El artículo 88.7 del RD1720/2007 dice:
El documento de seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados.
Estas son algunas de las situaciones en las que debemos actualizar el documento de seguridad:
o Se incorpora un nuevo trabajador que va a tratar datos personales a la empresa. Deberá añadirse a la lista de usuarios y accesos permitidos.
o Se va de la empresa un trabajador que tenía acceso a datos personales. Deberá eliminarse de la lista de usuarios y accesos.
o Se compra nuevo equipamiento informático. Se deberá añadir al inventario de equipamiento de la sede.
o Se adquiere un nuevo software. Se deberá añadir el software en su sección, así como los perfiles que tienen acceso a mismo.
o Se recogen nuevos tipos de datos. Se deberá modificar, además, la inscripción del fichero.
o Se incorpora o cambia algún encargado del tratamiento.
Se deberá suscribir el contrato y modificar la inscripción del fichero, si es el caso.
o Cuando se produzcan otros cambios en la organización que puedan afectar a los datos.
No disponer de un Documento de Seguridad actualizado y que refleje la situación real de la empresa es una infracción grave, sancionada con multa de entre 40.001 € y 300.000 €.