DOCUMENTO DE SEGURIDAD SEMILLAS RODIVA, S.L.

(1)

DOCUMENTO DE SEGURIDAD

SEMILLAS RODIVA, S.L.

(2)

1. Objeto del documento de seguridad ...

2. Ámbito de aplicación ...

3. Recursos protegidos ...

4. Medidas de seguridad...

4.1. Medidas de seguridad comunes a la totalidad de ficheros y sistemas de tratamiento ...

4.2. Medidas de seguridad aplicables a ficheros automatizados ...

A Medidas de seguridad de nivel básico ...

B Medidas de seguridad de nivel medio...

C Medidas de seguridad de nivel alto ...

4.3. Medidas de seguridad aplicables a ficheros no automatizados ...

A Medidas de seguridad de nivel básico ...

B Medidas de seguridad de nivel medio...

C Medidas de seguridad de nivel alto ...

ANEXOS

Anexo 1.- Datos de notificación ...

Anexo 2.- Estructura del fichero (1/4) ...

Anexo 3.- Descripción del sistema del tratamiento de la información ...

Anexo 4.- Contrato de tratamiento de datos por cuenta de terceros ...

Anexo 5.- Autorizaciones ...

Anexo 6.- Manual de funciones y obligaciones del personal ...

Anexo 7.- Gestión de incidencias ...

Anexo 8.- Gestión de soportes ...

Anexo 9.- Identificación del responsable de seguridad ...

Anexo 10.- Ejercicio de derechos ...

Anexo 11.- Calidad de datos ...

CLÁUSULAS DE INFORMACIÓN Y CONSENTIMIENTO

1. Cláusula informativa para empleados ...

2. Cláusula informativa para el fichero de curricula vitae ...

3. Cláusula informativa para clientes ...

4. Cláusula a incluir en los correos electrónicos ...

5. Cláusula informativa del fichero de video vigilancia ...

(3)

1. OBJETO DEL DOCUMENTO DE SEGURIDAD

El presente documento responde a la obligación establecida en el artículo 88 del Real Decreto 1720/2007, de 21 de Diciembre, de elaborar un Documento de Seguridad en el que se regulen las medidas de seguridad de los ficheros, automatizados o no, que contengan datos de carácter personal.

Los ficheros de datos de carácter personal que se incluyen en el presente Documento de Seguridad, son titularidad de SEMILLAS RODIVA, S.L. (en adelante, “LA ENTIDAD”), como Responsable del fichero.

INSCRIPCIONES EN EL REGISTRO GENERAL DE PROTECCION DE DATOS (RGPD)

A continuación se detallan todos aquellos ficheros inscritos en el RGPD, y que constituyen la base del Sistema de Información¹ del presente Documento:

NOMBRE DEL FICHERO Nº DE INSCRIPCIÓN EN EL RGPD

CLIENTES Y PROVEEDORES NÓMINAS Y PERSONAL CURRICULUM

2. ÁMBITO DE APLICACIÓN

Este documento ha sido elaborado bajo la responsabilidad de la entidad descrita en el apartado 1 anterior, que como Responsable del Fichero, se compromete a implantar y actualizar esta normativa de seguridad de obligado cumplimiento para todo el personal con acceso a los datos protegidos o a los sistemas de información que permiten el acceso a los mismos.

Todas las personas que tengan acceso a los datos del fichero, bien a través del sistema informático habilitado para acceder al mismo, o bien a través de cualquier otro medio de acceso al fichero, se encuentran obligadas por ley a cumplir lo establecido en este documento, y sujetas a las consecuencias que pudieran incurrir en caso de incumplimiento.

Una copia de este documento con la parte que le afecte será entregada, para su conocimiento, a cada persona autorizada a acceder a los datos del fichero, siendo requisito obligatorio para poder acceder a estos datos, el haber firmado la recepción del mismo.

3. RECURSOS PROTEGIDOS

La protección de los datos del fichero frente a accesos no autorizados se deberá realizar mediante el control, a su vez, de todas las vías por las que se pueda tener acceso a dicha información.

(4)

1. Los centros de tratamiento y locales donde se encuentren ubicados los ficheros o se almacenen los soportes que los contengan, su descripción figura en el anexo 1.

2. Los puestos de trabajo, bien locales o remotos, desde los que se pueda tener acceso al fichero. La relación de esos puestos de trabajo está descrita en el anexo 1.

3. Los servidores, si los hubiese, y el entorno del sistema operativo y de comunicaciones en el que se encuentra ubicado el fichero, que se encuentra descrito en el anexo 2.

4. Los sistemas informáticos, o aplicaciones establecidas para acceder a los datos, descritos en el anexo 3.

4. MEDIDAS DE SEGURIDAD

4.1 MEDIDAS DE SEGURIDAD COMUNES A LA TOTALIDAD DE FICHEROS Y SISTEMAS DE TRATAMIENTO

a. Encargados del tratamiento

Un encargado del tratamiento es aquella persona física o jurídica, pública o privada, que podrá acceder a datos personales de responsabilidad de un tercero para prestarle un servicio. (Casos más habituales: Gestoría, entidad de mantenimiento informático)

La LOPD exige que cuando el Responsable del fichero encomiende un tratamiento de datos a un encargado del tratamiento, ambos deberán suscribir un contrato (escrito) de “Tratamiento por cuenta de terceros” en el que necesariamente deberá constar:

I. Que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento.

II. Que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

III. En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 LOPD que el encargado del tratamiento está obligado a implementar.

Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste alguno de dichos datos.

El anexo 4 contiene el contrato que deberá suscribir la entidad con cada encargado del tratamiento para regular los tratamientos por cuenta de terceros.

Asimismo, el anexo 5 contempla el inventario de encargados del tratamiento de los ficheros de la

(5)

b. Prestaciones de servicios sin acceso a datos personales

Es habitual la contratación de prestaciones de servicios con terceras entidades, cuyo desarrollo no implique el acceso a Datos de Carácter Personal. En estos casos el contrato de prestación de servicios deberá recoger de forma expresa la prohibición de acceder a datos personales así como la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio. El anexo 6 recoge esta cláusula.

c. Delegación de autorizaciones

El RLOPD atribuye al Responsable del fichero una serie de obligaciones y autorizaciones que podrán ser delegadas en determinadas personas físicas.

El anexo 7 contiene el listado de personas habilitadas para otorgar estas autorizaciones así como aquellas en las que recae la delegación.

En cualquier caso, esta designación no supone una delegación de la responsabilidad que corresponde al Responsable del fichero.

d. Acceso a datos a través de redes de telecomunicaciones

Las medidas de seguridad exigibles a los accesos a Datos de Carácter Personal a través de redes de comunicaciones, sean o no públicas, deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local, conforme a los niveles de seguridad, básico, medio y alto definidos en el RLOPD.

e. Régimen de trabajo fuera de los locales del Responsable del fichero o del encargado del tratamiento

En ocasiones, será necesario el tratamiento de Datos de Carácter Personal incluidos en ficheros de la entidad fuera de los locales donde se encuentre ubicada dicha información. Por ello, es imprescindible dotar de las medidas de seguridad necesarias a los sistemas y a la información que se vaya a tratar fuera de dichas dependencias.

Los supuestos en los que se contempla el tratamiento de datos fuera de los locales de la entidad y las medidas a seguir son los siguientes:

 Prestación de servicios por parte de terceros: deberá existir un contrato firmado entre la entidad y el prestador de servicios, en el que esté contemplada la necesidad de establecer las medidas de seguridad acordes al nivel de seguridad de los datos tratados.

 Necesidades por motivos justificados de trabajo: el tratamiento de datos fuera de los locales donde se almacenan los ficheros, se restringirá estrictamente a aquellos empleados que lo necesiten para el desarrollo de sus funciones. En este supuesto, el usuario deberá solicitar autorización. Además, el Responsable de Seguridad verificará que la información y los sistemas informáticos que la almacenarán disponen de las medidas de seguridad

(6)

servicio informático en otra ubicación.

f.

Ficheros temporales o copias de trabajo de documentos

Durante los procesos informáticos los sistemas generan ficheros temporales que en muchos casos contienen datos personales. Por ello, se dispondrán las medidas y procedimientos oportunos para el control y la gestión de los ficheros temporales que deberán cumplir el nivel de seguridad que les corresponda con arreglo al tipo de datos que traten.

Todo fichero temporal será borrado una vez que haya dejado de ser necesario para los fines que motivaron su creación.

Se comprobará por parte del Administrador del Sistema que, los ficheros temporales que normalmente crean automáticamente las aplicaciones informáticas o incluso los sistemas operativos, son eliminados, sea manualmente o automáticamente, mediante controles periódicos de inspección.

4.2 MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS AUTOMATIZADOS

A. MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO

A.1. Funciones y obligaciones del personal

Las funciones y obligaciones del personal con acceso a Datos de Carácter Personal se encuentran documentadas en el anexo 8 del presente documento, de acuerdo con lo estipulado en el artículo 89 RLOPD.

El personal afectado por esta normativa se clasifica en las siguientes categorías:

 RESPONSABLE DE SEGURIDAD, encargado de coordinar las medidas de seguridad definidas en el presente Documento de Seguridad en el caso de los ficheros de nivel medio y alto. Esta designación no supone, sin embargo, la delegación de la responsabilidad jurídica de la seguridad del Fichero, que sigue correspondiendo al responsable del Fichero.

 ADMINISTRADORES DEL SISTEMA, encargados de administrar o mantener el entorno operativo del Fichero. Este personal deberá estar explícitamente relacionado ya que por sus funciones pueden utilizar herramientas de administración que permitan el acceso a los datos protegidos saltándose las barreras de acceso de las aplicaciones. La presente figura es opcional, y en el caso de que no se haya optado por su creación, sus funciones serán desempeñadas por el Responsable de Seguridad.



USUARIOS DEL FICHERO, o personal que usualmente utiliza el sistema informático de acceso al Fichero, y que asimismo deben estar explícitamente relacionados.

Una de las obligaciones del Responsable del fichero es adoptar las medidas necesarias para dar

(7)

a Datos de Carácter Personal deben suscribir el manual de funciones y obligaciones; en el que se delimitan las facultades de uso del sistema de información por parte del personal de la entidad.

A.2. Registro de incidencias

Una incidencia es cualquier evento que pueda producirse esporádicamente y que pueda suponer un peligro para la seguridad del Fichero, entendida bajo sus tres vertientes de confidencialidad, integridad y disponibilidad de los datos.

El mantener un registro de las incidencias que comprometan la seguridad de un Fichero es una herramienta imprescindible para la prevención de posibles ataques a esa seguridad, así como para la persecución de los responsables de los mismos.

1. El Responsable de seguridad del Fichero habilitará un Libro de Incidencias a disposición de todos los usuarios y administradores del Fichero con el fin de que se registren en él cualquier incidencia que pueda suponer un peligro para la seguridad del mismo.

2. Cualquier usuario que tenga conocimiento de una incidencia es responsable del registro de la misma en el Libro de Incidencias del Fichero o en su caso de la comunicación por escrito al Responsable de seguridad o al Responsable del Fichero.

3. El conocimiento y la no notificación o registro de una incidencia por parte de un usuario será considerado como una falta contra la seguridad del Fichero por parte de ese usuario.

4. La notificación o registro de una incidencia deberá constar al menos de los siguientes datos:

tipo de incidencia, fecha y hora en que se produjo, persona que realiza la notificación, persona a quien se comunica, efectos que puede producir, descripción detallada de la misma.

El anexo 10 contiene un registro de incidencias así como un catálogo de posibles incidencias.

A.3. Control de accesos

Para asegurar la confidencialidad, integridad y disponibilidad de los datos, es esencial el control de los accesos a los ficheros con Datos de Carácter Personal responsabilidad de la entidad, así como de aquellos de los que resulte encargado del tratamiento.

Por ello, los empleados, el personal de las empresas externas y, en general, cualquier persona con acceso a los sistemas de información, deben acceder únicamente a aquella información estrictamente necesaria para la realización de sus funciones.

En este sentido, cada usuario, en función de la actividad que desarrolle en su puesto de trabajo, tendrá definido el perfil de acceso y los privilegios inherentes a dicho acceso.

El anexo 9 contiene la relación autorizada de usuarios y perfiles de usuarios; el anexo 7 contiene los accesos autorizados para cada uno de ellos, así como la identificación del personal autorizado para conceder, alterar o anular el acceso autorizado sobre los recursos.

(8)

Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados (se adjunta inventario de soportes en el anexo 11a) y solo deberán ser accesibles por el personal autorizado.

En este sentido, “soportes informáticos” son todos aquellos medios de grabación y recuperación de datos que se utilizan para realizar copias o pasos intermedios en los procesos de la aplicación que gestiona el Fichero.

Dado que la mayor parte de los soportes que hoy en día se utilizan, como disquetes o CD-ROMs, son fácilmente transportables, reproducibles y/o copiables, es evidente la importancia que para la seguridad de los datos del Fichero tiene el control de estos medios.

1. Los soportes que contengan datos personales, deberán estar claramente identificados con una etiqueta externa que indique de qué fichero se trata, qué tipo de datos contiene, proceso que los ha originado y fecha de creación.

2. Aquellos medios que sean reutilizables, y que hayan contenido copias de datos personales, deberán ser borrados físicamente antes de su reutilización, de forma que los datos que contenían no sean recuperables.

3. Los soportes que contengan datos personales deberán ser almacenados en lugares a los que no tengan acceso personas no autorizadas y que no estén por tanto relacionadas en el anexo 9. Asimismo, los soportes deberán ser inventariados en el anexo 11.

4. La salida de soportes informáticos que contengan datos personales fuera de los locales donde está ubicado el Fichero deberá ser expresamente autorizada por el Responsable del Fichero, utilizando para ello el documento adjunto en el anexo 11b.

A.5. Identificación y autenticación

Los sistemas de información donde se ubiquen los datos personales, deberán tener su acceso restringido a los usuarios autorizados para tal fin mediante procedimientos de identificación y autenticación, de tal forma que no permita el acceso a dichos datos a personas no autorizadas.

El mecanismo de autenticación para acceder a los ficheros que contengan Datos de Carácter Personal, se basará en la utilización de contraseñas personales, de esta forma todos los usuarios con acceso autorizado deberán tener un código de usuario que será único y que estará asociado a la contraseña correspondiente que sólo será conocida por el propio usuario.

El archivo donde se almacenen las contraseñas deberá estar protegido, cifrado y bajo la responsabilidad del administrador del sistema o del responsable de seguridad.

Las contraseñas deberán ser modificadas de forma periódica sin que en ningún caso dicha periodicidad pueda exceder de un año.

(9)

A.6. Copias de respaldo y recuperación

La seguridad de los datos personales no sólo supone la confidencialidad de los mismos sino que también conlleva la integridad y la disponibilidad de esos datos.

Para garantizar estos dos aspectos fundamentales de la seguridad es necesario que existan unos procedimientos de respaldo y recuperación que, en caso de fallo del sistema informático, permitan recuperar y en su caso reconstruir los datos del Fichero.

1. Existirá una persona, bien sea el administrador o bien otro usuario expresamente designado, que será responsable de obtener periódicamente una copia de seguridad del Fichero, a efectos de respaldo y posible recuperación en caso de fallo.

2. Estas copias deberán realizarse con una periodicidad, al menos semanal, salvo en el caso de que no se haya producido ninguna actualización de los datos.

3. En caso de fallo del sistema con pérdida total o parcial de los datos del Fichero existirá un procedimiento, informático o manual, que partiendo de la última copia de respaldo y del registro de las operaciones realizadas desde el momento de la copia, reconstruya los datos del Fichero al estado en que se encontraban en el momento del fallo. Las características de este procedimiento están descritas en el anexo 12.

El responsable del fichero o la persona delegada deberá verificar al menos cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de copias de respaldo y recuperación.

B. MEDIDAS DE SEGURIDAD DE NIVEL MEDIO

B.1. Responsable de seguridad

El presente documento de seguridad contiene en su anexo 13 la identificación del Responsable de seguridad designado por la entidad.

El Responsable de seguridad deberá coordinar y controlar las medidas de seguridad definidas en el presente Documento.

B.2. Auditoría

A partir del nivel medio de seguridad, los sistemas de información e instalaciones de tratamiento y almacenamiento de datos deberán someterse a una auditoría al menos bianual, externa o interna, en la que se verifique lo dispuesto en el RLOPD en relación con las medidas de seguridad.

El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles contenidos tanto en la LOPD como en el RLOPD, identificar sus deficiencias y proponer medidas correctoras o complementarias necesarias.

B.3. Medidas adicionales de Gestión de soportes y documentos

En los casos de ficheros de nivel medio, además de lo expuesto para ficheros de nivel básico,

(10)

destinatario, o persona responsable de la recepción que deberá estar debidamente autorizada.

Se adjuntan los formularios de registro de entrada y salida de soportes en el anexo 11 del presente documento.

B.4. Medidas adicionales de identificación y autenticación

El artículo 98 RLOPD obliga a implantar un mecanismo que detecte e impida el acceso reiterado y no autorizado por parte de un usuario. Los sistemas de información se deberán configurar con el fin de limitar la posibilidad de intentar reiteradamente el acceso no autorizado a los mismos.

B.5. Control de acceso físico

Exclusivamente el personal autorizado en el anexo 9 podrá tener acceso a los lugares donde se encuentren instalados los equipos que den soporte a los sistemas de información.

B.6. Medidas adicionales de Registro y notificación de incidencias

En el caso de los ficheros de nivel medio y alto, si la incidencia es una recuperación de datos, además de lo expresado para los ficheros de nivel básico, se indicará: autorización por escrito del responsable de seguridad, procedimientos realizados, persona que realizó el proceso, datos restaurados, y datos grabados manualmente.

El modelo para la notificación y registro de Incidencias y un catálogo de las mismas se encuentran en el anexo 10.

B.7. Controles periódicos de verificación

El cumplimiento de las normas y procedimientos contenidos en este documento deberán ser periódicamente comprobados, de forma que puedan detectarse y subsanarse anomalías que puedan afectar a la seguridad e integridad de los datos protegidos.

El anexo 14 contiene un documento para el control de verificación así como un catálogo de conceptos verificables.

C. MEDIDAS DE SEGURIDAD DE NIVEL ALTO

C.1. Gestión y distribución de soportes

En los casos de ficheros de nivel alto, además de lo anteriormente expuesto para los ficheros de nivel básico y nivel medio, los soportes deberán identificarse mediante sistemas de etiquetado comprensibles, que permitan identificar su contenido a las personas con acceso autorizado, y que dificulten la identificación para el resto de personas.

Asimismo, la distribución de los soportes y en cualquier caso, los soportes que se encuentren fuera de las instalaciones del Responsable del fichero, se realizará cifrando los datos contenidos

(11)

C.2. Medidas adicionales de copias de respaldo y recuperación

Para ficheros a los que corresponda un nivel de seguridad alto, una copia de respaldo así como de los procedimientos de recuperación, deben almacenarse en lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan.

C.3. Registro de accesos

De cada intento de acceso se deberá almacenar la información referente a la identificación del usuario, la fecha y hora en que se produjo el acceso, el fichero accedido, el tipo de acceso, y si el acceso ha sido autorizado o denegado, en caso de accesos autorizados, se almacenará el registro accedido.

Toda la información de control para el seguimiento de los accesos a los datos de la entidad cuyas medidas de seguridad son de nivel alto, se almacenará durante un periodo mínimo de dos años.

El Responsable de Seguridad deberá supervisar personalmente los mecanismos de registros de accesos, así como revisar la información generada por dicho sistema y elaborará un informe de las revisiones realizadas y los problemas detectados, al menos, una vez al mes.

C.4. Telecomunicaciones

Las medidas de seguridad exigibles a los accesos a datos de carácter personal a través de redes de comunicaciones deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local.

La transmisión de datos a través de redes de redes públicas o inalámbricas de comunicaciones, se realizará cifrando los datos o utilizando cualquier mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.

4.3 MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS NO AUTOMATIZADOS

A. MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO

A.1. Medidas comunes - Alcance

- Niveles de seguridad - Encargado del tratamiento

- Prestaciones de servicios sin acceso a datos personales - Delegación de autorizaciones

- Régimen de trabajo fuera de los locales del responsable del fichero o encargado del tratamiento

- Copias de trabajo de documentos

(12)

- Control de accesos - Gestión de soportes A.2. Criterios de archivo

Siempre que la legislación sectorial aplicable contemple un procedimiento específico de archivo y organización de la documentación que contenga Datos de Carácter Personal, el Responsable del fichero deberá proceder a organizar la misma conforme a los referidos criterios.

En el supuesto de que no exista norma aplicable que contemple un procedimiento específico de archivo y organización de la documentación, se deberán definir los procedimientos y criterios de archivo de tal forma que se garantice la correcta conservación de los documentos, la localización y consulta de la información y se posibilite el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.

A.3. Dispositivos de almacenamiento

El Responsable del fichero deberá velar por la efectiva implantación de mecanismos de seguridad (como llaves de acceso) en archivadores así como en cualquier otro medio de almacenamiento de documentos que contengan Datos de Carácter Personal.

A.4. Custodia de los soportes

En aquellos supuestos en los que la documentación que contenga Datos de Carácter Personal se encuentre en uso activo por parte de un usuario autorizado, la persona que se encuentre a cargo de la misma, deberá custodiar e impedir en todo momento que pueda ser accedida por personas no autorizadas.

En particular, se implantará una “política de mesas limpias” como consecuencia de la cual, los usuarios que trabajen con documentos y expedientes en formato papel que contengan datos de personas, deberán almacenar los mismos en los archivadores correspondientes una vez concluya la jornada laboral, al objeto de impedir el acceso no autorizado a Datos de Carácter Personal.

B. MEDIDAS DE SEGURIDAD DE NIVEL MEDIO

B.1. Responsable de seguridad

Según prevé el artículo 109 RLOPD, el Responsable del fichero deberá designar al menos un responsable de seguridad en los términos y con las funciones previstas en el artículo 95 RLOPD. El anexo 13 contiene la identificación del responsable de seguridad de la entidad.

B.2. Auditoría

Los sistemas de tratamiento no automatizados que contengan Datos de Carácter Personal que requieran la implantación de medidas de seguridad de nivel medio, deberán someterse a una

(13)

auditoría bienal de verificación del cumplimiento de las medidas aplicables a ficheros no automatizados de acuerdo con las exigencias del RLOPD.

C. MEDIDAS DE SEGURIDAD DE NIVEL ALTO

C.1. Almacenamiento de la información

Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con Datos de Carácter Personal que requieran la implantación de medidas de seguridad de nivel alto, deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente.

Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero.

C.2. Copia o reproducción

La generación de copias o la reproducción de los documentos, únicamente podrá ser realizada bajo el control del personal autorizado en el anexo 7 del presente Documento.

Las copias deberán ser destruidas a través de máquinas destructoras de papel, que en cualquier caso, eviten la recuperación posterior de los documentos desechados.

C.3. Acceso a la documentación

Sólo el personal autorizado en el anexo 7 de este Documento, podrá acceder a los datos que figuren en los ficheros no automatizados que deban cumplir las medidas de seguridad de nivel alto.

C.4. Traslado de documentación

Siempre que se proceda al traslado físico de la documentación contenida en un fichero, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación por parte de terceros, de la información objeto de traslado.

(14)

ANEXOS

(15)

ANEXO 1 - DATOS DE NOTIFICACIÓN

DATOS DEL RESPONSABLE DEL FICHERO Denominación Social: SEMILLAS RODIVA, S.L.

C.I.F/N.I.F.: B45236734

Dirección: CARRETERA CM 400, KM 15 Localidad: ALMONACID DE TOLEDO Código Postal: 45420

Provincia: TOLEDO

Correo electrónico: [email protected] Teléfono: 925314112

DATOS DEL CONSULTOR LOPD Nombre: David

Apellidos: Díaz Lima Teléfono de Empresa:

Cargo: Abogado

Correo electrónico: [email protected]

DIRECCIÓN A EFECTOS DE NOTIFICACIÓN Dirección: CARRETERA CM 400, KM 15

Localidad: ALMONACID DE TOLEDO Código Postal: 45420

Provincia: TOLEDO

Correo electrónico: [email protected] Teléfono: 925314112

(16)

NOMBRE DEL FICHERO ORIGEN

CLIENTES Y PROVEEDORES

GESTIÓN ADMINISTRATIVA, FISCAL Y CONTABLE.

El propio Interesado

☒

Registros Públicos

☐

Otras Personas Físicas

☐

Entidad Privada

☐

Fuentes Accesibles al Público

☐

Administraciones Públicas

☐ Sistema de Tratamiento Nivel de Seguridad del Fichero

Automatizado

☐

^Manual

☐

^Mixto

☒

^Básico

☒

^Medio

☐

^Alto

☐

Finalidades previstas Colectivos interesados

Gestión de Clientes Contable, Fiscal y Administrativa

☒

^Empleados

☐

Recursos Humanos

☐

Clientes y Usuarios

☒

Gestión de Nóminas

☐

Proveedores

☒

Prevención de riesgos Laborables

☐

Asociados/Miembros

☐

Prestación de Servicios de Solvencia Patrimonial y Crédito

☐

Propietarios/Arrendatarios

☐

Cumplimiento / Incumplimiento de Obligaciones Dinerarias

☐

^Pacientes

☐

Servicios Económicos Financieros y Seguros

☐

Estudiantes

☐

Análisis de Perfiles

☐

Personas de Contacto

☐

Publicidad y Prospección Comercial

☒

Padres/Tutores

☐

Prestación de Servicios de Comunicación Electrónica

☐

Representante Legal

☐

Guías/Repertorios de Servicios de Comunicaciones Electrónicas

☐

Solicitantes

☐

Comercio Electrónico

☐

Beneficiarios

☐

Prestación de Servicios de Certificación Electrónica

☐

Cargos Públicos

☐

Gestión de Asociados/Partidos Políticos/Iglesias/Sindicatos (sin lucro)

☐

Otros Colectivos

☐

Actividades Asociativas, Culturales, Recreativas, Deportivas y

Sociales

☐

Gestión de Asistencia Social

☐

Educación

☐

Investigación Epidemiológica y Actividades Analógicas

☐

Gestión y Control Sanitario

☐

Historial Clínico

☐

Seguridad Privada

☐

Seguridad y Control de Acceso a Edificios

☐

Video Vigilancia

☐

Fines Estadísticos, Históricos o Científicos

☐

Otros tipos de finalidad

☐

(17)

ANEXO 2 – ESTRUCTURA DEL FICHERO (2/4)

NOMBRE DEL FICHERO

Datos Especialmente Protegidos (Nivel Alto)

Ideología

☐

Afiliación sindical

☐

Religión

☐

Creencias

☐

Otros Datos Especialmente Protegidos (nivel alto)

Origen racial o étnico

☐

Vida Sexual

☐

Salud

☐

Datos de carácter identificativo (nivel básico)

D.N.I./C.I.F.

☒

Nº de S.S./Mutualidad

☐

Nombre y Apellidos

☒

Tarjeta Sanitaria

☐

Dirección (postal y electrónica)

☒

Teléfono

☒

Firma y/o huella digitalizada

☒

Imagen y/o voz (ej. El D.N.I. contiene fotografía)

☐

Marcas Físicas

☐

Firma Electrónica

☐

Otros datos de carácter identificativo

☐

Datos de características personales (nivel básico)

Datos del estado civil

☐

Datos de la familia

☐

Fecha de nacimiento

☐

Lugar de nacimiento

☐

Edad

☐

Sexo

☐

Nacionalidad

☐

Lengua Materna

☐

(18)

Datos de Detalles de Empleo

Profesión

☐

Puesto de Trabajo

☐

Datos no económicos de

nómina

☐

Historial del trabajador

☐

Datos de Circunstancias Sociales

Características de alojamiento y vivienda

☐

Propiedades y posesiones

☐

Situación Militar

☐

Aficiones y Estilo

☐

Pertenencia a clubes y asociaciones

☐

Licencias, permisos y autorizaciones

☐

Datos Académicos y profesionales

Formación, titulaciones

☐

Historial del estudiante

☐

Experiencia profesional

☐

Pertenencia a colegios o asociaciones profesionales

☐

Datos Económico-Financieros y de Seguros

Ingresos y rentas

☐

Inversiones

☐

Créditos, préstamos y avales

☐

Datos Bancarios

☒

Planes de pensiones/jubilación

☐

Datos económicos de nómina

☐

Estudiantes

☐

Personas de Contacto

☐

Padres o Tutores

☐

Representación legal

☐

Solicitantes

☐

Beneficiarios

☐

(19)

Datos de Transacciones de Bienes y Servicios

Bienes y servicios suministrados

por el afectado

☐

Bienes y servicios recibidos por el

afectado

☐

Transacciones financieras

☐

Compensaciones/Indemnizaciones

☐ Información Comercial

Actividades y negocios Licencias comerciales

Suscripciones o publicaciones/medios de comunicación Creaciones artísticas, literarias, científicas o técnicas

Otros Tipos de datos

Datos de tráfico:

Datos de localización

Datos derivados de actos de violencia de género Otros tipos de datos

Transferencia internacional de Datos

¿Se hace transferencia internacional de datos?

Destinatarios Posibles

Organizaciones o personas directamente relacionadas con el responsable

Organismos de la Seguridad Social Registros públicos

Administración, Local, Autonómica y Central Categoría de Destinatarios de Cesión

Organizaciones relacionadas con el responsable

☒

Entidades Aseguradoras

☐

Organismos de la Seguridad Social

☐

Otras entidades financieras

☐

Prestaciones de Servicios de Telecomunicaciones

☐

Entidades Sanitarias

☐

Empresas dedicadas a Publicidad o Marketing

Directo

☐

Registros públicos

☐

Administración pública con competencia en la

materia

☐

Colegios Profesionales

☐

Otros órganos de la Administración pública

☐

Notarios y Procuradores

☐

Comisión Nacional de Juego

☐

Sindicatos y juntas de Persona

☐

Asociaciones y Organizaciones sin ánimo de lucro

☐

Administración Tributaria

☒

Fuerzas y Cuerpos de Seguridad

☐

Otros destinatarios de Cesión

☐

Bancos/Cajas de Ahorro y Cajas Rurales

☒

Organismos de la Unión Europea

☐

Comisión Nacional del Mercado de Valores

☐

Entidades dedicadas al cumplimiento/incumplimiento

de Obligaciones dinerarias

☐

(20)

NOMBRE DEL FICHERO ORIGEN

NOMINAS Y PERSONAL

GESTIÓN DE NOMINAS, RECURSOS HUMANOS Y PREVENCION DE RIESGOS LABORABLES

El propio interesado

☒

Registros Públicos

☐

Entidad Privada

☐

Administraciones Públicas

☐

Sistema de Tratamiento Nivel de Seguridad del Fichero

Automatizado

☐

^Manual

☐

^Mixto

☒

^Básico

☒

^Medio

☐

^Alto

☐

^Empleados

☒

☐

☒

Proveedores

☐

☒

☐

^Pacientes

☐

Estudiantes

☐

Padres/Tutores

☐

Solicitantes

☐

Beneficiarios

☐

Sociales

☐

Gestión de Asistencia Social

☐

Educación

☐

(21)

Datos Especialmente Protegidos (Nivel Alto)

Ideología

☐

Religión

☐

Creencias

☐

Vida Sexual

☐

Salud

☐

D.N.I./C.I.F.

☒

Nombre y Apellidos

☒

Tarjeta Sanitaria

☒

Teléfono

☒

Marcas Físicas

☐

Firma Electrónica

☐

☒

Datos de la familia

☒

Fecha de nacimiento

☒

Lugar de nacimiento

☒

Edad

☒

Sexo

☒

Nacionalidad

☒

Lengua Materna

☐

(22)

Datos de Detalles de Empleo

Profesión

☒

Puesto de Trabajo

☒

Datos no económicos de

nómina

☐

Aficiones y Estilo

☐

☒

☐

☒

☐

Ingresos y rentas

☒

Inversiones

☐

Datos Bancarios

☒

☐

☒

Estudiantes

☐

Padres o Tutores

☐

Solicitantes

☐

Beneficiarios

☐

(23)

Datos de Transacciones de Bienes y Servicios

Bienes y servicios suministrados por

el afectado

☐

afectado

☐

☐ Información Comercial

Otros Tipos de datos

Datos de tráfico:

Transferencia internacional de Datos

Destinatarios Posibles

Organizaciones o personas directamente relacionadas con el responsable

Organismos de la Seguridad Social Registros públicos

Administración, Local, Autonómica y Central Categoría de Destinatarios de Cesión

☐

☒

☐

☒

Empresas dedicadas a Publicidad o Marketing Directo

☐

Registros públicos

☐

Administración pública con competencia en la materia

☐

☒

☐

☒

☐

Entidades dedicadas al cumplimiento/incumplimiento de

Obligaciones dinerarias

☐

(24)

NOMBRE DEL FICHERO ORIGEN

CURRICULUM

GESTIÓN DE LOS C.V. DE LOS SOLICITANTES DE EMPLEO

El propio interesado

☒

Registros Públicos

☐

Entidad Privada

☐

☐ Sistema de Tratamiento Nivel de Seguridad del Fichero

Automatizado

☐

^Manual

☐

^Mixto

☒

^Básico

☐

^Medio

☒

^Alto

☐

^Empleados

☒

☐

Proveedores

☐

^Pacientes

☐

Estudiantes

☐

☒

☐

Padres/Tutores

☐

Solicitantes

☒

☐

Beneficiarios

☐

Sociales

☐

Gestión de Asistencia Social

☐

Educación

☐

(25)

Datos Especialmente Protegidos (Nivel Alto)

CURRICULUM

Ideología

☐

Religión

☐

Creencias

☐

Vida Sexual

☐

Salud

☐

D.N.I./C.I.F.

☒

Nombre y Apellidos

☒

Tarjeta Sanitaria

☒

Teléfono

☒

Marcas Físicas

☒

Firma Electrónica

☐

☒

Datos de la familia

☒

Fecha de nacimiento

☒

Lugar de nacimiento

☒

Edad

☒

Sexo

☒

Nacionalidad

☒

Lengua Materna

☐

(26)

Datos de Detalles de Empleo

CURRICULUM

Profesión

☒

Puesto de Trabajo

☒

Datos no económicos de nómina

☐

☒

☐

Aficiones y Estilo

☐

☒

☐

Ingresos y rentas

☐

Inversiones

☐

Datos Bancarios

☐

Estudiantes

☐

Padres o Tutores

☐

Solicitantes

☐

Beneficiarios

☐

(27)

Datos de Transacciones de Bienes y Servicios

CURRICULUM

Bienes y servicios suministrados

por el afectado

☐

afectado

☐

☐ Información Comercial

Otros Tipos de datos

Datos de tráfico:

Transferencia internacional de Datos

Categoría de Destinatarios de Cesión

☒

☐

Empresas dedicadas a Publicidad o Marketing

Directo

☐

Registros públicos

☐

Administración pública con competencia en la materia

☐

Entidades dedicadas al cumplimiento/incumplimiento

de Obligaciones dinerarias

☐

(28)

ACCESO FÍSICO: LA INFORMACIÓN EN PAPEL DE RECURSOS HUMANOS Y FINANCIERA LA MANEJA LA GESTORÍA, LA CUAL ENVIA COPIAS Y SE GUARDAN EN CARPETAS.

GUARDA CV´S EN CARPETAS.

ACCESO PC: TIENE 2 PC´S QUE TRABAJAN EN RED, SE ACCEDE CON CONTRASEÑA DE TIPO ALFANUMÉRICA Y ACCESO LIMITADO.

SOFTWARE: SI, FACTURA PLUS, CON MANTENIMIENTO.

COPIAS DE SEGURIDAD: SE HACEN EN DISCO DURO EXTERNO, 3 VECES A LA SEMANA.

VIDEOVIGILANCIA: NO.

(29)

ANEXO 4 - CONTRATO DE TRATAMIENTO DE DATOS POR CUENTA DE TERCEROS

En Almonacid de Toledo, a 13 de Octubre de 2017 REUNIDOS

DE UNA PARTE,

SEMILLAS RODIVA, S.L., con C.I.F. B45236734, domiciliado a estos efectos en CARRETERA CM 400, KM 15, 45420 ALMONACID DE TOLEDO, TOLEDO, (en lo sucesivo, “EL RESPONSABLE”).

DE OTRA PARTE,

BENORT SOCIAL, S.L., con C.I.F. B45561909, domiciliado a estos efectos en AVENIDA IRLANDA, 17, 2º D, 45005 TOLEDO, (en lo sucesivo “EL ENCARGADO”).

M A N I F I E S T A N

I. Que el Responsable de los Ficheros es titular, entre otros, de los ficheros de datos de carácter personal indicados en la Estipulación Segunda.

II. Que el Encargado del Tratamiento viene prestando servicios de Asesoría de Empresas al Responsable de los Ficheros, para cuyos fines ha necesitado acceder a los datos que se encuentran contenidos en los Ficheros (los “Servicios”).

III. Que la relación entre ambas partes viene siendo regulada por contrato entre las mismas, el cual se estima adecuado ajustar de acuerdo a lo dispuesto en Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su Reglamento e Desarrollo Real Decreto 1720/2007, de 21 de diciembre, y Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos.

IV. Que, ambas partes se reconocen mutuamente la capacidad legal necesaria para contratar y obligarse, y, en especial, para celebrar el presente Contrato, llevándolo a efecto conforme a las siguientes.

ESTIPULACIONES PRIMERA. OBJETO DEL ENCARGO DEL TRATAMIENTO

Mediante las presentes cláusulas se habilita al Encargado del tratamiento, para tratar por cuenta del Responsable, los datos de carácter personal necesarios para prestar el servicio.

El tratamiento consistirá en la prestación de los servicios de asesoría fiscal, contable y laboral.

Concreción de los tratamientos a realizar:

☒ Recogida / Registro

☐ Estructuración / Modificación

☒ Conservación / Extracción

☒ Consulta / Comunicación por transmisión

☐ Difusión / Interconexión

(30)

SEGUNDA. IDENTIFICACIÓN DE LA INFORMACIÓN AFECTADA

Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, el Responsable del tratamiento, pone a disposición del Encargado del tratamiento, la información que se describe a continuación:

• INFORMACION DE LOS TRABAJADORES

• INFORMACION DE LOS CLIENTES TERCERA. DURACIÓN

El presente acuerdo tiene una duración de un año, prorrogable tácitamente si no hay pacto en contrario o no se preavisa de la rescisión del contrato con dos meses de antelación a la finalización del mismo.

Una vez finalice el presente contrato, el encargado del tratamiento procederá a:

☐ Suprimir

☒ Devolver al responsable

☐ Devolver a otro encargado que designe el responsable

Los datos personales y suprimir cualquier copia que esté en su poder.

CUARTA. OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO El encargado del tratamiento y todo su personal se obliga a:

a. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.

b. Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento.

Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable.

c. Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga:

 El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos.

 Las categorías de tratamientos efectuados por cuenta de cada responsable.

Nota: Las obligaciones indicadas en los dos primeros puntos no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, salvo que el tratamiento que realice pueda suponer un riesgo para los derechos y las libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1 del RGPD, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10 de dicho Reglamento.

 En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas.

(31)

 Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:

 La seudoanonimización y el cifrado de datos personales.

 La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

 La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.

 El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

d. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles.

El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.

Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.

e. Subcontratación (Escoger una de las opciones)

☒ Opción A. No subcontratar ninguna de las prestaciones que formen parte del objeto de este contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado.

Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de 15 días, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido.

El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones.

☐

Opción B. Se autoriza al encargado a subcontratar con la empresa

…... las prestaciones que comporten los tratamientos siguientes:

...

Para subcontratar con otras empresas, el encargado debe comunicarlo por escrito al responsable, identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo de 15 días.

El subcontratista, que también tiene la condición de encargado del tratamiento, está obligado

(32)

en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones.

f. Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto.

g. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.

h. Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.

i. Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.

j. Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de:

 Acceso, rectificación, supresión y oposición

 Limitación del tratamiento

 Portabilidad de datos

 A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles)

(Escoger una de las opciones)

☐

Opción A. El encargado del tratamiento debe resolver, por cuenta del responsable, y dentro del plazo establecido, las solicitudes de ejercicio de los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, en relación con los datos objeto del encargo.

☒ Opción B. Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, ante el encargado del tratamiento, éste debe comunicarlo por correo electrónico a la dirección que indique el responsable. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.

k. Derecho de información (Escoger una de las opciones)

☒ Opción A. El encargado del tratamiento, en el momento de la recogida de los datos, debe facilitar la información relativa a los tratamientos de datos que se van a realizar. La redacción y el formato en que se facilitará la información se debe consensuar con el responsable antes del inicio de la recogida de los datos.

☐ Opción B. Corresponde al responsable facilitar el derecho de información en el momento de la recogida de los datos.

l. Notificación de violaciones de la seguridad de los datos.

El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida, y en