Es un documento de seguridad interno de la organización, que debe mantenerse siempre actualizado.
Disponer del documento de seguridad en protección de datos es una obligación para todos los responsables de ficheros y, en su caso, para los encargados del tratamiento, con independencia del nivel de seguridad que sea necesario aplicar.
Los apartados mínimos que debe incluir el documento de seguridad son los siguientes:
Ámbito de aplicación de la protección de datos:
Especificación detallada de los recursos protegidos; medidas, normas, procedimientos, reglas y estándares de seguridad; funciones y obligaciones del personal, estructura y descripción de los ficheros y sistemas de información; procedimiento de notificación, gestión y respuesta ante incidencias; procedimiento de copias de respaldo y recuperación de datos; medidas adoptadas en el transporte, destrucción y/o reutilización de soportes y documentos.
A partir del nivel medio de medidas de seguridad en protección de datos, además de los apartados anteriores, deberán incluirse los siguientes:
Identificación del responsable de seguridad y control periódico del cumplimiento del documento.
En caso de haber contratado la prestación de servicios por terceros para determinados ficheros, en el documento de seguridad se debe hacer constar esta circunstancia, indicando una referencia al contrato y su vigencia, así como los ficheros objeto de este tratamiento en protección de datos.
Si se ha contratado la prestación de servicios en relación con la totalidad de los ficheros y tratamientos de datos del responsable, y dichos servicios se prestan en las instalaciones del encargado del tratamiento se podrá delegar en éste la llevanza del documento de seguridad en proteción de datos
