Política de Protección de Datos Personales

Reglamento General Europeo 679/2016 de
Protección de Datos de Carácter Personal

Ley Orgánica 3/2018, de Protección de Datos Personales
y Garantía de los Derechos Digitales.

ÍNDICE GENERAL DE CONTENIDOS

1. INTRODUCCIÓN. 

2. OBJETIVO Y ÁMBITO DE APLICACIÓN. 

3. RECURSOS PROTEGIDOS (ACTIVOS DE INFORMACIÓN) 

3.1. CENTROS DE TRATAMIENTO Y LOCALES. 

3.2. SERVIDORES Y ENTORNO DEL SISTEMA. 

3.3. PUESTOS DE TRABAJO. 

3.4. SISTEMAS INFORMÁTICOS Y APLICACIONES. 

3.5. MEDIOS DE ARCHIVO Y SOPORTES. 

4. IDENTIFICACIÓN DEL RESPONSABLE. 

5. ESTRUCTURA ORGANIZATIVA. 

5.1. RESPONSABLE DEL TRATAMIENTO. 

5.2. RESPONSABLES DE SEGURIDAD. 

5.3. ADMINISTRADORES DEL SISTEMA. 

5.4. DELEGADO DE PROTECCIÓN DE DATOS. 

6. REVISIÓN Y EVALUACIÓN.

7. NORMAS. 

7.1. RELATIVAS AL TRATAMIENTO. 

7.2. RELATIVAS A LOS DERECHOS DE LOS INTERESADOS. 

7.3. RELATIVAS A LOS SERVICIOS EXTERNOS. 

7.4. REGISTRO DE ACTIVIDADES DE TRATAMIENTO.

7.5. INCIDENCIAS.

7.6. EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS. 

7.7. TRANSFERENCIAS INTERNACIONALES DE DATOS. 

7.8. SEGURIDAD INFORMÁTICA. 

8. PROCEDIMIENTOS. 

8.1. COPIAS DE SEGURIDAD Y RECUPERACIÓN. 

8.2. ENTRADA/RECOGIDA DE DATOS PERSONALES. 

8.3. GESTIÓN DE USUARIOS. 

8.3.1. CREACIÓN DE USUARIOS. 

8.3.2. BAJA DE USUARIOS. 

8.3.3. MODIFICACIÓN DE UN USUARIO. 

8.4. IDENTIFICACIÓN Y AUTENTICACIÓN DE USUARIOS. 

8.5. DERECHOS DEL INTERESADO. 

8.5.1. SOLICITUD DEL INTERESADO.

8.5.2. COMUNICACIÓN AL AFECTADO. 

8.5.3. DERECHO DE ACCESO. 

8.5.4. DERECHO DE RECTIFICACIÓN. 

8.5.5. DERECHO DE SUPRESIÓN (DERECHO AL OLVIDO) 

8.5.6. DERECHO DE OPOSICIÓN. 

8.5.7. LIMITACIÓN DE TRATAMIENTO.

8.5.8. PORTABILIDAD. 

8.6. ACCESO A LOS SISTEMAS DE INFORMACIÓN Y A LOS DATOS TRATADOS. 

8.6.1. CONTROL DE ACCESO FÍSICO (CATEGORÍAS ESPECIALES DE DATOS) 

8.7. GESTIÓN DE SOPORTES Y DOCUMENTOS. 

8.7.1. SALIDAS DE INFORMACIÓN. 

8.7.2. ENTRADAS DE SOPORTES Y DOCUMENTOS. 

8.7.3. CIFRADO EN LA DISTRIBUCIÓN DE SOPORTES. 

8.7.4. DESTRUCCIÓN DE SOPORTES Y DOCUMENTOS. 

8.7.5. REUTILIZACIÓN DE SOPORTES INFORMÁTICOS. 

8.7.6. DESTRUCCIÓN DE SOPORTES INFORMÁTICOS. 

8.7.7. DESTRUCCIÓN DE SOPORTES NO INFORMÁTICOS (PAPEL) 

8.7.8. ALMACENAMIENTO DE DOCUMENTOS. 

8.7.9. COPIA O REPRODUCCIÓN DE DOCUMENTOS. 

8.7.10. TRASLADO DE DOCUMENTACIÓN. 

8.8. GESTIÓN DE INCIDENCIAS. 

8.8.1. PROCEDIMIENTO DE GESTIÓN DE INCIDENCIAS. 

8.8.2. POSIBLES INCIDENCIAS. 

8.9. GESTIÓN DE LAS VIOLACIONES DE LA SEGURIDAD DE LOS DATOS. 

8.9.1. NOTIFICACIÓN DE LA BRECHA DE SEGURIDAD. 

9. APROBACIÓN. 

10. CONSECUENCIAS DEL INCUMPLIMIENTO DEL DOCUMENTO DE SEGURIDAD. 

-----------

  1. INTRODUCCIÓN

La presente política de protección de datos debe mantenerse en todo momento actualizada, bajo la responsabilidad del Responsable del Tratamiento y en coordinación la persona designada como Responsable de Seguridad o del Delegado de Protección de Datos. 

Los tratamientos a los que se aplica este documento son aquellos que contienen datos de carácter personal y que se almacenan por medios informáticos y/o papel, en las instalaciones de la empresa y en su caso, de los encargados de tratamiento. Dichos tratamientos se indican en el Registro de Actividades de Tratamiento, tanto en calidad de Responsable como en calidad de Encargado de Tratamiento.

El contenido y normativa del presente documento estará adecuado en todo momento a las disposiciones vigentes en materia de seguridad de datos de carácter personal.

Este documento no supone un pronunciamiento explícito o implícito sobre características o situaciones no evidentes y no podrá ser usado para una finalidad distinta de la que es objeto.

El responsable del tratamiento ha supervisado el presente documento y ha dado las instrucciones precisas para implantar la normativa de seguridad en él reseñada e instruido en su conocimiento, a todo el personal afectado.

  

2. OBJETIVO Y ÁMBITO DE APLICACIÓN

La presente Política de Protección de Datos se elabora para dar cumplimiento a lo dispuesto en el Reglamento (UE) 2016/679 del parlamento Europeo y del Consejo de 27 de abril de 2016, y la Ley Orgánica 3/2018 del 5 de diciembre, en los que se indica que el responsable del tratamiento, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertados de las personas físicas, aplicará las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento de los datos es conforme a la normativa.

El objetivo de esta política de protección de datos es garantizar la seguridad de toda la información estableciendo las medidas organizativas, técnicas, físicas y legales, necesarias para proteger los activos de información contra acceso no autorizado, divulgación, duplicación, interrupción de sistemas, modificación, destrucción, pérdida, robo o mal uso, que se pueda producir de formación intencionada o accidental.

Las normas y procedimientos establecidos en este documento deberán aplicarse por todo el personal, tanto interno como externo, que realice algún tratamiento de datos de carácter personal, asimismo se deberán implantar en los sistemas de información reseñados tanto en el presente documento como en sus anexos, siendo de obligado cumplimiento. 

El ámbito de aplicación de esta Política de Protección de Datos son todos los tratamientos datos de carácter personal, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de los datos de carácter personal sujetos al régimen del Reglamento General de Protección de Datos (RGPD).

Todas las personas de la empresa que realicen un tratamiento de datos de carácter personal, bien a través del sistema informático habilitado para acceder al mismo (aplicaciones específicas de gestión, programas de ofimática, etc.), o bien a través de cualquier otro medio de acceso a la información, se encuentran obligadas por ley a cumplir lo establecido en este documento, y sujetas a las consecuencias que pudieran incurrir en caso de incumplimiento.

Las empresas o terceras personas que puedan realizar tratamiento de datos derivados de una prestación de servicios al Responsable del tratamiento, estarán sometidas a lo dispuesto en esta normativa, por tanto, será responsabilidad de estas entidades adecuar las medidas de seguridad necesarias en sus sistemas de información.

  

3. RECURSOS PROTEGIDOS (ACTIVOS DE INFORMACIÓN)

Los recursos que, por servir de medio directo o indirecto para acceder a los datos de carácter personal, deberán ser controlados por esta normativa son:

3.1. CENTROS DE TRATAMIENTO Y LOCALES

Los locales y centros de tratamiento de datos, donde se ubiquen los servidores u ordenadores y archivos en papel que contienen los ficheros deben ser objeto de especial protección que garantice la disponibilidad y confidencialidad de los datos protegidos, especialmente en el caso de que el fichero esté ubicado en un servidor u ordenador personal accedido a través de una red. 

3.2. SERVIDORES Y ENTORNO DEL SISTEMA 

Aunque el método establecido para acceder a los datos protegidos es el sistema informático, al estar la información ubicada en equipos informáticos con un sistema operativo determinado y poder contar con unas conexiones que le comunican con otros ordenadores, es posible, para las personas que conozcan estos entornos, acceder a los datos protegidos sin pasar por los procedimientos de control de acceso con los que pueda contar la aplicación. Esta normativa debe, por tanto, regular el uso y acceso de las partes del sistema operativo, herramientas o programas de utilidad, o del entorno de comunicaciones, de forma que se impida el acceso no autorizado a los datos protegidos.

3.3. PUESTOS DE TRABAJO

Son todos aquellos dispositivos informáticos desde los cuales se puede acceder a los datos de carácter personal, como por ejemplo, terminales u ordenadores personales. Se consideran también puestos de usuario aquellos terminales de administración del sistema, como por ejemplo, las consolas de operación, donde en algunos casos también pueden aparecer los datos protegidos.

3.4. SISTEMAS INFORMÁTICOS Y APLICACIONES 

Son todos aquellos programas de software con los que se puede acceder a los datos personales y que son usualmente utilizados por los usuarios para acceder a ellos. Estos programas pueden ser aplicaciones informáticas expresamente diseñadas para acceder a los datos (llamadas aplicaciones específicas o a medida) y/o aplicaciones estándares de uso general como aplicaciones o paquetes disponibles en el mercado informático.

3.5. MEDIOS DE ARCHIVO Y SOPORTES 

Son todos aquellos objetos físicos que almacenan o contiene datos o documentos u objetos susceptibles de ser tratados en un sistema de información. En el caso de los soportes informáticos son todos aquellos medios de grabación y recuperación de datos que se utilizan para almacenar datos o realizar copias o pasos intermedios en los procesos de la aplicación que gestiona la información. 

  

4. IDENTIFICACIÓN DEL RESPONSABLE

El presente documento será de aplicación a los tratamientos de datos de carácter personal que se realicen bajo la responsabilidad de la entidad indicada en la portada de este documento, incluyendo los sistemas de información, soportes y equipos empleados, que deban ser protegidos de acuerdo a lo dispuesto en normativa vigente, las personas que intervienen en el tratamiento y los locales en los que se ubican. 

En el Registro de Actividades de Tratamiento (R.A.T.) correspondiente, se describen detalladamente cada uno de los tratamientos, junto con los aspectos que les afecten de manera particular.

  

5. ESTRUCTURA ORGANIZATIVA

La estructura organizativa para la gestión de la seguridad de la información en el ámbito descrito por esta política de protección de datos está compuesta por los siguientes agentes:

5.1. RESPONSABLE DEL TRATAMIENTO

El Responsable del tratamiento es la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decide sobre la finalidad, contenido y uso del tratamiento. El responsable del tratamiento normalmente coincidirá con la organización: la empresa, asociación, institución, empresarios individual, profesional, etc. y es a quien se le imponen la mayoría de las obligaciones en protección de datos siendo por tanto, normalmente el responsable de las sanciones que en su caso se impongan. Ello sin perjuicio de que el responsable del tratamiento pueda nombrar una persona física que le represente.

Sus funciones principales serán:

1. Elaborar e implantar la normativa de seguridad que garantice la seguridad e integridad de los datos de los que es responsable. Para llevar a cabo esta función, el Responsable del tratamiento puede ser asesorado por el responsable de seguridad, por el administrador del sistema o por otras personas con responsabilidades o experiencia en el ámbito de la seguridad (sean internos o externos de la empresa). 

2. Aprobar la creación, modificación de tratamientos de datos de carácter personal e incorporarlos al RAT (Registro de Actividades de Tratamiento)

3. Designar a la persona que actuará como su enlace en materia de seguridad y cuya existencia es condición específica y necesaria en dicha materia: el responsable o responsables de seguridad, encargados de coordinar y controlar las medidas definidas en el documento de seguridad. 

4. Implantar los procedimientos de información, ante la recogida de datos y asegurarse de su cumplimiento.

5. Adoptar las medidas necesarias para que el personal conozca las normas de seguridad que afectan al desarrollo de sus funciones, así como las consecuencias en que pudiera incurrir en caso de incumplimiento. A tal efecto, aprobará formalmente los planes de concienciación y divulgación de las normas, obligaciones y procedimientos de seguridad.

6. Establecer las medidas para que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema de información. 

7. Establecer un mecanismo que permita la identificación y autenticación, de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado, impidiendo, de esta manera un usuario pueda acceder a información o recursos con derechos distintos de los autorizados 

8. Establecer los procedimientos de copias y restauración de copias de seguridad, así como las políticas de encriptación y externalización de las mismas.

9. Aprobar las medidas correctoras que se puedan derivar de los informes de auditoría.

  

El Responsable del tratamiento debe prestar atención a los siguientes puntos:

A. Centros de tratamiento y locales

Los locales u oficinas deberán contar con los medios mínimos de seguridad que eviten los riesgos de indisponibilidad de los datos que pudieran producirse como consecuencia de incidencias fortuitas o intencionadas. El acceso a los locales donde se encuentre la información deberá estar restringido exclusivamente al personal autorizado y a los administradores del sistema que deban realizar labores de mantenimiento para las que sea imprescindible el acceso físico.

B. Entorno de Sistema Operativo y de Comunicaciones

El sistema operativo y de comunicaciones deberá tener al menos un responsable. En el caso más simple, como es en el que la información se encuentre ubicada en un único ordenador personal y accedido mediante una aplicación local mono puesto, el administrador del sistema operativo podrá ser el mismo usuario que accede usualmente a los datos. 

C. Sistema Informático o aplicaciones de acceso al Fichero

Los sistemas informáticos de acceso a la información deberán tener su acceso restringido mediante un nombre de usuario y una contraseña. Todos los usuarios autorizados para acceder a los datos deberán tener un nombre de usuario que será único, y que estará asociado a la contraseña correspondiente, que sólo será conocida por el propio usuario.

En función de las posibilidades técnicas, se limitará el acceso de cada usuario al mínimo conjunto de recursos que necesite para desempeñar su trabajo, configurando de manera adecuada la aplicación y/o el sistema operativo.

D. Salvaguarda y protección de las contraseñas personales

Sólo las personas autorizadas podrán tener acceso a los datos. La norma anterior se aplica también a los administradores del sistema, incluyendo aquél personal técnico externo que de manera habitual pudiera colaborar en la administración de los sistemas. 

E. Gestión de soportes

El responsable del tratamiento mantendrá un Libro de Registro de Entradas y Salidas se Soportes (discos duros con copias de seguridad, archivadores, … etc.) donde se guardarán los formularios de entradas y de salidas de soportes, con indicación de tipo de soporte, fecha y hora, emisor, número de soportes, tipo de información que contienen, forma de envío, destinatario, o persona responsable de la recepción que deberán estar debidamente autorizadas. 

F. Entrada y salida de datos por red

Todas las entradas y salidas de datos que se efectúen mediante correo electrónico se realizarán desde una dirección de correo controlada por un usuario autorizado por el responsable del tratamiento.

Se guardarán copias de todos los correos electrónicos que involucren entradas o salidas de datos personales. Se mantendrán copias de esos correos durante al menos dos años. 

G. Copias de respaldo y recuperación

Será necesaria la autorización por escrito del responsable del tratamiento para la ejecución de los procedimientos de recuperación de los datos, y deberá dejarse constancia en el registro de incidencias de las manipulaciones que hayan debido realizarse para dichas recuperaciones, incluyendo la persona que realizó el proceso, los datos restaurados y los datos que hayan debido ser grabados manualmente en el proceso de recuperación.

H. Controles periódicos de verificación del cumplimiento

Al menos una vez al año, se realizará una auditoria, externa o interna, que dictamine el correcto cumplimiento y la adecuación de las medidas del presente documento de seguridad o las exigencias del Reglamento Europeo UE 679/2016, identificando las deficiencias y proponiendo las medidas correctoras necesarias.

5.2. RESPONSABLES DE SEGURIDAD 

El Responsable de Seguridad es el encargado de coordinar y controlar las medidas definidas para salvaguardar los datos de carácter personal.

El responsable de seguridad coordinará la puesta en marcha de las medidas de seguridad, colaborará con el responsable del tratamiento en la difusión de la Política de Seguridad y cooperará con el responsable del tratamiento controlando el cumplimiento de las mismas.

En ningún caso esta designación supone una delegación de la responsabilidad que corresponde al responsable del tratamiento, que es a quien en primera instancia se le pueden imponer en su caso las sanciones que contempla la Ley.

Son funciones del Responsable de Seguridad

a. Promover la seguridad de la información manejada y de los servicios prestados por los sistemas de información. 

b. Elaborar la normativa de seguridad junto con el Responsable del Tratamiento. 

c. Velar e impulsar el cumplimiento normativo. 

d. Encargarse de que la documentación de seguridad se mantenga organizada y actualizada, y de gestionar los mecanismos de acceso a la misma. 

e. Promover la mejora continua en la gestión de la seguridad de la información. 

f. Apoyar y supervisar la investigación de los incidentes de seguridad desde su notificación hasta su resolución y participar en la toma de decisiones en momentos de alerta. 

g. Impulsar la formación y concienciación en materia de seguridad de la información. 

Debe prestar atención a los siguientes puntos:

A. Sistema Informático o aplicaciones de acceso a la información

Vigilará que únicamente los usuarios autorizados puedan acceder a los sistemas informáticos y a los datos que le sean precisos para desarrollar su función laboral.

B. Gestión de incidencias

El responsable de seguridad habilitará un Libro de Incidencias a disposición de todos los usuarios y administradores con el fin de que se registren en él cualquier incidencia que pueda suponer un peligro para la seguridad del mismo. El responsable de seguridad se ocupará de gestionar cada incidencia para resolver los problemas que plantee de la mejor manera posible, en colaboración con el responsable del fichero y de notificar la incidencia en la Agencia Española de Protección de Datos). 

C. Copias de Seguridad

El responsable de seguridad se encargará de que se realicen las copias de seguridad de los ficheros con datos de carácter personal con una periodicidad al menos diaria y que dichas copias garanticen su reconstrucción en caso de pérdida de los mismos.

D. Gestión de soportes

En lo referente a la gestión de soportes, el Responsable de seguridad se ocupará de:

§ Asegurar que los soportes que contengan datos de carácter personal estén claramente identificados con una etiqueta externa que indique de que fichero se trata, qué tipo de datos contiene, y proceso que los ha originado y fecha de creación. 

§ Verificar que aquellos medios que sean reutilizables, y que hayan contenido copias de datos de los ficheros, deberán ser borrados físicamente antes de su reutilización, de forma que los datos que contenían no sean recuperables. 

§ Encargarse de que los soportes que contengan datos de carácter personal serán almacenados en lugares a los que no tengan acceso personas no autorizadas para el uso de los datos. 

§ Mantendrá un libro de registro de entradas y salidas donde se guardarán los formularios de entradas y de salidas de soportes informáticos, con indicación del tipo de soporte, fecha y hora, emisor, número de soportes, tipo de información que contienen, forma de envío, destinatario, o persona responsable de la recepción que deberán estar debidamente autorizadas. 

E. Controles periódicos de verificación del cumplimiento

El responsable de seguridad comprobará, con una periodicidad al menos trimestral, que la lista de usuarios autorizados se corresponde con la lista de los usuarios realmente autorizados en la aplicación de acceso a los datos, para lo que recabará la lista de usuarios de la aplicación y sus identificadores al administrador o administradores. 

De igual manera, comprobará que los niveles de acceso de cada usuario se corresponden con las medidas técnicas habilitadas para limitar este acceso (restricción de funciones de las aplicaciones, configuración de permisos de carpetas, etc.). 

También comprobará que se realizan de manera adecuada los procedimientos de gestión de usuarios y contraseñas, especialmente la renovación periódica de las contraseñas. Además de estas comprobaciones periódicas, el administrador comunicará al responsable de seguridad, en cuanto se produzca, cualquier alta o baja de usuarios con acceso autorizado a la información.

A su vez, y también con periodicidad al menos trimestral, los administradores del sistema comunicarán al responsable de seguridad cualquier cambio que se haya realizado en los datos técnicos de los sistemas, como por ejemplo cambios en el software o hardware, base de datos, procediendo igualmente a la actualización de dichos datos en el Inventario de Equipos Informáticos, Software y Soportes.

También se comprobará, con periodicidad al menos trimestral, que las configuraciones hardware y software de los puestos de trabajo se corresponden con las existentes en la realidad, verificando que no se hayan instalado programas sin autorización. 

Se comprobará con periodicidad al menos trimestral que efectivamente no se están almacenando documentos con datos personales en los PC de usuario no autorizados. De igual manera se comprobará que se eliminan los ficheros temporales, tanto en los PC de usuario como en el servidor.

El responsable de seguridad verificará, con una periodicidad al menos trimestral, el cumplimiento de lo previsto en relación con las entradas y salidas de datos, sean por red, en soporte magnético o archivo papel.

El responsable del tratamiento junto con el responsable de seguridad, analizarán con periodicidad al menos trimestral las incidencias registradas en el libro correspondiente para, independientemente de las medidas particulares que se hayan adoptado en el momento que se produjeron, adoptar las medidas correctoras que limiten esas incidencias en el futuro.

El responsable de seguridad revisará periódicamente la información de control registrada en el registro de accesos, y elaborará un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes.

5.3. ADMINISTRADORES DEL SISTEMA

El Administrador del Sistema es la persona cuya responsabilidad es desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida, así como elaborar la normativa de seguridad junto con el Responsable de Seguridad.

Debido al especial acceso que puede tener sobre los sistemas informáticos, se le atribuyen unas obligaciones genéricas que son:

1. Guardar secreto de toda la información de carácter personal, o que afecte a ésta, de la que tenga conocimiento en el desarrollo de su de trabajo, aún después de acabada la relación con la organización.

2. Aunque debido a sus funciones disponga de un acceso privilegiado a ciertos recursos, se compromete a acceder únicamente a los datos necesarios para desarrollar sus funciones.

3. En el caso que detecten, cualquier anomalía que indicará una utilización de los recursos contraria a la normativa da la empresa, lo pondrá en conocimiento del Responsable de Seguridad, que tomará las oportunas medidas correctoras y dará traslado de la incidencia al Responsable de tratamiento.

4. Mantener actualizados los parches de seguridad de todos los programas que tengan instalados. Se deberá prestar especial atención a la correcta actualización, configuración y funcionamiento de los programas antivirus y cortafuegos.

5. Poner al día al Responsable de Seguridad sobre las nuevas aplicaciones o programas que permitan el acceso a los ficheros, cuál es su funcionalidad y si presenta nuevos riesgos o funciones que modifiquen las conductas del resto de usuarios. 

6. Junto con el Responsable de Seguridad, analizará las incidencias registradas, relacionadas con los sistemas informáticos, para extraer las causas y adoptar o recomendar soluciones a las mismas.

7. Desempeñar sus funciones con estricta observancia de las obligaciones dispuestas por la legislación sobre protección de datos.

Se debe prestar atención a los siguientes puntos:

A. Entorno de Sistema Operativo y de Comunicaciones

Ninguna herramienta o programa de utilidad que permita el acceso a la información deberá ser accesible a ningún usuario o administrador no autorizado.

En la norma anterior se incluye cualquier medio de acceso en bruto, es decir no elaborado o editado, a los datos, como los llamados editores universales, analizadores de ficheros, herramientas de acceso de bajo nivel al disco duro, etc., que deberán estar bajo el control de los administradores autorizados.

El administrador deberá responsabilizarse de guardar en lugar protegido las copias de seguridad y respaldo de los datos, de forma que ninguna persona no autorizada tenga acceso a las mismas.

Si la aplicación o sistema de acceso a la información utilizase usualmente ficheros temporales, ficheros de "logging", o cualquier otro medio en el que pudiesen ser grabados copias de los datos protegidos, el administrador deberá asegurarse de que esos datos no son accesibles posteriormente por personal no autorizado.

Si el ordenador en el que está ubicada la información está integrado en una red de comunicaciones de forma que desde otros ordenadores conectados a la misma sea posible acceso a los datos, el administrador responsable del sistema deberá asegurarse de que este acceso no se permite a personas no autorizadas. En cualquier caso, deberá identificarse de manera única a las personas que hacen el acceso remoto.

B. Sistema Informático o aplicaciones de acceso a los Ficheros

Si la aplicación informática que permite el acceso a la información no cuenta con un control de acceso, deberá ser el sistema operativo, donde se ejecuta esa aplicación, el que impida el acceso no autorizado, mediante el control de los nombres de usuario y contraseñas (credenciales de acceso).

En cualquier caso se controlarán los intentos de acceso fraudulento, limitando el número máximo de intentos fallidos, y cuando sea técnicamente posible, guardando en un fichero auxiliar la fecha, hora, código y clave errónea que se han introducido, así como otros datos relevantes que ayuden a descubrir la autoría de esos intentos de acceso fraudulentos.

En función de las posibilidades técnicas, se limitará el acceso de cada usuario al mínimo conjunto de recursos que necesite para desempeñar su trabajo, configurando de manera adecuada la aplicación y/o el sistema operativo.

En casos de ausencia o sustitución de usuarios por compañeros, a instancias del Responsable de Seguridad, deberá configurar para los sustitutos, nuevos perfiles que habrá que eliminar en cuanto finalice la sustitución.

C. Salvaguarda y protección de las contraseñas personales

Los nombres de usuario y las contraseñas se asignarán y se cambiarán mediante el mecanismo y periodicidad que se determinan en los procedimientos descritos en este documento, asegurando que se mantiene la confidencialidad de ambos. El archivo donde se almacenen las contraseñas deberá estar protegido y cifrado, y bajo la responsabilidad del administrador del sistema.

D. Copias de respaldo y recuperación

Existirá una persona, bien sea el administrador o bien otro usuario expresamente designado, que será responsable de obtener periódicamente una copia de seguridad de los datos, a efectos de respaldo y posible recuperación en caso de fallo. 

Estas copias de seguridad deberán realizarse con una periodicidad, al menos diaria, salvo en el caso de que no se haya producido ninguna actualización de los datos.

Se evitará desgastar en exceso los soportes donde se realizan las copias de seguridad, rotándolos y renovándolos de forma periódica transcurridos un número determinado de grabaciones o un periodo de tiempo largo.

Los soportes destinados a copias de seguridad seguirán todas las normas definidas para la gestión de soportes (identificación, reutilización y eliminación, etc.). 

En caso de fallo del sistema con pérdida total o parcial de los datos existirá un procedimiento, informático o manual, que partiendo de la última copia de respaldo y del registro de las operaciones realizadas desde el momento de la copia, reconstruya los datos al estado en que se encontraban en el momento del fallo. 

E. Controles periódicos de verificación del cumplimiento

El responsable de seguridad comprobará, con una periodicidad al menos trimestral, que la lista de usuarios autorizados se corresponde con la lista de los usuarios realmente autorizados en la aplicación de acceso a la información, para lo que recabará la lista de usuarios de la aplicación y sus identificadores al administrador o administradores.

De igual manera, comprobará que los niveles de acceso de cada usuario se corresponden con las medidas técnicas habilitadas para limitar este acceso (restricción de funciones de las aplicaciones, configuración de permisos de carpetas, etc.). También comprobará que se realizan de manera adecuada los procedimientos de gestión de usuarios y contraseñas, especialmente la renovación periódica de las contraseñas. Además de estas comprobaciones periódicas, el administrador comunicará al responsable de seguridad, en cuanto se produzca, cualquier alta o baja de usuarios con acceso autorizado al Fichero.

Se comprobará también al menos con periodicidad trimestral, la existencia de copias de respaldo correctas que permitan la recuperación de la información.

A su vez, y también con periodicidad al menos trimestral, los administradores comunicarán al responsable de seguridad cualquier cambio que se haya realizado en los datos técnicos de los sistemas, como por ejemplo cambios en el software o hardware, base de datos o aplicación de acceso a la información, procediendo igualmente a la actualización de dichos datos en los Inventarios correspondientes.

También se comprobará, con periodicidad al menos trimestral, que las configuraciones hardware y software de los puestos se corresponden con las existentes en la realidad, verificando que no se hayan instalado programas sin autorización. Se verificará especialmente que no hay instalados programas especiales como herramientas de utilidad que permitan el acceso no controlado a los ficheros de datos.

5.4. DELEGADO DE PROTECCIÓN DE DATOS

Las funciones el Delegado de Protección de datos son las indicadas en el Reglamento (UE) 679/2016 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 y demás disposiciones reguladoras de la materia:

a. Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.

b. Supervisar el cumplimiento de lo dispuesto en el Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales.

c. Supervisar la asignación de responsabilidades. 

d. Supervisar la concienciación y formación del personal que participa en las operaciones de tratamiento. 

e. Supervisar las auditorías correspondientes.

f. Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos.

g. Supervisar su aplicación de conformidad con el artículo 35 del Reglamento.

h. Cooperar con la autoridad de control.

i. Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y 

j. Realizar consultas a la autoridad de control, en su caso, sobre cualquier otro asunto. 

El DPD desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

Para ello, el DPD deberá llevar a cabo las siguientes actuaciones:

a. Recabar información para determinar las actividades de tratamiento, 

b. analizar y comprobar la conformidad de las actividades de tratamiento, e 

c. informar, asesorar y emitir recomendaciones al responsable o el encargado del tratamiento.

d. Recabar información para supervisar el registro de las operaciones de tratamiento.

e. Asesorar en la aplicación del principio de la protección de datos por diseño y por defecto.

f. Asesorar sobre:

§ Si se debe llevar a cabo o no una evaluación de impacto de la protección de datos,

§ Qué metodología debe seguirse al efectuar una evaluación de impacto de la protección de datos,

§ Si se debe llevar a cabo la evaluación de impacto de la protección de datos con recursos propios o con contratación externa,

§ Qué salvaguardas (incluidas medidas técnicas y organizativas) aplicar para mitigar cualquier riesgo para los derechos e interesas de los afectados,

§ Si se ha llevado a cabo correctamente o no la evaluación de impacto de la protección de datos y

§ Si sus conclusiones (si seguir adelante o no con el tratamiento y qué salvaguardas aplicar) son conformes con el Reglamento.

g. Priorizar sus actividades y centrar sus esfuerzos en aquellas cuestiones que presenten mayores riesgos relacionados con la protección de datos.

h. Asesorar al responsable del tratamiento sobre:

§ Qué metodología emplear al llevar a cabo una auditoría de protección de datos,

§ Qué áreas deben someterse a auditoría de protección de datos interna o externa, 

§ Qué actividades de formación internas proporcionar al personal o los directores responsables de las actividades de tratamiento de datos y a qué operaciones de tratamiento dedicar más tiempo y recursos.

  

6. REVISIÓN Y EVALUACIÓN

Esta Política de Protección de Datos deberá mantenerse actualizada en todo momento y deberá ser revisada siempre que se produzcan cambios relevantes en el sistema de información, en el contenido de la información incluida en los tratamientos o como consecuencia de los controles periódicos realizados. 

En todo caso se entenderá como cambio relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas. También deberá incluir en el mismo, todo cambio que se produzca en los procedimientos incluidos en el mismo (gestión de notificación de violaciones de seguridad, copias de seguridad, derechos, etc.).

La revisión se orientará tanto a la identificación de oportunidades de mejora en la gestión de la seguridad de la información, como a la adaptación a los cambios habidos en el marco legal, infraestructura tecnológica, organización general, etc. 

Será el Responsable de Seguridad la persona encargada de la custodia y divulgación de la versión aprobada de este documento.

En concreto, la Política de Seguridad, será revisada por:

§ Cambios en los datos incluidos en el RAT - La creación o supresión de tratamientos, cambios en los sistemas informáticos, cambio en locales y ubicación de archivos, cambios en usuarios y funciones, etc.

§ Control de Acceso a través de Redes de Telecomunicaciones - Cualquier cambio que se produzca en la topología o arquitectura de las redes de telecomunicaciones podría alterar la seguridad de la información.

§ Régimen de trabajo fuera de los locales de la ubicación de los ficheros - Si se produce una alteración de la política de definición de usuarios de los sistemas informáticos que trabajen fuera de los locales donde se encuentren ubicada la información.

§ Copias de Respaldo y Recuperación - Cualquier modificación que se produzca en el procedimiento de copias de respaldo y recuperación de datos.

§ Actualizaciones de Disposiciones Legales Vigentes - Cualquier modificación legal, instrucción, circular o resolución de la Agencia Española de Protección de Datos.

§ Adaptación a Nuevas Políticas de Actuación - Cambios en cualquier procedimiento definido en la política de seguridad (control de incidencias, inventario de soportes, entradas y salidas, etc.).

§ Auditoría – Se deberá realizar auditoría, cuando se lleven a cabo modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas, con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. 

Los informes de auditoría serán analizados por el Responsable de Seguridad, quien propondrá al Responsable del Tratamiento las medidas correctoras correspondientes.

  

7. NORMAS

7.1. RELATIVAS AL TRATAMIENTO

Con objeto de respetar las libertades y derechos fundamentales, en particular el derecho a la protección de los datos de carácter personal, los tratamientos de datos se deberán realizar conforme a los principios establecidos en los artículos 5 al 10 del Reglamento General de Protección de Datos UE 679/2016. 

Para ello se aplicarán las siguientes normas:

1. Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos. Queda prohibida toda recogida de datos que esté al margen de lo establecido por el Responsable del Tratamiento. 

2. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco sobre los aspectos que establece el RGPD en sus artículos 13 y 14.

3. Los usuarios autorizados prestarán la mayor diligencia posible en informar de sus derechos a los interesados, en especial en la solicitud de consentimiento de recogida de datos; llamando su atención y recomendando que lean las cláusulas informativas que a tal efecto se incluyen en carteles, cuestionarios y/o formularios. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior. Los usuarios autorizados a trabajar con este sistema de información velarán por utilizar exclusivamente impresos que atiendan este requerimiento legal.

4. Cuando la recogida de datos se realice telemáticamente y a través de un formulario informatizado, se deberá incluir en el mismo las advertencias legales anteriormente reseñadas.

5. Los datos personales tratados por la organización serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.

6. El personal encargado de la recogida de datos deberá de prestar máxima atención de que los datos incorporados al sistema de información correspondan a la realidad del interesado, y comunicar para proceder a su actualización, de aquellas variaciones que presupongan un cambio en la situación actual del interesado o cualquier inexactitud existente en los datos.

7. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del interesado con respecto a los fines para los que se tratan. Así mismo informarán de aquellos datos almacenados que consideren que ya no sean necesarios, a fin de que el Responsable del tratamiento pueda evaluar su posible cancelación.

8. Los datos tratados deberán ser adecuados, pertinentes y limitados a lo necesario con los fines para los que son tratados.

9. Los datos personales serán mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado.

10. Los datos serán tratados de tal manera que se garantice una seguridad adecuada, mediante la aplicación de medidas técnicas u organizativas apropiadas (la organización ha elaborado una política de seguridad informática a fin de garantizar la integridad y confidencialidad de la información).

11. Cuando sea necesario recoger el consentimiento del interesado para el tratamiento de sus datos de carácter personal, la solicitud de dicho consentimiento se presentará utilizando un lenguaje sencillo informando previamente al interesado de su derecho a retirar dicho consentimiento en cualquier momento. Si la solicitud del consentimiento se realizara en el contexto de una declaración escrita, se deberá de presentar claramente diferenciada del resto de asuntos, de forma inteligible y de fácil acceso.

12. Se deberá de conservar una copia de la obtención del consentimiento, ya sea en papel o en formato informático, a fin de poder demostrar que dicho consentimiento se ha dado cumpliendo lo establecido en el RGPD por el interesado.

7.2. RELATIVAS A LOS DERECHOS DE LOS INTERESADOS

Para garantizar los derechos que los interesados tienen respecto a sus datos personales y en cumplimiento de los artículos 12 al 23 del RGPD, y los artículos 12 al 18 de la LOPD 3/2018 se aplicarán las siguientes normas:

1. El responsable del tratamiento ha elaborado un procedimiento para que los interesados puedan ejercer sus derechos con respecto a sus datos de carácter personal que es de obligado cumplimiento por todos los usuarios del sistema de información.

2. En el momento de que cualquier usuario tenga noticia de una solicitud de derechos por parte de un interesado, se lo comunicará de forma inmediata al Responsable de Seguridad.

3. Una vez recabada toda la información, por parte del Responsable de Seguridad, se la comunicará al Responsable del tratamiento o al Delegado de Protección de Datos con el fin de que éste pueda resolverla en los plazos previstos en el RGPD.

4. El ejercicio de los derechos será gratuito para el interesado, excepto en los casos en que se formulen solicitudes manifiestamente infundadas o excesivas, especialmente por repetitivas. Será el responsable de tratamiento quien determine las solicitudes a las que se debe de cobrar un canon y el importe del mismo. Se deberá de demostrar el carácter infundado o excesivo de las solicitudes que tengan un coste para el interesado.

5. En caso de que se tengan dudas razonables en relación con la identidad de la persona física que cursa la solicitud, se deberá solicitar información adicional a fin de acreditar la identidad del interesado.

6. El responsable de tratamiento podrá contar con la colaboración de los encargados para atender al ejercicio de derechos de los interesados, pudiendo incluir esta colaboración en el contrato de encargo de tratamiento.

7.3. RELATIVAS A LOS SERVICIOS EXTERNOS

El Reglamento General de Protección de Datos (artículo 28) establece que se debe de regular la relación contractual con aquellas personas físicas o jurídicas que presten un servicio a la organización que conlleve el tratamiento o el acceso a datos personales por cuenta de éste.

1. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados Miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y las categorías de interesados, y las obligaciones y derechos del responsable.

2. Cuando se realice la contratación de un servicio externo que pueda conllevar el acceso de personal externo a los locales o sistemas de información de la organización, se deberá de comunicar sin dilación al Responsable de Seguridad, a fin de regular la relación según lo establecido en el RGPD.

3. Sólo se elegirán aquellos encargados del tratamiento que ofrezcan garantías suficientes respecto a la implantación y el mantenimiento de las medidas técnicas y organizativas apropiadas y que garantice la protección de los derechos de las personas afectadas.

El responsable de Seguridad deberá de solicitar al encargado cualquier documento que demuestre este requisito, por ejemplo: adhesión a códigos de conducta, certificación en materia de seguridad de la información, etc.

4. Si el encargado del tratamiento quiere recurrir a otro encargado (subencargado) para desarrollar el servicio encomendado, y esto conlleve el tratamiento de datos personales por parte de un tercero, deberá solicitar autorización previa y por escrito al Responsable del tratamiento.

La autorización para subcontratar puede ser específica (identificando la entidad) o general (sin concretar la entidad subcontratada).

En todo caso, el subencargado del tratamiento debe estar sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y en la misma forma (acuerdo por escrito o acto jurídico vinculante) que el encargado del tratamiento en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas.

7.4. REGISTRO DE ACTIVIDADES DE TRATAMIENTO

El Responsable del tratamiento ha creado un Registro de Actividades de Tratamiento y ha vinculado dicho registro al presente plan. Este registro se encuentra bajo la responsabilidad directa del Responsable de Seguridad, el cual en el marco de sus funciones debe de mantenerlo actualizado.

1. La creación de un nuevo fichero o la modificación o supresión de los existentes por parte de los usuarios autorizados debe de contar con la autorización del Responsable del tratamiento

2. Se prohíbe expresamente a todos los usuarios del sistema de información el tratamiento de datos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la saludo o datos relativos a la vida sexual o las orientaciones sexuales de una persona física. Esta prohibición no se hace extensiva a los tratamientos que justifiquen la inclusión de este tipo de datos en base a su finalidad, el consentimiento de los afectados y la garantía de cumplimiento de todas medidas de seguridad establecidas por el Responsable del tratamiento (Artículo 9.2 del RGPD UE 679/2016)

3. Cuando un interesado dé su consentimiento para el tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas sólo podrá llevarse a cabo bajo la supervisión de las autoridades públicas o cuando lo autorice una ley que establezca garantías adecuadas para los derechos y libertades de los interesados. Solo podrá llevarse un registro completo de condenas penales bajo el control de las autoridades públicas.

7.5. INCIDENCIAS

1. El responsable de seguridad habilitará un Libro de Incidencias con el fin de que se registren en él cualquier incidencia que pueda suponer un peligro para la seguridad de la información.

2. Cualquier usuario que tenga conocimiento de una incidencia es responsable del registro de la misma en el Libro de Incidencias, entregándola por escrito al responsable de seguridad o al responsable del tratamiento, que serán los encargados de incorporarla al Libro.

3. El conocimiento de una incidencia y la falta de notificación o registro de la misma por parte de un usuario será considerado como una falta contra la seguridad de la información por parte de ese usuario.

4. La notificación o registro de una incidencia deberá constar al menos de los siguientes datos: tipo de incidencia, fecha y hora en que se produjo, persona que realiza la notificación, persona a quien se comunica, efectos que puede producir y una descripción detallada de la misma.

5. El responsable de seguridad se ocupará de gestionar cada incidencia, en colaboración con el responsable del tratamiento y, en su caso, el Delegado de Protección de Datos.

En caso de que la incidencia constituya un riesgo para los derechos y libertades de los interesados se deberá de notificar dicha violación de seguridad a la Agencia Española de Protección de Datos en un plazo no superior a 72 horas.

Si la incidencia entraña un alto riesgo para los interesados, el Responsable del tratamiento deberá de notificar la violación de seguridad a los interesados, a menos que:

§ Se hayan adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado

§ Se hayan tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado

§ suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.

6. En relación a los procedimientos de recuperación de los datos, deberá consignarse además en el Libro de Incidencias: la persona que ejecutó el proceso de recuperación, los datos restaurados, y en su caso qué datos han sido necesarios grabarlos manualmente. En cualquier caso, será necesaria la autorización por escrito del responsable del tratamiento para llevar a cabo el procedimiento de recuperación de datos.

7.6. EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS

1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares. 

2. El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos.

7.7. TRANSFERENCIAS INTERNACIONALES DE DATOS

Una transferencia internacional de datos es un tratamiento que supone la transmisión de los mismos fuera del territorio de la comunidad económica europea.

Sólo se podrán transmitir datos a aquellos países, territorios, sectores y organismo internaciones si se cumple alguna de las siguientes condiciones:

a. La organización internacional o tercer país cuente con una decisión de adecuación por parte de la Comisión Europea, es decir, que cuenta con un nivel adecuado de protección.

b. La organización internacional o tercer país ofrezca garantías adecuadas y a condición de que los interesados cuenten con derechos exigible y acciones legales efectivas.

Las garantías se podrán aportar con los siguientes instrumentos.

- Instrumento jurídicamente vinculante y exigible entre las autoridades y organismos públicos

- Normas corporativas vinculantes conformes con el RGPD

- Cláusulas contractuales modelo aprobadas por la Comisión Europea

- Adhesión a códigos de conducta

- Certificación de seguridad informática

7.8. SEGURIDAD INFORMÁTICA

El Responsable del tratamiento ha elaborado una Política de Seguridad Informática que es aplicable y de obligado cumplimiento para todo el personal que pueda realizar cualquier tratamiento de datos de carácter personal o pueda acceder a los locales donde se traten dichos datos, incluyendo el personal de proveedores externos, cuando sean usuarios de los Sistemas de Información del Responsable del tratamiento.

  

8. PROCEDIMIENTOS

8.1. COPIAS DE SEGURIDAD Y RECUPERACIÓN

La seguridad de los datos personales no sólo supone la confidencialidad de los mismos sino que también conlleva la integridad y la disponibilidad de esos datos. Para garantizar estos dos aspectos fundamentales de la seguridad es necesario que existan unos procesos de respaldo y de recuperación que, en caso de fallo del sistema informático, permitan recuperar y en su caso reconstruir los datos del tratamiento.

El Responsable de seguridad o la persona(s) encargada(s) a tal efecto, realizarán las copias de seguridad de los ficheros de la empresa que contengan datos de carácter personal. Las Copias se deben realizar al menos diariamente, excepto cuando no existan cambios en los datos. Así mismo, y con una periodicidad semestral se revisarán los procedimientos de copia de seguridad.

Si un usuario está autorizado para almacenar información en forma local (por ejemplo, en el disco duro del PC asignado), deberá tener en cuenta que es responsable de realizar las copias de seguridad de la misma. Por este motivo, se recomienda que los usuarios almacenen sus ficheros de trabajo en las carpetas de red habilitadas al efecto.

Si algún usuario desea recuperar algún fichero borrado del sistema de almacenamiento en red, lo participará al Responsable de Seguridad.

8.2. ENTRADA/RECOGIDA DE DATOS PERSONALES

Dependiendo del tipo de interesado el sistema de entrada puede ser diferente: tarjetas de visitas, formularios, documentos comerciales, entrevistas, envíos de correos electrónicos, currículos, etc.

Siempre que se le solicite a un interesado algún dato de carácter personal es imprescindible informarle de modo expreso, preciso e inequívoco, sobre:

a. La identidad y los datos de contacto del responsable y, en su caso, de su representante.

b. Los datos de contacto del Delegado de Protección de Datos, en su caso

c. Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento

d. Los intereses legítimos del responsable o de un tercero en su caso

e. Los destinatarios o las categorías de destinatarios de los datos personales, en su caso

f. La intención del responsable de transferir datos personales a un tercer país u organización internacional y de si este tercer país cuenta con una decisión de adecuación por parte de la Comisión o las garantías adecuadas o apropiadas.

g. El plazo de durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo

h. La existencia del derecho a solicitar el acceso a sus datos personales, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos

i. La existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada

j. El derecho a presentar una reclamación ante la Agencia Española de Protección de datos

k. Si la comunicación de datos es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales e informarle de las posibles consecuencias de no facilitar tales datos

l. En su caso, de la existencia de decisiones automatizadas, incluida la elaboración de perfiles y de la información significativa sobre la lógica aplicada así como la importancia y las consecuencias previstas del tratamiento para el interesado

En caso de que los datos no se obtengan del propio interesado, además de la información indicada anteriormente, se deberá de informar de:

a. Las categorías de datos que se tratan

b. La fuente de la proceden los datos y, en su caso, si proceden de fuentes de acceso público.

Para hacer compatible la mayor exigencia de información que establece el RGPD, se adoptará un modelo de información por capas, que consiste en:

- Presentar una información básica en un primer nivel de forma resumida, en el mismo momento y en el mismo medio en que se recojan los datos.

- Remitir a la información adicional en un segundo nivel, donde se presentará detalladamente el resto de las informaciones, en un medio más adecuado para su presentación, comprensión y se desea, archivo.

Esta información se facilitará:

- A más tardar, en el plazo de un mes desde que se hayan obtenido los datos

- Si se van a utilizar para comunicación con el interesado, en el momento de la primera comunicación.

- Si se prevé comunicar los datos a otro destinatario, en el momento en que los datos sean comunicados la primera vez 

No será necesario facilitar esta información cuando:

a. El interesado ya disponga de la información

b. La comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado

c. Tanto la obtención como comunicación esté expresamente establecida por una ley

d. Los datos deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por una ley.

8.3. GESTIÓN DE USUARIOS

La política de seguridad informática, que ha elaborado el Responsable del tratamiento, establece que se debe disponer de una relación de Usuarios, totalmente actualizada donde figuren los permisos de accesos a los ficheros y sistemas informáticos.

Para ello, cada vez que se deba crear un nuevo usuario en el sistema, se deba dar de baja o modificar sus premisos, será necesario seguir los siguientes procedimientos que se detallan a continuación.

8.3.1. CREACIÓN DE USUARIOS

El Responsable del Departamento donde vaya a trabajar el nuevo usuario, debe notificar al Responsable de Seguridad las altas de usuarios. En el mismo indicará con claridad los datos básicos del usuario, los ficheros físicos a los que se les debe permitir el acceso y el perfil de usuario. 

En función de los permisos que se le concedan y las funciones que vaya a desempeñar, el Responsable de Seguridad le entregará el Manual de Usuario en el que se indican las funciones y obligaciones del personal, teniendo que firmar el usuario el impreso donde afirma haber recibido dicha documentación y se compromete a cumplirlas y a guardar total confidencialidad sobre los datos a los que, por su trabajo, vaya a tener acceso.

El Responsable de Seguridad, bien directamente o a través del Administrador de Sistemas, procederá a configurar los sistemas informáticos (ordenador donde vaya a trabajar, escritorio de trabajo con accesos permitidos a aplicaciones y ficheros y entorno de red), se le asignará una identificación exclusiva (“usuario”) y una contraseña que solo podrá conocer él. El Responsable de Seguridad, incluirá al nuevo Usuario en el Registro de Usuarios con Acceso a datos.

8.3.2. BAJA DE USUARIOS

El Responsable del Departamento donde trabaja el usuario que se va a dar de baja, debe notificar al Responsable de Seguridad las bajas de usuarios.

Esta comunicación deberá producirse cuando el cese de la relación laboral o un cambio de departamento hagan innecesario su acceso a los datos. En la notificación se indicarán con claridad los datos básicos del usuario y los ficheros físicos a los que se les debe cancelar el acceso. 

El Responsable de Seguridad, bien directamente o a través del Administrador de Sistema, procederá a anular ellos permisos de acceso y el usuario del sistema.

El Responsable de Seguridad, o en su caso el Administrador del Sistema se asegurará que los datos que el usuario haya tratado y que pudieran estar en el puesto de trabajo donde haya trabajado o en carpetas propias en otra ubicación (p.ej. servidor) sean reubicados o borrados, en el caso de que se trataran de ficheros temporales.

Este trabajo será imprescindible realizarlo antes de que el propio ordenador pueda ser reutilizado para otro usuario o vaya a ser destruido. 

Una vez realizado todo esto, el Responsable de Seguridad, procederá a indicar la baja del usuario en el registro existente a tal efecto.

8.3.3. MODIFICACIÓN DE UN USUARIO

En el caso de que se tuvieran que realizar modificaciones sobre los permisos de acceso a sistemas informáticos y/o ficheros, el Responsable del Departamento donde trabaje el Usuario, procederá a notificar dichos cambios al Responsable de Seguridad.

El Responsable de Seguridad, bien directamente o bien a través del Administrador de Sistemas, procederán a realizar las modificaciones en los sistemas informáticos.

En la medida que estos cambios pudieran suponer un cambio de funciones y obligaciones, a nivel de lo que figura en el Documento de Seguridad, el Responsable de Seguridad procederá a notificárselo al usuario.

8.4. IDENTIFICACIÓN Y AUTENTICACIÓN DE USUARIOS

Toda persona que tenga acceso autorizado a ficheros con datos personales, a través de sistemas informáticos, debe estar perfectamente identificada de forma inequívoca.

Los sistemas informáticos de acceso a los datos de carácter personal deberán tener su acceso restringido mediante un código de usuario y una contraseña. El código de usuario será asignado por el responsable de seguridad, siguiendo los criterios del responsable del tratamiento.

En cada sistema de información, la identidad de cada persona autorizada como usuario está asociada al código de usuario que se le ha asignado. Todos los usuarios autorizados, deberán tener un código de usuario que será único, y que estará asociado a la contraseña correspondiente, que sólo será conocida por el propio usuario.

La contraseña tendrá carácter secreto y estará formada por una cadena alfanumérica introducida por el usuario. Sólo la podrá conocer él y en todo caso, el Responsable de Seguridad.

Tras este proceso, la identificación de la persona a través de “usuario” y “contraseña”, será obligatoria en:

a. Inicio de sesión en su puesto de trabajo

b. Acceso a redes locales

c. Anulación de protectores de pantalla.

La política de asignación de contraseñas, dependiendo de que el Sistema Operativo lo permita, será la siguiente:

a. Se asignará una contraseña de forma transitoria hasta que el usuario se conecte por primera vez. Momento éste en que el sistema procederá a solicitar una nueva.

b. Si el sistema no lo permite, será el Responsable de Seguridad quien la cree y comunique al usuario.

Al menos con periodicidad anual, el sistema propondrá de forma automática al usuario el cambio de contraseña, obligando a que la nueva sea diferente a la última. También se cambiarán las contraseñas cuando lo solicite el interesado, cuando haya una incidencia que comprometa la seguridad. Se cancelará la contraseña cuando haya un cambio de funciones o se produzca un cese en el cargo.

En el caso de que el sistema no lo permita, el Responsable de Seguridad, cambiará las palabras de paso de todos los usuarios, comunicándoselas personalmente.

Las contraseñas deben tener al menos seis caracteres. Estarán formadas por letras mayúsculas y minúsculas, no todas iguales, o por cadenas que contengan conjuntamente caracteres alfabéticos y números. No se dejará la contraseña en blanco. No se usará como contraseña el código de usuario

No se guardará la contraseña por escrito en ningún documento, ni en papel, ni en documentos electrónicos legibles.

No se proporcionará la contraseña a otro usuario. Cuando por razones de fuerza mayor, un usuario deba facilitar su contraseña a otro, comunicará el hecho al responsable de seguridad, que lo reflejará en el registro de incidencias y asignará una nueva contraseña a la cuenta en cuanto finalicen las circunstancias que motivaron el hecho.

De la misma forma se procederá en el caso de que ocurra cualquier otra incidencia que pudiera afectar al secreto de la contraseña.

Los sistemas de información mantendrán internamente cada contraseña en formato cifrado y asociada al código de usuario correspondiente. Únicamente el responsable de seguridad tendrá acceso a esta asociación.

Para el tratamiento de categorías especiales de datos, las cuentas de acceso a los sistemas de información no podrán ser compartidas, con el fin de que todo aquel usuario que intente acceder al sistema pueda ser identificado de forma inequívoca y personalizada y el sistema pueda verificar que está autorizado. 

El responsable de seguridad habilitará los medios técnicos disponibles para que el usuario no pueda eludir las normas de identificación y autenticación. En los casos en los que esto no sea posible, será responsabilidad del usuario su observación y cumplimiento.

8.5. DERECHOS DEL INTERESADO

La empresa debe en todo momento asegurar los derechos que los interesados tienen respecto a sus datos personales.

En el momento de que cualquier usuario tenga noticia de una solicitud de derechos por parte de un interesado, se lo comunicará de forma inmediata al Responsable de Seguridad.

Una vez recabada toda la información, por parte del Responsable de Seguridad, se la comunicará al Responsable del tratamiento o al Delegado de Protección de Datos con el fin de que éste pueda resolverla en los plazos previstos en el RGPD.

El ejercicio de los derechos será gratuito para el interesado, excepto en los casos en que se formulen solicitudes manifiestamente infundadas o excesivas, especialmente por repetitivas. Será el responsable de tratamiento quien determine las solicitudes a las que se debe de cobrar un canon y el importe del mismo. Se deberá de demostrar el carácter infundado o excesivo de las solicitudes que tengan un coste para el interesado.

El responsable de tratamiento podrá contar con la colaboración de los encargados para atender al ejercicio de derechos de los interesados, pudiendo incluir esta colaboración en el contrato de encargo de tratamiento.

8.5.1. SOLICITUD DEL INTERESADO

Los interesados podrán realizar su reclamación de derechos de cualquier forma (incluidos por medios electrónicos), siempre y cuando su solicitud reúna los requisitos mínimos:

§ Solicitud. La petición deberá de estar dirigida al responsable que posea los datos.

§ Derecho. Se deberá de indicar el derecho que reclama.

§ Identificación. El interesado deberá estar perfectamente identificado, para ello deberá de adjuntar fotocopia del DNI, pasaporte y otro documento válido que lo identifique. También podrá usar la firma electrónica en vez del DNI.

§ Identificación del Representante. En caso de que la solicitud la realice un representante del afectado, éste deberá estar perfectamente identificado, aportando tanto su DNI, como el documento que le acredite como representante.

§ Dirección. En la solicitud se deberá de indicar la dirección a efectos de notificaciones, fecha y firma.

Con este fin, se dispone de una serie de documentos, que en el caso de que la solicitud se realice en las propias oficinas de la empresa deberán ser utilizados.

En el caso de que la solicitud presente algún defecto, el Responsable del tratamiento o Delegado de Protección de Datos, estará obligado a solicitar la subsanación del mismo al afectado, ya que si no lo hiciera la solicitud deberá ser denegada.

8.5.2. COMUNICACIÓN AL AFECTADO 

La comunicación al afectado deberá realizarse de la manera más segura posible, debido al contenido de la información, por lo que se utilizará, en cada caso, el método más adecuado que lo garantice.

Se deberá informar al interesado sobre las actuaciones derivadas de su petición en el plazo de un mes (podrá extenderse dos meses más cuando se trate de solicitudes especialmente complejas y deberá notificar esta ampliación dentro del primer mes).

Cuando se decida no atender una solicitud, se deberá informar de ello al interesado, motivando su negativa, dentro del plazo de un mes desde su presentación.

El Responsable del tratamiento, contestará a la solicitud, tanto si se realizan tratamientos de datos del afectado como si no se realiza.

8.5.3. DERECHO DE ACCESO

A través de este derecho, el interesado podrá obtener una copia de los datos personales objeto del tratamiento y a la siguiente información:

§ Finalidad del tratamiento

§ Categorías de datos personales

§ Destinatarios o categorías de destinatarios a los que serán comunicados

§ Plazo previsto de conservación (en caso de ser posible) o criterios utilizados para determinar el plazo.

§ Existencia del resto de derechos que puede solicitar

§ Derecho a presentar una reclamación ante una autoridad de control

§ Información sobre su origen (en caso de los datos no hayan sido obtenidos del interesado)

§ Existencia de decisiones automatizada.

Una vez que se ha ejercitado el derecho de acceso, se deberá contestar al interesado en el plazo máximo de un mes, y en caso de estimar su derecho, el acceso se hará efectivo en el plazo máximo de diez días hábiles, pudiendo elegir la forma por la cual se va a recibir la información a través de alguno de los siguientes medios:

§ Visualización en pantalla.

§ Escrito, copia o fotocopia remitida por correo, certificado o no.

§ Correo electrónico u otros sistemas de comunicación electrónica.

§ Cualquier otro sistema adecuado ofrecido por quien posee los datos personales (responsable del tratamiento).

En caso de que se esté tratando una gran cantidad de información sobre un interesado, se le podrá pedir que especifique la información a que se refiere su solicitud de acceso.

A menos que exista una causa legítima, se podrá considerar repetitivo el ejercicio del derecho de acceso en más de una ocasión durante el plazo de seis meses.

8.5.4. DERECHO DE RECTIFICACIÓN

Se trata del derecho que tiene el interesado a modificar aquellos datos suyos que sean inexactos o incompletos. El interesado deberá de indicar en la solicitud a qué datos se refiere y la corrección que haya que realizarse.

A esta solicitud deberá acompañar la documentación justificativa correspondiente.

8.5.5. DERECHO DE SUPRESIÓN (DERECHO AL OLVIDO)

El interesado tendrá derecho a la supresión de los datos personales cuando sean inadecuados, ilícitos o excesivos.

Cuando el interesado solicite la supresión de sus datos personales, deberá indicar a qué datos se refiere, aportando la documentación que justifique tal pretensión.

Si los datos objeto de la solicitud hubieran sido comunicados a un tercero, el responsable deberá comunicarle los datos suprimidos para que, a su vez, este tercero los cancele.

Cuando la solicitud derive del ejercicio del derecho de oposición, se podrá conservar una copia de los datos identificativos del afectado necesarios con el fin de impedir tratamientos futuros para mercadotecnia directa.

Derecho al olvido. Es la manifestación de los tradicionales derechos de y cancelación y oposición aplicados a los buscadores de internet. Hace referencia al derecho que tiene el interesado a impedir la difusión de información personal a través de internet cuando su publicación no cumple los requisitos de adecuación y pertinencia previstos en la normativa.

8.5.6. DERECHO DE OPOSICIÓN

El interesado podrá oponerse en cualquier momento a que se realice el tratamiento de sus datos personales cuando:

§ Exista un motivo relacionado con su situación particular, a menos que el responsable acredite motivos legítimos imperiosos que prevalezcan sobre los del interesado o una ley establezca lo contrario.

§ El objeto del tratamiento sea la mercadotecnia directa incluida la elaboración de perfiles

§ Sea objeto de una decisión basada únicamente en un tratamiento automatizado de sus datos personales.

8.5.7. LIMITACIÓN DE TRATAMIENTO

La limitación de tratamiento supone que, a petición del interesado, no se aplicarán a sus datos personales las operaciones de tratamiento que en cada caso corresponderían. Sólo se podrán solicitar cuando:

§ Inexactitud y oposición - El interesado ha ejercido los derechos de rectificación u oposición y el responsable está en proceso de determinar si procede atender a la solicitud.

§ Ilicitud – El tratamiento es ilícito pero el interesado no quiere suprimir los datos.

§ Reclamaciones – los datos ya no son necesarios para el tratamiento, pero el interesado los necesita para formular, ejercer o defender reclamaciones.

8.5.8. PORTABILIDAD

El derecho a la portabilidad de los datos es una forma avanzada del derecho de acceso, el interesado tendrá derecho a recibir una copia de sus datos en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable.

Este derecho sólo puede ejercerse:

§ Cuando el tratamiento se efectúe por medios automatizados

§ Cuando el tratamiento se base en el consentimiento o en un contrato

§ Cuando el interesado lo solicita respecto a los datos que haya proporcionado al responsable y que le conciernan, incluidos los datos derivados de la propia actividad del interesado.

  

8.6. ACCESO A LOS SISTEMAS DE INFORMACIÓN Y A LOS DATOS TRATADOS

El personal sólo accederá a aquellos datos y recursos que precise para el desarrollo de sus funciones. El Responsable del tratamiento establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.

A la hora de crear un nuevo usuario, o si con posterioridad se realizara algún cambio autorizado de nivel, el Responsable del tratamiento, junto con el Responsable de Seguridad, definirá los accesos permitidos.

Una vez definidos sus accesos, a través de la configuración de los puestos de trabajo (sistemas operativos, escritorio, entorno de red y acceso a aplicaciones), se establecen los permisos y limitaciones.

Es por este sistema, por el que para acceder al puesto de trabajo y por tanto a los sistemas informáticos de la empresa por lo que siempre se obliga a la identificación y autenticación de la persona que accede.

Exclusivamente el Responsable de Seguridad está autorizado para conceder, alterar o anular el acceso autorizado sobre los datos y los recursos, conforme a los criterios establecidos por el Responsable del tratamiento.

El responsable de seguridad mantendrá una relación de usuarios de los sistemas de información con especificación de los accesos autorizados para cada uno de ellos. Esta relación estará siempre actualizada. En el ANEXO Resumen General, se incluye la relación de usuarios actualizada con acceso autorizado a cada sistema de información. 

El Responsable de Seguridad comprobará, con una periodicidad al menos trimestral, que la lista de usuarios autorizados del documento de seguridad se corresponde con la lista de los usuarios realmente autorizados en la aplicación de acceso a la información.

En la medida de que se disponga de categorías especiales de datos, el sistema controlará el número de intentos de acceso, limitándolo a 3.

Si el usuario supera el número de intentos, el sistema bloqueará el puesto de trabajo, teniendo que ser el Responsable de Seguridad, o el Administrador de Sistemas, quien lo desbloquee. En este caso, el Responsable de Seguridad, tras analizar las causas, anotará el hecho en el registro de Incidencias.

Cuando un usuario tenga que abandonar su puesto de trabajo, cerrará o bloqueará su sesión en el ordenador personal. Además, todos los ordenadores personales tendrán activado un protector de pantalla o cualquier otro sistema que impida la utilización del sistema si transcurrieran quince minutos sin que se realice ninguna operación. Una vez activado este sistema, será necesaria la introducción de una contraseña para desactivarlo.

Todo ordenador personal que se utilice fuera de las dependencias, además de las normas de bloqueo de sesión relacionadas en el punto anterior, tendrá activada una protección por contraseña previa a la carga en memoria del sistema operativo (en el set-up). Este punto será especialmente observado en los ordenadores portátiles que salen fuera de la oficina y almacenan datos personales.

En relación a ficheros no automatizados, el Responsable de Seguridad adoptará las medidas necesarias para impedir que personas sin la debida autorización tengan acceso a la misma.

En el caso de que personal ajeno a la empresa, tuviera que tener acceso a datos de carácter personal, se le deberá exigir el cumplimiento de las mismas medidas de seguridad, que el personal propio.

8.6.1. CONTROL DE ACCESO FÍSICO (CATEGORÍAS ESPECIALES DE DATOS)

Los locales donde se ubiquen los ordenadores que contienen la información con datos de carácter personal, deberán ser objeto de especial protección que garantice la disponibilidad y confidencialidad de los datos protegidos frente a riesgos que pudieran producirse como consecuencia de incidencias fortuitas o intencionadas. 

Exclusivamente el personal con acceso permitido y que así figura en el ANEXO podrá tener acceso a los locales, dependencias o despachos, donde se encuentren ubicados los ficheros y/o los sistemas de información con los que se tratan. (Sala de Servidores, armarios con documentación en papel).

Se permitirá el acceso físico a las dependencias donde se ubican los ordenadores a:

a. Todo el personal de la empresa

b. El personal de las empresas de servicios, mantenimiento, limpieza o cualquier otro contratado siempre que sea para la prestación de servicio y tengan firmado un contrato de confidencialidad de protección de datos.

Se considera espacio de acceso restringido la sala del servidor. Solo están autorizados para acceder al citado espacio, las personas que figuran en el anexo correspondiente y las empresas de mantenimiento informático que tengan firmado un contrato de protección de datos. 

En la puerta de la sala de acceso restringido se colocarán carteles advirtiendo del carácter restringido del acceso.

Todos los accesos excepcionales a la sala de acceso restringido serán comunicados por la persona que realizó el acceso, al responsable de seguridad, que los anotará en el registro de incidencias.

En el caso de que fuera imprescindible que personal no autorizado tenga acceso a dichos locales, donde se encuentren ubicados ficheros, se realizará en presencia del Responsable de Seguridad o de quien él delegue.

En la medida de que esto no sea posible (personal de limpieza), el Responsable del Departamento, será responsable de mantener los ficheros debidamente archivados en armarios y/o cajones cerrados con llave y de no dejar ninguna carpeta o fichero fuera de su armario correspondiente.

  

8.7. GESTIÓN DE SOPORTES Y DOCUMENTOS

Un soporte es un objeto físico que almacena o contiene datos o documentos, u objeto susceptible de ser tratado en un sistema de información. 

Soportes informáticos son todos aquellos medios de grabación y recuperación de datos que se utilizan para almacenar datos o realizar copias o pasos intermedios en los procesos de la aplicación que gestiona la información. 

Los soportes informáticos que contienen datos de carácter personal se identificarán mediante etiquetas que permitan identificar el tipo de información que contienen.

Se mantendrá un inventario de los soportes informáticos que contengan datos de carácter personal. Para cada soporte se especificará al menos: código del soporte, fecha de copia, tipo de soporte y responsable. El inventario podrá gestionarse por medios informáticos.

Todo soporte que contenga información especialmente sensible estará codificado con criterios de etiquetado que serán comprensibles y con significado para los usuarios autorizados, permitiéndoles identificar su contenido, y que sin embargo dificultan la identificación para el resto de las personas.

Para la codificación de soportes, se seguirá el procedimiento que el Responsable de Seguridad defina, que por razones de seguridad y para evitar que personal no autorizado pueda llegar a conocerlo, solo será conocido por él y el personal encargado del control de soportes.

Los soportes serán almacenados en lugar donde nadie, no autorizado, pueda tener acceso. En el anexo correspondiente figuran las personas con acceso a los soportes.

En el caso de soportes tipo disquetes, cds, dvds, cintas, discos duros externos, llaves USB, etc., serán almacenados en armarios cerrados, con llave y en la medida que sea posible, ignífugos. De esta forma, además de garantizar que nadie pueda acceder a ellos, garantiza su seguridad ante incendios.

Toda la información con datos de carácter personal se alojará de forma centralizada en el servidor. El personal no podrá almacenar en el disco de su ordenador ningún fichero con datos personales sin autorización del responsable del fichero.

Las entradas y salidas de ficheros con datos de carácter personal que se realicen a través de sistemas de telecomunicación (correo electrónico, ftp, o cualquier otro) deberán cumplir la normativa de entrada / salida de soportes de información, incluirán el cifrado de datos si el fichero datos especialmente sensibles (Art. 9 RGPD EU 679/2016).

8.7.1. SALIDAS DE INFORMACIÓN

La salida de información en cualquier soportes o por cualquier medio, incluidos los comprendidos en correos electrónicos, fuera de los locales bajo el control del responsable del tratamiento, deberá ser autorizada por el Responsable del Fichero o por el Responsable de Seguridad.

Para ello, se solicitará autorización al Responsable de Seguridad, rellenando el impreso habilitado a tal efecto.

Se distinguen tres tipos de autorizaciones: 

a. Periódicas continuas: Salidas de datos que se producen con una periodicidad concreta (mensual, anual, etc.). Solo se requerirá una autorización. 

b. Ordinarias: Salidas de información que se realizan de forma repetitiva, pero sin periodo de tiempo definido. Como en el caso anterior, bastará con una sola autorización para cada tipo de salida.

c. Extraordinarias: Salida de datos puntual. Se necesita una autorización para cada salida.

En cada escrito de autorización deberá constar, al menos, el tipo de autorización, el sistema del que procede el fichero, el responsable de realizar el envío, el destino, el tipo de soporte, la forma de envío y el motivo de la salida. En todo caso se guardará anexada a este documento de seguridad una relación actualizada de las autorizaciones concedidas

La persona responsable de la recepción de soportes que contengan datos de carácter personal deberá estar autorizada por el responsable del tratamiento

En el caso de tratarse de información especialmente protegida, además de la autorización del Responsable de Seguridad, se procederá a registrar la salida en el registro habilitado a tal efecto, independientemente del tipo de salida que sea.

8.7.2. ENTRADAS DE SOPORTES Y DOCUMENTOS

Toda entrada de soporte y documentos, antes de ser introducido en el sistema de información de la empresa, deberá ser autorizada por el Responsable de Seguridad para lo que se deberá cumplimentar el documento correspondiente.

Las entradas pueden ser de los mismos 3 tipos que los indicados en el apartado anterior (periódicas, ordinarias o extraordinarias), por lo que se seguirá el mismo procedimiento ya descrito.

En el caso de tratarse de ficheros de nivel medio y/o alto, además de la autorización del Responsable de Seguridad, se procederá a registrar la entrada en el registro habilitado a tal efecto.

8.7.3. CIFRADO EN LA DISTRIBUCIÓN DE SOPORTES

La salida de datos especialmente sensibles (artículo 9 del RGPD UE 679/2016), por email, o sea de la forma que fuere, serán previamente cifrados para garantizar que dicha información no pueda ser accesible o manipulada durante el transporte.

Para el cifrado de ficheros, se utilizará un software que permita introducir una palabra que mediante un algoritmo matemático, impida que nadie que no la conozca, pueda tener acceso al contenido del mismo.

La salida de ficheros automatizados de este tipo puede ser de 2 tipos:

a. Trasladado por el propio personal autorizado de la Empresa. En este caso, la contraseña solo será conocida por la persona que traslada el fichero

b. Enviado a un destinatario: En este caso, la clave necesaria para desencriptar el fichero solo podrá darse al destinatario de forma personal, con el fin de asegurar de que solo él sea que pueda tener acceso a su contenido.

8.7.4. DESTRUCCIÓN DE SOPORTES Y DOCUMENTOS

Nunca se utilizará como mecanismo de eliminación de papeles o soportes informáticos con datos, los sistemas de papeleras y residuos, ya que éstos tienen que ser destruidos de forma que queden totalmente ininteligibles previamente.

Solamente el Responsable de Seguridad puede eliminar y/o autorizar la destrucción de soportes, equipos informáticos, carpetas o cualquier otro tipo de soporte.

Cuando un usuario vea la necesidad de que un soporte que almacene información deja de ser útil y operativo, se procederá a su sustitución y/o eliminación y se efectuaran los siguientes pasos: 

§ El usuario lo comunicará al responsable de seguridad y será incluido al registro de incidencias. 

§ El responsable de seguridad autorizará la destrucción y se asegurará de eliminar la información y/o destrucción del soporte/equipo. Incluirá la acción y las medidas de seguridad adoptadas en el registro de incidencias y en el informe periódico. Además, dará de baja el soporte del inventario correspondiente.

8.7.5. REUTILIZACIÓN DE SOPORTES INFORMÁTICOS

El procedimiento a seguir, por parte del Responsable, en los casos de destrucción o reutilización de soportes será el siguiente:

§ La reutilización de un soporte informático, que en su día fue utilizado para almacenar una copia de seguridad de ficheros con datos de carácter personal, no es aconsejable.

§ La simple grabación de datos sobre los datos antiguos no garantiza el borrado real de los mismos ni la imposibilidad de su recuperación.

Para poder aprovechar un soporte (Cinta, CD-DVD regrabable, disco duro, memoria USB, etc.) y garantizar el borrado total de los datos almacenados en su día, es obligatorio la realización de un formateo "a bajo nivel", con las herramientas que así lo permitan. De esta forma, el borrado se realizará de forma completa y no existirá ninguna forma de recuperación total o parcial de los datos contenidos en el mismo.

8.7.6. DESTRUCCIÓN DE SOPORTES INFORMÁTICOS

En el caso de que un soporte informático vaya a ser desechado (tirado a la basura), también deberá realizarse el formateo a bajo nivel, asegurando de esta manera el borrado total de los datos.

Hay que tener en cuenta que el hecho de desechar o reutilizar un soporte, debe ser reflejado en el inventario correspondiente, que lleve el Responsable de Seguridad.

En el caso de desechar CDs y/o DVDs no regrabables, deberán ser destruidos físicamente con algún sistema similar al de una destructora de CDs.

8.7.7. DESTRUCCIÓN DE SOPORTES NO INFORMÁTICOS (PAPEL)

En el caso de destrucción de carpetas conteniendo información en papel, con datos de carácter personal, deberán ser destruidas mediante destructoras de documentos, con el fin de impedir cualquier recuperación parcial o total de su contenido.

En el caso de destrucción masiva de documentos, por haber vencido el plazo legal de archivo, podrá emplearse empresas especializadas, con su correspondiente certificación, que garantizan la destrucción total y segura de los documentos que se les entrega.

8.7.8. ALMACENAMIENTO DE DOCUMENTOS

Todos los documentos que contengan datos de carácter personal estarán archivados en armarios, cajoneras o cualquier otro soporte, dotado de medidas de seguridad que impidan el acceso a los mismos al personal no autorizado.

La utilización de llaves en los soportes, despachos o almacenes con llave, o cualquier otro medio que impida el acceso de forma libre, podrán ser medios válidos.

Las llaves de acceso a estos lugares de almacenamiento, solo estará en poder de las personas debidamente autorizadas.

En el caso de documentos que contengan categorías especiales de datos, los armarios, archivadores u otros elementos además de deber permanecer cerrados de forma permanente, es conveniente que se encuentren en áreas dotadas con puertas dotadas con sistemas de apertura mediante llave y solo serán abiertos para sacar o almacenar el fichero correspondiente.

En cualquier caso, se deberán arbitrar las medidas organizativas correspondientes para evitar que en ningún caso, personal sin la debida autorización (p.ej. personal de limpieza) pueda tener acceso a los locales o despachos en el que se encuentren los armarios o archivadores conteniendo ficheros con datos de nivel alto, sin la presencia de una persona debidamente autorizada y que pueda garantizar la seguridad de los mismos.

En el caso de ser esto imposible, las personas autorizadas para el tratamiento de dichos datos, que figuran en los anexos correspondientes, antes de salir del local o despacho, se asegurarán de que ningún fichero pueda quedar fuera de los archivadores habilitados a tal efecto.

8.7.9. COPIA O REPRODUCCIÓN DE DOCUMENTOS

Como norma general, no está permitida la copia o reproducción de documentos. Es el Responsable del tratamiento a través del Responsable de seguridad el que, analizando la necesidad, autorizará de forma temporal o continua a ciertas personas para su realización.

Sobre dicha copia o reproducción, se aplicarán las mismas medidas de seguridad que sobre el documento original. Una vez que ya no sea útil, deberá procederse a su destrucción de forma que se evite el acceso a la información que contenía, siguiendo los procedimientos definidos a tal efecto.

8.7.10. TRASLADO DE DOCUMENTACIÓN

Cualquier traslado de documentación que se realice, deberá garantizar que nadie sin la debida autorización, pueda tener acceso a su contenido, así como la sustracción o pérdida. En la medida que sea posible, y una vez recibida la autorización para la salida de información, el traslado se realizará de forma personal.

En el caso de no ser posible, se seguirá el siguiente procedimiento:

a. Deberá realizarse en sobre, caja o soporte, cerrado, que impida el acceso a su contenido.

b. Deberá ir dirigida de forma concreta a la persona destinataria y debidamente identificada en el Registro de Salida.

c. En el caso de no poder ser entregada en propia mano por la persona autorizada de la empresa, se enviará por un medio de transporte que garantice la seguridad en el traslado.

8.8. GESTIÓN DE INCIDENCIAS 

Se habilitará un Libro de Incidencias, con el fin de que se registren en él, cualquier incidencia, relacionada con datos de carácter personal, y que puedan o no suponer un peligro para la seguridad de los mismos.

Una incidencia es cualquier evento que pueda producirse esporádicamente y que pueda suponer un peligro para la seguridad de la información, entendida bajo sus tres vertientes de confidencialidad, integridad y disponibilidad de los datos. El mantenimiento de un registro de las incidencias que comprometan la seguridad es una herramienta imprescindible para la prevención de posibles ataques a esa seguridad, así como para persecución de los responsables de los mismos.

8.8.1. PROCEDIMIENTO DE GESTIÓN DE INCIDENCIAS

En el momento que, cualquier usuario (propio o externo) detecte cualquier incidencia, seguirá el procedimiento siguiente:

Cuando un usuario detecte cualquier anomalía o incidencia que pueda comprometer el buen uso y funcionamiento de los datos de carácter personal, los sistemas de Información o la imagen de la empresa, deberá informar inmediatamente al Responsable de Seguridad, que lo registrará debidamente y elevará, en su caso.

En cualquier caso y ante una incidencia que o bien no esté especificada o bien la interpretación del procedimiento a seguir no le sea entendible para el usuario, éste elevará la consulta al Responsable de Seguridad.

El Responsable de seguridad anotará las distintas incidencias que se produzcan en el tratamiento de la información o en el ámbito organizativo o de seguridad empleando para ello el Libro Registro de Incidencias. En dicho libro se registrará: el identificador de la incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quién se la comunica, atención que ha recibido la incidencia y los efectos que se hubieran derivado de la misma (detallando informe en caso de necesidad).

El Responsable de Seguridad analizará de forma inmediata las incidencias registradas, y tomará las medidas oportunas, tanto para solucionarlas como para evitar que se vuelvan a producir. 

En el caso de que se hayan visto afectados categorías de datos sensibles y sea necesario llevar a cabo algún procedimiento de recuperación de datos, será imprescindible que el Responsable de Seguridad autorice la ejecución del citado procedimiento, haciéndolo constar mediante su firma en el impreso de registro de incidencias.

No informar de una incidencia de la que se haya tenido conocimiento, será considerado una falta contra la que se podrán imponer sanciones

Si el Responsable de Seguridad tiene la mera sospecha que la incidencia puede suponer un riesgo para los interesados, se notificará sin dilación al Delegado de Protección de Datos y/o el Responsable del tratamiento para que evalúe si se trata de una violación de seguridad que deba de ser notificada a la autoridad de control. 

8.8.2. POSIBLES INCIDENCIAS 

Tendrá la consideración de incidencia respecto a los sistemas de información referidos a los datos de carácter personal:

§ Pérdida de Información.

§ Modificaciones y accesos no autorizados a los datos.

§ Ataques de virus, ransomware, malware, phishing.

§ El incumplimiento de las políticas de seguridad establecidas por el Responsable.

§ El desconocimiento de cualquier persona que trabaje en la empresa de las medidas de seguridad que le sean exigibles, según las funciones que tenga asignadas.

§ La falta de notificación o de inscripción de incidencias.

§ El acceso, modificación o borrado no autorizado de datos.

§ El incumplimiento de las medidas establecidas para el desecho de los soportes.

§ El incumplimiento de las medidas de seguridad que persiguen salvaguardar la recuperación indebida de la información que se contenga en los soportes.

§ La distribución en soportes, o transmisión por redes de telecomunicación, de información legible o susceptible de ser manipulada.

§ El acceso por personal no autorizado a la sala de servidores o a un espacio de acceso restringido.

§ Las averías que se produzcan en espacios de acceso restringido.

8.9. GESTIÓN DE LAS VIOLACIONES DE LA SEGURIDAD DE LOS DATOS

En los considerandos del RGPD, se establece que una brecha de seguridad es “toda violación que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales trasmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos”.

Cuando el responsable del tratamiento o Delegado de Protección de Datos haya sido informado de la posible brecha de seguridad, realizará de forma inmediata un estudio de la misma, a fin de valorar si supone un riesgo para los derechos y libertades de los interesados.

Una vez confirmado que, efectivamente, se trata de una brecha de seguridad, el Responsable del Tratamiento o el Delegado de Protección de Datos, analizará el alcance de la misma, es decir, las características de la brecha, tipos de datos o categorías de datos afectados, consecuencias, etc. y evaluará el impacto que puede producir en los interesados.

Para evaluar la brecha de seguridad se tendrá en cuenta los siguientes criterios:

§ Que pueda provocar daños y perjuicios físicos, materiales o inmateriales.

o problemas de discriminación

o usurpación de identidad o fraude

o pérdidas financieras

o daño para la reputación

o pérdida de confidencialidad de datos sujetos al secreto profesional

o reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo

§ Que se pueda privar a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales ya que se trate de categorías especiales de datos o datos relativos a las condenas e infracciones penales o medidas de seguridad conexas.

§ En los casos en los que se evalúen aspectos personales.

o en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo

o situación económica

o datos de salud

o preferencias o intereses personales

o fiabilidad o comportamiento, situación o movimientos, con el fin de crear o utilizar perfiles personales

§ En los casos en los que se traten datos personales de personas vulnerables, en particular niños.

§ En los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran número de interesados

En los casos en que sea probable que la violación de seguridad suponga un alto riesgo para los derechos o libertades de los interesados, la notificación a la autoridad de supervisión deberá́ complementarse con una notificación dirigida a estos últimos.

El criterio de alto riesgo se entenderá en el sentido de que sea posible que la brecha de seguridad pueda producir daños importantes a los interesados. Por ejemplo, en casos en que se desvele información confidencial, como contraseñas o participación en determinadas actividades, se difundan de forma masiva datos sensibles o se puedan producir perjuicios económicos para los afectados.

8.9.1. NOTIFICACIÓN DE LA BRECHA DE SEGURIDAD

El responsable del tratamiento o Delegado de Protección de datos documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas.

Quién debe de notificar

Las notificaciones de las violaciones de seguridad serán comunicadas por:

§ Delegado de Protección de Datos (en caso de que se disponga de esta figura)

§ Responsable del tratamiento o Responsable de seguridad (cuando la entidad no haya nombrado un DPD)

§ Encargado de tratamiento en caso de que así se haya establecido en el contrato de confidencialidad por prestación de servicios.

Si se dispone de certificado digital, la notificación podrá ser comunicada a través del registro electrónico habilitado por la Agencia Española de Protección de datos. 

Plazo para notificar la brecha

El plazo para notificar las violaciones detectadas es de 72 horas desde que se tenga constancia de la brecha de seguridad.

En caso de que la notificación no pueda producirse en el plazo de 72 establecido por la dificultad de determinar su alcance, se deberá de acompañar con un informe en el que se indique los motivos de tal dilación.

Contenido de la notificación

La notificación deberá de incluir como mínimo el siguiente contenido:

§ Naturaleza de la violación de seguridad, incluyendo, si es posible 

o Las categorías y el número aproximado de interesados afectados

o Las categorías y el número aproximado de registros de datos personales afectados.

§ Nombre y datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.

§ Las posibles consecuencias de la violación de seguridad

§ Las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Esta información podrá proporcionarse de forma escalonada cuando no sea posible hacerlo en el mismo momento de la notificación.

La notificación a los interesados no será necesaria cuando:

§ El responsable hubiera tomado medidas técnicas u organizativas apropiadas con anterioridad a la violación de seguridad, en particular las medidas que hagan ininteligibles los datos para terceros, como sería el cifrado.

§ El responsable haya tomado con posterioridad a la quiebra medidas técnicas que garanticen que ya no hay posibilidad de que el alto riesgo se materialice.

§ La notificación suponga un esfuerzo desproporcionado, debiendo en estos casos sustituirse por medidas alternativas como puede ser una comunicación pública.

  

9. APROBACIÓN

MITJA MOROLDO en calidad de Responsable del Tratamiento, aprueba la presente Política de Protección de Datos, aceptándola en su totalidad y ordenando su inmediato cumplimiento, tanto para el personal propio, como ajeno que tenga o pueda tener acceso a los datos de carácter personal que trata la empresa.

En BADALONA (BARCELONA) a 31 de agosto de 2023

Fdo. 

  

10. CONSECUENCIAS DEL INCUMPLIMIENTO DEL DOCUMENTO DE SEGURIDAD

El incumplimiento de las obligaciones y medidas de seguridad establecidas en el presente documento, por parte del personal infractor, podrá ser considerado, dependiendo de las consecuencias que ello acarree al Responsable del tratamiento, como falta muy grave.

Las sanciones e indemnizaciones que le pudieran ser impuestas a la empresa, como consecuencia del incumplimiento, deliberado o negligente, por parte de un usuario de cualquier medida, norma, procedimiento, regla u obligación establecida en el presente documento y conforme al artículo 1904 del Código Civil, serán repetidas por parte de la empresa contra el usuario infractor.

También se advierte que, en cualquier caso, los afectados titulares de los datos de carácter personal pueden dirigir sus acciones civiles, e incluso penales, directamente contra el infractor causante del daño, con independencia de su condición de responsable de tratamiento o simple usuario.

Textos legales

  • Política de protección de datos

  • Cláusula informativa

  • Registro de actividades de tratamientos

  • Manual de Protección de Datos y Medidas de Seguridad

  • Acuerdo de confidencialidad

  • Consentimiento Informado

  • Aviso legal

  • Consentimiento del tratamiento de datos personales

  • Política de privacidad

  • Claúsula para correos electrónicos

  • Guía para dar cumplimiento al Art. 22.2 de la LSSICE 34/2002.