Conócenos

LOPD EN DESPACHOS DE ABOGADOS

El documento de seguridad

Por Pedro de la Torre Rodríguez

  • Imprimir

Pedro de la Torre Rodríguez

Como séptima entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados hoy les comentaré lo relativo al documento de seguridad y a su importancia vital en el proceso de protección de datos.

Qué es el documento de seguridad

El documento de seguridad contiene todas las normas y procedimientos implantados en el despacho a fin de dar cumplimiento a la normativa en materia de protección de datos personales. 

El responsable del tratamiento de los datos es el encargado de elaborar este documento y sobre quien recae la responsabilidad de su corrección. Deberá incluir en el mismo todas las medidas técnicas y organizativas orientadas a dar cumplimiento a la normativa vigente, y será de obligado cumplimiento para el personal del despacho así como para terceras partes involucradas en el tratamiento de los datos. 

Este documento constituye el núcleo de las medidas para garantizar un correcto uso de datos de carácter personal y su corrección, completitud y detalle son fundamentales.

Qué contiene el documento de seguridad

El documento de seguridad deberá recoger, como mínimo, los siguientes aspectos:

  • Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
  • Medidas, normas, procedimientos de actuación, reglas y estándares en vigor en el despacho encaminados a garantizar el nivel de seguridad exigido.
  • Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.
  • Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
  • Procedimiento de notificación, gestión y respuesta ante las incidencias.
  • Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.
  • Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.
  • La identificación del responsable o responsables de seguridad.
  • Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.
  • Cuando exista un tratamiento de datos por cuenta de terceros, el documento de seguridad deberá contener la identificación de los ficheros o tratamientos que se traten en concepto de encargado con referencia expresa al contrato o documento que regule las condiciones del encargo, así como de la identificación del responsable y del período de vigencia del encargo.
  • En aquellos casos en los que datos personales de un fichero o tratamiento se incorporen y traten de modo exclusivo en los sistemas del encargado del tratamiento, podrá delegársele la llevanza del documento de seguridad, salvo en lo relativo a aquellos datos contenidos en recursos propios.

Hay muchas más cosas a tener en cuenta, pero no se agobie. Se las iré explicando en detalle, paso a paso en sucesivas entregas.

Aspectos a analizar para elaborar el documento de seguridad

Para elaborar el documento de seguridad de su despacho jurídico va a tener que analizar numerosos aspectos, entre los que cabe destacar:

LOS FICHEROS DE DATOS:

Tendrá que determinar la naturaleza, tipología y finalidad de utilización de todos los datos de carácter personal que maneje.

LA ADQUISICIÓN, USO, CESIÓN Y DESTRUCCIÓN DE LA INFORMACIÓN

Tendrá que establecer una serie de metodologías para la admisión de información personal en el despacho, su uso y acceso en función de su tipología y finalidad, así como la cesión o acceso de terceros a dicha información.

A su vez tendrá que determinar la forma en la que se procede a la destrucción de los datos personales una vez se ha cumplido la finalidad de los mismos.

MEDIDAS DE SEGURIDAD:

En función de la tipología de los datos personales que gestione, variarán las características de los procedimientos de seguridad que deberá implantar en su despacho jurídico. Algunos de esos procedimientos de seguridad son:

  • Identificación y Autenticación de Usuarios.
  • Control de acceso.
  • Administración de Usuarios.
  • Ficheros temporales.
  • Separación de los recursos de desarrollo y producción.
  • Gestión de Soportes y Documentos.
  • Desechado y reutilización de soportes.
  • Almacenamiento de ficheros no automatizados.
  • Custodia de soportes.
  • Criterios de archivo.
  • Seguridad en redes de comunicación.
  • Copias de respaldo.
  • Régimen de trabajo fuera de los locales de la ubicación del fichero.
  • Traslado de documentación.

Así mismo, en esta área deberá evaluar el impacto que supondría, tanto para el despacho como para el afectado, la sustracción, pérdida o deterioro de los datos personales. Con ello limitará su responsabilidad acreditando la implantación de medidas suficientes para evitar estos extremos.

DERECHOS DE LOS AFECTADOS

Como ya vimos en la entrega anterior, deberá velar por los derechos de las personas sobre las que versan los datos personales que maneja, implementando procedimientos que permitan ejercer a los afectados sus derechos.

FUNCIONES Y OBLIGACIONES DEL PERSONAL

El personal del despacho tendrá una serie de obligaciones respecto del tratamiento de los datos personales que se manejen, entre los que destacan:

  • Propiedad intelectual.
  • Control de acceso físico.
  • Confidencialidad de los datos de carácter personal.
  • Acceso a los sistemas de información y aplicaciones.
  • Acceso a los sistemas no automatizados.
  • Uso apropiado de recursos informáticos.
  • Conectividad a internet.
  • Correo electrónico.
  • Gestión de soportes, documentos y ficheros temporales.
  • Salidas y entradas de datos de carácter personal.
  • Notificación de incidencias

SERVICIOS PRESTADOS POR TERCEROS

Deberá delimitar las condiciones en las que terceras partes acceden a los datos personales de su despacho en el marco de la prestación de servicios, la finalidad del acceso y la forma en la que este tercero debe manejar la información en función de su naturaleza.

MEDIOS DE ALMACENAMIENTO DE LA INFORMACIÓN

Tendrá que establecer la forma en la que se almacenarán los datos personales: papel, digital o mixto. En función de esto deberá establecer las características de los medios de almacenamiento, medidas para su conservación y preservación, control de acceso y gestión de incidencias.

CONTRATOS Y CLÁUSULAS LEGALES

En función de todo lo anterior deberá preparar contratos y cláusulas legales a fin de garantizar aspectos tales como deber de secreto sobre los datos personales, el ejercicio de los derechos de los afectados por el tratamiento, condiciones en las que se cede la información a terceros, y un largo etcétera.

Retos ante la elaboración del documento de seguridad

No le engañaré: elaborar un documento de seguridad es una tarea ardua y compleja. Los negocios en España, al contrario que en el ámbito centroeuropeo o anglosajón, no procedimentan la mayoría de sus procesos, por ello, crear el documento de seguridad supone un choque importante, dado que se trata precisamente de eso, de procedimentar el funcionamiento del negocio.

La elaboración de este documento va a requerirle, entre otros una serie de esfuerzos que no siempre se está dispuesto a realizar:

  • Autodiagnóstico.
  • Establecimiento de reglas de juego internas.
  • Delimitación de responsabilidades en el despacho.
  • Transparencia en el funcionamiento.
  • Adaptación.

Igual que le comento lo anterior, también le indico que hacerlo será beneficioso para su despacho. En el proceso de autodiagnóstico podrá apercibirse de las cosas que funcionan mal. El establecimiento de reglas de juego internas evitará conflictos, delimitándose las responsabilidades de cada cual. La transparencia en el funcionamiento, al estar los procedimientos por escrito, facilitará la evaluación del funcionamiento en el despacho a la par que se pondrán de manifiesto duplicidades e ineficiencias.

El principal reto al que se enfrentará será el de adaptarse mentalmente a un modelo de trabajo más ordenado y procedimientado, frente a un funcionamiento casual y caótico, tan abundante en los negocios españoles.

Recomendaciones

Una vez más, le recomiendo que no se agobie. Todo lo que le comento en este artículo se lo iré desgranando en detalle en próximas entregas.

Como ya ha visto, para elaborar el documento de seguridad van a requerirse conocimientos muy variados, desde la gestión de riesgos o seguridad de la información hasta recursos humanos y gestión de proyectos. Además de estos conocimientos, deberá invertir bastante tiempo que deberá detraer del que le dedica a sus clientes. Por ello le recomiendo que se apoye en un profesional externo.

Por último y no menos importante, huya de los documentos de seguridad prefabricados, esos que se ofrecen tanto en Internet a un precio poco menos que ridículo. Piense en ello: es menos costoso realizar un documento de seguridad a medida que adaptar todo su despacho a un documento de seguridad.

El documento de seguridad no es un papel que se tiene por si surgen problemas y evitar en lo posible una multa, sino un compendio de medidas que correctamente aplicadas le evitará problemas y logrará un mejor funcionamiento de su despacho. Y es esto lo realmente importante.

Les espero en la próxima entrega: “Tipologías de ficheros de datos personales”

Lefebvre - EL Derecho no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación

Widgets Magazine

Comentarios jurisprudenciales

CASE STUDY & MASTER CLASS

LOPD EN DESPACHOS DE ABOGADOS

  • Medidas de seguridad para ficheros automatizados

    En función de la tipología de los datos personales que gestione un despacho jurídico, deberá implantar medidas más o menos severas para asegurar dichos datos personales.

  • El documento de seguridad

    El documento de seguridad no es un papel que se tiene por si surgen problemas y evitar en lo posible una multa, sino un compendio de medidas que correctamente aplicadas le evitará problemas y logrará un mejor funcionamiento de su despacho.

ebook gratuito

ENTREVISTAS

GESTIÓN DE DESPACHOS

  • ¿Por qué es importante implementar el marketing en una empresa de servicios jurídicos?

    Hoy en día, el mercado legal está inmerso en una etapa de dinamismo que se está llevando a cabo a través de numerosas integraciones y/o fusiones entre despachos de diferente perfil que lo que buscan es crear una marca más sólida con la que poder prestar un servicio más completo a sus clientes.

  • La web y el blog, primeras piedras del camino hacia el posicionamiento SEO

    ¿Recuerdas cuando captar clientes se reducía al ‘boca a oreja’ y al prestigio del despacho? ¿Todo iba mucho más rodado, ¿verdad? ¿Cuál es el motivo por el que ahora ya no es tan fácil? Muy sencillo: se ha constituido un nuevo canal de captación que aún tiene mucho potencial: internet, la web y Google, el mayor canal de información y búsqueda de contenidos de España.

REDES SOCIALES & ABOGADOS

  • Internet y Redes Sociales para despachos de abogados: una exigencia necesaria

    ¿Por qué es importante que los despachos de abogados entren en la dinámica de las redes sociales e Internet? ¿Cómo puede afectar a un bufete el estar o no en el mundo digital? ¿Qué es lo que quieren tus futuros clientes de su abogado? El mundo se ha digitalizado y los abogados no pueden quedarse atrás.

COLABORA CON NOSOTROS

Colabora

Envianos un artículo sobre nuevas tecnologías aplicadas al ámbito jurídico

Colaborar

Enviar Artículo

He leído y acepto las condiciones de la Política de Privacidad y el Aviso Legal

(*) Campos obligatorios

Pablo García Mexía

Abogado, Cofundador de Syntagma, Centro de estudios estratégicos.

1

Carlos Pérez Sanz

Socio del área de Information Technology y Compliance de ECIJA.

1

Raúl Rubio

Partner, Information Technology & Communications Baker & McKenzie

1

Anulada una sanción de 13.000 € a un operador de Drones: la Sentencia cuestiona la eficacia de los pantallazos de vuelos

Jaime Rodríguez Díez y Paula Romeo de Díez y Romeo han obtenido la anulación judicial de una sanción de 13.000 € impuesta a un operador de Drones. La Sentencia invalida la actuación de la Agencia Estatal de Seguridad Aérea (AESA) evidenciado numerosas irregularidades en la instrucción del expediente. 

feedburner

Reciba LAW & TIC de forma gratuita.

Contenidos relacionados

Atención al cliente: De lunes a viernes de 8:30 a 20:00 horas ininterrumpidamente. Tel 902 44 33 55 Fax. 915 78 16 17