El documento deberá contener, entre otros, los siguientes aspectos:
DESCRIPCIÓN DE LOS FICHEROS:
Deberá incluirse en el Documento de Seguridad el nombre del fichero en el Registro General de Datos de la Agencia Española, las medidas de seguridad que se deben adoptar: básico, medio o alto, el nombre de la persona (administrador) designada para configurar el acceso a los datos, la legislación aplicable, ante quien se pueden ejercer los derechos A.R.C.O., información de las copias de respaldo y la relación de los usuarios autorizados a acceder a los datos entre otras cuestiones.
NOMBRAMIENTOS:
Indicar los nombramientos que afecten a los diferentes perfiles incluidos en el Documento de Documento de Seguridad como el responsable de seguridad.
AUTORIZACIONES DE SALIDA O RECUPERACIÓN DE DATOS:
Se deberán incluir las autorizaciones que el responsable del fichero ha firmado para la salida de los soportes que incluyan datos de carácter personal, como pueden ser las copias de seguridad de los datos.
DELEGACIÓN DE AUTORIZACIONES:
La lista de las personas delegadas por el responsable del fichero y las autorizaciones de cada una.
INVENTARIO DE SOPORTES:
Si el inventario está informatizado se deberán indicar las rutas de acceso a las carpetas y/o archivos que contienen los datos. Si no están informatizados, los soportes deberán guardarse en un lugar protegido y restringido al personal autorizado y deberán identificar la información que contengan.
REGISTRO DE INCIDENCIAS:
Si es un sistema informatizado, el registro de incidencias deberá indicar la ruta del archivo que lo contiene y si no lo está, deberá adjuntarse al Documento de Seguridad un anexo con los procedimientos de gestión y respuesta frente a posibles incidencias.
ENCARGADOS DE TRATAMIENTO:
Cuando sea el necesario el acceso a datos por parte de un tercero (como una Empresa de Seguridad en un sistema de videovigilancia), se deberá recoger el contrato entre el encargado del tratamiento de datos y el responsable del fichero indicando las medidas de seguridad a las que se refiere el artículo 9 de la L.O.P.D.
REGISTRO EN ENTRADA Y SALIDA DE SOPORTES:
El registro de entrada y salida de soportes será obligatorio a partir del nivel medio. Si el registro está informativo se deberá indicar la ruta del archivo que lo contiene, si no lo está, se deberá recoger la información al respecto acorde al artículo 97 del Reglamento de la Ley Orgánica de Protección de Datos.
MEDIDAS ALTERNATIVAS:
En el caso de que resulte imposible adaptar las medidas de índole técnicas y organizativas exigidas por el Reglamento de la Ley Orgánica de Protección de Datos, se deberán indicar las causas que justifiquen por qué resulta imposible y las medidas alternativas que se han tomado al respecto.