Protección de datos

Última revisión: 17 Enero 2018

 

 

Ley Orgánica 15/1999 del 13 de diciembre sobre

Protección de Datos de Carácter Personal

 

Real Decreto 1720/2007 del 21 de diciembre sobre

Reglamento Desarrollo (RDLOPD)

 

 

Responsable Ficheros

JOSE MANUEL SALAZAR GONZÁLEZ

CIF

40435304Q

Dirección

CALLE SAGITARIO Nº1 1ºC

C.P.– Población

17600 - FIGUERES

Provincia

GIRONA (CATALUÑA)

País

ESPAÑA

Fecha Documento

17/01/2018

 

 

OBSERVACIONES

 

 

El presente documento de seguridad debe mantenerse en todo momento actualizado, bajo la responsabilidad del Responsable de los Ficheros y en coordinación la persona designada como Responsable de Seguridad.

 

El contenido y normativa del presente Documento de Seguridad estará adecuado en todo momento a las disposiciones vigentes en materia de seguridad de datos de carácter personal.

 

Este documento no supone un pronunciamiento explícito o implícito sobre características o situaciones no evidentes y no podrá ser usado para una finalidad distinta de la que es objeto.

 

Todas las personas de la empresa que tengan acceso a los datos de los Ficheros contemplados en este Documento, bien a través del sistema informático habilitado para acceder al mismo (aplicaciones específicas de gestión, programas de ofimática, … etc.), o bien a través de cualquier otro medio de acceso al Fichero, se encuentran obligadas por ley a cumplir lo establecido en este documento, y sujetas a las consecuencias que pudieran incurrir en caso de incumplimiento.

 

Una copia de este documento con la parte que le afecte será entregada, para su conocimiento a cada persona autorizada a acceder a los datos del Fichero, siendo requisito obligatorio para poder acceder a esos datos el haber firmado la recepción del mismo.

 

 

 

 

 

INDICE GENERAL DE CONTENIDOS

 

 

 

DOCUMENTO DE SEGURIDAD

 

01 - INTRODUCCION

02 - AMBITO, RECURSOS Y MEDIDAS DE SEGURIDAD

03 - IDENTIFICACION DEL RESPONSABLE DEL FICHERO

04 - ACTUALIZACION Y COMUNICACIÓN DEL PLAN

05 - PROCEDIMIENTO DE REVISION Y CONTROL

06 - PROCEDIMIENTO DE DERECHOS A.R.C.O.
07 - NORMAS

08 - PROCEDIMIENTOS

09 – FUNCIONES Y OBLIGACIONES DEL PERSONAL

10 – INCUMPLIMIENTO DEL DOCUMENTO DE SEGURIDAD

11.- APROBACION

 

ANEXO AL DOCUMENTO DE SEGURIDAD

 

ANEXO DE FICHEROS

ANEXO DE RESUMEN GENERAL

 

 

 

 

01

INTRODUCCIÓN

 

Los ficheros a los que se aplica este documento son aquellos que contienen datos de carácter personal y que se almacenan por medios informáticos y/o papel, en las instalaciones de la empresa y de los encargados de tratamiento. Dichos ficheros se indican en el ANEXO del presente documento. Por otra parte, y para comodidad del Responsable de los Ficheros, se cubren todos los niveles de seguridad, es decir, nivel básico, nivel medio, y nivel alto, haciendo mención explícita en este documento de las normas, medidas y procedimientos de cada nivel.

 

El presente documento establece la normativa a seguir por todo el personal que tiene acceso a los datos de carácter personal y a los sistemas de información reseñados en el presente documento y sus anexos. Siendo de obligado cumplimiento.

 

El Responsable de los ficheros, asume la responsabilidad de los ficheros notificados a la A.E.P.D. (Agencia Española de Protección de Datos) y relacionados en el ANEXO de este documento, así como la notificación de futuros ficheros que se creen en el seno de la entidad.

 

El responsable de los ficheros ha supervisado el presente Documento y ha dado las instrucciones precisas para implantar la normativa de seguridad en él reseñada e instruido en su conocimiento, a todo el personal afectado.

 

Los ficheros de datos personales, usuarios, aplicaciones de acceso a datos, soportes y equipos informáticos afectados por el presente plan de seguridad, se registran en el ANEXO al presente documento.

 

Salvo en aquellos casos en los que se asegure el nivel de seguridad correspondiente al tipo de fichero tratado, las pruebas anteriores a la implantación o modificación de los sistemas de información que tratan los ficheros con datos de carácter personal, de nivel medio y alto, no se han realizado, ni se realizarán con datos reales.

 

 

 

 

 

02

AMBITO, RECURSOS y MEDIDAS DE SEGURIDAD

 

 

Ámbito de aplicación

 

El ámbito de aplicación del presente Documento de Seguridad y su Anexo son todos los ficheros que contengan datos de carácter personal, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento automatizado de los datos de carácter personal sujetos al régimen de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de los Datos de Carácter Personal (L.O.P.D.)

 

En el ANEXO, se describen detalladamente cada uno de los ficheros que trata la empresa, los sistemas de tratamiento, el nivel de seguridad y cuantos aspectos les afectan de manera particular. Se realiza también especificación detallada de cada uno de los recursos protegidos. Así mismo, se especifican las medidas y normas internas adoptadas encaminadas a garantizar el nivel de seguridad exigido en este Reglamento.

 

Todas las personas que tengan acceso a los datos de los Ficheros, relacionados en el presente documento, bien a través de los sistemas informáticos, o bien a través de cualquier otro medio de acceso a los mismos, se encuentran obligadas por Ley a cumplir lo establecido en este documento y sujetas a las consecuencias que pudieran incurrir en caso de incumplimiento.

 

Una copia de este documento, con la parte que le afecte, será entregada para su conocimiento a cada persona autorizada a acceder a los datos de los Ficheros, siendo requisito obligatorio para poder acceder a los datos el haber firmado la recepción del mismo.

 

La relación de las personas, debidamente autorizadas, para acceder a los ficheros o sistemas de tratamiento, figura en el anexo correspondiente.

 

La protección de los datos de los ficheros frente a accesos no autorizados se deberá realizar mediante el control de todas las vías por las que se pueda tener acceso a dicha información.

 

 

 

Recursos protegidos

 

Los recursos que, por servir de medio directo o indirecto para acceder al Fichero, deberán ser controlados por esta normativa son:

 

  1. Los centros de tratamiento y locales donde se encuentren ubicados los ficheros o se almacenen los soportes que los contengan.

  2. Los puestos de usuario, bien locales o remotos, desde los que se pueda tener acceso al Fichero.

  3. Los servidores, si los hubiese, y el entorno de sistema operativo y de comunicaciones en el que se encuentra ubicado el Fichero.

  4. Los sistemas informáticos, o aplicaciones establecidos para acceder a los datos.

  5. Los Medios de Archivo y soportes, bien de copias de seguridad o de ficheros en papel.

 

(En el anexo correspondiente, figura la lista concreta de todos los recursos de la empresa.)

 

 

 

 

Medidas de Seguridad

 

Las medidas de seguridad se clasifican en tres niveles acumulativos (básico, medio y alto) atendiendo a la naturaleza de la información tratada, en relación con la menor o mayor necesidad de garantizar la confidencialidad y la integridad de la información.

 

 

Nivel BASICO

 

Se aplicarán a cualquier otro fichero que contenga datos de carácter personal, incluyendo aquellos ficheros que contengan datos de ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual, cuando:

 

- los datos se utilicen con la única finalidad de realizar una transferencia dineraria a entidades de las que los afectados sean asociados o miembros.

 

- se trate de ficheros o tratamientos no automatizados o sean tratamientos manuales de estos tipos de datos de forma incidental o accesoria, que no guarden relación con la finalidad del fichero.

 

- en los ficheros o tratamientos que contengan datos de salud, que se refieran exclusivamente al grado o condición de discapacidad o la simple declaración de invalidez, con motivo del cumplimiento de deberes públicos.

 

 

Nivel MEDIO

 

Se aplicarán a los ficheros o tratamientos de datos:

 

- relativos a la comisión de infracciones administrativas o penales;

 

- que se rijan por el artículo 29 de la LOPD (prestación de servicios de solvencia patrimonial y crédito);

 

- de Administraciones tributarias, y que se relacionen con el ejercicio de sus potestades tributarias;

 

- de entidades financieras para las finalidades relacionadas con la prestación de servicios financieros;

 

- de Entidades Gestoras y Servicios Comunes de Seguridad Social, que se relacionen con el ejercicio de sus competencias;

 

- de mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social;

 

- que ofrezcan una definición de la personalidad y permitan evaluar determinados aspectos de la misma o del comportamiento de las personas;

 

- y de los operadores de comunicaciones electrónicas, respecto de los datos de tráfico y localización

 

 

Nivel ALTO

 

Se aplicarán a los ficheros o tratamientos de datos: de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual y respecto de los que no se prevea la posibilidad de adoptar el nivel básico, recabados con fines policiales sin consentimiento de las personas afectadas, derivados de actos de violencia de género.

 

 

 

 

03

IDENTIFICACION DEL RESPONSABLE DE FICHERO

 

El presente documento será de aplicación a los ficheros que contienen datos de carácter personal que se hallan bajo la responsabilidad de la empresa, incluyendo los sistemas de información, soportes y equipos empleados para el tratamiento de datos de carácter personal, que deban ser protegidos de acuerdo a lo dispuesto en normativa vigente, las personas que intervienen en el tratamiento y los locales en los que se ubican. En el Anexo correspondiente se describen detalladamente cada uno de los ficheros o tratamientos, junto con los aspectos que les afecten de manera particular.

 

 

Responsable

JOSE MANUEL SALAZAR GONZÁLEZ

CIF

40435304Q

Dirección

CALLE SAGITARIO Nº1 1ºC

C.P. – Población

17600 - FIGUERES

Provincia

GIRONA (CATALUÑA)

País

ESPAÑA

Ultima actualización

17/01/2018

 

04

ACTUALIZACIÓN Y COMUNICACIÓN DEL PLAN

 

Con el fin de mantener actualizado el presente Documento de Seguridad, el Responsable de los Ficheros podrá llevar a cabo la modificaciones y adaptaciones que considere oportunas con el fin de atender los nuevos requerimientos legales, que puedan producirse ante el registro de nuevos datos o ficheros, cambios relevantes en el sistema de información o en la organización del mismo, así como las actualizaciones, adaptaciones o mejoras necesarias, de acuerdo con la propia evolución del estado de la técnica en materia informática y de seguridad.

 

Es responsabilidad del titular de los ficheros emitir los correspondientes informes, realizando su validación mediante impresión y firma manuscrita o aplicación de firma electrónica avanzada con sello de tiempo sobre las versiones electrónicas de los informes.

 

Por ello se pondrá a disposición general de todos los usuarios copia de este Documento de Seguridad, instruyéndoles sobre la necesidad de que procedan a su estudio y facilitando las consultas que puedan tener.

 

En caso de modificación, se emitirá circular informativa de interés general, y se pondrá a disposición de los usuarios autorizados a acceder a los sistemas de información, un ejemplar actualizado del Documento de Seguridad.

 

 

 

 

 

 

05

PROCEDIMIENTO DE REVISION y CONTROL

 

El Documento de Seguridad deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información, en el contenido de la información incluida en los ficheros o como consecuencia de los controles periódicos realizados.

 

En todo caso se entenderá como cambio relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas. También deberá incluir en el mismo, todo cambio que se produzca en los procedimientos incluidos en el mismo (gestión de incidencias, copias de seguridad, derechos ARCO,… etc.).

 

Asimismo, deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.

 

En concreto, el Documento de Seguridad, será revisado por:

 

Cambios en los datos incluidos en el Documento.

La creación o supresión de ficheros, cambios en los sistemas informáticos y/o tratamientos de ficheros, cambio en locales y ubicación de archivos, cambios en usuarios y funciones, etc.

 

Aplicación de Niveles de Seguridad de los Ficheros

En el caso de que se incluyera o eliminara algún campo, por lo que pudiera variar las medidas de seguridad a adoptar.

 

Control de Acceso a través de Redes de Telecomunicaciones

Cualquier cambio que se produzca en la topología o arquitectura de las redes de telecomunicaciones podría alterar la seguridad de los ficheros.

 

Régimen de trabajo fuera de los locales de la ubicación de los ficheros.

Si se produce una alteración de la política de definición de usuarios de los sistemas informáticos que trabajen fuera de los locales donde se encuentren ubicados los ficheros.

 

Copias de Respaldo y Recuperación.

Cualquier modificación que se produzca en le procedimiento de copias de respaldo y recuperación de datos

 

Actualizaciones de Disposiciones Legales Vigentes

Cualquier modificación legal, instrucción o resolución de la Agencia Española de Protección de Datos.

 

Adaptación a Nuevas Políticas de Actuación

Cambios en cualquier procedimiento definido en el Documento (control de incidencias, inventario de soportes, entradas y salidas, etc.).

 

 

 

Auditoria (Nivel medio y Alto)

 

Siempre que se posean datos de nivel medio y/o alto, al menos cada dos años, se realizará una auditoría, externa o interna que dictamine el correcto cumplimiento y la adecuación de las medidas del presente documento de seguridad o las exigencias del RDLOPD de seguridad, identificando las deficiencias y proponiendo las medidas correctoras necesarias.

 

Con carácter extraordinario, también deberá realizarse auditoría, cuando se lleven a cabo modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas, con el objeto de verificar la adaptación, adecuación y eficacia de las mismas.

 

Los informes de auditoría serán analizados por el Responsable de Seguridad, quien propondrá al Responsable del Fichero las medidas correctoras correspondientes, debiendo quedar a disposición de la Agencia de Protección de Datos.

 

Informe mensual sobre el Registro de accesos (Nivel alto)

 

Dentro de las funciones del Responsable de Seguridad, en la medida que se posean ficheros de nivel alto, está la de realizar un informe de control sobre el Registro de Accesos. Este informe, se realizará dentro del grupo de controles a realizar de forma periódica.

 

 

06

PROCEDIMIENTO DE DERECHOS ARCO

 

El Responsable del Fichero debe en todo momento asegurar los derechos que los afectados tienen respecto a sus datos personales. En el momento que cualquier usuario tenga noticia de una solicitud de derechos por parte de un afectado, se lo comunicará de forma inmediata al Responsable de Seguridad.

 

Una vez recabada toda la información, por parte del Responsable de Seguridad, se la comunicará al Responsable del Fichero con el fin de que éste pueda resolverla en los plazos previstos en el RDLOPD (un mes en el caso de derecho de acceso y de diez días para rectificación, oposición y cancelación).

 

 

Reclamación del afectado

 

Los afectados podrán realizar su reclamación de derechos de cualquier forma, siempre y cuando su solicitud reúna los requisitos mínimos:

 

- Derecho que reclama (Acceso, Rectificación, Cancelación y Oposición).

 

- Identificación. Deberá estar perfectamente identificado adjuntando fotocopia del DNI.

 

- Identificación del Representante. En caso de que la solicitud la realice un representante del afectado, éste deberá estar perfectamente identificado, aportando tanto su DNI, como el documento que le acredite como representante.

 

- En el caso de que la solicitud sea de modificación de datos, deberá adjuntar documentos que acrediten tales cambios.

 

Con este fin, se dispone de una serie de documentos, que en el caso de que la solicitud se realice en las propias oficinas del Responsable deberán ser utilizados.

 

En el caso de que la solicitud presente algún defecto, el Responsable del Fichero, está obligado a solicitar la subsanación del mismo al afectado, ya que si no lo hiciera la solicitud deberá ser denegada.

 

La solicitud de derechos, por parte del afectado debe ser mediante métodos gratuitos para el afectado, o por lo menos que no suponga ningún beneficio para el Responsable del Fichero.

 

 

 

 

 

Comunicación al afectado

 

La comunicación al afectado deberá realizarse de la manera más segura posible, debido al contenido de la información, por lo que se utilizará, en cada caso, el método más adecuado que lo garantice.

 

En el caso de denegación de las solicitudes, se deberá comunicar al afectado los motivos.

 

En el caso de una solicitud de Derecho de Acceso, es necesario tener en cuenta que no puede ser ejercida, por parte del afectado en periodos inferiores a doce meses.

 

El Responsable del Fichero, contestará a la solicitud, tanto si en el fichero figuran datos del afectado como si no figura ninguno.

 

En el caso de una solicitud de Derecho de Acceso, al afectado se le podrá ofrecer uno de los siguientes sistemas de consulta:

 

a) Visualización en pantalla.

b) Escrito, copia o fotocopia remitido por correo.

c) Remisión por fax.

 

 

 

07

NORMAS

 

1.- LOCALES Y CENTROS DE TRATAMIENTO

 

Los locales y centros de tratamiento de datos, donde se ubiquen los servidores u ordenadores y archivos en papel que contienen los ficheros deben ser objeto de especial protección que garantice la disponibilidad y confidencialidad de los datos protegidos, especialmente en el caso de que el fichero esté ubicado en un servidor u ordenador personal accedido a través de una red.

 

Norma l. (Nivel Básico): Los locales deberán contar con los medios mínimos de seguridad que eviten los riesgos de indisponibilidad del Fichero que pudieran producirse como consecuencia de incidencias fortuitas o intencionadas. Las medidas aconsejadas de seguridad deben ser: sistema de alarma conectada a la policía, sistema de prevención y extinción de incendios, acceso de personas externas controlado por el personal interno, bien en la recepción o bien acompañado durante una visita a las instalaciones.

 

Norma 2. (Nivel Medio): El acceso al local por parte de personas ajenas a la empresa, siempre se realizará con el acompañamiento de personal interno. Ninguna persona no autorizada tiene acceso al local sin presencia de personal autorizado, quién supervisará su comportamiento.

 

Norma 3. (Nivel Medio): El acceso a los locales donde se encuentran los ficheros estará restringido exclusivamente a los administradores del sistema que deban realizar labores de mantenimiento para las que sea imprescindible el acceso físico así como al personal autorizado.

 

 

2.- PUESTOS DE TRABAJO

 

Son todos aquellos dispositivos informáticos desde los cuales se puede acceder a los datos del Fichero, como por ejemplo, terminales u ordenadores personales. Se consideran también puestos de usuario aquellos terminales de administración del sistema, como por ejemplo, las consolas de operación, donde en algunos casos también pueden aparecer los datos protegidos del Fichero.

 

Norma 4. (Nivel Básico): Cada puesto de usuario estará bajo la responsabilidad de una persona de las autorizadas. El responsable de un puesto de usuario garantizará que la información a la que accede o que muestra no pueda ser vista por personas no autorizadas. Esta precaución se extremará cuando existan visitas ajenas departamento al que pertenece el fichero. Así mismo, tanto las pantallas como las impresoras u otro tipo de dispositivos conectados al puesto de usuario deberán estar físicamente ubicados en lugares que garanticen esa confidencialidad.

 

Norma 5. (Nivel Básico): Todos los datos personales serán almacenados en el equipo para la función que fue designado, dando los permisos de acceso sólo a los usuarios autorizados de manera acorde a su nivel de acceso. La revocación de esta prohibición será autorizada por el responsable del fichero, quedando constancia de esta modificación en el Libro de incidencias. En cualquier caso se garantizará el cumplimiento de las medidas de seguridad correspondientes en el PC de usuario, especialmente medidas de control de acceso (como por ejemplo establecimiento de contraseñas, etc.)

 

Norma 6 (Nivel Básico): Cuando el responsable de un puesto de usuario lo abandone, bien temporalmente o bien al finalizar su turno de trabajo, deberá dejarlo en un estado que impida la visualización de los datos protegidos. Esto podrá realizarse a través de un protector de pantalla que impida la visualización de los datos, o bien mediante el apagado físico del ordenador. La reanudación del trabajo implicará la desactivación de la pantalla protectora con la introducción de la contraseña correspondiente, o bien su encendido debiendo introducir la clave de usuario correspondiente para acceder al puesto de trabajo (ordenador).

 

Norma 7. (Nivel Básico): En el caso de las impresoras deberá asegurarse de que no quedan documentos impresos en la bandeja de salida que contengan datos protegidos. Si las impresoras son compartidas con otros usuarios no autorizados para acceder a los datos de Fichero, los responsables de cada puesto deberán retirar los documentos conforme vayan siendo impresos.

 

Norma 8. (Nivel Básico): Queda expresamente prohibida la conexión a redes o sistemas exteriores de los puestos de usuario desde los que se realiza el acceso al fichero. La revocación de esta prohibición será autorizada por el responsable del fichero, quedando constancia de esta modificación en el Libro de incidencias.

 

Norma 9. (Nivel Básico): Los puestos de usuario desde los que se tiene acceso al fichero tendrán una configuración determinada en sus aplicaciones y sistemas operativos que sólo podrá ser cambiada bajo la autorización del responsable de seguridad por los administradores autorizados.

 

 

3.- ENTORNO DEL SISTEMA OPERATIVO

 

Aunque el método establecido para acceder a los datos protegidos de los Ficheros es el sistema informático, al estar el fichero ubicado en un ordenador con un sistema operativo determinado y poder contar con unas conexiones que le comunican con otros ordenadores, es posible, para las personas que conozcan estos entornos, acceder a los datos protegidos sin pasar por los procedimientos de control de acceso con los que pueda contar la aplicación.

 

Esta normativa debe, por tanto, regular el uso y acceso de las partes del sistema operativo, herramientas o programas de utilidad, o del entorno de comunicaciones, de forma que se impida el acceso no autorizado a los datos de Fichero.

 

Norma 10. (Nivel Básico): El sistema operativo y de comunicaciones de los Ficheros deberá tener al menos un responsable. En el caso más simple, como es que el Fichero se encuentre ubicado en un ordenador personal y accedido mediante una aplicación local monopuesto, el administrador del sistema operativo podrá ser el mismo usuario que accede usualmente al Fichero.

 

Norma 11. (Nivel Básico): Ninguna herramienta o programa de utilidad que permita el acceso a un Fichero deberá ser accesible a ningún usuario o administrador no autorizado. Se incluye cualquier medio de acceso en bruto, es decir no elaborado o editado, a los datos del Fichero, como los llamados editores universales, analizadores de ficheros, herramientas de acceso de bajo nivel al disco duro, etc., que deberán estar bajo el control de los administradores autorizados.

 

Norma 12. (Nivel Básico): El administrador deberá responsabilizarse de guardar en lugar protegido las copias de seguridad y respaldo de los Ficheros, de forma que ninguna persona no autorizada tenga acceso a las mismas.

 

Norma 13. (Nivel Básico): Si la aplicación o sistema de acceso al Fichero utilizase usualmente ficheros temporales, ficheros de "logging", o cualquier otro medio en el que pudiesen ser grabados copias de los datos protegidos, el administrador deberá asegurarse de que esos datos no son accesibles posteriormente por personal no autorizado.

 

Norma 14. (Nivel Básico): Los usuarios deberán eliminar los ficheros intermedios que pudieran haber creado para desarrollar su trabajo, una vez no sean necesarios. En ningún caso se conservarán estos ficheros durante largos periodos de tiempo. En el caso de los puestos de usuario de tipo PC, con sistema operativo Windows, se eliminarán al finalizar cada jornada laboral los ficheros del directorio temporal del sistema (comúnmente C:\WINDOWS\TEMP\) en el caso de que dicho directorio sea utilizado.

 

Norma 15. (Nivel Básico): Si el ordenador en el que está ubicado el fichero está integrado en una red de comunicaciones de forma que desde otros ordenadores conectados a la misma sea posible el acceso al Fichero, el administrador responsable del sistema deberá asegurarse de que este acceso no se permite a personas no autorizadas. En cualquier caso, deberá identificarse de manera única a las personas que hacen el acceso remoto.

 

Norma 16. (Nivel Básico): En el caso de puestos con Sistema Operativo Windows, en ningún caso se compartirá con el resto de puestos, el directorio del sistema, comúnmente C:\WINDOWS. Este directorio, entre otras cosas, almacena las contraseñas y el directorio para ficheros temporales. La revocación de esta prohibición será autorizada por el responsable del fichero, quedando constancia de esta modificación en el Libro de Incidencias.

 

 

4.- APLICACIONES

 

Son todos aquellos programas de software con los que se puede acceder a los datos de un Fichero, y que son usualmente utilizados por los usuarios para acceder a ellos. Estos programas pueden ser aplicaciones informáticas expresamente diseñadas para acceder a los Ficheros (llamadas aplicaciones específicas o a medida) y/o aplicaciones estándares de uso general como aplicaciones o paquetes disponibles en el mercado informático.

 

 

Norma 17. (Nivel Básico): Los sistemas informáticos de acceso al Fichero deberán tener su acceso restringido mediante un código de usuario y una contraseña.

 

Norma 18. (Nivel Básico): Todos los usuarios autorizados para acceder a los Ficheros, deberán tener un código de usuario que será único, y que estará asociado a la contraseña correspondiente, que sólo será conocida por el propio usuario. Si la aplicación informática que permite el acceso al Fichero no cuenta con un control de acceso, deberá ser el sistema operativo, donde se ejecuta esa aplicación, el que impida el acceso no autorizado, mediante el control de los citados códigos de usuario y contraseñas.

 

Norma 19. (Nivel Básico): En función de las posibilidades técnicas, se limitará el acceso de cada usuario al mínimo conjunto de recursos que necesite para desempeñar su trabajo, configurando de manera adecuada la aplicación y/o el sistema operativo.

 

Norma 20. (Nivel Medio): Se controlarán los intentos de acceso fraudulento al Fichero, limitando el número máximo de intentos fallidos, y cuando sea técnicamente posible, guardando en un fichero auxiliar la fecha, hora, código y clave erróneas que se han introducido, así como otros datos relevantes que ayuden a descubrir la autoría de esos intentos de acceso fraudulentos.

 

Norma 21. (Nivel Medio): Si fuera necesario durante las pruebas anteriores a la implantación o modificación de la aplicación de acceso a los Ficheros la utilización de datos reales, se deberá aplicar a esos ficheros de prueba el mismo tratamiento de seguridad que se aplica al mismo Fichero.

 

Norma 22. (Nivel Alto): En los ficheros de nivel alto, se guardará en un Registro de accesos la identificación del usuario, fecha y hora en la que se realizó el acceso, el fichero accedido, el tipo de acceso y si éste ha sido autorizado o denegado. En caso de haber sido autorizado se guardará información que permita identificar el registro accedido. Los datos de este registro deberán conservarse al menos durante dos años. Los mecanismos de registro de estos datos de acceso no podrán ser desactivados en ningún caso, y estarán siempre bajo control del responsable de seguridad competente.

 

 

5.- CUSTODIA DE CONTRASEÑAS DE ACCESO

 

Las contraseñas personales constituyen uno de los componentes básicos de la seguridad de los datos, y deben por tanto estar especialmente protegidas. Como llaves de acceso al sistema, las contraseñas deberán ser estrictamente confidenciales y personales, y cualquier incidencia que comprometa su confidencialidad deberá ser inmediatamente comunicada al administrador y subsanada en el menor plazo de tiempo posible.

 

Norma 23. (Nivel Básico): Se llevará a cabo la activación de las medidas de control de acceso proporcionadas por el propio Sistema Operativo y por las aplicaciones informáticas empleadas en la organización, asignando a cada usuario autorizado, un nombre de usuario y clave.

 

Norma 24. (Nivel Básico): Sólo los usuarios autorizados podrán tener acceso a los datos del Fichero, utilizando para ello el Usuario y Contraseña asignado a tal efecto. Esto se aplica también a los administradores del sistema, incluyendo el personal técnico externo que de manera habitual pudiera colaborar en la administración de los sistemas.

 

Norma 25. (Nivel Básico): Cada usuario será responsable de la confidencialidad de su contraseña y, en caso de que la misma sea conocida fortuita o fraudulentamente por personas no autorizadas, deberá registrarlo como incidencia y proceder a su cambio inmediatamente, mediante notificación al responsable del fichero.

 

Norma 26. (Nivel Básico): Los identificadores de usuario y las contraseñas se asignarán y se cambiarán mediante un mecanismo y una periodicidad establecidas, asegurando que se mantiene la confidencialidad de ambos. El archivo donde se almacenen las contraseñas deberá estar protegido y cifrado, y bajo la responsabilidad del administrador del sistema.

 

Norma 27. (Nivel Medio y Alto): Si el responsable de seguridad lo considera necesario, en aquellos equipos con información altamente sensible, optará por la instalación del sistema de blindaje TID en los equipos informáticos que realizan el tratamiento de los datos de carácter personal, como sistema avanzado de blindaje de ordenadores. Esta tecnología conocida como Sistema de Seguridad TID, está basada en el empleo de tarjetas microprocesadas de alta seguridad. Cada tarjeta incorporará la identidad de su titular y el nivel de acceso autorizado, así como los recursos informáticos que puede utilizar. Así mismo, los equipos tendrán activado el proceso de cifrado automático, de tal forma que el sistema discrimina el acceso a los datos según los derechos de cada usuario, el cual al introducir su SmartCard procede a descifrar la zona de memoria que le es autorizada, y al extraerla, se cifran automáticamente los datos. Los equipos informáticos, si así lo determina el responsable de seguridad, tendrán activado el blindaje de protección de tal forma que solo personal autorizado puede acceder, siempre identificándose mediante la Tarjeta de Identificación Digital.

 

Norma 28. (Nivel Medio y Alto): Para los ficheros de nivel medio o alto, se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. Los sistemas informáticos deberán hallarse configurados para no permitir la introducción de forma reiterada de contraseñas falsas (máximo 3 intentos). Superados estos intentos, el sistema quedará bloqueado y solo se activará mediante clave de desbloqueo conocida por el Responsable de Seguridad. Se solicitará a los proveedores de aplicaciones informáticas información detallada sobre estas capacidades por escrito para su activación, si procede, por el nivel de seguridad de los ficheros procesados desde cada aplicación.

 

Norma 29. (Nivel Medio y Alto): Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los locales donde se encuentren ubicados los sistemas de información con datos de carácter personal.

 

 

6.- INCIDENCIAS

 

Norma 30. (Nivel Básico): El responsable de seguridad habilitará un Libro de Incidencias con el fin de que se registren en él cualquier incidencia que pueda suponer un peligro para la seguridad del fichero/s.

 

Norma 31. (Nivel Básico): Cualquier usuario que tenga conocimiento de una incidencia es responsable del registro de la misma en el Libro de Incidencias del Fichero, entregándola por escrito al responsable de seguridad o al responsable del Fichero, que serán los encargados de incorporarla al Libro.

 

Norma 32. (Nivel Básico): El conocimiento de una incidencia y la falta de notificación o registro de la misma por parte de un usuario será considerado como una falta contra la seguridad del Fichero por parte de ese usuario.

 

Norma 33. (Nivel Básico): La notificación o registro de una incidencia deberá constar al menos de los siguientes datos: tipo de incidencia, fecha y hora en que se produjo, persona que realiza la notificación, persona a quien se comunica, efectos que puede producir y una descripción detallada de la misma.

 

Norma 34. (Nivel Básico): El responsable de seguridad se ocupará de gestionar cada incidencia para resolver los problemas que plantee de la mejor manera posible, en colaboración con el responsable del fichero.

 

Norma 35. (Nivel Medio - Alto): para los ficheros con nivel de seguridad medio y alto, y en relación a los Procedimientos de Recuperación de los datos, deberá consignarse además en el Libro de Incidencias: la persona que ejecutó el proceso de recuperación, los datos restaurados, y en su caso qué datos han sido necesarios grabarlos manualmente. En cualquier caso, será necesaria la autorización por escrito del responsable del fichero para llevar a cabo el procedimiento de recuperación de datos.

 

 

7.- FICHEROS

 

El Responsable del Fichero ha creado un Registro General de Ficheros y ha vinculado éstos al presente plan. Este registro se encuentra bajo la responsabilidad directa del Responsable de Seguridad, el cual en el marco de sus funciones debe de mantenerlo actualizado.

 

Norma 36. (Todos): La creación de un nuevo fichero o la modificación o supresión de los existentes por parte de los usuarios autorizados debe de contar con la autorización del Responsable del Fichero y deberá ser comunicado este hecho a la A.P.D., antes de la creación efectiva del mismo.

 

Norma 37. (Todos): El Responsable de los Ficheros, prohíbe expresamente a todos los usuarios autorizados de este Sistema de Información a crear ficheros que tengan como finalidad exclusiva almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual. Esta prohibición no se hace extensiva a los ficheros que justifiquen la inclusión de este tipo de datos en base a su finalidad, el consentimiento de los afectados y la garantía de cumplimiento de todas medidas de seguridad de obligado cumplimiento para los ficheros de nivel alto.

 

Norma 38. (Todos): Queda igualmente prohibida cualquier tipo de prueba técnica sobre estos ficheros. Las pruebas se realizarán siempre con ficheros temporales creados a tal efecto y con datos simulación.

 

 

8.- ORIGEN DE LOS DATOS

 

Norma 39 (Todos): Los datos serán recogidos exclusivamente de las fuentes informativas y bajo la modalidad establecida por el Responsable del Fichero en su comunicación oficial al Registro General de Protección de Datos.

 

Norma 40. (Todos): Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

 

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

 

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

 

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

 

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

 

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

 

 

Norma 41 (Todos): Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos. Queda prohibida toda recogida de datos que esté al margen de lo establecido por el Responsable del Fichero.

 

Norma 42 (Todos): Los usuarios autorizados prestarán la mayor diligencia posible en informar de sus derechos a los interesados, en especial en la solicitud de consentimiento de recogida de datos; llamando su atención y recomendando que lean las cláusulas informativas que a tal efecto se incluyen en los cuestionarios y/o formularios. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior. Los usuarios autorizados a trabajar con este sistema de información velarán por utilizar exclusivamente impresos que atiendan este requerimiento legal.

 

Norma 43 (Todos): Cuando la recogida de datos se realice telemáticamente y a través de un formulario informatizado, se deberá incluir en el mismo las advertencias legales anteriormente reseñadas.

 

 

 

 

9.- CALIDAD DE LOS DATOS

 

Norma 44 (Todos): El personal encargado de la recogida de los datos debe de prestar máxima atención, de que los datos incorporados a los ficheros automatizados correspondan a la realidad del interesado, y comunicar para proceder a su actualización, de aquellas variaciones informativas que presupongan un cambio en la situación actual del interesado o cualquier inexactitud existente en los mismos. (Artículo 4.3 de la LOPD).

 

Norma 45 (Todos): Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado. Así mismo informarán de aquellos datos almacenados que consideren que ya no sean necesarios, a fin de que el Responsable del Fichero pueda evaluar su posible cancelación. (Artículo 4.5 de la LOPD)

 

Norma 46 (Todos): Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

 

 

 

10.- FICHEROS TEMPORALES

 

Norma 47. (Todos): Los ficheros temporales deberán cumplir el nivel de seguridad que les corresponda con arreglo a los criterios establecidos en el presente Reglamento. Todo fichero temporal será borrado una vez que haya dejado de ser necesario para los fines que motivaron su creación. Bien los procesos informáticos de forma automática e invisible para el operador, o bien los usuarios autorizados a acceder a los Sistemas de Información para llevar a cabo labores de mantenimiento, análisis, sometimiento a pruebas de los sistemas informáticos o cualquier otra labor necesaria para el buen funcionamiento de los trabajos que le son encomendados, pueden generar ficheros temporales. Estos ficheros deben de ser borrados una vez que se hayan cumplido los objetivos para los cuales fueron creados. En ningún caso se pueden mantener de forma indefinida.

 

Norma 48. (Todos): La destrucción de estos ficheros se tiene que llevar acabo de forma que imposibilite cualquier posterior recuperación. Debe prestarse especial atención al hecho de no almacenar documentos en la Papelera de Reciclaje.

 

 

 

11.- GESTION DE SOPORTES

 

Norma 49. (Básico): Se establece que todos los soportes informáticos que contengan datos de carácter personal serán identificados de forma inequívoca, mediante un identificador numérico o nombre formado por fechas o letras que permitan crear una estructura de localización.

 

Norma 50. (Básico): Los soportes empleados serán inventariados mediante un identificador único. Así mismo se determinará el lugar donde se encuentra almacenado y el tipo de soporte. El Registro de Inventario de soportes se realizará mediante el registro anexo a este documento, que permite vincular los sistemas informáticos a las aplicaciones instaladas y éstas a los ficheros sobre los que actúan.

 

Norma 51. (Básico): La salida de soportes informáticos que contengan datos de carácter personal, fuera de la oficina donde se encuentra ubicado el fichero, únicamente podrá ser autorizada por el responsable del fichero.

 

Norma 52. (Todos): Se creará un Registro de Entradas de Soportes donde los responsables especificarán todas las entradas de soportes que se produzcan y realizarán la identificación de los soportes. Los responsables registrarán las bajas de soportes, manteniendo el Registro constantemente actualizado, las bajas deberán contar con la ratificación del Responsable de Seguridad que revisará estos registros con una periodicidad no superior a los seis meses.

 

Norma 52. (Básico): La detección de soportes con identificador duplicado se registrará como Incidencia en el Libro correspondiente indicando como descripción “Duplicación en la identificación de soportes”, procediendo a la subsanación del error y a efectuar la correspondiente actualización en el Registro Inventario, de tal forma que permita la trazabilidad original del soporte.

 

Norma 53. (Básico): La falta de material puntual para poder realizar la normal labor de etiquetado de los soportes, será descrita en el Registro de Incidencias como “Falta puntual de etiquetas”.

 

Norma 54. (Básico): En caso de pérdida o destrucción de un soporte enviado por transporte, se describirá como “Salida Pérdida”, confirmado el proceso de cifrado de los contenidos, se notificará inmediatamente al Responsable de Seguridad, con el fin de que autorice la baja del soporte en el Registro de Inventario. Si no se confirma el proceso de cifrado de los contenidos, deberá ser descrito como “Perdida Sancionable”, y deberá ser notificado inmediatamente al Responsable de Seguridad y al Responsable del Fichero, con el fin de que adopte las medidas disciplinarias oportunas.

 

Norma 55. (Básico): En caso de pérdida, robo o sustracción de un soporte, se describirán los incidentes como “Pérdida”, “Robo”, “Sustracción”, (según corresponda) y se notificará inmediatamente al Responsable de Seguridad y al Responsable del Fichero, con el fin de que autorice la baja del soporte en el Registro de Inventario y proceda a efectuar la correspondiente denuncia judicial en los supuestos de robo o sustracción, y a adoptar las medidas disciplinarias correspondientes en caso de pérdida.

 

Norma 56. (Básico): Las medidas de seguridad aplicadas para las ubicaciones de los soportes deberán contemplan el almacenamiento de éstos en un compartimiento bajo llave a cargo del Responsable del Fichero. A ser posible, dicho lugar será protegido contra incendios.

 

Norma 57. (Alto): Para los ficheros de nivel alto, se conservará una copia del procedimiento de restauración y la copia de seguridad, es decir, los soportes donde se realice la copia, en un lugar diferente a aquél donde se encuentren los sistemas informático, por ejemplo, en la caja de seguridad de un banco o entidad financiera.

 

Norma 58. (Todos): Cuando sea necesaria la salida de los soportes informáticos que contengan datos personales, fuera de los locales en los que esté ubicado el fichero, deberá solicitarse previamente la autorización del Responsable del Fichero, el cual es el único que puede autorizar su salida.

 

Norma 59. (Me

Buscando anuncios en un radio de 2 km. Puedes ampliar o reducir tu área de búsqueda. Recuerda que tienes más contactos en "Modo normal" pues hay personas que no quieren que sepan su ubicación.

Publicando tu anuncio