Seguridad LOPD

INTRODUCCIÓN

El artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal (LOPD), establece en su punto 1 que "el responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural".

El Reglamento de desarrollo de la LOPD (RLOPD), aprobado por el Real Decreto 1720/2007, de 21 de diciembre, fue publicado en el BOE número 17, de 19 de enero de 2008. El Título VIII de este reglamento desarrolla las medidas de seguridad en el tratamiento de datos de carácter personal y tiene por objeto establecer las medidas de índole técnica y organizativa necesarias para garantizar la seguridad que deben reunir los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de los datos de carácter personal.

Entre estas medidas, se encuentra la elaboración e implantación de la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos de carácter personal.

Este documento de seguridad es único y comprende todos los ficheros o tratamientos de CUENTA CON ELLO S.L.

Debe mantenerse en todo momento actualizado y debe ser revisado siempre que se produzcan cambios que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas, como son cambios relevantes en:

Debe mantenerse adecuado a las disposiciones vigentes en materia de protección de los datos de carácter personal.

2. ÁMBITO DE APLICACIÓN DEL DOCUMENTO

El presente documento será de aplicación a los ficheros que contienen datos de carácter personal que se hallan bajo la responsabilidad de CUENTA CON ELLO S.L. incluyendo los sistemas de información, soportes y equipos empleados para el tratamiento de datos de carácter personal, que deban ser protegidos de acuerdo a lo dispuesto en normativa vigente, las personas que intervienen en el tratamiento y los locales en los que se ubican.

En concreto, los ficheros sujetos a las medidas de seguridad establecidas en este documento, son los relacionados en el apartado 2.2.

2.1. RESPONSABLE DEL FICHERO
2.2. FICHEROS
2.2.1. COMO RESPONSABLE DEL FICHERO

Los ficheros de los que CUENTA CON ELLO S.L. siguientes: es responsable son los siguientes:

NOMBRE DEL FICHERO SISTEMA DE TRATAMIENTO NIVEL DE SEGURIDAD
CLIENTES Mixto Básico
PROVEEDORES Mixto Básico
LABORAL Mixto Básico

En el ANEXO I se describen detalladamente cada uno de los ficheros o tratamientos, junto con los aspectos que les afecten de manera particular. De la misma forma, en el ANEXO II se describen los sistemas de información que los tratan y en el ANEXO VII los encargados del tratamiento designados, en su caso, así como las condiciones de dicho encargo.

2.2.2. COMO ENCARGADO DEL TRATAMIENTO

No se tratan o almacenan ficheros o tratamientos de Terceros en las instalaciones de CUENTA CON ELLO S.L.

2.3. MEDIDAS DE SEGURIDAD

Las medidas de seguridad se clasifican en tres niveles acumulativos (básico, medio y alto) atendiendo a la naturaleza de la información tratada, en relación con la menor y mayor necesidad de garantizar la confidencialidad y la integridad de la información.

NIVEL ALTO: Se aplicarán a los ficheros o tratamientos de datos:

NIVEL MEDIO: Se aplicarán a los ficheros o tratamientos de datos:

NIVEL BÁSICO: Se aplicarán a cualquier otro fichero que contenga datos de carácter personal.

3. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTÁNDARES ENCAMINADOS A GARANTIZAR LOS NIVELES DE SEGURIDAD EXIGIDOS EN ESTE DOCUMENTO

3.1 MEDIDAS DE SEGURIDAD COMUNES A FICHEROS Y/O TRATAMIENTOS AUTOMATIZADOS Y NO AUTOMATIZADOS
3.1.1. CONTROL DE ACCESO

El personal sólo accederá a aquellos datos y recursos que precise para el desarrollo de sus funciones. El Responsable del Fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.

Dichos mecanismos, en el caso de soportes informáticos, podrán consistir en la asignación de contraseñas para el acceso a los mismos, u otros dispositivos más sofisticados: biométricos, llaves USB, etc.; y en el caso de documentos en papel, en la entrega de llaves que facilitan la apertura de los dispositivos de almacenamiento donde se recopila la información.

Exclusivamente el Administrador de cada fichero, identificado en el ANEXO I, está autorizado para conceder, alterar o anular el acceso sobre los datos y los recursos, conforme a los criterios establecidos por el Responsable del Fichero.

Los procedimientos para efectuar el alta, modificación y baja de las autorizaciones de acceso a los datos, así como los controles de acceso a los sistemas de información, se encuentran descritos en el ANEXO II.

En el ANEXO I, se incluye la relación de usuarios actualizada con acceso autorizado a cada sistema de información. Asimismo, se incluye el tipo de acceso autorizado para cada uno de ellos.

De existir personal ajeno al responsable del fichero con acceso a los recursos, deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio.

En los ficheros que requieran un nivel medio de medidas de seguridad, exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los lugares donde se hallen los equipos físicos que dan soporte a los sistemas de información. La relación de usuarios y lugares autorizados se encuentra en el ANEXO V.

3.1.2. GESTIÓN DE SOPORTES Y DOCUMENTOS

Los soportes y documentos que contengan datos de carácter personal, bien como consecuencia de operaciones intermedias propias de la aplicación que los trata, o bien como consecuencia de procesos periódicos de respaldo o cualquier otra operación esporádica, deberán estar claramente identificados con una etiqueta externa que permita identificar el tipo de información que contienen, ser inventariados y serán almacenados en un lugar con acceso restringido al que solo tendrá acceso el personal debidamente autorizado.

El inventario de soportes, normas de etiquetado, lugar concreto donde se almacenarán, así como el personal autorizado para acceder a dichos soportes se encuentra en el ANEXO III.

Cuando existan soportes cuyas características físicas imposibiliten el cumplimiento de las obligaciones descritas anteriormente, quedará constancia motivada en el ANEXO III de los soportes afectados.

La identificación de soportes y documentos que contengan datos de carácter personal que la organización considerase especialmente sensibles, se podrá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de las personas. Los soportes afectados, así como los criterios de etiquetado para ellos se especifican en el ANEXO III.

Los usuarios que traten los soportes o documentos con datos de carácter personal, son los encargados de custodiarlos y vigilar para que personas no autorizadas no accedan al soporte físico o documentos a su cargo.

La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable fichero o tratamiento, deberá ser autorizada por el responsable del fichero (o aquel en que se hubiera delegado), o encontrarse debidamente autorizada en el Documento de Seguridad. El procedimiento a seguir para llevar a cabo la autorización se encuentra descrito en el ANEXO III.

En el ANEXO V se incluirán los documentos de autorización relativos a la salida de soportes que contengan datos personales.

En general, cualquier soporte que vaya a ser desechado, de cualquier tipo, que pueda contener datos de carácter personal, ya sea papel impreso, soportes magnéticos, ópticos u otros, o los propios ordenadores obsoletos que vayan a desecharse, deberán ser tratados mediante los procedimientos de destrucción y reutilización de soportes informáticos y destrucción de documentación descritos en los apartados 3.2.5 y 3.3.6, con el fin de impedir la pérdida de confidencialidad de los datos personales. Aquellos medios que sean reutilizables, y que hayan contenido copias de datos de carácter personal, deberán ser borrados físicamente de forma segura antes de su reutilización, de forma que los datos que contenían no sean recuperables.

Cuando los soportes y/o documentos vayan a salir fuera de los locales en que se encuentran ubicados los ficheros se adoptarán las medidas necesarias para impedir la sustracción, pérdida o acceso indebido a la información durante el transporte. Medidas descritas en los apartados 3.2.4 y 3.3.5.

3.1.3. RÉGIMEN DE TRABAJO FUERA DE LOS LOCALES DE LA UBICACIÓN DEL FICHERO

Cuando los datos personales se almacenen en dispositivos portátiles o se traten fuera de los locales del responsable del fichero o tratamiento, o del encargado del tratamiento, será preciso que exista una autorización previa del responsable del fichero o tratamiento, y en todo caso, deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado.

En el ANEXO V se recogen las autorizaciones para tratar datos fuera de las instalaciones del Responsable del Fichero, así como el periodo de validez de las mismas.

3.1.4. FICHEROS TEMPORALES O COPIAS DE TRABAJO DE DOCUMENTOS

Los ficheros temporales o copias de documentos creados exclusivamente para trabajos temporales o auxiliares, deberán cumplir el nivel de seguridad que les corresponda con arreglo a los criterios expresados en el Reglamento de medidas de seguridad, y serán borrados o destruidos una vez hayan dejado de ser necesarios para los fines que motivaron su creación.

3.1.5. RESPONSABLE DE SEGURIDAD

Se designarán uno o varios responsables de seguridad, encargados de coordinar y controlar las medidas definidas en el presente documento de seguridad.

La designación puede ser única para todos los ficheros o tratamientos de nivel medio y alto o diferente, según los sistemas de tratamiento utilizados.

En ningún caso esta designación supone una exoneración de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento, de acuerdo con la LOPD.

En el ANEXO I y ANEXO IV se recogen las personas designadas como responsables de seguridad.

3.2. MEDIDAS DE SEGURIDAD PARA FICHEROS Y/O TRATAMIENTOS AUTOMATIZADOS
3.2.1. IDENTIFICACIÓN Y AUTENTICACIÓN

CUENTA CON ELLO S.L. establecerá las medidas de seguridad necesarias en los sistemas informáticos de forma que se garantice que únicamente accederá a los ficheros el personal autorizado para ello.

De la misma forma, establecerá un sistema que permita la identificación inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información, y la debida autenticación para verificar la identidad del usuario que intenta acceder.

Aunque ya existen procedimientos de identificación basados en certificado electrónico, o incluso en datos biométricos, como huellas dactilares, las contraseñas personales constituyen todavía hoy en día uno de los métodos más usados para proteger el acceso a los datos, y por tanto, deben estar especialmente protegidas. Como llaves de acceso al sistema, las contraseñas deberán ser estrictamente confidenciales y personales, y cualquier incidencia que comprometa su confidencialidad deberá ser inmediatamente comunicada al administrador y subsanada en el menor plazo de tiempo posible.

En los ficheros que requieran un nivel de seguridad medio, se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. El número máximo de intentos de acceso fallidos antes que de que bloquee el acceso al sistema, se encuentra en el ANEXO II.

3.2.2. ACCESO A TRAVÉS DE REDES DE COMUNICACIONES

Las medidas de seguridad exigibles a los accesos a datos de carácter personal a través de redes de comunicaciones, sean o no públicas, deberán garantizar el nivel de seguridad equivalente al correspondiente a los accesos en modo local.

3.2.3. COPIAS DE RESPALDO Y RECUPERACIÓN

La seguridad de los datos personales no solo supone la confidencialidad de los mismos, sino que también conlleva la integridad y la disponibilidad de esos datos.

Para garantizar estos dos aspectos fundamentales de la seguridad es necesario que existan unos procesos de respaldo y recuperación, de forma, que ante un fallo informático, permitan reconstruir el fichero en el estado que se encontraba antes de la pérdida.

Se realizarán copias de respaldo al menos una vez por semana, salvo que en este intervalo no se haya producido ninguna actualización de datos.

Los procedimientos establecidos para las copias de respaldo y para su recuperación garantizarán su reconstrucción en el estado que se encontraban al tiempo de producirse la pérdida o destrucción.

Únicamente, en el caso de que la pérdida o destrucción afectase a ficheros o tratamientos parcialmente automatizados, y siempre que la existencia de documentación permita alcanzar el objetivo al que se refiere el párrafo anterior, se deberá proceder a grabar manualmente los datos, quedando constancia motivada de este hecho en el Documento de Seguridad.

El Responsable del Fichero verificará semestralmente los procedimientos de copias de respaldo y recuperación de los datos.

Las pruebas anteriores a la implantación o modificación de sistemas de información que traten con datos de carácter personal no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realización en el Documento de Seguridad. Si está previsto realizar pruebas con datos reales, previamente deberá haberse realizado una copia de seguridad.

En los ficheros de nivel alto se conservará una copia de respaldo de los datos y de los procedimientos de recuperación de los mismos en un lugar diferente a aquel en el que se encuentran los equipos informáticos que los tratan, que deberá cumplir en todo caso las medidas de seguridad exigidas, o utilizando elementos que garanticen la integridad y recuperación de la información, de forma que sea posible su recuperación.

En el ANEXO I se detallan los procedimientos de copia y recuperación de respaldo para cada fichero.

3.2.4. TRASLADO DE SOPORTES

Para el traslado físico de soportes fuera de las instalaciones del Responsable del Fichero se deberá realizar garantizando la seguridad de los datos contenidos. Para ello, se deberán adoptar las medidas dirigidas a impedir el acceso indebido, manipulación, sustracción o pérdida de la información objeto del traslado durante el transporte de la misma. Dichas medidas consisten en:

3.2.5. DESTRUCCIÓN Y REUTILIZACIÓN DE SOPORTES

Uno de los mayores peligros para la confidencialidad de los datos son los soportes desechados.

Todos los desechos informáticos de cualquier tipo que puedan contener información de carácter personal, como CDs, cintas, discos removibles, o incluso los propios ordenadores obsoletos que contengan discos de almacenamiento, deberán ser eliminados o destruidos de acuerdo al siguiente procedimiento:

1. Como norma general, ningún desecho informático debe ser nunca dejado para retirar sin ser destruido o depositado en el contenedor de la empresa encargada de la destrucción de los datos.

2. Aquellos CDs que contengan datos de carácter personal deberán ser destruidos en una destructora o por cualquier otro medio que haga imposible extraer ningún dato posteriormente.

3. Todos los disquetes y otros soportes removibles desechados deberán ser eliminados sus datos previamente con alguna aplicación de borrado seguro que haga imposible la recuperación posterior de los datos contenidos y entregados para su reutilización al Responsable de Seguridad o al Responsable del Fichero.

4. Si se trata de ordenadores obsoletos, antes de su donación, venta o entrega a otras organizaciones, deberá comunicarse al Responsable de Seguridad para que pase una aplicación de borrado seguro que haga imposible la recuperación posterior de los datos contenidos. Si el ordenador estuviese estropeado y no se pudiese realizar la operación de limpiado, se deberán desmontar los discos duros y proceder a su destrucción o encomendar a una empresa de reciclaje especializada la destrucción de los mismos.

5. El Responsable del Fichero deberá exigir a la empresa de reciclaje un contrato en el que se comprometan bajo penalización a la completa destrucción de todo el material retirado.

3.2.6. REGISTRO DE ENTRADA Y SALIDA DE SOPORTES Y DOCUMENTOS

Las salidas y entradas de soportes y documentos correspondientes a los ficheros que requieren un nivel de seguridad medio y alto, serán registradas de forma que permita conocer los siguientes datos:

El sistema de registro de entradas y salidas se haya descrito en el ANEXO III.

3.2.7. REGISTRO DE ACCESOS

En los ficheros que requieran un nivel alto de medidas de seguridad, deberá existir un registro de accesos que permita conocer, de cada intento de acceso, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. Si el acceso ha sido autorizado, será preciso guardar la información que permita identificar el registro accedido.

Los mecanismos que permiten el registro de accesos estarán bajo el control directo del Responsable de Seguridad competente sin que deban permitir la desactivación ni la manipulación de los mismos.

El periodo mínimo de conservación de los datos registrados será de dos años.

El Responsable de seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados.

No será necesario el registro de accesos definido anteriormente en caso de que el responsable del fichero sea una persona física y garantice que únicamente él tiene acceso y trata los datos personales. La concurrencia de estas dos circunstancias deberá hacerse constar expresamente en el documento de seguridad.

3.2.8. GESTIÓN Y DISTRIBUCIÓN DE SOPORTES

Los soportes que contengan datos de ficheros de nivel alto, se identificarán mediante un sistema de etiquetado que resulte comprensible y con significado para los usuarios con acceso autorizado, permitiéndoles identificar su contenido y dificultando la identificación para el resto de las personas. Las normas de etiquetado para este tipo de soportes se encuentran en el ANEXO III.

La distribución y salida de soportes que contengan datos de carácter personal de los ficheros de nivel alto, se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible ni manipulada durante el transporte. Igualmente, se cifrarán los datos que contengan los dispositivos portátiles cuando se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero. El método utilizado para esto se encuentra en el ANEXO III.

Deberá evitarse el tratamiento de datos de carácter personal en dispositivos portátiles que no permitan su cifrado. En caso de que sea estrictamente necesario, se hará constar el motivo de su utilización y se deberán adoptar las medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos. Los dispositivos que no permiten su cifrado, motivos de su utilización y las medidas adicionales implantadas, se encuentran en el ANEXO III.

3.3 MEDIDAS DE SEGURIDAD PARA FICHEROS Y/O TRATAMIENTOS NO AUTOMATIZADOS
3.3.1. CRITERIOS DE ARCHIVO

El archivo de soportes o documentos se realizará de acuerdo con los criterios previstos en su respectiva legislación.

Estos criterios deberán garantizar la correcta conservación de los documentos, la localización y consulta de la información y posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.

En aquellos casos que no exista normativa aplicable, el Responsable del Fichero deberá establecer los criterios y procedimientos de actuación que deban seguirse para el archivo.

Los criterios y procedimientos de archivo se encuentran descritos en el ANEXO III.

3.3.2. ALMACENAMIENTO DE LA INFORMACIÓN

Los dispositivos de almacenamiento de los documentos que contengan datos de carácter personal, deberán disponer de mecanismos que obstaculicen su apertura, mediante llaves u otros dispositivos que realicen la misma función.

Cuando las características físicas no permitan adoptar esta medida, el Responsable del Fichero o tratamiento adoptará las medidas que impidan el acceso de personas no autorizadas.

Los dispositivos de almacenamiento utilizados para almacenar datos de carácter personal de nivel alto, deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero. En el caso de que las características de los locales impidan cumplir lo anteriormente indicado se adoptarán medidas alternativas que, debidamente motivadas, constarán en el documento de seguridad.

Los dispositivos utilizados para almacenar datos de carácter personal, se encuentran descritos en el ANEXO III.

3.3.3. ACCESO A LOS DOCUMENTOS

El acceso a los documentos que contengan datos de carácter personal, se limitará de forma exclusiva al personal autorizado e identificado en el ANEXO I.

3.3.4. CUSTODIA DE DOCUMENTOS

En tanto los documentos con datos personales no se encuentren archivados en los dispositivos de almacenamiento indicados en el punto anterior, por estar en proceso de tramitación, las personas que se encuentren a su cargo deberán custodiarlos e impedir el acceso de personas no autorizadas.

3.3.5. TRASLADO DE DOCUMENTACIÓN

Siempre que se proceda al traslado físico de la documentación contenida en un fichero, deberán adoptarse las medidas que impidan el acceso indebido, manipulación, sustracción o pérdida de la información objeto del traslado durante el transporte de la misma. Dichas medidas son:

3.3.6. DESTRUCCIÓN DE DOCUMENTACIÓN

Uno de los mayores peligros para la confidencialidad de los datos son los documentos desechados.

Todos los documentos en papel desechados que contengan datos de carácter personal, deberán ser eliminados o destruidos de acuerdo al siguiente procedimiento:

3.3.7. REGISTRO DE ACCESOS

En la documentación que requiera un nivel alto de medidas de seguridad, se aplican las siguientes medidas de seguridad:

3.3.8. COPIA O REPRODUCCIÓN

La realización de copias o reproducción de los documentos con datos personales de nivel alto, sólo se podrá realizar bajo el control del personal autorizado para ello.

La relación de usuarios habilitados para realizar el control y la copia o reproducción de estos documentos, se encuentra en el ANEXO V.

Las copias desechadas deberán ser destruidas imposibilitando el posterior acceso a la información contenida, según lo descrito en el punto 3.3.5.

3.4. ENTORNO DE SEGURIDAD
3.4.1. CENTROS DE TRATAMIENTO Y LOCALES

Los locales donde se ubican los ficheros deben ser objeto especial de protección que garanticen la confidencialidad e integridad de los datos protegidos.

3.4.2. PUESTOS DE TRABAJO

Son todas aquellas estancias, despachos, mesas de trabajo, así como los dispositivos desde los cuales se puede acceder a los datos del fichero, como por ejemplo, ordenadores personales o terminales de trabajo.

3.4.3. SISTEMA OPERATIVO Y COMUNICACIONES

Aunque las aplicaciones que acceden al fichero se encuentran descritas en el ANEXO I, al estar el fichero ubicado en un ordenador con un sistema operativo determinado y poder contar con conexiones que le comunican con otros ordenadores, es posible, para personas que conozcan estos entornos, acceder a los datos protegidos sin pasar por los procedimientos de control de acceso con los que pueda contar la aplicación.

Se debe, por tanto, regular el uso y acceso a las partes del sistema operativo, herramientas o programas de utilidad, o del entorno de comunicaciones sean o no públicas, para impedir que personas no autorizadas con conocimientos tecnológicos avanzados en estos entornos puedan saltarse las barreras de seguridad de la aplicación o sistema de acceso al fichero.

3.4.4. APLICACIONES DE ACCESO AL FICHERO

Son aquellos programas o aplicaciones con las que se puede acceder a los datos del Fichero, y que son utilizadas por los usuarios para acceder a ellos. Las aplicaciones que acceden a los ficheros están descritas en el ANEXO I.

Estos programas pueden ser aplicaciones expresamente diseñadas para acceder al Fichero, o paquetes de uso general disponibles en el mercado.

3.4.5. BASES DE DATOS O ARCHIVOS OFIMÁTICOS

Los datos personales están ubicados físicamente en ficheros o en bases de datos, que deben ser protegidos.

Por otra parte, en la operativa diaria de tratamiento de los datos, pueden producirse copias de los datos protegidos sobre otros ficheros o archivos ofimáticos para tratamientos especiales. En estos casos deberá prestarse la adecuada protección a estos ficheros mientras existan.

Se deberá evitar el guardar copias de los datos personales en ficheros temporales. En caso de que el tratamiento haga imprescindible realizar dichas copias, se deberán adoptar las siguientes precauciones:

3.5. CONTROLES PERIÓDICOS DE VERIFICACIÓN DE CUMPLIMIENTO DE LO DISPUESTO EN ESTE DOCUMENTO

El cumplimiento de las normas que contiene este documento de seguridad deberá ser periódicamente comprobado, de forma que puedan detectarse y subsanarse anomalías.

4. PROCEDIMIENTO GENERAL DE INFORMACIÓN AL PERSONAL

Las funciones y obligaciones de cada una de las personas con acceso a los datos de carácter personal y a los sistemas de información están definidas de forma general en el Capítulo siguiente y de forma específica para cada fichero en la parte del ANEXO I correspondiente.

CUENTA CON ELLO S.L. debe poner en conocimiento de personal lasmedidas y normas que les afectan en el desarrollo de sus funciones, así como de las consecuencias de no cumplirlas. Asimismo, deberá tener a disposición del personal la parte que les afecte del presente Documento de Seguridad.

Para asegurar que todas las personas conocen las normas de seguridad que afectan al desarrollo de sus funciones, así como las consecuencias del incumplimiento de las mismas, serán informadas de acuerdo con el siguiente procedimiento:

Se les dará una copia de las Funciones y obligaciones del personal, y que se encuentran en el ANEXO VI.

5. FUNCIONES Y OBLIGACIONES DEL PERSONAL

Todo el personal que acceda a datos de carácter personal está obligado a conocer y observar las medidas, normas, procedimientos, reglas y estándares que afecten a las funciones que desarrolla.

Constituye una obligación del personal notificar al Responsable del Fichero las incidencias de seguridad de las que tengan conocimiento respecto a los recursos protegidos, según los procedimientos establecidos en este Documento de Seguridad, y en concreto en el apartado de "Procedimiento de notificación, gestión y respuesta ante incidencias".

Todas las personas deberán guardar el debido secreto y confidencialidad sobre los datos personales que conozcan en el desarrollo de su trabajo.

Además del Responsable del Fichero, el personal afectado por esta normativa se puede clasificar en los siguientes perfiles genéricos:

Este documento es de obligado cumplimiento para todos ellos. Las funciones y obligaciones del personal en materia de protección de datos, están descritas en el ANEXO VI.

Aquellas personas, ya sea de la propia organización, o de empresas ajenas, que realice trabajos que no impliquen el tratamiento de los datos personales, como por ejemplo, el personal de limpieza o vigilancia, etc., tendrán limitado el acceso a estos datos, a los soportes que los contengan y a los recursos del sistema de información.

Cuando se trate de personal ajeno, el contrato de prestación de servicios recogerá expresamente la prohibición de acceder a los datos personales y la obligación de secreto respecto a aquellos datos que hubiera podido conocer durante la prestación del servicio.

El Responsable del Fichero o del tratamiento podrá delegar sus funciones en otras personas designadas a tal efecto, pero esta delegación deberá constar expresamente en el ANEXO IV de este Documento de Seguridad, donde se anotará el nombre de estas personas, así como las funciones delegadas. En ningún caso esta designación supondrá una delegación de la responsabilidad que corresponde al Responsable del Fichero o del tratamiento.

6. ENCARGADOS DEL TRATAMIENTO

Encargado del tratamiento es la persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos de carácter personal por cuenta del responsable del tratamiento o responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.

A modo de ejemplo, la asesoría que realiza las nóminas, es encargada del tratamiento para la empresa que manda realizar ese trabajo.

6.1. OBLIGACIONES

La realización de tratamientos por cuenta de terceros, deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento o responsable del fichero, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

En el contrato se estipularán, asimismo, las medidas de seguridad que el encargado del tratamiento está obligado a implementar.

Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento o responsable del fichero.

Las prestaciones de servicios sin acceso a datos personales, (como por ejemplo, servicios de limpieza), también deben quedar reguladas por un contrato, que recogerá expresamente la prohibición de acceder a los datos personales y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio.

6.2. RESPONSABLE Y ENCARGADO

Debemos tener en cuenta que, como entidad, podemos tener al mismo tiempo dos roles diferenciados: somos responsables de fichero de los datos propios (clientes, empleados, etc.), y al mismo tiempo, encargados del tratamiento de datos de nuestros clientes.

6.2.1. COMO RESPONSABLE DEL FICHERO

Antes de que tenga lugar ningún tratamiento, se debe formalizar un contrato con el encargado del tratamiento en los términos descritos en el apartado 6.1.

Deberán también detallarse las circunstancias en que tiene lugar dicho tratamiento:

En el ANEXO VII se recogen los tratamientos efectuados por terceros, detallando las condiciones del encargo y el periodo de vigencia.

6.2.2. COMO ENCARGADO DEL TRATAMIENTO

Cuando exista un tratamiento de datos por cuenta de terceros, el Documento de Seguridad deberá contener la identificación de los ficheros o tratamientos que se traten en concepto de encargado, con referencia expresa al contrato o documento que regule las condiciones del encargo, así como de la identificación del responsable y del periodo de vigencia del encargo.

En el ANEXO I se recogen los ficheros que CUENTA CON ELLO S.L. trata como encargado del tratamiento y en el ANEXO VII el detalle de cada uno de los encargos realizados.

7. PROCEDIMIENTOS DE NOTIFICACIÓN, GESTIÓN Y RESPUESTA ANTE LAS INCIDENCIAS

Se considerarán como “incidencias de seguridad”, entre otras, cualquier incumplimiento de la normativa desarrollada en este Documento de Seguridad, así como cualquier anomalía o evento que afecte o pueda afectar a la seguridad de los datos de carácter personal en sus tres vertientes de confidencialidad, integridad y disponibilidad.

Se deberán tener en cuenta, entre otras, las siguientes incidencias:

Todos los usuarios, administradores, responsables, así como cualquier persona que tenga acceso a datos de carácter personal, deben tener conocimiento de este procedimiento para actuar en caso de incidencia.

Este procedimiento se ha dado a conocer a todo el personal que trata con datos de carácter personal de CUENTA CON ELLO S.L. y es el descrito en el ANEXO VIII.

7.1. REGISTRO DE INCIDENCIAS

El mantener un registro de las incidencias que comprometan la seguridad de un Fichero es una herramienta imprescindible para aplicar las medidas correctoras necesarias, así como posibilitar la prevención de posibles ataques a esa seguridad y la persecución de los responsables de los mismos.

Cualquier usuario que tenga conocimiento de una incidencia, es responsable del registro de la misma, si el registro de incidencias está automatizado, o de la notificación por escrito al Responsable del fichero, o la persona en quien haya delegado formalmente la gestión de las incidencias, si el registro se realiza manualmente.

El conocimiento y la no notificación o registro de una incidencia por parte de un usuario será considerado como una falta contra la seguridad del Fichero por parte de ese usuario.

En el ANEXO VIII, se establece la creación de un registro de incidencias, en el que se hará constar:

En el registro de incidencias se consignarán también los procedimientos de recuperación de datos que afecten a los ficheros cuyo nivel de seguridad sea medio y alto, identificando en el mismo, la persona que ejecutó el proceso de recuperación de los datos, así como los datos restaurados y, en su caso, los datos que ha sido necesario grabar manualmente en el proceso de recuperación.

Para ejecutar los procedimientos de recuperación de datos en los ficheros mencionados en el párrafo anterior, será necesaria la autorización por escrito del responsable del fichero.

8. PROCEDIMIENTOS DE REVISIÓN

8.1. REVISIÓN DEL DOCUMENTO DE SEGURIDAD

Según la normativa LOPD, el Documento de Seguridad deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información, en el contenido de la información incluida en los ficheros o como consecuencia de los controles periódicos realizados. Se entenderá como cambio relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas.

Asimismo, deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.

Se realizará, al menos una vez al año, la revisión completa del presente documento, así como la validez y adecuación legal de todo su contenido.

8.2. AUDITORÍA

Los ficheros identificados en el ANEXO I, clasificados con nivel de seguridad medio o alto, deberán someterse, al menos cada dos años, a una auditoría interna o externa, que verifique el cumplimiento de las medidas de seguridad recogidas en este documento de seguridad.

Esta auditoría afectará tanto a los ficheros automatizados, como a los no automatizados, y abarcará tanto los sistemas de información, como las instalaciones de tratamiento y almacenamiento de los datos contenidos en los ficheros.

Con carácter extraordinario deberá realizarse cuando se lleven a cabo modificaciones tales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas, con objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría reinicia el cómputo de dos años señalado.

El informe analizará la adecuación de las medidas de seguridad y controles a la Ley y su desarrollo reglamentario, identificará las deficiencias y propondrá las medidas correctoras o complementarias necesarias.

Los informes de auditoría han de ser analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero para que adopte las medidas correctoras y quedará a disposición de la Agencia Española de Protección de Datos.

9. CONSECUENCIAS DEL INCUMPLIMIENTO DEL DOCUMENTO DE SEGURIDAD

El incumplimiento de las obligaciones y medidas de seguridad establecidas en el presente documento por el personal afectado, se sancionará conforme a la normativa laboral aplicable.

10. APROBACIÓN DEL DOCUMENTO DE SEGURIDAD

CUENTA CON ELLO S.L. , como Responsable del Fichero, aprueba el presente Documento de Seguridad, aceptándolo en su totalidad y ordenando su inmediato cumplimiento, tanto para el personal propio, como ajeno que tenga o pueda tener acceso a los datos de carácter personal que trata.