No tener Documento de Seguridad puede salirte caro

Posiblemente estemos ante la primera multa a una empresa por no disponer de Documento de Seguridad al ser requerido por la Agencia Española de Protección de Datos. En ocasiones se tiene la falsa creencia de que esto de cumplir con la protección de datos es poner un par de cláusulas aquí y allá e inscribir unos ficheros en noseque registro.

Nada más lejos de la realidad. El objetivo de la Ley Orgánica de Protección de Datos es precisamente ese, proteger los datos personales de los interesados o afectados, por tanto, medidas como incluir unas cláusulas o inscribir unos ficheros, realmente no persiguen esa finalidad protectora, aunque legalmente sea necesario hacerlo.

Es el Documento de Seguridad el instrumento que articula los mecanismos de seguridad que una determinada entidad ha decidido adoptar, respetando siempre los mínimos legales, pero permitiendo ampliar los sistemas de seguridad hasta donde estime oportuno.

A cierta Clínica y a cierto Hospital se les olvidó este pequeño detalle; redactar un Documento de Seguridad no es especialmente complejo, aunque sin duda es más que recomendable la intervención de especialistas en temas de protección de datos para contemplar y estudiar cada supuesto concreto.

En el caso expuesto, veremos como, extrañamente, ni la Clínica ni el Hospital facilitaron el Documento de Seguridad a la Agencia Española de Protección de Datos cuando le fue requerido, lo que, en el momento de la apertura del procedimiento sancionador le iba a costar entre 60.000 y 300.000 euros, aunque finalmente se lo dejaron en 6000 euros.

El caso es curioso por varios motivos, principalmente por los hechos que causaron la denuncia ante la AEPD (pérdida de una historia clínica tras fallecer el enfermo en extrañas circunstancias) pero de esto hablaremos en otra ocasión.

El asunto es que la historia clínica parece que se pierde entre el Hospital y la Clínica; ante esta situación, la AEPD solicita a la Clínica y al Hospital que le remita el Documento de Seguridad de los ficheros con datos de los pacientes. Esto es una práctica habitual en fase de inspección: se solicita este Documento para conocer la situación de la empresa, responsable de seguridad, sistemas de información y seguridad, tratamiento de los datos, etc.

El 14 de julio de 2005 se le requiere el Documento de Seguridad a la Clínica y el 11 de agosto de 2005 la Clínica les responde que en este momento no podemos remitirle debido a la fecha en la que se solicita y que en breve les será remitido (mi propia experiencia profesional me indica, que en las fechas en las que fue solicitado el Documento de Seguridad (en pleno verano) la persona encargada de los temas de protección de datos debía encontrarse de vacaciones, y por tanto, en la Clínica nadie sabría dónde se encuentra ese Documento, y muy posiblemente, ni siquiera sabrían que existe, si es que existía).

Por su parte, el mismo día 14 de julio, se le requiere al Hospital el Documento de Seguridad, a lo cual, este Hospital responde el 2 de agosto que sin problemas y que el dichoso Documento va adjunto; sin embargo, adjunta a la contestación no iba nada. Misteriosamente, entre la documentación aportada se encuentra una certificación de la consultora que les estaba llevando el tema de protección de datos en el que se afirma que “hemos realizado el estudio de seguridad en el Hospital San Rafael de – Una vez realizado dicho estudio, actualmente estamos elaborando el documento de seguridad y se va a realizar la inscripción en la Agencia de Protección de Datos como regula la Ley. (ups)

Los días, meses y años transcurren, y la AEPD se cansa de esperar por lo que a finales de julio de 2007 acuerda iniciar el procedimiento sancionador contra estas dos entidades; rápidamente, en septiembre de 2007, les remiten los Documentos de Seguridad tanto del Hospital como de la Clínica, y les dice a la AEPD que los Documentos los tenían desde un primer momento, pero que entre unas cosas y otras no se los podían haber enviado antes.

Por supuesto, ya era demasiado tarde. La AEPD terminó en sancionar tanto a la Clínica como al Hospital con 6000 euros a cada uno (una rebaja considerable teniendo en cuenta que la sanción mínima para la infracción grave que es la que cometieron es de 60.000 euros)

Ahora bien, uno puede hacerse dos preguntas si ha seguido el hilo de los acontecimientos:

  • 1º: ¿Por qué tardaron tanto en enviar el Documento de Seguridad?
  • 2º: ¿Qué diablos es el Documento de Seguridad?

Respecto a la primera cuestión. Me imagino que tanto el Hospital como la Clínica estarían asesorados por profesionales en materia de protección de datos y éstos les explicarían lo de la prescripción de las infracciones. No disponer de Documento de Seguridad es constitutivo de infracción grave (artículo 44.3.h LOPD). Las infracciones graves prescriben, según artículo 47.1 LOPD a los dos años desde el día en que se hubiera cometido la infracción.
La infracción se cometió en el mismo momento en que la AEPD requirió formalmente el Documento de Seguridad y éste no fue entregado en el plazo previsto de 10 días desde la recepción del requerimiento.Por tanto, pensarían los abogados del Hospital y la Clínica que podrían dejar transcurrir el tiempo, en concreto, 2 años o más, sin hacer nada y sin emitir ninguna comunicación más a la AEPD, con el objeto de conseguir la prescripción de la infracción y salir airosos del asunto.
Este sin duda era el último argumento que les quedaba para evitar la multa, y estoy convencido que ya se imaginaban lo que les diría la AEPD: que en este caso nos encontramos ante una infracción continuada en el tiempo. Así, la AEPD afirma en su resolución que “Respecto a la prescripción […], debe señalarse que se trata de una infracción permanente pues los efectos de la falta de documento de seguridad permanecen mientras no se elabore el mismo.
De lo que se desprende que el dies a quo, en cuanto al cómputo del plazo de la prescripción, es el día en que cesa la lesión al citado artículo […], es decir el día en que se dota al fichero del documento de seguridad que exige el artículo 8 del Real Decreto 994/1998. Con lo cual la prescripción alegada no se ha producido, toda vez que con fecha 14/07/2005 se requirió a las entidades imputadas la aportación del citado documento de seguridad, mediante escritos que recibieron el 21/07/2005 y 26/07/2005. Tales entidades no apartaron los documentos de seguridad de sus ficheros en el plazo de diez días concedido a tal efecto, por lo que si en las citadas fechas carecían de documentos de seguridad, desde dicha fecha hasta la apertura del presente procedimiento, el día 20/07/2007, notificado el 24/07/2007, no ha transcurrido el plazo de dos años y la prescripción alegada no se ha producido.”
Nótese también lo astuto de la AEPD que acordaron iniciar el procedimiento sancionador cerca de la posible fecha de prescripción de los dos años. Sin duda alguna un interesante juego de estrategia con las prescripciones.

Y en relación a la segunda pregunta, sobre qué es el Documento de Seguridad.
En primer lugar dejar claro que la existencia de este Documento de Seguridad es obligatorio en todas las empresas que traten datos de carácter personal, artículo 8 del Real Decreto 994/1999: Artículo 8.Documento de seguridad. 1. El responsable del fichero elaborará e implantará la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información.El contenido del Documento también está especificado en la Ley:a)ámbito de aplicación del documento con especificación detallada de los recursos protegidos. b) Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento.

c) Funciones y obligaciones del personal.

d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.

e) Procedimiento de notificación, gestión y respuesta ante las incidencias.

f) Los procedimientos de realización de copias de respaldo y de recuperación de los datos.

3. El documento deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo.

4. El contenido del documento deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.

Además el artículo 15 dispone que “el documento de seguridad deberá contener, además de lo dispuesto en el artículo 8 del presente Reglamento, la identificación del responsable o responsables de seguridad, los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento y las medidas que sea necesario adoptar cuando un soporte vaya a ser desechado o reutilizado.
Las medidas de seguridad de los ficheros con nivel de protección alto se recogen en los artículos 23 a 26 del citado Real Decreto 994/1998.

En definitiva, el Documento de Seguridad es el lugar donde hemos especificado las medidas que se han adoptado para proteger los datos personales, pues el artículo 9 LOPD impone el principio de seguridad de los datos, que es precisamente esto, y es obligatorio tenerlo en todas las empresas que traten datos de carácter personal.

Descargar la resolución de la AEPD desde aquí

22 comentarios en “No tener Documento de Seguridad puede salirte caro”

  1. Ya he tenido ocasión de comentar en alguno de mis post y en otros comentarios que he dejado en post de colegas, que las sanciones de la Agencia, son desproporcionadas, tanto desde la óptica del derecho comparado, como de las sanciones de otros organos sancionadores que ven de casos de trascendencia incluso mas grave.

    Responder
  2. Gracias por poner toda esta información ya que es importante que todos sepaMOS de temas jurídicos que a veces se nos escapan por no darles la importancia que se merecen. Gracias a mi asesor, yo he podido evitar esta situación. El me pudo conseguir el trámite y gestión de todo el papeleo GRATIS a través de una empresa que se llama *****. Lo único que tenía que hacer fue contratar un curso de formación continua (con el crédito que dan a todas las empresas con al menos un trabajador) que luego me descontaron de la seguridad social. Ya sé que suena un poco lioso (yo pensaba lo mismo al principio) pero al final no me resultó nada complicado. Os dejo el número de esa gente por si queréis mas información acerca del tema *****.

    Responder
  3. He editado tu comentario para evitar hacer publicidad gratuita de empresas.
    Comentarte que esa es una práctica habitual en el sector, y que supone, según alguna doctrina, fraude de ley, por lo que podrías tener problemas en un futuro.
    Los créditos que concede la UE no están destinados para eso y los que hagan un uso indebido de ellos podrían incurrir en un fraude económico importante.

    Por otra parte, creo que hay alguna plataforma que está iniciando trámites de denuncia por esas prácticas.

    Responder
  4. Dices:
    “Los créditos que concede la UE no están destinados para eso y los que hagan un uso indebido de ellos podrían incurrir en un fraude económico importante.”

    ¿Puedes explicar este punto del fraude y su base legal?

    También dices:
    “Por otra parte, creo que hay alguna plataforma que está iniciando trámites de denuncia por esas prácticas.”

    ¿Podrías indicarme qué plataforma es esa?

    Responder
  5. Te lo explico resumidamente, si tienes interés directo puedes acudir a los instrumentos legales de la UE y a los respectivos Españoles.
    Los créditos que concede la UE son para “formación”. Formación no es consultoría ni auditoría, ni compra de material informático, lo que pasa es que muchas empresas no los utilizan y los pierden. Para ello, se hace la “trampa” o “fraude de ley”, de decir: “adapto tu empresa a la LOPD pero lo facturamos como formación, así lo metes a los créditos de la UE y no te cuesta nada”. Eso en nuestro pais se llama fraude de ley.

    Sobre la otra pregunta no puedo decirte mucho porque es simplemente una conversación que tuve en una conferencia y a mí tampoco me comentaron más detalles, simplemente que la propia Administración se estaba dando cuenta de eso y querían tomar medidas, pero no sé más :(.

    Responder
  6. Buenos días a todos,
    Como me gusta leer estos temas y profundizar, en la medida de lo posible en ellos. Siempre se aprende algo nuevo y lo digo por experiencia que me dedico a estos temas.

    Como comenta Samuel, es increíble la pasividad que tienen las empresas a la hora de vigilar los datos de las personas. Cuando yo lo comento a amigos míos esto, me salen siempre con lo mismo, esto no nos va a tocar, esto es sólo para las grandes, yo no trato datos, etc. Están muy lejos de la realidad, ya que todas las empresas tratan datos de carácter personal y deben de cumplir, como mínimo, las medidas de nivel básico (que a mi juicio, y hablando de seguridad informática, son muy básicas).

    Un fuerte abrazo a todos.

    Responder
  7. Hola, redactar un documento de seguridad en ocasiones puede resultar muy dificil… ¿Alguien sabría decirme las consecuencias de cometer errores en su redaccion? En este caso la empresa sí dispone de Documento de Seguridad (ya no incurre en esta sancion) pero el mismo contiene errores que provocan que lo contenido en él no se adapte a la realidad. Creo que nos encontramos ante una laguna porque no he visto ninguna sancion por estos motivos….

    Responder
  8. Silvia, yo no veo que haya ninguna laguna. Si el documento de seguridad tiene reflejadas unas medidas, que además seguramente serán las exigidas por la ley, y luego no se cumplen, lo que hay es una vulneración de las medidas de seguridad, encauzables por el art. 9 LOPD; lo que diga el documento de seguridad da igual en este caso, lo importante es que las medidas de seguridad estén implantadas y funcionando.

    Responder
  9. Hola Silvia, añadiré algo a lo que dice Samuel: mas dificil que redactar un buen documento de seguridad puede ser que la empresa sobreviva a un incidente de seguridad. Y mas caro que hacer un buen documento de seguridad puede ser no hacerlo y que tengas un incidente que origine una denuncia y tengas una sancion, normalmente de 60.000 €, por falta de medidas de seguridad. La visión de la Agencia suele ser finalista:
    – si tienes un mal documento de seguridad y no tienes ningun incidente, no pasa nada.
    – Si tienes un mal documento de seguridad y un incidente denunciado ante la Agencia, son 60.000 €.
    – Si tienes un buen documento de seguridad, bien implantado, y tienes un incidente denunciado ante la Agencia, te puede servir para solicitar la aplicación del art. 45.5 y los 60.000 € se queden en 6.000 € e incluso en 600 €. En el extremo, dificil pero no imposible, se podria archivar si convences a los inspectores de que no era posible evitar el incidente de seguridad. Ellos lo trasladarian a su informe y el Director de la AEPD lo podría tener en cuenta.

    Me han contado que denuncias relativas al virus Blaster, u otras vulnerabilidades 0-day, fueron inadmitidas porque, en su momento, no existian los parches necesarios.

    En el caso de denuncias por incidentes de seguridad, el documento de seguridad es examinado en detalle por los inspectores, valorado y tenido en cuenta para calibrar la sanción.

    Samuel, segun el captchas, 8+7 no son 15

    Responder
  10. Como es una inspección:

    Primero, diré que el papel de los inspectores no es cazar al inspeccionado, lo que quieren es saber que es lo que ha pasado. He visto ocasiones en que daba la sanción por segura y han sido los propios inspectores los que han sacado las pruebas por las que se ha podido eludir la sanción, y ellos lo sabian. Así que no conteis con que en este juego ellos están en el equipo contrario. Segun me han contado, ellos no ganan nada con las sanciones, ni con los archivos. Salga lo que salga, les da igual.

    Normalmente los inspectores suelen avisar de las inspección mediante fax, habitualmente al final de la mañana del dia anterior. Algunos incluso llaman por teléfono para comprobar que se has recibido el fax. Aunque a veces tambien se presentan sin avisar. Si lo hacen, no te quejes, siempre dicen que no tienen obligación de avisar. En algunas ocasiones incluso te pueden llegar a decir que tengas preparada cierta documentación. Lo he visto pocas veces, pero puede ocurrir.

    Llegan en parejas, llevando una maleta, o dos maletines, y dentro de ellos una impresora diminuta, un portatil, algun otro material, y la denuncia. Segun cuentan, van a sitios en que no tienen nada, así que tienes que tener autonomia y no depender de material que les pueda facilitar el inspeccionado.

    Primera fase: se presentan, se identifican y te dan la autorizacion de inspección. Preguntan si es la primera vez, y si lo es te informan como va el asunto: que ha habido una denuncia, que la tienen que investigar, que esto no supone automáticamente una sanción, que solo vienen a investigar si ha habido alguna vulneración de la ley y las circustancias, etc. Algunos inspectores dan una vaselina tremenda: tras oirles parece que no pasa nada.

    Segunda fase: empiezan con las preguntas, que de que va la empresa, sus actividades, como lo hacen, que ficheros tienen, que sistemas informáticos, aplicaciones. Poquito a poco, se van centrando en el area de actividad que les interesa, haciendo preguntas cada vez mas detalladas.
    Te piden documentos y contratos. Todo esto hasta que creen que tienen información suficiente del tema en cuestión.

    Tercera fase: Comprobaciones. Te piden acceso a tus equipos. No suelen tocar ellos los equipos, sino que dirigen a tu personal para que haga las busquedas. Si en algun momento creen que les estas toreando, pueden sentarse ellos al teclado, pero no es frecuente. Van dirigiendo las busquedas, ya sea a traves de a aplicacion o, a veces, piden acceso directo a las bases de datos. Van capturando pantalas, mandando listados, impresión de documentos, etc.
    Mientras tanto, pueden ir pidiendo explicaciones. Cuando creen que tienen bastante, paran.

    Cuarta fase: Piden que los dejen solos para redactar el acta. Normalmente suelen tardar sobre una hora a hora y media, aunque he visto veces de mas, incluso redactarla en la Agencia y pedir que pases a firmar, o volver unos dias despues. Terminada de redactar el acta, te dan un borrador para que la leas. Punualizan que puedes cambiar tus manifestaciones, pero las comprobaciones son inmutables.
    Tras leerla y puntualizar lo que creas conveniente, modifican el acta, la imprimen y la firman los dos inspectores y algun representante de la empresa inspeccionada.

    Firmada el acta, recogen los bartulos, se despiden y se van.

    Algo que siempre me ha llamado la atencion de los inspectores: siempre he considerado una cortesia, sin pretender nada, ofrecerles algo a media mañana, no se, un cafe, un referesco. Lo mas que me han aceptado es agua, y eso que ha habido inspecciones en que me han tenido hasta las 6 de la tarde sin parar, ni para comer. A las 3 les dije: vamonos a comer y luego seguimos. Me dicen, “no, si en seguida terminamos” y nos tuvieron 3 horas mas en ayunas.

    Responder
  11. Hola Pit; quiero aprovechar para agradecerte tus aportaciones, sobre todo esta última que a mi personalmente ha sido de lo más interesante.
    De tus palabras deduzco que debes trabajar en alguna empresa que mueva muchos datos y que reciba denuncias con cierta frecuencia; confio en que algún día nos conozcamos 🙂
    Respecto al 8+7, no sé por qué puede fallar y es raro porque el plugin es sencillo en esa parte… Lo mismo tardaste mucho en escribir el artículo y el captcha “caducó” ?¿

    Responder
  12. Quiero rescindir mi contrato de alquiler antes de tiempo, contrate un abogado para que me ayudase en este asunto y ahora la empresa de quien rente el piso antes de mostrarme un borrador me exigen que les firme el documento de proteccion de datos y que firme el borrador tanto mio como de ellos. No entiendo esta actitud. Alguien puede explicarme?

    Gracias,

    Responder
  13. primero agradecer esta pagina, porque la verdad ni las propias empresas encargadas de darle de alta en la proteccion saben aplicar la ley a casos especificos.
    llevo en una empresa 5años antes como empleada y ahora hace un año como autonoma me gustaria saber, si una vez que consigo el permiso de la persona puedo utilizar datos que tenia antiguos de antes de ser yo autonoma en esa misma empresa.

    gracias

    Responder
  14. no se si me podeis echar una mano, me estoy volviendo loca con el documento de seguridad, no se si soy muy corta o la capacidad explicativa de la información de la AGPD se queda corta, me podriaís facilitar algún documento de este tipo que me sirva como guión? Soy nueva empresaria;)
    Gracias , un saludo

    Responder
    • Pois e9, quando li esse post fquiei pensando na mesma palavra que a Monica disse: Responsabilidade. No primeiro ano da faculdade, numa das primeiras aulas, aprendi o que era o Pauteiro fquiei um pouco assustada pensando, quem e9 esse cara para dizer o que passa e o que ne3o passa pelo filtro? Um pouco braba, um pouco indignada, ne3o percebi o quanto ele facilitava a minha vida, a responsabilidade que tirava de mim. Quando passei a ler na internet e abandonei o jornal e as revistas, percebi que agora a decise3o era minha, e que decise3o chata! Como decidir entre o que eu gosto de ler e o que e9 importante saber independente dos meus gostos? Sere1 que estou lendo sobre aquilo que todos ve3o falar amanhe3? Ne3o e9 sf3 a quantidade de notedcia que incomoda, mas saber responder: Sere1 que estou escolhendo as notedcias certas? Sere1 que existem notedcias certas e erradas? Tento ne3o me preocupar com isso, mas que a angfastia existe, a existe!!!

      Responder
  15. Antes de nada agradecerte este y otros post que has publicado, me han resultado muy útiles, pero tengo unas preguntas, que no se si me prodras ayudar.
    Si tengo una base de datos con los datos de los clientes y las facturas las hago en excel, una para cada cliente, ¿tengo que inscribir todas las facturas en la AGPD o con una inscripcion me vale para ambos?¿Tengo que pedir consentimiento a los clientes si la base de datos es para las facturas?

    Gracias

    Responder
    • Hola Gustavo, gracias por tus palabras 🙂
      En relación a tu pregunta, solo sería necesario inscribir un fichero, el de “clientes” y para hacerles las facturas no necesitas su consentimiento 🙂

      Responder
  16. Samuel tengo una consulta. Puedo disponer de una copia del documento de seguridad de un hospital? Les he solicitado las grabaciones de un dia en concreto de mi padre fallecido y me haan dicho que a los 15 dias graban encima, según marca el documento de seguridad y ya no disponen de ellas.

    Responder
  17. Hola Samuel, queria hacerte una pregunta.
    Cuando se tiene un fichero que el encargado es un tercero (gestoría), al generar el doc.de seguridad consta en él como que ese fichero lo lleva esa gestoría concreta. Pero no se especifica más, (no se especifican anexos de los equipos que hay en la gestoría y los usuarios de cada equipo puesto que es algo complejo). Eso llevaría a una infracción? O al estar los contenidos mínimos que debe contenter no llevaría a infracción?
    Y otra cosa, las inspecciones pueden hacerse sin motivo aparente, o sólo se hacen ante una denuncia de un tercero?

    Gracias de antemano. Un saludo.

    Responder
  18. Hola, espero que se encuentre bien. Tengo una duda, ojalá me pudiera ayudar. El documento de seguridad se puede publicar? O hacer versión pública?

    Responder

Responder a Anónimo Cancelar la respuesta