y explicarme la diferencia que hay (si la hay) cuando es una sociedad o un empresario individual.
      Además cuando son datos recabados por internet, ¿hay que tener un cuidado especial o simplemente tengo que hacer el fichero?
      Gracias por adelantado
      Saludos

    16. Jesús Pérez Serna Dice:

      Sandra: la forma jurídica del responsable del fichero sólo es relevante en el DS a la hora de identificarle.
      Respecto a recabar datos, lo importante es disponer del consentimiento del afectado, y el nivel de seguridad a implantar estará en función de la tipología del dato.

    17. David Dice:

      Hola, todavia siguo dandole vueltas a este asunto,
      me he inscrito ya en el fichero, y ya tengo el documento que lo acredita, pero, no se supne que ese fichero tiene que contener unos datos?

      no se supone que cada vez que yo obtenga datos de ese cliente tengo que entrar en ese fichero de la agencia y modificarlo?

      por que es todo tan complicado?
      encima en la agpd nadie te ayuda, te remiten a la legislacion…

      y del documento de seguridad ya ni os cuento…..

      por favor, necesito ayuda

    18. Jesús Pérez Serna Dice:

      Hola David: lo que has hecho (supongo) es comunicar a la AEPD que dispones de un fichero, pero ni has de comunicar su contenido ni por supuesto decir nada cuando introduzcas cada cliente. Entiende que hacer eso por parte de todas las empresas de España sería inabarcable.

      Respecto a la complejidad… pues a cada uno le parece complejo lo de los demás, que suele ser aquello que no conce. No sé a qué te dedicas, pero seguramente lo que tu haces, si yo me pusiera a hacerlo, también me parecería demasiado complejo.

    19. Ana Dice:

      Hola. Estoy rellenando el formulario para dar de alta un fichero y tengo una duda: soy autónoma, por lo que solo trato los datos yo mismo, pero cada trimestre paso la información a la gestoría que me lleva las cuentas de facturas enviadas y recibidas. ¿Hay que indicar algo respecto a esto en algún apartado (tanto en el formulario como después en el documento de seguridad) o ya se entiende que esto es algo normal? Gracias y un saludo.

    20. Jesús Pérez Serna Dice:

      Hola Ana: como la gestoría necesita tratar todos los datos (por ejemplo los de los clientes a quien factures), se convierte en la figura llamada Encargado del Tratamiento. Esto hay que indicarlo tanto en el alta del fichero (http://www.ayudaleyprotecciondatos.es/2010/03/09/inscripcion-de-ficheros-en-el-rgpd-4-contenido-de-la-notificacion/) como en el documento de seguridad.

    21. Rafa Dice:

      Hola,
      En mi caso es una web con una zona de acceso solo para usuarios registrados y clientes. Solo recojo nombre y correo electrónico.Se almacenan los datos en una base SQL alojada en un servidor estadounidense safe harbor. Solo yo tengo acceso. Imagino que con el nivel básico será suficiente, verdad? El hosting solo aloja pero no tienen acceso. Como debe constar en el documento?
      Gracias

    22. Jesús Pérez Serna Dice:

      Hola Rafa: efectivamente bastaría con medidas de seguridad de nivel bajo. Respecto a cómo indicarlo en DS, dependerá de cada caso en función de las condiciones firmadas en el contrato de prestación de servicios con la empresa de hosting.

    23. Sandra Dice:

      Otra duda que tengo del DS, ¿en él tiene que reflejarse todos las personas que tienen acceso a los datos¿.
      Por ejemplo en una oficina, el jefe tendrá acceso a todo, el jefe de administración tb, luego los empleados dependiendo de sus funciones tendrán acceso a determinados datos o no.
      Pero cuando en una empresa son 50 trabajadores, ¿todos tienen que estar reflejados en el documento de seguridad?
      No se si me he explicado bien.
      Gracias
      Un saludo

    24. Jesús Pérez Serna Dice:

      Sandra: el listado ha de ser completo, sí. Además debe mantenerse permanente actualizado.

    25. Ana Dice:

      Gracias por la respuesta. Entonces, si en el alta del fichero y en el documento de seguridad se refleja que la gestoría tratará los datos para llevar la contabilidad, ¿hay que firmar alguna especie de contrato interno con ellos donde se especifique que tratarán los datos y cumplirán ciertas medidas de seguridad? En caso afirmativo, ¿hay algún modelo estándar para descargar y firmar? Saludos.

    26. Jesús Pérez Serna Dice:

      Ana: efectivamente entre las partes debe haber un contrato de tratamiento de datos (o las cláusulas que exige la LOPD introducidas en un contrato genérico de prestación de servicios). Tenemos un post sobre ese tema: http://www.ayudaleyprotecciondatos.es/2010/03/24/el-contrato-de-tratamiento-de-datos/

    27. Belén Dice:

      Buenos días Jesús y gracias de antemano por tu ayuda.
      Con respecto al documento de seguridad y en el apartado: “Si la autenticación se realiza mediante contraseñas, detallar el procedimiento de asignación, distribución y almacenamiento que deberá garantizar su confidencialidad e integridad, e indicar la periodicidad con la que se deberán cambiar, en ningún caso superior a un año”

      En mi empresa se utilizan contraseñas, pero no se distribuyen ni almacenan. ¿Es obligatorio almacenar las contraseñas en algún documento o pueden almacenarse en la “memoria” del responsable del fichero y único usuario de ese fichero con datos personales?
      Gracias y saludos

    28. Jesús Pérez Serna Dice:

      Belén, la “memoria” no sirve como procedimiento, es un medio extremadamente inseguro ;)

    29. natalia Dice:

      Hola,

      Antes de nada, muchas gracias por la creación de esta página web y por la información que ofreces :)

      Mi duda es:

      ¿el documento de seguridad no hay que entregarlo en la agencia de protección de datos?, es decir, lo que hay que enviar a la agencia es el formulario electrónico de notificacion de ficheros y la hoja de solicitud pero el documento de seguridad lo creas y lo guardas en tu empresa sin enviarlo a la agencia de proteccion de datos ¿es asi?

      Muchas gracias y un cordial saludo

    30. Jesús Pérez Serna Dice:

      Natalia: garcias a ti por visitarnos y comentar.

      Efectivamente es tal y como dices: el Documento de Seguridad no se envía a la Agencia, sino que ha de quedar a disposición de la inspección en caso de que lo solicite.

    31. natalia Dice:

      Buenas tardes,

      Mi hermano es podólogo. La información que recopila de sus pacientes es: nombre, apellidos, dirección, respuestas de si han padecido alguna enfermedad o si es alérgico a algún medicamento y, finalmente, datos sobre su tratamiento podológico. ¿Ese tipo de fichero correspondería a un nivel alto de medidas de seguridad?

      Por otro lado,¿es necesario que elabore un documento que tengan que firmar sus pacientes para el tratamiento de sus datos? Entiendo que al asistir a la consulta ya se sobreentiende el consentimiento expreso por lo que no haria falta dicho documento firmado.¿Qué opina?

      Muchas gracias

    32. Jesús Pérez Serna Dice:

      Natalia: los datos de salud (cualquier dato de salud) son unos de los indicados de forma muy clara por la legislación vigente como necesitados de medidas de seguridad de nivel alto.

      Respecto a la segunda cuestión habría que matizar. El mero hecho de entrar en un consultorio médico podría de alguna forma entenderse como un consentimiento otorgado al profesional titular puesto que resulta evidente que no se puede solicitar una consulta médica sin dar datos de la propia salud, pero el concepto documental del consentimiento va más allá de un mero “permiso” para el tratamiento de los datos, además el usuario debe conocer al responsable del fichero, sus derechos ARCO, cómo ejercerlos de una forma sencilla y gratuita, cuál es la finalidad del fichero, etc… Además, legalmente puede ser difícil demostrar un consentimiento no documentado hasta que no haya una factura y un pago por los servicios prestados, y sin embargo los datos de salud serán necesarios para su hermano desde el momento inicial de su contacto con el paciente, por lo que se crearía un espacio de tiempo (desde la llegada del paciente hasta la facturación de los servicios) durante el cual técnicamente no habría consentimiento.

      Por tanto mi consejo sería disponer de un documento de consentimiento que ofrecer para su firma al paciente desde el primer contacto. Además de darle a su hermano una garantía jurídica del 100%, demostraría a sus pacientes que se preocupa por sus derechos desde el contacto inicial.

      Importante considerar que este consentimiento no es imprescindible plasmarlo en un documento específico separado. Seguro que su hermano dispone de algún tipo de ficha donde se rellenan los datos iniciales de todo paciente. Puede aprovechar esa misma ficha para introducir la correspondiente cláusula y dársela a firmar al paciente sin tener que crear de esta forma ningún documento aparte.

    33. natalia Dice:

      Muchas gracias, has resuelto mis dudas con total claridad ;)

    34. Bibiana Dice:

      Hola,

      primero que todo muchas gracias por esta página y tu ayuda.

      Me gustaría preguntar con respecto a la inscripción de ficheros, si tengo uno de historias clínicas (Nivel Alto), otro de datos de agenda con nombres, teléfono y nº de historia y otro con los datos de las empresas que me prestan servicios, como por ejemplo la gestoría, todos esos fichero pasan a ser de seguridad alta, ¿verdad?

      Muchas gracias

    35. Jesús Pérez Serna Dice:

      Bibiana: gracias a ti por visitarnos.

      Respecto a la consulta, la respuesta es no. Cada fichero tiene su propia calificación respecto al nivel de seguridad exigido y no se “contamina” por la existencia de otros con diferente nivel.

    Deja un Comentario