El Documento de Seguridad es el núcleo central de toda política de protección de datos de carácter personal, pues contiene las políticas, normas y procedimientos por lo cuales se va regir la organización en el tratamiento de datos de carácter personal.
Generalmente el primer Documento de Seguridad de una organización nace como consecuencia de las recomendaciones efectuadas con anterioridad, siendo en muchos casos una versión inicial donde la mayoría de los procedimientos son todavía un «deber ser» en lugar de un «ser», ya que no están efectivamente implantados.
Dicha implantación definitiva se consigue mediante el establecimiento de planes de acción, los cuales van «moldeando los «deber ser» en «ser» a lo largo del tiempo.
El Documento de Seguridad es un manual que debe reflejar la realidad de los procedimientos de una organización en relación con el tratamiento de los datos de carácter personal.
En el mismo se recogen todas aquellas medidas de carácter técnico, jurídico y organizativo que una organización adopta con el objeto de proteger o garantizar la seguridad de los datos personales que puedan existir, tanto en sus sistemas de información como en sus ficheros manuales o no automatizados.
En este sentido, el artículo 9 de la LOPD prevé la obligación del Responsable del Fichero en cuanto a la adopción de las medidas de índole técnica y organizativas que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural, estableciéndose en el artículo 44.3 letra h) de la LOPD que constituye una infracción grave «el mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen».
El RDLOPD dedica su Título VIII a las medidas de seguridad en el tratamiento de datos de carácter personal incluyendo además de las medidas de seguridad aplicables a los ficheros automatizados, las medidas aplicables a aquellos ficheros o tratamientos no automatizados. Por tanto, ese debe ser el objetivo primordial del Documento de Seguridad como norma básica delimitadora de las medidas de protección de la información personal que correspondan, de acuerdo con los niveles que puedan ostentar los ficheros existentes en una organización determinada, y con arreglo a las directrices del Reglamento de Desarrollo de la LOPD.
Pero ese objetivo primordial debe conjugarse con otro objetivo básico, que no es otro que el de tratar que éste sea un documento vivo y dinámico. Ahí radica el éxito de una correcta implantación de una política de protección de datos efectiva. Si lo que se pretende con el Documento de Seguridad es establecer un marco delimitador de la seguridad de la información personal, éste debe ser flexible en aras de adaptarse a los cambios que se produzcan como consecuencia del tratamiento de la información personal al ritmo frenético de los tiempos actuales.
Debe procurarse evitar en todo momento que el mismo se reduzca a establecer unas determinadas pautas y estándares estáticos, inertes, cuya implantación, si es que llega a existir efectivamente, se va difuminando con el tiempo, hasta desaparecer por completo.
Es importante que el Documento de Seguridad prevea con antelación, la posibilidad de cambios en relación a los sistemas de información, aplicaciones informáticas, personal con acceso a los datos, o cualquier otra contingencia que pueda afectar a la información personal como elemento en constante uso y utilización en cualquier organización. Por consiguiente debe hacerse referencia a todos aquellos procedimientos establecidos que complementen la política de seguridad existente.
En conclusión, el Documento de Seguridad ha de ser un documento cuya vigencia se plasme en el funcionamiento diario de la organización y en las personas que la conforman, es decir, que sea un documento vivo, actualizado y revisado a efectos de contemplar las nuevas situaciones que con respecto al uso de la información personal.
De ahí que, tanto los apartados 7 y 8 del artículo 88 del Reglamento de desarrollo de la LOPD, como ya lo hacían los apartados tercero y cuarto del artículo 8 del RMS, se refieran a la necesidad de mantenimiento y actualización, así como de adecuación a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.
Departamento de Comunicación
Áudea Seguridad de la Información