La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), así como el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la citada Ley, tienen como objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. Por lo que, aunque sea legalmente necesario, únicamente con la inscripción de los ficheros ante la Agencia Española de Protección de Datos, no se alcanza tal objetivo, siendo de obligado cumplimiento, la existencia del Documento se Seguridad en todas las entidades que tratan datos de carácter personal.
El Documento de seguridad es una de las partes fundamentales de la Protección de Datos, a través de él, se elaboran y adoptan las medidas organizativas necesarias que garanticen la seguridad de los datos de carácter personal a las que tiene acceso la entidad, y que está obligada a aplicar. El documento de seguridad debe encontrarse en las instalaciones de la entidad para disponer de él en caso de necesidad o inspección.
El artículo 88 del Real Decreto 1720/2007, de 21 de diciembre, regula específicamente la figura del Documento de Seguridad, y establece que el responsable del fichero o tratamiento elaborará un documento de seguridad que recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información. El documento de seguridad podrá ser único y comprensivo de todos los ficheros o tratamientos, o bien individualizado para cada fichero o tratamiento. En todo caso, tendrá el carácter de documento interno de la organización. El documento deberá contener, como mínimo, los siguientes aspectos:
(i) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
(ii) Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento.
(iii) Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.
(IV) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
(V) Procedimiento de notificación, gestión y respuesta ante las incidencias.
(VI) Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.
(VII) Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.
El documento de seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes.
Cuando se realizan inspecciones en materia de Protección de Datos es habitual solicitar el Documento de Seguridad para conocer la situación de la empresa y las medidas de seguridad que se aplican. El hecho de no disponer de Documento de Seguridad o de que éste no se encuentre correctamente actualizado es constitutivo de infracción grave, y según establece el artículo 44.3 de la LOPD, como ya se ha dado en muchas ocasiones, puede suponer una sanción con multas de entre 40.001 a 300.000 euros.