Tal y como establece el RD1720/2007, el responsable del fichero o tratamiento, deberá elaborar un Documento de Seguridad que recogerá las medidas de índole técnica y organizativas acordes a la normativa de seguridad vigente, y será de obligado cumplimiento para el personal con acceso a los sistemas de información.
El Documento de Seguridad podrá ser único y que comprenda todos los ficheros y tratamientos, o elaborar distintos documentos individualizados por cada fichero o agrupando varios según las características de la organización.
De esta forma, se podrán elaborar documentos:
En todo caso, el Documento de Seguridad tendrá carácter de documento interno de la organización, y se puede elaborar con el criterio que mejor convenga, pero no podemos olvidar que debe estar actualizado en todo momento.
Cuanta más dispersión exista, mayor dificultad presentará su actualización.
El Documento de Seguridad deberá estar a disposición de la AEPD en caso de que llegase a requerirlo.
El Documento de Seguridad debe ser “manejable”, ya que exige de una actualización regular.