La Agencia de Protección de Datos (AEPD) celebró ayer su III Sesión Abierta (de la que se puede leer un completo resumen en el blog Marketing Positivo) y entre otras novedades anunció un nuevo modelo de Documento de Seguridad editable y disponible para descarga en su página web.
Este documento sustituye al que se incluía en la anterior edición de la Guía de Seguridad, y tiene la novedad de publicarse en forma independiente y en formato Word (en vez del PDF anterior) lo que facilita su edición y modificación.
Sigue siendo importante recordar que este documento es una plantilla básica que necesita la correcta y ajustada adecuación a la ley y a la situación de cada responsable del fichero, y es por eso que la AEPD advierte que:
la utilización de esta guía debe, en todo caso, tener en cuenta los aspectos y circunstancias aplicables en cada caso concreto, sin prejuzgar el criterio de la Agencia Española de Protección de Datos en el ejercicio de sus funciones.
Descargue la guía modelo del Documento de Seguridad
noviembre 2nd, 2010 a las 13:44
Esperemos que ahora, no haya una avalancha de “listos” que no lean la advertencia y que se sientan seguros con tener la plantilla básica sin adaptar.
junio 18th, 2011 a las 14:56
Hola: Yo soy propietaria de una pequeña mercería, soy autónoma y no tengo empleados. Mi único medio moderno es un TPV (no tengo ordenador en la tienda). He consultado a la AEPD y me dicen que al tener TPV me tengo que dar de alta en el nivel básico. Lo único que guardo (bajo llave) son los tickets del TPV, con vistas a posibles reclamaciones. En dichos tickets, figura l nombre del cliente, los cuatro últimos dígitos de la tarjeta, y la firma (la firma, cada vez menos, puesto que las nuevas tarjetas la omiten al exigir el PIN). Mi duda es sobre el Documento de Seguridad, en qué términos debo redactarlo, etc., puesto que los datos que tengo que proteger, me parece que no tienen demasiada relevancia. Gracias.
junio 18th, 2011 a las 15:42
Hola Francisca, gracias por visitarnos y comentar.
La AEPD tiene razón en este caso, al disponer de datos de clientes, aunque sean mínimos, ha de cumplir la LOPD, efectivamente en el nivel bajo de seguridad.
Ya que su caso es sencillo puede utilizar el modelo de documento de seguridad preparado por la propia AEPD. Puede descargarlo desde esta página: http://www.ayudaleyprotecciondatos.es/2010/10/21/nuevo-modelo-del-documento-de-seguridad/
Saludos y suerte con la mercería
enero 3rd, 2012 a las 16:29
Hola Jesús,
¿Qué hay que hacer o poner en el Documento de seguridad en caso de un sitio web cuyo servidor no controlas directamente, es decir, las medidas de seguridad las aplica la empresa proveedora de hosting?
Gracias y saludos.
enero 3rd, 2012 a las 16:34
Jose Luis: dependerá de la relación entre el sitio y la recogida o mantenimiento de datos de carácter personal. Por dar el ejemplo más extremo, si el sitio no recoge datos de ningún tipo, no tiene login/password ni formulario de contacto, es decir, no hay dato alguno… entonces ni siquiera se referenciará en el Documento de Seguridad.
En caso de que sea necesario incluirlo en el DS, se indicará la situación de hosting con un tercero y que existen determinadas mediadas de seguridad que deberán estar especificadas en contrato de prestación de servicios entre proveedor del hosting y cliente web.
julio 19th, 2012 a las 11:13
Hola,
Nosotros hemos creando una pequeña empresa, que dispone de datos de clientes (telf, email, número de cuenta, etc etc)
Ya me he leido las 26 paginas de la Guía de Seguridad de Datos y mi pregunta es: puede que mi documento solo contenga una explicación de como desarollamos la proteción de datos en nuestra empresa y los recursos que utilizamos pero esta explicación solo nos ocupe 2 folios!
Es posible!??!?!
Ya me direis! NEcessito vuestra ayuda!
julio 19th, 2012 a las 11:30
Hola Anna: el documento de seguridad no tiene una medida estándar, dependerá de cada caso, pero lo cierto es que 2 folios es imposible que recojan todo lo que hay que indicar, por pequeña que sea la empresa.
Si se siguen las instrucciones del modelo (a partir de la página 3) y aunque se prescinda de algunas partes por no ser procedentes, tiene que salir mas de 2 folios.
septiembre 19th, 2012 a las 18:01
Buenas tardes, queria hacer una pregunta, hace unos meses hemos abierto un pequeño negocio en el que trabajamos dos personas.
Ya estamos inscritos en el fichero de la AGPD. Los datos que utilizamos son nombre y apellidos, o razon social si es empresa, dni/cif, y direccion para confeccionar las facturas que nos pida el cliente. la gran mayoria de los clientes que nos piden facturas son empresas.
Mi pregunta es, estamos obligados a realizar el documento de seguridad?
en caso de estarlo, que creo que si, del que aparece como modelo, que puedo borrar y que es imprescindible que deje? un saludo, gracias
septiembre 19th, 2012 a las 18:13
Hola David: efectivamente siempre que existe fichero debe cumplimentarse el Documento de Seguridad. Respecto al modelo, en las páginas iniciales encontrarás las instrucciones para rellenar todo lo que está entre los símbolos <>. Prescindir sólo de aquellas cosas que no se apliquen la negocio, por ejemplo un autónomo no tendrá lógicamente anexo con lista de empleados, pero en la mayor parte de los casos será necesario cumplimentar todas las secciones.
septiembre 20th, 2012 a las 13:24
Bueno, parece que ahora si me va a dejar.lklevo intentandolo desde ayer por la tarde!!
en primer lugar, gracias por la respuesta. En el documewnto veo partes que indican “nivel medio, nivel alto” a eso es a lo que me refiero sobre si ¿es necesario que aparezca aunque no sea de aplicacion o se puede suprimir?nosotros somos una Comunidad de Bienes formada por 2 Autonomos que somos los unicos que tenemos acceso a la informacion, bueno, nosotros y la gestoria que nos lleva la contabilidad. y otra pregunta mas, ¿es necesario imprimirlo o se puede tener guardado en pdf? un saludo y de nuevo muchas gracias
septiembre 20th, 2012 a las 14:12
Hola David: lamento las dificultades para comentar, no sé qué pasaría
Respecto a lo que dices depende: las medidas de seguridad son acumulativas, por lo que ficheros de nivel alto han de cumplir las normas de bajo, medio y alto; los de medio las medidas de bajo y medio; y sólo en el caso de que estar en nivel bajo se puede prescindir del resto.
El documento no tiene porqué estar impreso. Lo lógico es mantenerlo en formato electrónico para no tener que imprimirlo cada vez que se actualiza, y sólo convertirlo en papel si lo pide una inspección de la Agencia.
septiembre 20th, 2012 a las 14:44
Muchas gracias de nuevo por responder tan pronto. nosotros tenemosel nivel bajo,por lo que eliminare el resto.
un saludo
diciembre 20th, 2012 a las 7:35
Buenos días:
no consigo
descargar la plantilla de
documentó de seguridad.donde la encuentro?
Un saludo
diciembre 20th, 2012 a las 9:02
Jorge: donde dice al final del artículo: “Descargue la guía modelo del Documento de Seguridad”, eso es un enlace al documento, lo pinchas con cursor y te saldrá la pantalla de descarga.
enero 8th, 2013 a las 16:46
Hola, estoy ayudando a una amiga a hacer el documento de seguridad y los ficheros y tengo una duda pues he estado mirando otros documentos de seguridad y son todo de empresas y mi amiga es o será empresaria individual y no se como afecta esto a la hora de hacer el DS.
Me podrías ayudar y explicarme la diferencia que hay (si la hay) cuando es una sociedad o un empresario individual.
Además cuando son datos recabados por internet, ¿hay que tener un cuidado especial o simplemente tengo que hacer el fichero?
Gracias por adelantado
Saludos
enero 8th, 2013 a las 16:56
Sandra: la forma jurídica del responsable del fichero sólo es relevante en el DS a la hora de identificarle.
Respecto a recabar datos, lo importante es disponer del consentimiento del afectado, y el nivel de seguridad a implantar estará en función de la tipología del dato.
enero 16th, 2013 a las 10:22
Hola, todavia siguo dandole vueltas a este asunto,
me he inscrito ya en el fichero, y ya tengo el documento que lo acredita, pero, no se supne que ese fichero tiene que contener unos datos?
no se supone que cada vez que yo obtenga datos de ese cliente tengo que entrar en ese fichero de la agencia y modificarlo?
por que es todo tan complicado?
encima en la agpd nadie te ayuda, te remiten a la legislacion…
y del documento de seguridad ya ni os cuento…..
por favor, necesito ayuda
enero 16th, 2013 a las 20:17
Hola David: lo que has hecho (supongo) es comunicar a la AEPD que dispones de un fichero, pero ni has de comunicar su contenido ni por supuesto decir nada cuando introduzcas cada cliente. Entiende que hacer eso por parte de todas las empresas de España sería inabarcable.
Respecto a la complejidad… pues a cada uno le parece complejo lo de los demás, que suele ser aquello que no conce. No sé a qué te dedicas, pero seguramente lo que tu haces, si yo me pusiera a hacerlo, también me parecería demasiado complejo.
febrero 1st, 2013 a las 15:02
Hola. Estoy rellenando el formulario para dar de alta un fichero y tengo una duda: soy autónoma, por lo que solo trato los datos yo mismo, pero cada trimestre paso la información a la gestoría que me lleva las cuentas de facturas enviadas y recibidas. ¿Hay que indicar algo respecto a esto en algún apartado (tanto en el formulario como después en el documento de seguridad) o ya se entiende que esto es algo normal? Gracias y un saludo.
febrero 1st, 2013 a las 16:12
Hola Ana: como la gestoría necesita tratar todos los datos (por ejemplo los de los clientes a quien factures), se convierte en la figura llamada Encargado del Tratamiento. Esto hay que indicarlo tanto en el alta del fichero (http://www.ayudaleyprotecciondatos.es/2010/03/09/inscripcion-de-ficheros-en-el-rgpd-4-contenido-de-la-notificacion/) como en el documento de seguridad.
febrero 4th, 2013 a las 11:00
Hola,
En mi caso es una web con una zona de acceso solo para usuarios registrados y clientes. Solo recojo nombre y correo electrónico.Se almacenan los datos en una base SQL alojada en un servidor estadounidense safe harbor. Solo yo tengo acceso. Imagino que con el nivel básico será suficiente, verdad? El hosting solo aloja pero no tienen acceso. Como debe constar en el documento?
Gracias
febrero 4th, 2013 a las 11:04
Hola Rafa: efectivamente bastaría con medidas de seguridad de nivel bajo. Respecto a cómo indicarlo en DS, dependerá de cada caso en función de las condiciones firmadas en el contrato de prestación de servicios con la empresa de hosting.
febrero 4th, 2013 a las 11:56
Otra duda que tengo del DS, ¿en él tiene que reflejarse todos las personas que tienen acceso a los datos¿.
Por ejemplo en una oficina, el jefe tendrá acceso a todo, el jefe de administración tb, luego los empleados dependiendo de sus funciones tendrán acceso a determinados datos o no.
Pero cuando en una empresa son 50 trabajadores, ¿todos tienen que estar reflejados en el documento de seguridad?
No se si me he explicado bien.
Gracias
Un saludo
febrero 4th, 2013 a las 12:16
Sandra: el listado ha de ser completo, sí. Además debe mantenerse permanente actualizado.
febrero 6th, 2013 a las 14:08
Gracias por la respuesta. Entonces, si en el alta del fichero y en el documento de seguridad se refleja que la gestoría tratará los datos para llevar la contabilidad, ¿hay que firmar alguna especie de contrato interno con ellos donde se especifique que tratarán los datos y cumplirán ciertas medidas de seguridad? En caso afirmativo, ¿hay algún modelo estándar para descargar y firmar? Saludos.
febrero 6th, 2013 a las 14:55
Ana: efectivamente entre las partes debe haber un contrato de tratamiento de datos (o las cláusulas que exige la LOPD introducidas en un contrato genérico de prestación de servicios). Tenemos un post sobre ese tema: http://www.ayudaleyprotecciondatos.es/2010/03/24/el-contrato-de-tratamiento-de-datos/
febrero 22nd, 2013 a las 13:12
Buenos días Jesús y gracias de antemano por tu ayuda.
Con respecto al documento de seguridad y en el apartado: “Si la autenticación se realiza mediante contraseñas, detallar el procedimiento de asignación, distribución y almacenamiento que deberá garantizar su confidencialidad e integridad, e indicar la periodicidad con la que se deberán cambiar, en ningún caso superior a un año”
En mi empresa se utilizan contraseñas, pero no se distribuyen ni almacenan. ¿Es obligatorio almacenar las contraseñas en algún documento o pueden almacenarse en la “memoria” del responsable del fichero y único usuario de ese fichero con datos personales?
Gracias y saludos
febrero 22nd, 2013 a las 18:12
Belén, la “memoria” no sirve como procedimiento, es un medio extremadamente inseguro