DOCUMENTO DE SEGURIDAD SEGÚN LEY ORGANICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL 15/1999 L.O.P.D

23  Download (0)

Full text

(1)

DOCUMENTO DE SEGURIDAD

SEGÚN LEY ORGANICA DE PROTECCIÓN DE DATOS DE CARÁCTER

PERSONAL 15/1999 L.O.P.D

El presente Documento de Seguridad y sus Anexos, redactados en cumplimiento de lo dispuesto en el Reglamento de Medidas de Seguridad (Real Decreto 1720/2007 de Diciembre), recoge las medidas de índole técnica y organizativas necesarias para garantizar la protección, confidencialidad, integridad y disponibilidad de los recursos afectados por lo dispuesto en el citado Reglamento y en la Ley Orgánica 15/1999 de 13 de Diciembre, de Protección de Datos de Carácter Personal.

RESPONSABLE DEL FICHERO:

SANCHEZ Y PEREZ DE LA BLANCA ASESORES, S.L C.I.F: B-18858332

C/DR.MARAÑON,7 18151 OGIJARES.GRANADA(RAZÓN SOCIAL) C/NUEVA,2,1ºA.18140.LA ZUBIA.GRANADA (EJERCICIO DE DERECHOS) TFNO: 958590646. FAX: 958508932.

EMAIL: franciscosanchez@sanperasesores.com ACTIVIDAD: ASESORIA DE EMPRESAS.

D.FRANCISCO SANCHEZ PEREZ DE LA BLANCA con N.I.F. 44296874-R y con cargo ADMINISTRADOR, actua como RESPONSABLE DE SEGURIDAD durante el período de un año a contar desde 29/10/2009 y, así mismo, le autoriza a inscribir los ficheros en la Agencia Española de Protección de Datos.

Fdo.: FRANCISCO SANCHEZ PEREZ DE LA BLANCA Este documento ha sido elaborado bajo la responsabilidad de la persona descrita anteriormente, quien, como responsable de Seguridad, se compromete a implantar y actualizar esta Normativa de Seguridad de obligado cumplimiento para todo el personal con acceso a los datos protegidos o a los sistemas de información que permiten al acceso a los mismos. Todas las personas que tengan acceso a los datos de los ficheros, bien, a través de los sistemas informáticos habilitados para acceder al mismo, o bien a través de cualquier otro medio automatizado o no, de acceso a los Ficheros, se encuentran obligadas por Ley a cumplir lo establecido en este documento, y sujetas a las consecuencias que pudieran incurrir en caso de incumplimiento.

Este Documento deberá mantenerse permanentemente actualizado. Cualquier modificación relevante en los sistemas de información automatizados o no, en la organización de los mismos, o en las disposiciones vigentes en materia de seguridad de los datos de carácter personal conllevará la revisión de la normativa incluida y, si procede, su modificación total o parcial.

(2)

INDICE

1.- Ámbito de aplicación del documento

2.- Relación de Ficheros Inscritos

3.- Medidas, normas, procedimientos de actuación, reglas y estándares

encaminados a garantizar los niveles de seguridad exigidos en este

documento

4.- Procedimiento general de información al personal

5.- Condiciones y obligaciones del personal usuario / Decálogo

6.- Funciones y obligaciones del personal usuario.

7.- Obligaciones del responsable de seguridad y derechos de los titulares

de los datos personales.

8.- Procedimiento de notificación, gestión y respuesta ante las incidencias.

9.- Procedimientos de revisión.

(3)

El presente documento será de aplicación a los ficheros que contienen datos de carácter personal que se hallan bajo la responsabilidad de SANCHEZ Y PEREZ DE LA BLANCA ASESORES, S.L incluyendo los sistemas de información, soportes y equipos empleados para el tratamiento de datos de carácter personal, que deban ser protegidos de acuerdo a lo dispuesto en normativa vigente, las personas que intervienen en el tratamiento y los locales en los que se ubican.

La protección de los datos de los Ficheros frente a accesos no autorizados se deberá realizar mediante el control a su vez, de todas las vías por las que se pueda tener acceso a dicha información.

Los recursos que, por servir de medio directo o indirecto para acceder a los ficheros, deberán ser controlados por esta normativa son:

1.- Los centros de tratamiento y locales donde se encuentren ubicados los ficheros o se almacenen los soportes que los contengan.

2.- Los puestos de trabajo, bien locales o remotos, desde los que se pueda tener acceso a los ficheros.

3.- Los servidores, si los hubiese, y el entorno del sistema operativo y de comunicaciones en el que se encuentran ubicados los ficheros.

4.- Los sistemas informáticos, o aplicaciones establecidos para acceder a los datos descritos.

Las medidas de seguridad se clasifican en tres niveles acumulativos (básico, medio y alto) atendiendo a la naturaleza de la información tratada, en relación con la menor o mayor necesidad de garantizar la confidencialidad y la integridad de la información.

Nivel Básico: Se aplicarán a los ficheros que contengan datos de carácter personal

básicos, tales como nombre, apellido, dirección, D.N.I., teléfono, correo electrónico, etc.

Nivel Medio: Ficheros que contengan datos relativos a la comisión de infracciones

administrativas o penales, Hacienda Pública, servicios financieros y los que se rijan por el artículo 29 de la LOPD (prestación de servicios de solvencia y crédito).

Nivel Alto: Ficheros que contengan datos de ideología, afiliación sindical, violencia

de género, operadores de telecomunicaciones, religión, creencias, origen racial, salud, vida sexual, menores de 14 años o los recabados para fines policiales sin consentimiento (en este último caso, también deberán ser de titularidad pública).

(4)

Los puestos de trabajo estarán bajo la responsabilidad de algún usuario autorizado que garantizará que la información que muestran no pueda ser visible por personas no autorizadas. Esto implica que tanto las pantallas como las impresoras u otro tipo de dispositivos conectados al puesto de trabajo deberán estar físicamente ubicados en lugares que garanticen esa confidencialidad.

Cuando el responsable de un puesto de trabajo lo abandone, bien temporalmente o bien al finalizar su turno de trabajo, deberá dejarlo en un estado que impida la visualización de los datos protegidos. Esto podrá realizarse a través de un protector de pantalla que impida la visualización de los datos.

La reanudación del trabajo implicará la desactivación de la pantalla protectora con la introducción de la contraseña correspondiente.

En el caso de las impresoras deberá asegurarse de que no quedan documentos impresos en la bandeja de salida que contengan datos protegidos. Si las impresoras son compartidas con otros usuarios no autorizados para acceder a los datos de los ficheros, los responsables de cada puesto deberán, retirar los documentos conforme vayan siendo impresos.

Queda expresamente prohibida la conexión a redes o sistemas exteriores de los puestos de trabajo desde que se realiza el acceso al fichero. La revocación de esta prohibición será autorizada por el Responsable del fichero, quedando constancia de esta modificación en el Libro de Incidencias.

Los puestos de trabajo desde los que se tiene acceso a los ficheros tendrán una configuración fija en sus aplicaciones, sistemas operativos que sólo podrá ser cambiada bajo la autorización del Responsable de Seguridad o por administradores autorizados que estén detallados en el documento de seguridad.

El personal sólo accederá a aquellos datos y recursos que precise para el desarrollo de sus funciones.

Exclusivamente el Responsable de Seguridad está autorizado para conceder, alterar o anular el acceso autorizado sobre los datos y los recursos.

En relación al Correo Electrónico, la entidad se reserva el derecho de revisar, sin previo aviso, los mensajes de correo electrónico de los usuarios de la red corporativa, con el fin de comprobar el cumplimiento de estas normas y prevenir actividades que puedan afectar a la Entidad como responsable civil subsidiario.

3. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTÁNDARES

ENCAMINADOS A GARANTIZAR LOS NIVELES DE SEGURIDAD EXIGIDOS

(5)

En cuanto al Acceso a Internet, el uso del sistema informático de la Empresa para acceder a redes públicas como Internet, se limita a los temas directamente relacionados con la actividad de la Empresa y los cometidos del puesto de trabajo del usuario.

El acceso a debates en tiempo real (Chat/IRC) es especialmente peligroso, ya que facilita la instalación de utilidades que permiten accesos no autorizados al sistema, por lo que su uso queda estrictamente prohibido.

El acceso a paginas Web (WWW), grupos de noticias (Newsgroups) y otras fuentes de información como FTP, etc. se limita a aquellos que contengan información relacionada con la actividad de la entidad o con los cometidos del puesto de trabajo del usuario. La empresa se reserva el derecho de monitorizar y comprobar, de forma aleatoria y sin previo aviso, cualquier sesión de acceso a Internet iniciada por un usuario de la red corporativa.

Cualquier fichero introducido en la red corporativa o en el terminal del usuario desde Internet, debe cumplir los requisitos establecidos en estas normas y, en especial las referidas a propiedad intelectual e industrial y a control de virus.

Quedan expresamente prohibidas las siguientes actividades:

• Intentar descifrar las claves, sistemas o algoritmos de cifrado y cualquier otro elemento de seguridad que intervenga en los procesos telemáticos de la Empresa.

• Destruir, alterar, inutilizar o de cualquier otra forma dañar los datos, programas o documentos electrónicos de la Entidad o de terceros. (Esto puede constituir un delito de daños, previsto en el artículo 264.2 del código penal)

• Enviar mensajes de correo electrónicos de forma masiva o con fines comerciales o publicitarios sin el consentimiento del destinatario.

• Intentar leer, borrar, copiar o modificar los mensajes de correo electrónico o archivos de otros usuarios. (Esta actividad puede constituir un delito de interceptación de las telecomunicaciones, previsto en el artículo 197 del código penal)

• Introducir voluntariamente programas, virus, macros, applets, controles Actives o cualquier otro dispositivo lógico o secuencia de caracteres que causen o sean susceptibles de causar cualquier tipo de alteración en los sistemas informáticos de la entidad o de terceros. El usuario tiene la obligación de utilizar los programas anti-virus y sus actualizaciones para prevenir la entrada en el sistema de cualquier elemento destinado a destruir o corromper los datos informáticos.

• Introducir contenidos obscenos, inmorales u ofensivos y, en general, carentes de utilidad para los objetivos de la Entidad, en la red corporativa de la Entidad.

(6)

• Instalar copias ilegales de cualquier programa, incluidos los estandarizados.

• Utilizar los recursos telemáticos de la Entidad, incluida la red Internet, para actividades que no se hallen directamente relacionados con el puesto de trabajo del usuario.

• Compartir o facilitar los identificadores de usuario y las claves de acceso facilitados por la Empresa con otra persona física o jurídica, incluido el personal de la propia entidad. En caso de incumplimiento de esta prohibición, el usuario es el único responsable de los actos realizados por la persona física o jurídica que utilice de forma no autorizada el identificador del usuario.

• Utilizar el sistema para intentar acceder a áreas restringidas de los sistemas informáticos de la Empresa o de terceros.

• Intentar aumentar el nivel de privilegios de un usuario en el sistema.

DISPOSITIVOS Y NORMAS DE SEGURIDAD

Los dispositivos “Antivirus” y “Firewall” garantizan la detección y eliminación de todo tipo de Virus; por tanto, es necesario mantener las actualizaciones de los mismos inmediatas y automáticas al menos una vez al día.

Queda garantizado el uso adecuado de Internet mediante un control de acceso a páginas Web inapropiadas.

En Relación a la Salvaguarda y protección de las contraseñas personales, cada usuario será responsable de la confidencialidad de su contraseña y, en caso de que la misma sea conocida fortuita o fraudulentamente por personas no autorizadas, deberá registrarlo como incidencia y proceder a su cambio.

El centro dispone de medidas tanto físicas como informáticas, en cuanto a las físicas podemos observar controles de acceso con llave al lugar donde se encuentran ubicados los ficheros y que estos se custodian en armarios bajo llave, a los que tienen acceso tanto el Responsable del Fichero, como el Responsable de Seguridad, así como cualquier autorizado por los mismos en este documento; en cuanto a las medidas informáticas, tiene control de acceso a los ficheros propios del programa.

Las normas de seguridad no están establecidas pero podrán incluirse aquellas que de forma genérica tenga la empresa y que vayan encaminadas a garantizar la confidencialidad, disponibilidad o integridad de la información de la propiedad de la misma.

(7)

Dichas medidas son:

- Identificación y autenticación. - Control de Acceso.

- Gestión de soportes.

- Acceso a datos a través de redes.

- Régimen de trabajo fuera de los locales de la ubicación del fichero. - Ficheros temporales.

En cuanto al control de accesos podemos hablar de contraseña y login de las aplicaciones.

Sólo el responsable del fichero tiene acceso a las tablas maestras de contraseñas. Cómo norma, una vez instalada una aplicación se cambiarán las contraseñas asignadas por el fabricante y/o instalador. Igualmente cada semestre o como mínimo anualmente, cambiarán todas las contraseñas del personal con acceso a los ficheros.

La comunicación de la nueva contraseña se realizará personalmente e individualmente.

Se activará en tres intentos, la prestación de limitaciones de intentos erróneos de acceso a la red y recursos instalados.

En relación a la Gestión de Soportes, aquellos que contengan datos de carácter personal deben ser etiquetados para permitir su identificación, inventariados y almacenados en habitación cerrada, lugar de acceso restringido al que sólo tendrán acceso las personas con autorización que se relacionan en los cuadros posteriores.

El procedimiento establecido para habilitar o retirar el permiso de acceso y los controles de acceso existentes, viene especificado detalladamente en el Punto 4.

La salida de soportes informáticos que contengan datos de carácter personal, fuera de los locales en donde esté ubicado el sistema de información, únicamente puede ser autorizada por el responsable del fichero o aquel en que se hubiera delegado; autorización que ha de ser previa a cualquier salida.

Las medidas de seguridad exigibles a los accesos a los datos e carácter personal a través de redes de comunicaciones deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local.

La ejecución de tratamiento de datos de carácter personal fuera de los locales de la ubicación del fichero deberá ser autorizada expresamente por el responsable del fichero y, en todo caso, deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado.

(8)

Los ficheros temporales deberán cumplir el nivel de seguridad que les corresponda con arreglo a los criterios expresados en el Reglamento de medidas de seguridad, y serán borrados una vez que hayan dejado de ser necesarios para los fines que motivaron su creación en el Registro General de la Agencia Española de Protección de Datos.

Es obligatorio realizar copias de respaldo de los ficheros automatizados que contengan datos de carácter personal. Los procedimientos establecidos para las copias de respaldo y para su recuperación garantizarán su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.

El encargado de seguridad debe realizar copias de Seguridad en cualquier formato que impida su reproducción no autorizada, con frecuencia diaria y mensual, guardadas fuera de las instalaciones de la empresa.

Los soportes utilizados indican: el nombre del fichero, nombre de la aplicación y la fecha de realización de la copia de seguridad, siempre que técnicamente sea posible.

A las copias de seguridad guardadas tiene acceso solamente el personal autorizado.

Estas copias deberán realizarse con una periodicidad al menos, semanal, salvo en el caso de que no se hayan producido ninguna actualización de los datos.

(9)

Las funciones y obligaciones de cada una de las personas con acceso a los datos de carácter personal y a los sistemas de información están definidas de forma general en el Capítulo siguiente.

Para asegurar que todas las personas conocen las normas de seguridad que afectan al desarrollo de sus funciones, así como las consecuencias del incumplimiento de las mismas serán informadas de acuerdo con el siguiente procedimiento:

El Responsable de Seguridad, se encargará de proporcionar a cada una de las personas que tienen acceso a ficheros con datos personales, la formación y la documentación necesaria para que conozcan los puntos clave de la Ley 15/1999. La documentación aportada será una copia del Manual de Formación, cada una de las personas que lo reciban firmarán un acuse de recibo, que será archivado por el Responsable de Seguridad.

Medidas y normas de comunicación al personal involucrado:

• Los empleados actuales de la Empresa han sido informados personalmente de las medidas y normas aplicables en materia de seguridad. Para quedar constancia de la comunicación y aceptación, han firmado el Anexo en conformidad a su entendimiento de las normas de seguridad que aplican individualmente según las funciones asignadas y descritas en este documento de seguridad. Adicionalmente para cumplir los requisitos que exige el marco legal vigente, todos los empleados han firmado una carta de confidencialidad y responsabilidad cuya custodia esté a cargo del Responsable de Seguridad, tal como marcan sus funciones.

• Todos los empleados en el proceso de incorporación y promoción son informados de los accesos de que disponen a ficheros confidenciales y se les proporciona el Manual de Medidas de Seguridad para su entendimiento y aceptación. Una vez aceptado deben firmar el Anexo correspondiente al entendimiento de las normas de seguridad conjuntamente con la carta de confidencialidad que se describe posteriormente.

(10)

1.- ¿QUÉ ES EL DOCUMENTO DE SEGURIDAD EN PROTECCIÓN DE DATOS PERSONALES?

El presente Documento de Seguridad es un documento que tiene por finalidad dar a conocer a los diferentes usuarios que tratan los datos, las condiciones y obligaciones que se derivan de la legislación existente en materia de protección de Datos de Carácter Personal. Contiene la regulación y funcionamiento detallados de los distintos agentes que tratan los datos de carácter personal contenidos en los distintos Ficheros de la entidad, estando obligados al cumplimiento de las directrices organizativas descritas en el mismo.

Para la resolución de cualquier duda sobre la temática aquí analizada, cualquier usuario se podrá poner en contacto con el Responsable de Seguridad a efectos de plantearle la duda correspondiente que será remitida para su resolución. En caso de que un usuario tenga conocimiento de una irregularidad, necesariamente habrá de transmitirla al Responsable de Seguridad, para que, tras analizarla, proceda a desarrollar una medida correctora encaminada a finalizar con dicha irregularidad.

2.- ¿QUÉ OBLIGACIONES AFECTAN AL USUARIO? a. Respecto de los puestos de trabajo.

Los puestos de trabajo estarán bajo la responsabilidad del usuario autorizado que garantizará que la información que muestran no pueda ser visible por personas no autorizadas.

Esto implica que tanto las pantallas como las impresoras u otro tipo de dispositivos conectados al puesto de trabajo deberán estar físicamente ubicados en lugares que garanticen esa confidencialidad.

Cuando el responsable de un puesto de trabajo lo abandone, bien temporalmente o bien al finalizar su turno de trabajo, deberá dejarlo en un estado que impida la visualización de los datos protegidos. Esto podrá realizarse tanto mediante un protector de pantalla con contraseña implementada que impida la visualización de los datos como del sistema de bloqueo del equipo en Windows. La reanudación del trabajo implicará la desactivación de la pantalla protectora con la introducción de la contraseña correspondiente al perfil de cada usuario.

En el caso de las impresoras deberá asegurarse de que no quedan documentos impresos en la bandeja de salida que contengan datos protegidos. Si las impresoras son compartidas con otros usuarios no autorizados para acceder a los datos del Fichero, los responsables de cada puesto deberán retirar los documentos conforme vayan siendo impresos.

Los puestos de trabajo desde los que se tiene acceso al fichero tendrán una configuración fija en sus aplicaciones y sistemas operativos que sólo podrá ser cambiada bajo la autorización del Responsable de Seguridad o por los administradores del sistema.

Cabe la posibilidad de que los usuarios puedan llegar a almacenar, dentro de la unidad C: del disco duro de su puesto cliente, ficheros ofimáticos conteniendo datos personales. En este supuesto, todos los usuarios con acceso informático que se encontrasen

(11)

en dicha situación, deberán cumplir con los siguientes criterios a efectos de facilitar el cumplimiento de la normativa sobre protección de datos personales:

(1) Desde el punto de vista de la salvaguarda de los datos personales, se hace necesario el cumplimiento por parte del Responsable de seguridad de una serie de medidas relacionadas con la generación de las copias de seguridad respecto de los datos personales contenidos en ficheros. Por ello, en caso de existir ficheros que contengan datos personales dentro de la unidad C: de cualquier puesto cliente, la copia de seguridad generada desde los sistemas centrales de almacenamiento no incluirá dichos ficheros. Como consecuencia, todos los usuarios deberán con carácter inmediato realizar cualquiera de las dos siguientes medidas correctoras: (a) introducir el contenido de dichos ficheros en un directorio habilitado dentro del servidor para que la copia de seguridad incluya dichos ficheros o (b) realizar cada usuario una copia de seguridad de dichos ficheros desde el propio puesto cliente.

(2) Desde el punto de vista del cumplimiento del principio de actualización de los datos personales y de los ficheros, deberá existir una conexión y actualización constante entre las diferentes bases de datos existentes.

Tiene que quedar claro que, sobre todo en el caso de que un usuario ejercite cualquiera de sus derechos reconocidos en la LOPD (que más adelante se tratarán), que se contuvieran datos personales, será necesario utilizar, sin excepción alguna, la máquina destructora o trituradora de documentos. Todas las bases de datos deberán actualizarse según haya el afectado modificado, cancelado o ejercitado su oposición al tratamiento de sus datos personales.

Para facilitar la centralización de la información, se ha articulado un sistema por el que se informa a los afectados de que los derechos podrán ejercitarlos mediante el envío de correo ordinario en el que se identifique claramente el derecho que se quiere ejercer.

En todo caso, deberán ser los receptores primarios de estos correos (las persona designada como Responsable de Seguridad o bien la persona que previamente se haya designado) los que se encarguen de distribuirlos internamente entre todos los usuarios con accesos informáticos a las bases de datos personales a efectos de que el contenido de los diferentes ficheros quede actualizado.

Respecto a los datos de carácter personal contenidos en un soporte documental, cabe señalar que deberá procederse a su almacenamiento y depósito siempre que sea posible en un armario ignífugo cerrado con llave cuando no vayan a ser utilizados.

Esta medida resultará de gran importancia en aquellos casos en los que los datos de carácter personal contenidos en soporte físico se refieran al fichero general de empleados debido a que el nivel de seguridad que se aplica a estos ficheros es ALTO conforme a lo dispuesto en la legislación vigente.

Por ello, en el momento en que una documentación en la que constatasen datos personales haya dejado de ser necesario consultarla, se archivará no dejándola nunca sobre las mesas de trabajo, siendo cada usuario responsable del cumplimiento de esta medida de seguridad.

(12)

Tal es el supuesto en que una vez finalizada una relación y no siendo útil o no cumpliendo dicha información personal alguna de las finalidades, el usuario procederá a destruir dicha documentación en la forma que se indica.

Cabe resaltar que, bajo ningún concepto, se podrán tirar documentos a la papelera conteniendo datos personales por el peligro evidente de que dichos documentos puedan llegar a hacerse públicos antes de ser totalmente destruidos. Por ello, todo documento conteniendo datos personales deberá ser previamente triturado.

b. Salvaguarda y protección de las contraseñas personales.

El Responsable de Seguridad comunicará a los usuarios los principios que rigen la política de protección de datos en lo concerniente al control de accesos a los sistemas de tratamiento (las contraseñas personales) y que podemos resumir en lo siguientes:

• Cada empleado tiene un usuario que se autentica mediante contraseña de forma que no podrán dos empleados compartir un mismo usuario o utilizar, en un momento dado, el usuario de otro empleado para acceder al sistema de información.

• El usuario será, inicialmente, la primera letra del nombre seguido del apellido.

• La contraseña debe ser elegida por el usuario que la utiliza, salvo que existan sistemas informáticos de generación de contraseñas que garanticen la confidencialidad de la contraseña generada. La longitud de la contraseña será de seis caracteres como mínimo. La contraseña estará formada por una conjunción de números y letras.

• Se evitaran contraseñas como los nombres comunes, números de matrícula de vehículos, teléfonos, nombres de familiares, amigos, etc. y derivados del nombre de usuario (por supuesto, la contraseña nunca podrá ser igual que el usuario) como permutaciones o cambio de orden de las letras, transposiciones, repeticiones de un único carácter y procedimientos análogos. Deberá cambiarse la contraseña, al menos, cada seis meses.

• No deberá reutilizarse una contraseña ya usada en el cambio inmediatamente anterior que se produzca como consecuencia de su caducidad.

• Además de ello, nos encontramos con que, como mínimo, por el nivel de seguridad aplicable, los usuarios autorizados a tener acceso a datos correspondientes con los ficheros sometidos a un nivel de seguridad alto deberán tener implantados en su perfil de usuario un número máximo de intentos permitidos de introducción de la contraseña de manera que, en caso de superarlos, el perfil de usuario quedase deshabilitado, no siendo posible su habilitación salvo con conocimiento del Responsable de Seguridad o del administrador de la red.

(13)

c.- Gestión de incidencias.

Cualquier usuario que tenga conocimiento de una incidencia relacionada con la seguridad y confidencialidad de los datos personales contenidos dentro de los ficheros es responsable de la comunicación de la misma al administrador del sistema o, en su caso, del registro de la misma en el sistema de Registro de incidencias del Fichero.

El conocimiento y la no notificación de una incidencia por parte de un usuario serán considerados como una falta contra la seguridad del Fichero por parte de este usuario.

Queda a disposición de los usuarios un modelo de impreso de notificación de incidencias que deberá entregarse al administrador del sistema o al Responsable de Seguridad (véase Anexo 9 del presente Documento de Seguridad); dicho modelo se encuentra en el anexo correspondiente, debidamente ubicado en el Índice de anexos. d.- Gestión de soportes.

Los soportes que contengan datos del Fichero, bien como consecuencia de operaciones intermedias propias de la aplicación que los trata o bien como consecuencia de procesos periódicos de respaldo o cualquier otra operación esporádica, deberán estar claramente identificados con una etiqueta externa que indique qué fichero se trata, qué tipos de datos contiene, el proceso que los ha originado y su fecha de creación.

Aquellos medios que sean reutilizables y que hayan contenido copias de datos del fichero, deberán ser borrados físicamente antes de su reutilización de forma que los datos que contenían no fuesen reutilizables o recuperables.

Los soportes que contengan datos del Fichero deberán ser almacenados en lugares a los que no tengan acceso personas no autorizadas para el uso del Fichero.

e. Deber de secreto y confidencialidad

Como consecuencia de lo dispuesto en la normativa sobre Protección de Datos de Carácter Personal, toda persona con acceso y posibilidad de tratamiento de datos personales estará obligada a cumplir las siguientes obligaciones:

• Conocer la privacidad de todos los datos que manejan y, por lo tanto, su obligación de mantener el secreto de dicha información.

• Hacer uso de los datos únicamente para los fines para los cuales han sido recabados, con el fin de garantizar la calidad de los mismos.

• No divulgar las contraseñas de que dispongan para acceder tanto a los sistemas informáticos como a los ficheros que contengan datos de carácter personal.

• Solicitar las autorizaciones necesarias para el tratamiento de dichos datos siempre que se refieran a las salidas o entradas de soportes informáticos. Comunicar al Responsable de Seguridad cualquier incidencia que afecte a la seguridad de los datos así como de los intentos de acceso no autorizados que hayan podido ser detectados.

(14)

DECÁLOGO DE LA LEY ORGÁNICA 15/1999 DE PROTECCIÓN DE

DATOS DE CARÁCTER PERSONAL (L.O.P.D)

Los puestos de trabajo estarán bajo la responsabilidad del usuario autorizado que garantizará que la información que muestran no pueda ser visible por personas no autorizadas.

Cuando el responsable de un puesto de trabajo lo abandone, bien temporalmente o bien al finalizar su turno de trabajo, deberá dejarlo en un estado que impida la visualización de los datos protegidos.

En el caso de las impresoras deberá asegurarse de que no quedan documentos impresos en la bandeja de salida que contengan datos protegidos. Respecto a los datos de carácter personal contenidos en un soporte documental, cabe señalar que deberá procederse a su almacenamiento y depósito siempre que sea posible en un armario cerrado con llave cuando no vayan a ser utilizados.

Bajo ningún concepto, se podrán tirar documentos a la papelera conteniendo datos personales por el peligro evidente de que dichos documentos puedan llegar a hacerse públicos antes de ser totalmente destruidos. Por ello, todo documento que contenga datos personales deberá ser previamente destruido.

Cada empleado tiene un usuario que se autentifica mediante contraseña, de forma, que no podrán dos empleados compartir un mismo usuario o utilizar, en un momento dado, el usuario de otro empleado para acceder al sistema de información.

Cualquier usuario que tenga conocimiento de una incidencia relacionada con la seguridad y confidencialidad de los datos personales contenidos dentro de los ficheros es responsable de la comunicación de la misma al Responsable de Seguridad.

Conocer la privacidad de todos los datos que manejan y, por lo tanto, su obligación de mantener el secreto de dicha información

Hacer uso de los datos únicamente para los fines para los cuales han sido recabados, con el fin de garantizar la calidad de los mismos.

No divulgar las contraseñas de que dispongan para acceder tanto

a los sistemas informáticos como a los ficheros que contengan datos de

carácter personal.

(15)

Todo el personal que acceda a los datos de carácter personal está obligado a conocer y observar las medidas, normas, procedimientos, reglas y estándares que afecten a las funciones que desarrolla.

Constituye una obligación del personal notificar al Responsable de Seguridad las incidencias de seguridad de las que tengan conocimiento respecto a los recursos protegidos, según los procedimientos establecidos en este Documento.

Todas las personas deberán guardar el debido secreto y confidencialidad sobre los datos personales que conozcan en el desarrollo de su trabajo, aspecto que se ha de recoger en un contrato de prestación de servicios con acceso a datos en el que se salvaguarde dicho deber de secreto y confidencialidad.

El Responsable de Seguridad coordinará la puesta en marcha de las medidas de seguridad, colaborará con el Responsable del Fichero en la difusión del Documento de Seguridad y cooperará con el Responsable del Fichero controlando el cumplimiento de las mismas.

El Responsable de Seguridad habilitará un Registro de Incidencias a disposición de todos los usuarios y administradores del Fichero con el fin de que se registren en él cualquier incidencia que pueda suponer un peligro para la seguridad del mismo.

El Responsable de seguridad del fichero comprobará, con una periodicidad al menos trimestral, que la lista de usuarios autorizados del documento de seguridad se corresponde con la lista de los usuarios realmente autorizados en la aplicación de acceso al fichero, para lo que recabará la lista de usuarios y sus códigos de acceso al administrador o administradores del fichero.

Además de estas comprobaciones periódicas, el administrador comunicará al responsable de seguridad, en cuanto se produzca, cualquier alta o baja de usuarios con acceso autorizado al fichero.

Se comprobará también al menos con periodicidad trimestral, la existencia de copias de respaldo que permitan la recuperación del fichero según lo estipulado en este Documento.

A su vez, y también con periodicidad al menos trimestral, los administradores del fichero comunicarán al responsable de seguridad cualquier cambio que se haya realizado en los datos técnicos de los Anexos, como por ejemplo, cambio en el software o hardware, base de datos o aplicación y acceso al fichero, procediendo igualmente a la actualización de dichos anexos.

El Responsable de Seguridad, verificará, con periodicidad al menos trimestral, el cumplimiento de lo previsto en este documento en relación con las entradas y salidas de

(16)

El responsable de fichero junto con el responsable de seguridad, analizarán con periodicidad al menos trimestral las incidencias registradas en el libro correspondiente, para independientemente de las medidas particulares que se hayan adoptado en el momento que se produjeron, poner las medidas correctoras que limiten esas incidencias en el futuro.

Como máximo cada dos años, se realizará una Auditoria externa o interna que dictamine el correcto cumplimiento y la adecuación de las medidas del presente documento de seguridad o las exigencias del Reglamento de Seguridad, identificando las deficiencias y proponiendo las medidas correctoras necesarias. En todo caso, se hace necesario realizar las modificaciones pertinentes en el presente Documento de Seguridad.

Los informes de auditoria serán analizados por el responsable de seguridad, quien propondrá al responsable del fichero las medidas correctoras correspondientes.

Los mecanismos que permiten el registro de accesos estarán bajo el control directo del responsable de seguridad sin que se deba permitir, en ningún caso la desactivación de los mismos.

El responsable de seguridad se encargará de revisar periódicamente la información de control registrada, los resultados de todos estos controles periódicos, así como de las auditorias serán adjuntados a este documento de seguridad.

Solamente el encargado de seguridad puede eliminar y/o autorizar la destrucción de soportes y/o equipos informáticos. Cuando se decida que un soporte y/o equipo informático que tenga o almacene información deja de ser útil, operativo, y por tanto pueda proceder a su sustitución y/o eliminación, se efectuarán los siguientes pasos:

1. El usuario lo comunicará al encargado de seguridad y será incluido al registro de incidencias.

2. El encargado de seguridad autorizará la destrucción y se asegurará de eliminar la información y/o destrucción del soporte/equipo. Incluirá la acción y las medidas de seguridad adoptadas en el registro de incidencias y al informe periódico.

(17)

A. Deber de información y la obtención del consentimiento.

El Responsable de los diferentes ficheros contenidos en soporte informático o documental, deberá cumplir con una serie de obligaciones que la LOPD le impone frente a los diferentes afectados:

• Por un lado, y una vez tenido en cuenta la fuente de la que se han obtenido los datos personales, deberá informar de los extremos contenidos en el artículo 5 de la Ley Orgánica de Protección de Datos.

• Por otro lado, deberá obtener el consentimiento para la realización del tratamiento y, en su caso, cesión de los datos personales.

Dicha labor ha sido realizada de forma completa por parte del Responsable de Seguridad cumpliendo de esta manera con una de las obligaciones más importantes contenidas en la legislación sobre protección de datos personales.

B. Los derechos de los afectados.

Es necesario que todos los empleados que tengan conocimiento de los diferentes derechos que la legislación concede a los titulares de los datos personales frente a los tenedores de dichos datos (los diferentes Responsables de los ficheros).

En este sentido, si cualquiera de los empleados de la sociedad tuviesen conocimiento de la solicitud por parte de un afectado del ejercicio de alguno de los derechos reflejados a continuación, deberá ponerlo inmediatamente en conocimiento del Responsable de Seguridad quien tomará las medidas oportunas en comunicación con el auditor de datos.

Como ya se ha advertido con anterioridad, se vuelve a reiterar que, sobre todo en el caso de que un usuario ejercite cualquiera de sus derechos reconocidos en la LOPD (que más adelante se tratarán), todas las bases de datos deberán actualizarse según haya el afectado modificado, cancelado o ejercitado su oposición al tratamiento de sus datos personales.

Para facilitar la centralización de la información, se ha articulado un sistema por el que se informa a los afectados de que los derechos podrán ejercitarlos mediante el envío de un correo ordinario.

En todo caso, deberán ser los receptores primarios de estos correos (el Responsable de Seguridad o la persona que este haya designado) los que se encarguen de distribuirlos internamente entre todos los usuarios con accesos informáticos a las bases de datos personales a efectos de que el contenido de los diferentes ficheros quede actualizado.

7. OBLIGACIONES DEL RESPONSABLE DE SEGURIDAD Y DERECHOS DE

LOS TITULARES DE LOS DATOS PERSONALES

(18)

B.1. El derecho de acceso.

Se ejercerá mediante petición o solicitud dirigida al Responsable del Fichero, formulada por escrito con acuse de recibo en el que conste el fichero o ficheros a consultar.

El interesado podrá solicitar del Responsable de seguridad y obtener información sobre los datos personales que consten así como los que resulten de cualquier elaboración o proceso informático, el origen de los mismos, las cesiones que se hayan realizado o se prevean realizar y los usos y finalidades para las que se almacenaron los datos. Para ello, deberá enviar una solicitud por escrito donde indique su nombre, apellidos, DNI., domicilio, fecha y firma. Deberá adjuntar fotocopia del DNI. Ya que, en caso contrario, se denegará dicha solicitud. En el supuesto de que faltase cualquier otro dato de los mencionados, el responsable solicitará la subsanación por parte del solicitante.

Si el afectado solicitase un formulario para realizar la solicitud, se le facilitará el modelo A de la Agencia Española de Protección de Datos.

El afectado podrá optar por uno de los siguientes sistemas de consulta del fichero, siempre que sea posible:

• Visualización en pantalla.

• Escrito, copia o fotocopia remitida por correo. • Fax.

• Email.

• Certificado emitido por el Encargado del Fichero con la aprobación del Responsable de Seguridad.

Ante dichas solicitudes, el Responsable del Fichero contestará por escrito en el plazo de un mes, a contar desde la recepción de la solicitud. Si hubiese transcurrido dicho plazo sin que de manera expresa se responda a la solicitud, se entenderá que se ha producido la desestimación de la misma.

Si la resolución fuese estimatoria, el acceso a la información se hará efectivo en el plazo de diez días siguientes a dicha notificación.

Se producirá la denegación del acceso a los datos de carácter personal registrados en ficheros de titularidad privada, cuando la solicitud se formule por persona distinta del afectado. En caso de que el afectado sea incapaz, se entenderá capacitado para ejercer sus derechos quien ostente la representación legal suficiente basada en escritura o sentencia judicial.

B.2. El derecho de rectificación.

El interesado podrá solicitar del Responsable del Fichero la rectificación de sus datos personales, cuando dichos datos sean erróneos, excesivos, inexactos o incompletos.

Para ello, deberá enviar una solicitud por escrito donde indique su nombre, apellidos, DNI, domicilio, fecha y firma. Deberá adjuntar fotocopia del DNI. Ya que, en

(19)

caso contrario, se denegará dicha solicitud. En el supuesto de que faltase cualquiera de los datos mencionados anteriormente, el Responsable solicitará la subsanación por parte del solicitante.

Si el afectado solicitase un formulario para realizar la solicitud, se le facilitará el modelo B de la Agencia Española de Protección de Datos.

La rectificación se hará efectiva por el Responsable del Fichero dentro de los diez días siguientes al de la recepción de la solicitud. Dentro de dicho plazo, se efectuará la notificación al interesado acerca de dicha rectificación. En caso de que el Responsable del Fichero considere que no procede acceder a lo solicitado por el afectado, se lo comunicará de modo motivado dentro del plazo señalado con anterioridad, a fin de que el afectado pueda ejercitar la reclamación prevista en el artículo 18.1 de la LOPD ante la Agencia Española de Protección de Datos.

Por último, si transcurriese el plazo señalado en el párrafo anterior sin que se respondiera de forma expresa al afectado, podrá entenderse desestimada a los efectos de la interposición de la reclamación correspondiente.

B.3. El derecho de cancelación.

El interesado podrá solicitar del Responsable del Fichero la cancelación de sus datos personales, cuando dichos datos sean erróneos, excesivos, inexactos o incompletos, así como cuando no exista vinculación jurídica o disposición legal que justifique su mantenimiento. Esta última circunstancia será debidamente acreditada por el titular. Dichas cancelaciones podrán ser parciales o totales.

Para ello, deberá enviar una solicitud por escrito donde indique su nombre, apellidos, DNI, domicilio, fecha y firma. Deberá adjuntar fotocopia del DNI. Ya que, en caso contrario, se denegará dicha solicitud. En el supuesto de que faltase cualquiera de los datos mencionados anteriormente, el Responsable solicitará la subsanación por parte del solicitante.

Si el afectado solicitase un formulario para realizar la solicitud, se le facilitarán los modelos C de la Agencia Española de Protección de Datos.

La cancelación se hará efectiva por el Responsable del Fichero dentro de los diez días siguientes al de la recepción de la solicitud. Dentro de dicho plazo, se efectuará la notificación al interesado acerca de dicha cancelación. En caso de que el Responsable del Fichero considere que no procede acceder a lo solicitado por el afectado, se lo comunicará de modo motivado dentro del plazo señalado con anterioridad, a fin de que el afectado pueda ejercitar la reclamación prevista en el artículo 18.1 de la LOPD ante la Agencia de Protección de Datos.

Por último, si transcurriese el plazo señalado en el párrafo anterior sin que se respondiera de forma expresa al afectado, podrá entenderse desestimada a los efectos de la interposición de la reclamación correspondiente.

(20)

B.4. El derecho de oposición.

El interesado podrá solicitar del Responsable del Fichero la exclusión de sus datos personales de los ficheros, así como oponerse a su tratamiento o cesión cuando existan motivos fundados y legítimos personales.

El Responsable del Fichero tiene la obligación de dar respuesta a este derecho de oposición en el plazo máximo de 10 días a contar desde la recepción de la solicitud; en caso de no disponer de datos de carácter personal del afectado, igualmente deberá comunicarlo en el mismo plazo.

C. Cumplimiento de la normativa.

Con la finalidad de facilitar el cumplimiento de la normativa en Protección de Datos, el Auditor de datos ha puesto a disposición de los empleados del Responsable de seguridad un servicio de asistencia. Por ello, todas las dudas o consultas sobre la materia podrán ser remitidas al Responsable de Seguridad se encargará de hacerlas llegar al Auditor de datos quien resolverá finalmente.

En virtud de lo dispuesto en el Documento de Seguridad por el Responsable del Fichero, existe un listado del personal afecto al Manual de Medidas de Seguridad y los accesos autorizados a los ficheros, tanto físicos como informáticos.

De ahí, se deriva la obligación que el Responsable del Fichero tiene de facilitar a todo el personal afecto el conocimiento del contenido del Manual de Medidas de Seguridad.

Por ello, existe la necesidad de que los distintos usuarios procedan a efectuar una declaración de recepción y aceptación del Documento de Seguridad.

Este es el objetivo del presente documento que se adjunta al manual de funcionamiento redactado para que todos los empleados tengan conocimiento del mismo.

(21)

Se considerarán como “incidencias de seguridad”, entre otras, cualquier incumplimiento de la normativa desarrollada en este Documento de Seguridad, así como a cualquier anomalía que afecte o pueda afectar a la seguridad de los datos de carácter personal del Responsable del Fichero.

La notificación de las incidencias las realizará el Responsable de Seguridad si las hubiere, y dará respuesta de ellas a la mayor brevedad, indicándolas en este Documento de Seguridad.

Uno de los elementos importantes que deberá contener el Documento de Seguridad es un sistema de registro de incidencias.

Cualquier usuario que tenga conocimiento de una incidencia es responsable de la comunicación de la misma al administrador del sistema, o en su caso del registro de la misma en el sistema de registro de incidencias del fichero, ya sea informática, telemática, física o de cualquier otra índole, en especial las que han afectado al trabajo operativo en relación con el fichero, indicando como mínimo lo siguiente:

- Nombre

- Tipos de incidencias - Efectos detectados - Ubicación

- Día y hora

El Responsable de Seguridad deberá incluirlas en el Registro de Incidencias, además de documentar las acciones y efectos que se deriven si procede de las incidencias y las acciones a emprender frente a las mismas. Este seguimiento se realizará para todas las ubicaciones.

El registro de incidencias estará formado por los diferentes registros de cada ubicación, debidamente identificados.

El conocimiento y la no notificación de una incidencia por parte de un usuario serán considerados como una falta contra la seguridad del fichero por parte de este usuario.

8. PROCEDIMIENTO DE NOTIFICACIÓN, GESTIÓN Y RESPUESTA ANTE

LAS INCIDENCIAS

(22)

El documento deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo. Asimismo, deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.

En el Anexo 8, se incluirán los documentos para registrar las modificaciones introducidas en las revisiones del Documento de Seguridad.

Cada mes y como máximo cada 12 meses se realizará una auditoria interna o externa, donde se verificará el correcto funcionamiento de todas las medidas de seguridad.

Es preciso regular el buen funcionamiento del informe de seguridad sobre todo en lo que refiere a:

- Notificación de incidencias.

- Altas y bajas de personal autorizado.

- Altas y bajas de fichero y su notificación a la A.E.P.D. - Gestión y destrucción e inventario de los soportes. - Cambio o modificación de los sistemas de tratamiento.

(23)

El incumplimiento de las obligaciones y medidas de seguridad establecidas en el presente documento por el personal afectado, se sancionará conforme al régimen sancionador que establece la LOPD, al cual estarán sujetos los responsables de los ficheros, usuarios y los encargados de tratamientos que hayan incumplido las obligaciones que le corresponden en esta materia. Las infracciones podrán ser sancionadas por parte de la Agencia de Protección de Datos con sanciones dinerarias de 601,01 a 601.012,1 euros.

CONSECUENCIAS DEL INCUMPLIMIENTO DEL DOCUMENTO

DE SEGURIDAD.

Figure

Updating...

References