1. OBJETO. 2. ALCANCE.

Texto completo

(1)

13/CM/0003-00

PLIEGO DE CONDICIONES TÉCNICAS QUE HA DE REGIR EL CONTRATO PARA LA CONTRATACIÓN DE AUDITORÍAS SOBRE EL CUMPLIMIENTO DE LAS MEDIDAS DE SEGURIDAD REQUERIDAS POR EL REAL DECRETO 1720/2007, DE 21 DE DICIEMBRE, REGLAMENTO DE DESARROLLO DE LA LOPD.

1. OBJETO.

El objeto del presente contrato consiste en la realización de una auditoría de los procedimientos e instrucciones vigentes en materia de seguridad de datos personales, de conformidad con lo establecido en los artículos 96 y 100 del Real Decreto 1720/2007, de 21 de diciembre, Reglamento de desarrollo de la LOPD para la Fundació Banc de Teixits de les Illes Balears (a partir de ahora Fundació).

Dicha auditoría habrá de verificar, respecto de los ficheros incluidos en el alcance del contrato, el grado de cumplimiento de las medidas de seguridad del nivel correspondiente establecidas en el citado Reglamento.

2. ALCANCE.

Los ficheros de datos de carácter general que serán sometidos a la auditoría, cuyas características detalladas se describen en el anexo I, son los siguientes:

• 7 ficheros contienen datos de nivel alto.

• 3 ficheros contienen datos de nivel medio.

• 5 ficheros contienen datos de nivel básico.

Fichero Nivel de seguridad

Donantes de Tejidos Alto

Donantes de Sangre Alto

Donantes de Cordón Umbilical Alto

Donantes de Leche Materna Alto

Histórico patologías de donantes Alto

Registro anticuerpos irregulares Eritrocitarios Alto

Estudios Sanitarios Alto

Candidatos Medio

Licitador Medio

Adjudicatario Medio

Personal Básico

Participantes WEB Básico

(2)

Fichero Nivel de seguridad

Grupo Sanguíneo Básico

Control de Visitas Básico

Contactos Profesionales Básico

En el "ANEXO I - Aspectos Relativos a los Ficheros" se describen detalladamente cada uno de los ficheros o tratamientos, junto con los aspectos que les afecten de manera particular.

El alcance de la auditoría es la revisión y verificación del grado de cumplimento de las medidas de seguridad en los centros de tratamiento, locales, otras instalaciones, equipos, sistemas, aplicaciones, programas, personas que intervengan en el tratamiento, empresas externas que intervengan en los procesos, comunicaciones e infraestructura tecnológica y organizativa de los sistemas de información, así como en las normas, procedimientos y estándares que afecten a los ficheros.

Los locales de la Fundació son:

Sede en Palma

C/ Rosselló i Caçador, 20 07004 Palma

Sede en Mahón C/ Pintor Calbó, 71 07703 Mahon

Sede en Ibiza C/ Canarias, 29 Bajos 07800 Ibiza

3. ENFOQUE.

Se deberán analizar y revisar los recursos mencionados en el alcance. Se analizará si están adecuadamente protegidos en función de los requerimientos del reglamento de medidas de seguridad.

El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias.

Deberá incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas.

Para ello el adjudicatario realizará las entrevistas con el personal que se determine y diseñará y realizará aquellas pruebas que considere oportunas para la evaluación de los controles existentes, permitiendo de este modo la emisión del dictamen de la auditoría.

De forma regular, el adjudicatario informará al interlocutor o coordinador designado por la Fundació sobre el grado de desarrollo de la realización de estas pruebas y su alcance.

(3)

Los resultados de las pruebas serán analizados puntualmente con el coordinador o interlocutor designado por el órgano u organismo responsable del fichero, así como con el responsable de seguridad de este último si fuera persona distinta, con el fin de establecer el alcance de las circunstancias puestas en evidencia por las pruebas realizadas.

Asimismo, el adjudicatario realizará una formación de divulgación y concienciación al personal de las diferentes áreas en los que se dará a conocer su alcance para con los procesos de negocio en los que la LOPD se ve afectada. Esta formación se financiará en la medida de lo posible a través de la Fundación Tripartita.

4. DOCUMENTACIÓN A ENTREGAR.

A la finalización del trabajo, el adjudicatario entregará a la Administración contratante, tanto en formato papel como en versión electrónica, la siguiente documentación:

1. Informe ejecutivo con las conclusiones de la auditoría (con una extensión máxima de 5 páginas).

2. Informe detallado de conclusiones de la auditoría, incluyendo en sus anexos descripción pormenorizada de las evidencias analizadas, hechos y observaciones en que se basen los dictámenes alcanzados, reuniones mantenidas, recomendaciones propuestas, y otros detalles del trabajo elaborado.

3. Documento-resumen para la comunicación de los resultados de la auditoría a la Agencia de Protección de Datos.

4. Manuales departamentales de LOPD relacionados con sus procesos de negocio.

5. Documento de seguridad de la Fundació.

5. PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.

El contratista, como encargado del tratamiento, tal y como se define en la letra g) del artículo 3 de ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, declara expresamente que conoce quedar obligado al cumplimiento de lo dispuesto en la citada LOPD y especialmente en lo indicado en sus artículos 9, 10, 11 y 12, y adoptará las medidas de seguridad que le correspondan según el Real Decreto 1720/2007, de 21 de diciembre. El encargado del tratamiento se compromete explícitamente a formar e informar a su personal en las obligaciones que de tales normas dimanan.

La empresa adjudicataria y el personal encargado de la realización de las tareas guardarán secreto profesional sobre toda la información, documentos o datos a los que tengan acceso o de los que tengan conocimiento con ocasión de la oferta de colaboración o cumplimiento del contrato, incluso después de finalizar el plazo contractual, comprometiéndose a no hacer pública cualquier información o dato obtenidos o elaborados durante la ejecución del contrato.

Los datos de carácter personal entregados (por el responsable o administración contratante) y utilizados (por el contratista o encargado del tratamiento):

1. Serán únicamente los precisos para la ejecución de la finalidad del contrato.

2. No podrán ser utilizados con finalidad distinta a la que figure en estas prescripciones técnicas.

3. Deberán ser destruidos por el contratista o devueltos al responsable del fichero una vez finalizada la auditoría, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

(4)

En particular, si el contratista aporta equipos informáticos, una vez finalizadas las tareas de auditoría reflejadas en el presente contrato, deberá borrar de los mismos toda la información utilizada o que se derive del cumplimiento del contrato, con carácter previo a la retirada de tales equipos.

6. PROPIEDAD DE LOS TRABAJOS.

Todos los estudios y documentos elaborados en ejecución del contrato serán propiedad de la Fundació, quien podrá reproducirlos, publicarlos y divulgarlos total o parcialmente sin que pueda oponerse a ello el adjudicatario autor de los trabajos.

El adjudicatario no podrá hacer ningún uso o divulgación de los estudios y documentos elaborados con motivo de la ejecución de este contrato, bien sea en forma total o parcial, directa o extractada, sin autorización expresa del órgano de contratación.

7. CRITERIOS DE ADJUDICACIÓN.

Los criterios que servirán de base de valoración para la adjudicación de este contrato, serán los siguientes:

• Metodología propuesta.

• Cualificación del equipo profesional que desarrollará los trabajos (por ejemplo, la participación en el mismo de profesionales de la auditoría con certificaciones reconocidas tales como CISA, CISM u otras equivalentes).

• Enfoque de la propuesta.

• El plazo de ejecución.

• El coste económico, que no podrá superar los 13.000€, IVA no incluido. Los gastos de viaje serán a cargo del adjudicatario.

8. CONTENIDO DE LA PROPUESTA TÉCNICA.

Los licitadores habrán de incluir los siguientes apartados en la propuesta de colaboración que presenten para su valoración por la Fundació:

• Enfoque global del proyecto, y descripción clara y detallada de las tareas a realizar.

• Composición y organización del equipo de trabajo propuesto, duración del proyecto y calendario de trabajo.

• Metodología Propuesta.

(5)

Anexo I:

ANEXO I - ASPECTOS RELATIVOS A LOS FICHEROS A continuación se detallan los ficheros declarados por la Fundació a la Agencia de Protección de Datos. Los campos utilizados para describir cada fichero figuran especificados abajo:

 Nombre del fichero: Indica el nombre con el que la Fundació declara el fichero.

 Responsable del fichero: Indica el responsable del fichero.

 Descripción: Indica la finalidad del fichero declarado.

 Finalidad: Indica el objetivo de la recogida y el uso del fichero.

 Origen de la Información: Indica la fuente de donde se recibe la información del afectado.

 Tratamiento de terceros: Indica qué prestaciones de servicios existen en relación a un fichero.

 Cesión de Datos: Indica qué entidades son las destinatarias de las cesiones de datos de carácter personal del fichero en cuestión.

 Transferencia internacional: Indica si datos de carácter personal de un fichero son transferidos al extranjero.

 Nivel: Dependiendo de los campos especificados en cada fichero, se ha clasificado el nivel de medidas de seguridad implantados, según se establece en el Reglamento de la Ley Orgánica 15/1999.

 Estructura del fichero: Indica los principales campos que componen cada fichero.

 Entorno: Indica el entorno (plataforma informática) actual en el que se halla el fichero declarado a la Agencia de Protección de Datos.

 Dpto. Responsable: Indica el departamento responsable del fichero.

(6)

Nombre fichero DONANTES DE TEJIDOS Responsable fichero La Fundació.

Descripción Fichero con datos de los donantes vivos y muertos de tejidos y resultados de los análisis de sangre.

Finalidad Gestión Donaciones.

Origen de los Datos El propio interesado, su representante legal o Familiar directo.

Tratamiento terceros Angel24, Servicio de Mensajería, Brújula Cesión de Datos N/A

Transf. Internacional N/A Nivel de Seguridad Alto

Estructura Fichero Nombre, apellidos, resultados de los análisis

Entorno Papel / Microsoft Access / Windows 2003-8 Server / CentOS / Ficheros Ofimáticos Área Responsable Banco de Tejidos

Nombre fichero DONANTES DE SANGRE Responsable fichero La Fundació.

Descripción Fichero con datos de los donantes de sangre y de los resultados de los análisis (serología, hematología) de las extracciones de sangre.

Finalidad Gestión donaciones y promoción de la donación de sangre.

Origen de los Datos El propio interesado.

Tratamiento terceros Maksystem, Angel24, Xilon Solutions, Brújula, Seur 10 (Subcontrata Iberia Cargo), Hermandad de Donantes.

Cesión de Datos N/A Transf. Internacional N/A Nivel de Seguridad Alto

Estructura Fichero

Nombre y apellidos del donante, grupo sanguíneo del donante.

Resultados de los análisis de serología, hemograma y tipaje.

Número de muestra, resultados de los análisis para detectar presencia de anticuerpos de HCV, HIV, Lues, etc.

Número de muestra, cantidad de linfocitos, leucocitos, monocitos, hemoglobina, etc.

Entorno Oracle 10g-11g / eProgesa / Windows 2003-8 Server / CentOS / Ficheros Ofimáticos / Papel / Dispositos portátiles.

Área Responsable Banco de Sangre, Laboratorio, Recepción.

Nombre fichero DONANTES SANGRE CORDÓN UMBILICAL Responsable fichero La Fundació.

Descripción Ficheros con los datos de los donantes de cordón umbilical.

Finalidad Gestión Base De Datos De Donantes De Sangre De Cordón Umbilical.

Origen de los Datos El propio interesado durante el análisis médico.

Tratamiento terceros Angel24, Brújula

(7)

Cesión de Datos N/A Transf. Internacional N/A Nivel de Seguridad Alto

Estructura Fichero Nombre y apellidos; telefono; otros datos de caracter identificativo; dirección; número historia clínica.

Datos de Salud.

Entorno Microsoft Access / Windows 2003-8 Server / CentOS / Ficheros Ofimáticos / Papel.

Área Responsable Laboratorio, Banc de Teixits

Nombre fichero DONANTES DE LECHE MATERNA Responsable fichero La Fundació.

Descripción Fichero con datos de los donantes de leche materna y de los resultados de los análisis para una correcta gestión de las donanciones.

Finalidad Gestión de las donaciones de leche materna y revisión de las analíticas Origen de los Datos El propio interesado.

Tratamiento terceros Angel24, Servicio de Mensajería, Brújula.

Cesión de Datos N/A Transf. Internacional N/A Nivel de Seguridad Alto

Estructura Fichero Nombre, apellidos, dirección, teléfono, Historia médico (patologías anteriores, cáncer, infecciones, hepatitis)

Entorno Firebird, Windows 2003-8 Server, CentOS, Ficheros Ofimáticos, Papel.

Área Responsable Banco de Tejidos.

Nombre fichero HISTÓRICO PATOLOGÍAS DE DONANTES Responsable fichero La Fundació.

Descripción Fichero con los datos necesarios para realizar la gestión de las patologías sufridas por los diferentes donantes de sagre.

Finalidad Gestión de Donantes Origen de los Datos Del propio afectado

Tratamiento terceros Angel24, Servicio de Mensajería Cesión de Datos N/A

Transf. Internacional N/A Nivel de Seguridad Alto

Estructura Fichero Nombre, Apelllidos, Teléfono, Dirección, Resultado Analítica, comunicaciones enviadas al aefectado.

Entorno Papel

Departamento

Responsable Laboratorio

Nombre fichero REGISTRO ANTICUERPOS IRREGULARES ERITROCITARIOS Responsable fichero La Fundació.

(8)

Descripción Fichero con los datos necesarios para realizar la gestión de las patologías sufridas por los diferentes donantes de sagre.

Finalidad Gestión de Donantes Origen de los Datos Del propio afectado

Tratamiento terceros Angel24, Servicio de Mensajería Cesión de Datos N/A

Transf. Internacional N/A Nivel de Seguridad Alto

Estructura Fichero Nombre, Apelllidos, Teléfono, Dirección, Resultado Analítica, comunicaciones enviadas al aefectado.

Entorno Papel / Web

Departamento

Responsable Laboratorio

Nombre fichero ESTUDIOS SANITARIOS Responsable fichero La Fundació.

Descripción Fichero con los datos necesarios para realizar la gestión de las patologías sufridas por los diferentes donantes de sagre.

Finalidad Gestión de Donantes Origen de los Datos Del propio afectado

Tratamiento terceros Angel24, Servicio de Mensajería Cesión de Datos N/A

Transf. Internacional N/A Nivel de Seguridad Alto

Estructura Fichero Nombre, Apelllidos, Teléfono, Dirección, Resultado Analítica, comunicaciones enviadas al aefectado.

Entorno Papel

Departamento

Responsable Laboratorio

Nombre fichero CANDIDATOS Responsable fichero La Fundació.

Descripción Fichero con datos de los candidatos que se presentan a cubrir una plaza en la Entidad Local con un contrato laboral.

Finalidad Selección de personal laboral.

Origen de los Datos El propio afectado, INFOF.

Tratamiento terceros Angel 24, Brújula Cesión de Datos N/A

Transf. Internacional N/A Nivel de Seguridad Medio Estructura Fichero

Nombre y apellidos, dirección, correo electrónico, Teléfono, Fax, Datos estado civil, lugar nacimiento, Nacionalidad, Edad, Fecha nacimiento, Sexo, Formación, Titulaciones, Experiencia Profesional, Profesión.

(9)

Entorno Papel / Windows 2003-8 Server / CentOS / Ficheros ofimáticos.

Departamento

Responsable RRHH

Nombre fichero LICITADOR Responsable fichero La Fundació.

Descripción

Fichero que contienen los datos de CV de los empleados que forman parte de las empresas que se presentan a los concursos, así como de las personas representantes de las empresas.

Éstos son necesarios para llevar a cabo la selección de la empresa.

Finalidad Gestión de licitaciones.

Origen de los Datos El propio afectado o su representante legal Tratamiento terceros N/A

Cesión de Datos N/A Transf. Internacional N/A Nivel de Seguridad Medio Estructura Fichero

Datos de carácter identificativo: Nombre, Apellidos, DNI, Firma, dirección teléfono, mail.

Datos Académicos: Formación, Titulaciones.

Datos Profesionales: Experiencia Profesional, Puesto de trabajo, categoría.

Entorno Mixto (automatizado y no automatizado) Departamento

Responsable Administración

Nombre fichero ADJUDICATARIO Responsable fichero La Fundació.

Descripción Fichero con los datos relativos a las personas firmantes de los contratos de prestación de servicios y los datos relativos a CV de los empleados de la misma que llevan a cabo la prestación del servicio.

Finalidad Gestión de adjudicatarios.

Origen de los Datos El propio afectado o su representante legal Tratamiento terceros N/A

Cesión de Datos N/A Transf. Internacional N/A Nivel de Seguridad Medio

Estructura Fichero

Datos de carácter identificativo: Nombre, Apellidos, DNI, Firma, dirección teléfono, mail.

Datos económicos: Datos bancarios de la empresa.

Datos Académicos: Formación, Titulaciones.

Datos Profesionales: Experiencia Profesional, Puesto de trabajo, categoría.

Entorno Mixto (automatizado y no automatizado) Departamento

Responsable Administración

Nombre fichero PERSONAL Responsable fichero La Fundació.

Descripción Fichero con los Datos empleados necesarios para contabilidad y para calcular modificaciones en las nóminas y necesarios para la elaboración de la nómina y para la gestión del personal. Información

(10)

necesaria para la presentación de seguros sociales de los trabajadores y para la declaración anual de retenciones e ingresos a cuenta sobre rendimientos del trabajo.

Finalidad Gestión de Personal.

Origen de los Datos El propio interesado o su representante legal.

Tratamiento terceros Brújula, CAEB, Gestoría Juan Terrassa, SL; Angel24, Empresas de Formación.

Cesión de Datos Entidades Financieras, Mutua universal, UNIPRESALUD.

Transf. Internacional N/A Nivel de Seguridad Básico Estructura Fichero

Nombre, DNI, Domicilio, Sexo, Teléfono, Numero S.S., Datos Familiares, Estado Civil, Situación familiar, Teléfono, cuenta bancaria, lugar y fecha de nacimiento, Nacionalidad, experiencia profesional, titulaciones, profesión, puesto de trabajo, datos económicos de la nómina, Grado de minusvalía.

Entorno Ficheros Ofimáticos / Windows 2003-8 Server / CentOS / Papel / Logic Class Área Responsable RR.HH.

Nombre fichero PARTICIPANTES WEB Responsable fichero La Fundació.

Descripción Fichero donde se registran datos de las personas que quieren recibir news letters de la Fundació y participar en los foros

Finalidad Gestión comunicaciones WEB Origen de los Datos Del propio afectado

Tratamiento terceros AT4 Cesión de Datos N/A Transf. Internacional N/A Nivel de Seguridad Básico

Estructura Fichero Nombre, Apellidos, Código Postal, Población, Provincia, País, E-mail, Idioma, Actividad.

Entorno WEB

Departamento

Responsable Dpto. de IT

Nombre fichero GRUPO SANGUÍNEO Responsable fichero La Fundació.

Descripción Fichero con los datos de los afectados que solicitan la realización de analíticas de sangre y que son necesarios para la gestión de éstas.

Finalidad Gestión de grupos sanguíneos de ciudadanos.

Origen de los Datos El propio afectado en el momento de realizar la solicitud.

Tratamiento terceros N/A Cesión de Datos N/A Transf. Internacional N/A Nivel de Seguridad Básico Estructura Fichero

Datos de carácter personal: Nombre, apellidos, teléfono, dni, nacionalidad.

Otros datos identificativos: Edad, sexo, peso, altura.

Datos de Salud: grupo sanguíneo

(11)

Entorno Papel Departamento

Responsable Laboratorio

Nombre fichero CONTROL DE VISITAS Responsable fichero La Fundació.

Descripción Fichero donde se recogen los datos de las personas que acuden a la FBSTIB a visitar a algún empleado Finalidad Control de Visitas

Origen de los Datos Del propio afectado Tratamiento terceros Angel24

Cesión de Datos N/A Transf. Internacional N/A Nivel de Seguridad Básico

Estructura Fichero Nombre, DNI, Empresa, persona a la que visita

Entorno Papel

Departamento

Responsable Recepción

Nombre fichero CONTACTOS PROFESIONALES Responsable fichero La Fundació.

Descripción Fichero con los datos necesarios para llevar a cabo las comunicaciones necesarias con los afectados, usada también para la gestión de los procesos de cada una de las áreas.

Finalidad Gestión de comunicaciones, contactos profesionales.

Origen de los Datos Del propio afectado, fuentes accesibles al público Tratamiento terceros Brújula

Cesión de Datos N/A Transf. Internacional N/A Nivel de Seguridad Básico

Estructura Fichero Nombre y apellidos, Dirección, Teléfono, correo electrónico.

Entorno Ficheros ofimáticos / Gestor de correo.

Departamento

Responsable Todos los departamentos.

Figure

Actualización...

Referencias

Actualización...

Related subjects :