ALGUNAS CARACTERÍSTICAS DEL DOCUMENTO DE SEGURIDAD SON:

1. En primer lugar el Documento de Seguridad es un documento que debe estar redactado a nombre del Responsable del Fichero, aunque lo haya redactado un despacho de abogados.
2. Así mismo, la tenencia de dicho documento es un imperativo legal para todas aquellas personas físicas o jurídicas que traten datos de carácter personal (a excepción de las exoneradas por ley), con indiferencia del tipo de datos personales que traten.
3. De igual forma, el Documento de Seguridad deberá estar accesible para los responsables de la entidad auditada, así como para los inspectores de la Agencia Española de Protección de Datos Personales y, por ello en dicho documento sólo se incluirán los procesos legales, organizativos y técnicos que efectivamente se cumplen.
4. El Documento de Seguridad deberá llevar anexas las Funciones y Obligaciones de aquellas personas de la entidad que accedan o traten datos de carácter personal.
5. Deberán incluirse en forma de anexos los distintos procedimientos para la autorización de altas, bajas de ficheros, registro de incidencias, registro de usuarios, salidas y entradas de soportes, etc.
6. Teniendo en cuenta que el Documento de Seguridad es el último paso de la auditoria, se deberá adjuntar un inventario de ficheros que se vayan a dar de alta, modificar o cancelar ante la Agencia Española de Protección de Datos. Así mismo, en el momento que los ficheros hayan sido admitidos por el Director de la Agencia Española de Protección de Datos, se deberá incluir el número de inscripción de fichero que éste le haya otorgado, al Documento de Seguridad.
   

La normativa es muy explícita respecto a este apartado, dirigiéndose el mismo a aquellos responsables de ficheros que traten datos personales de nivel medio y/o alto. Lo que el Reglamento de Medidas de Seguridad exige es la realización de una auditoria de protección de datos que verifique los procedimientos legales, técnicos y organizativos, al menos cada dos años. Por lo que dependiendo de la organización de la empresa, dicha auditoria deberá realizarse, semestralmente, anualmente o una vez cada dos años, si bien, en todo, caso, la auditoria no se presentaría como un procedimiento opcional.
En el caso de aquellos responsables de ficheros que sólo traten datos de nivel básico, la primera auditoria de protección de datos seguiría siendo obligatoria, si bien el Reglamento no menciona ninguna obligación en materia de revisión, aunque siempre y cuando se modifiquen procesos, aplicaciones informáticas o cambios significativos, estas auditorias ayudarían a la verificación de la correcta implantación o en su caso a la corrección de las deficiencias detectadas.