PLIEGO DE PRESCIRPCIONES TÉCNICAS REGULADORAS PARA LA REALIZACIÓN DE UNA AUDITORÍA SOBRE EL CUMPLIMIENTO DE LAS MEDIDAS DE SEGURIDAD DE DATOS DE CARÁCTER PERSONAL EN EL AYUNTAMIENTO DE PAMPLONA
1. ANTECEDENTES.
Desde la adecuación del Ayuntamiento a la normativa de protección de datos, se han realizado diferentes auditorías sobre el cumplimiento de las medidas de seguridad de los datos de carácter personal:
1. La primera auditoría de Seguridad se llevó a cabo durante finales de 2004 y se entregaron los resultados conjuntamente con el plan de acciones a mediados del año 2005.
2. En julio de 2008, se realizó una nueva auditoría cuyo objetivo fue la revisión de las cuestiones relacionadas con el cumplimiento de:
a. La LOPD
b. El R.D. 1720/2007, de 21 de diciembre, tanto de aquellas medidas exigibles que ya eran obligatorias por el derogado (desde el 19 de abril de 2008) Reglamento de Medidas de Seguridad (R.D. 994/1999), como de los aspectos novedosos incorporados en el Título VIII del RD 1720/2007.
3. A finales de 2009 y principios de 2010 se llevó a cabo una nueva auditoría cuyos resultados fueron presentados durante el segundo trimestre del año 2010.
Desde la realización de la auditoría, se han analizado las no conformidades detectadas y solventado la mayoría dando lugar a cambios en la declaración de ficheros, así como en diferentes formularios y modelos utilizados en el Ayuntamiento. Asimismo, se ha analizado el conjunto de aspectos tecnológicos y organizativos en torno a la protección de datos de carácter personal cuyo tratamiento realiza el Ayuntamiento de Pamplona.
2. OBJETO.
El objeto de este Pliego es la realización de una auditoría de los procedimientos e instrucciones vigentes en materia de seguridad de los datos personales, de conformidad con lo establecido en los artículos 96 y 110 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Este Reglamento indica las medidas de seguridad, tanto técnicas como organizativas, que deben garantizar la seguridad de los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado. El Reglamento establece en el articulo 96:
“1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título.
Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.
2. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.
3. Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las Comunidades Autónomas.”
Por otra parte, el artículo 110 establece para los ficheros no automatizados:
“Los ficheros comprendidos en la presente sección se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título.”
3. ALCANCE
Los ficheros de datos de carácter general que serán sometidos a la auditoría se describen en el punto 8 “Ficheros inscritos en la Agencia Española de Protección de Datos”.
El alcance de la auditoría es la revisión y verificación del grado de cumplimento de las medidas de seguridad en los centros de tratamiento, locales, otras instalaciones, equipos, sistemas, aplicaciones, programas, personas que intervengan en el tratamiento, comunicaciones e infraestructura tecnológica y organizativa de los sistemas de información, así como en las normas, procedimientos y estándares que afecten a los ficheros y en la prestación de servicios por parte de los terceros contratados por el Ayuntamiento de Pamplona.
La empresa adjudicataria del contrato, deberá realizar:
• Una auditoría del cumplimiento de las obligaciones legales derivadas de la normativa aplicable al Ayuntamiento de Pamplona en materia de protección de datos de carácter personal.
• Verificación del cumplimiento de las medidas de seguridad correspondientes a un contrato de prestación de servicios que recabe y/o tenga acceso a datos personales de nivel alto, pertenecientes a ficheros del Ayuntamiento de Pamplona.
4. ENFOQUE
Se deberán analizar y revisar TODOS los recursos mencionados en el alcance.
El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas.
Para ello el adjudicatario realizará las entrevistas con el personal que se determine y diseñará y realizará aquellas pruebas que considere oportunas para la evaluación de los controles existentes, permitiendo de este modo la emisión del dictamen de la auditoría.
Asímismo se deberá realizar las entrevistas y actuaciones que considere oportunas para determinar e informar del grado de cumplimiento de las medidas de seguridad por parte de un contratista que gestiona datos personales de nivel alto.
• Informe ejecutivo con las conclusiones de la auditoría.
• Informe detallado de conclusiones de la auditoría, incluyendo en sus anexos descripción pormenorizada de las evidencias analizadas, hechos y observaciones en que se basen los dictámenes alcanzados, reuniones mantenidas, recomendaciones propuestas, y otros detalles del trabajo elaborado.
• Plan de acciones de medidas y actuaciones a realizar para corregir o subsanar los incumplimientos detectados. NO se incluye en el alcance de este contrato la implantación de dichas medidas y el desarrollo de las actuaciones o trabajos necesarios para su puesta en marcha.
6. ORGANIZACIÓN Y PLANIFICACIÓN DEL PROYECTO
La organización del proyecto y su ejecución fijarán los hitos que permitan obtener un seguimiento formal de avance del mismo, estableciendo un periodo quincenal de evaluación del rendimiento de los trabajos realizados. Se definirá la organización específica prevista para el desarrollo del proyecto de forma que cada función quede perfectamente identificada, y tenga asignada una persona responsable de su cumplimiento.
Se establecen las siguientes figuras para el buen desarrollo del proyecto: • Jefe de Proyecto
• Equipo del Proyecto: estará integrado por los grupos de trabajo que se estimen necesarios para la realización de proyecto. Estará formado por el personal de la empresa adjudicataria, responsable de la ejecución de los trabajos, por personal de ANIMSA y por personal del Ayuntamiento de Pamplona, en caso de que se considere necesario.
Las labores globales de dirección de todos los trabajos, gestión del proyecto y resolución de posibles incidencias, serán responsabilidad del equipo de trabajo propuesto por el adjudicatario. A tal efecto se nombrará un Jefe de proyecto por parte de la empresa adjudicataria.
7. CARACTERÍSTICAS DE LOS SISTEMAS DE INFORMACIÓN QUE SE UTILIZAN PARA EL TRATAMIENTO DE DATOS PERSONALES
• Archivos de la base de datos ADABAS que mantienen la información de algunas aplicaciones corporativas de gestión municipal que se explotan en Natural. Su análisis se llevará a cabo mediando la interlocución de los Responsables de Sistemas, Mantenimiento de aplicaciones y Desarrollo de Animsa. • Archivos de la base de datos SQL_Server que sirven la información de la mayoría de aplicaciones corporativas de gestión de explotación en red. Su análisis se llevará a cabo mediando la interlocución de los Responsables de Sistemas, Mantenimiento de aplicaciones y Desarrollo de Animsa.
• Archivos bajo cualquier estructura que mantienen la información en repositorios centralizados.
El adjudicatario contará con una relación previa de aplicaciones informáticas, clasificadas en base a los ficheros de datos personales declarados.
8. FICHEROS INSCRITOS EN LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
Nombre del fichero Descripción Nivel
ÁREA DE HACIENDA GESTIÓN RECAUDATORIA
Gestión y liquidación de tributos y sanciones.
Gestión tributaria y de recaudación, gestión fiscal, gestión de catastros inmobiliarios, gestión sancionadora.
MEDIO PLAN GENERAL DE CONTABILIDAD
PÚBLICA Gestión contable y ejecución presupuestaria. MEDIO
CONCESIONES ADMINISTRATIVAS
Y ALQUILERES Concesiones administrativas. Alquileres de viviendas y locales.
BÁSICO
GESTIÓN DEL CEMENTERIO Gestión del cementerio municipal. ALTO
ÁREA DE RECURSOS HUMANOS
EXPEDIENTES Registrar, tipificar y permitir el seguimiento y la producción de los expedientes administrativos incoados dentro del ámbito competencial municipal.
MEDIO GRABACIONES DE LAS SESIONES
DEL PLENO
Creación de un archivo histórico del desarrollo de las sesiones del Pleno del Ayuntamiento.
Publicación de las sesiones en la página web. BÁSICO EMPLEADOS MUNICIPALES Gestión de personal. Elaboración de la nómina. Control horario. Convocatoria de empleo público. BÁSICO ABSENTISMO Y RIESGOS
LABORALES
Control y seguimiento sobre el absentismo laboral de los empleados municipales.
Prevención de riesgos laborales y vigilancia de la salud de los empleados del Ayuntamiento.
ALTO ÁREA DE PARTICIPACIÓN, JUVENTUD Y DEPORTE
REGISTRO DE ENTRADA Y SALIDA Mantenimiento actualizado del registro general de entradas y salidas de documentos del Ayuntamiento. Obtención del libro oficial de Registro. BÁSICO PROTOCOLO Y PRENSA
Información necesaria para la celebración de actos protocolarios y gestión de las relaciones públicas del Ayuntamiento y sus representantes.
BÁSICO PADRÓN Mantenimiento del registro administrativo donde constan los vecinos del municipio y posibilidad de utilizar la información en todas las áreas de
competencia.
BÁSICO BODAS CIVILES Y PAREJAS DE
HECHO
Mantenimiento de la información de los contrayentes y testigos de los matrimonios civiles que se celebren el Ayuntamiento así como el registro de parejas de hecho.
BÁSICO ACTIVIDADES Y CENTROS
MUNICIPALES Participación en actividades organizadas por el Ayuntamiento y usuarios de los centros municipales. BÁSICO ÁREA DE PROYECTOS ESTRATÉGICOS
Los datos de carácter personal localizados en el Área se encuentran en los ficheros declarados por otras áreas en las que actúan como unidad usuaria.
ÁREA DE URBANISMO Y VIVIENDA
LICENCIAS URBANÍSTICAS Tramitación de licencias urbanísticas y de actividad. Concesión y gestión de permisos, licencias y autorizaciones. MEDIO ÁREA DE EDUCACIÓN Y CULTURA
ACTIVIDADES Y CENTROS MUNICIPALES
Participación en actividades organizadas por el Ayuntamiento y usuarios
de los centros municipales. BÁSICO
ÁREA DE MEDIO AMBIENTE
CENSO CANINO Tramitación de licencias y registro de animales potencialmente
peligrosos. MEDIO
ÁREA DE SEGURIDAD CIUDADANA GESTIÓN ADMINISTRATIVA DEL
ÁREA DE SEGURIDAD CIUDADANA
Servicios de gestión del área de Seguridad Ciudadana. Seguridad y educación vial. Actuación de fuerzas y cuerpos de seguridad con fines administrativos. Gestión sancionadora. Gestión de tarjetas de residentes. Objetos perdidos.
MEDIO
INVESTIGACIÓN POLICIAL Actuación de la policía municipal con fines policiales y de prevención de
delitos. ALTO
CONTROL DE ACCESO A LAS
DEPENDENCIAS MUNICIPALES Control del acceso de las personas a edificios municipales. BÁSICO CÁMARAS DE VIDEOVIGILANCIA
Captación y grabación de imágenes de personas físicas a través de cámaras destinadas a salvaguardar la seguridad de las personas y recintos así como el control y videovigilancia del tráfico.
BÁSICO GRABACIONES DE LA POLICÍA
MUNICIPAL
Grabación de llamadas del servicio de atención telefónica de la Policía
Municipal (092). BÁSICO
ÁREA DE EMPLEO, COMERCIO Y TURISMO ACTIVIDADES Y CENTROS
MUNICIPALES
Participación en actividades organizadas por el Ayuntamiento y usuarios
de los centros municipales. BÁSICO
ÁREA DE CONSERVACIÓN URBANA
Los datos de carácter personal localizados en el Área se encuentran en los ficheros declarados por otras áreas en las que actúan como unidad usuaria.
