documento de seguridaddocumento de seguridad reglamento (ue) 2016/679 y ley 3/2018 documento de...

DOCUMENTO DE SEGURIDAD

FECHA: 30 DE OCTUBRE DE 2019

DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018

DOCUMENTO DE SEGURIDAD USO INTERNO

Versión. 0 de 02-08-2019 2 de 60

Índice

1. CUADRO DE CONTROL DE CAMBIOS. 4

2. OBJETO Y CAMPO DE APLICACIÓN. 4

3.DEFINICIONES 8

4.COMUNICACIONES CON LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS 13

4.1.DELEGADO DE PROTECCIÓN DE DATOS 13

4.2. NOTIFICACIÓN DE VIOLACIÓNES DE LA SEGURIDAD DE LOS DATOS 13

5.ACTUACIÓN ANTE EL EJERCICIO DE UN DERECHO POR EL INTERESADO 14

5.1.DERECHO DE ACCESO 15

5.2.DERECHO DE RECTIFICACIÓN 17

5.3.DERECHO DE SUPRESIÓN (DERECHO AL OLVIDO) 17

5.4.DERECHO DE OPOSICIÓN 18

5.5. DERECHO DE LIMITACIÓN DEL TRATAMIENTO 19

5.6. DERECHO DE PORTABILIDAD 20

6. TRATAMIENTO POR CUENTA DE TERCEROS DE DATOS DE CARÁCTER PERSONAL 21

7.DOCUMENTACIÓN ASOCIADA AL TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL 24

8. IDENTIFICACIÓN DE OPERACIONES O ACTIVIDADES DE TRATAMIENTO 26

9.ANÁLISIS DE RIESGOS 29

10. EVALUACIÓN DE IMPACTO SOBRE LA PROTECCIÓN DE DATOS 32

11. REGISTRO DE OPERACIONES DE TRATAMIENTO 33

12. NOTIFICACIONES DE VIOLACIONES DE SEGURIDAD 34

13. DELEGADO DE PROTECCIÓN DE DATOS 35

14. DERECHO A LA DESCONEXIÓN DIGITAL EN EL ÁMBITO LABORAL 36

15. DESCRIPCIÓN DEL SISTEMA DE INFORMACIÓN UTILIZADO PARA EL TRATAMIENTO DE LOS DATOS DE

CARÁCTER PERSONAL 37

16. FUNCIONES Y OBLIGACIONES DEL PERSONAL 40

17. IDENTIFICACIÓN Y AUTENTICACIÓN 43

18. CONTROL DE ACCESOS 46



Versión. 0 de 02-08-2019 3 de 60

19. GESTIÓN DE SOPORTES Y DOCUMENTOS ¡Error! Marcador no definido.

20. CRITERIOS DE ARCHIVO. ALMACENAMIENTO DE LA INFORMACIÓN. CUSTODIA DE DOCUMENTOS 49

21. ACCESO A TRAVÉS DE REDES DE COMUNICACIONES 50

22.RÉGIMEN DE TRABAJO FUERA DE LOS LOCALES DE UBICACIÓN DEL FICHERO 50

23 FICHEROS TEMPORALES 52

24. COPIAS DE SEGURIDAD 52

25. NOTIFICACIÓN, GESTIÓN Y REGISTRO DE INCIDENCIAS ¡Error! Marcador no definido.

26. CONTROLES PERIÓDICOS DE VERIFICACIÓN 57

27. AUDITORÍAS 58

28.CIFRADO 58

29.NOMBRAMIENTO DEL RESPONSABLE DE SEGURIDAD 58



Versión. 0 de 02-08-2019 4 de 60

1. CUADRO DE CONTROL DE CAMBIOS.

EDICIÓN

FECHA

RESUMEN DE CAMBIOS

0 02-08-2019

Redacción del Documento de Seguridad, nueva versión adaptada al

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de

abril de 2016, relativo a la protección de las personas físicas en lo que

respecta al tratamiento de datos personales y a la libre circulación de estos

datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de

protección de datos) y a la Ley 3/2018 de 5 de diciembre, de Protección de

Datos Personales y garantía de los derechos digitales.

2. OBJETO Y CAMPO DE APLICACIÓN.

El presente Documento de Seguridad tiene por objeto establecer una serie de normas y procedimientos que

posibiliten la aplicación de una serie de medidas tanto a nivel técnico como organizativo que deberá cumplir todo

el personal de la organización que tenga acceso a sistemas e instalaciones que alberguen sistemas de tratamiento

de Datos de Carácter Personal sujetos a los requisitos del RGPD (REGLAMENTO (UE) 2016/679 DEL

PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas

físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se



Versión. 0 de 02-08-2019 5 de 60

deroga la Directiva 95/46/CE (Reglamento general de protección de datos), de aplicación desde el 25 de mayo

de 2018) y de la Ley 3/2018 de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos

digitales.

La LOPDGDD es aplicable a los tratamientos de datos referidos a datos de contacto, de empresarios individuales

y de profesionales liberales. Según el artículo 19 de la Ley 3/2018 de 5 de diciembre, de Protección de Datos

Personales y garantía de los derechos digitales:

1. Salvo prueba en contrario, se presumirá amparado en lo dispuesto en el artículo 6.1.f) del Reglamento

(UE) 2016/679 el tratamiento de los datos de contacto y en su caso los relativos a la función o puesto

desempeñado de las personas físicas que presten servicios en una persona jurídica siempre que se

cumplan los siguientes requisitos:

a) Que el tratamiento se refiera únicamente a los datos necesarios para su localización

profesional.

b) Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con

la persona jurídica en la que el afectado preste sus servicios.

2. La misma presunción operará para el tratamiento de los datos relativos a los empresarios individuales

y a los profesionales liberales, cuando se refieran a ellos únicamente en dicha condición y no se trate para

entablar una relación con los mismos como personas físicas.

3. Los responsables o encargados del tratamiento a los que se refiere el artículo 77.1 de esta ley orgánica

podrán también tratar los datos mencionados en los dos apartados anteriores cuando ello se derive de

una obligación legal o sea necesario para el ejercicio de sus competencias.

En relación a los datos de las personas fallecidas, la LOPDGDD excluye de su ámbito de aplicación su tratamiento,

no obstante se permite que las personas vinculadas al fallecido por razones familiares o de hecho o sus herederos

puedan solicitar el acceso a los mismos, así como su rectificación o supresión, en su caso con sujeción a las

instrucciones del fallecido (artículo 3).

En relación con los niveles de seguridad el RGPD y la LOPDGDD establecen la siguiente clasificación:

Categorías especiales de datos (art. 9 RGPD), que incluye datos personales que revelen el origen étnico o racial,

las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos

genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la

salud o datos relativos a la vida sexual o la orientación sexual de una persona física.



Versión. 0 de 02-08-2019 6 de 60

Según el artículo 9 de LOPDGDD, a los efectos del artículo 9.2.a) del Reglamento (UE) 2016/679, a fin de evitar

situaciones discriminatorias, el solo consentimiento del afectado no bastará para levantar la prohibición del

tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación

sexual, creencias u origen racial o étnico.

Lo dispuesto en el párrafo anterior no impedirá el tratamiento de dichos datos al amparo de los restantes

supuestos contemplados en el artículo 9.2 del Reglamento (UE) 2016/679, cuando así proceda.

Los tratamientos de datos contemplados en las letras g), h) e i) del artículo 9.2 del Reglamento (UE) 2016/679

fundados en el Derecho español deberán estar amparados en una norma con rango de ley, que podrá establecer

requisitos adicionales relativos a su seguridad y confidencialidad.

En particular, dicha norma podrá amparar el tratamiento de datos en el ámbito de la salud cuando así lo exija la

gestión de los sistemas y servicios de asistencia sanitaria y social, pública y privada, o la ejecución de un contrato

de seguro del que el afectado sea parte.

El tratamiento de datos personales relativos a condenas e infracciones penales (art. 10 RGPD).

Según el artículo 10 de LOPDGDD, el tratamiento de datos personales relativos a condenas e infracciones

penales, así como a procedimientos y medidas cautelares y de seguridad conexas, para fines distintos de los de

prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones

penales, sólo podrá llevarse a cabo cuando se encuentre amparado en una norma de Derecho de la Unión, en esta

ley orgánica o en otras normas de rango legal.

El registro completo de los datos referidos a condenas e infracciones penales, así como a procedimientos y

medidas cautelares y de seguridad conexas a que se refiere el artículo 10 del Reglamento (UE) 2016/679, podrá

realizarse conforme con lo establecido en la regulación del Sistema de registros administrativos de apoyo a la

Administración de Justicia.

Fuera de los supuestos señalados en los apartados anteriores, los tratamientos de datos referidos a condenas e

infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas solo serán posibles

cuando sean llevados a cabo por abogados y procuradores y tengan por objeto recoger la información facilitada

por sus clientes para el ejercicio de sus funciones.

Las medidas de seguridad a tener en cuenta estarán relacionadas y serán acordes con el estado de la técnica, los

costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de

probabilidad y gravedad variables para los derechos y libertades de las personas físicas.



Versión. 0 de 02-08-2019 7 de 60

El responsable del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de

seguridad adecuado al riesgo (y categoría de datos tratados), que en su caso incluya, entre otros:

a) la seudonimización y el cifrado de datos personales;

b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de

los sistemas y servicios de tratamiento;

c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso

de incidente físico o técnico;

d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y

organizativas para garantizar la seguridad del tratamiento.

Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el

tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita

de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no

autorizados a dichos datos.

El ámbito de aplicación del presente documento son todas las medidas técnicas y organizativas referentes a las

actividades de tratamientos de datos de carácter personal realizadas por el SOLTEL (SOLTEL IT SOLUTIONS, SL,

SOLTEL IT SOFTWARE) en el ANEXO 01 INVENTARIO DE ACTIVIDADES DE TRATAMIENTO DE DATOS.

Este documento ha sido elaborado bajo la responsabilidad de GRUPO SOLTEL (SOLTEL IT SOLUTIONS, SL,

SOLTEL IT SOFTWARE cada una de las empresas como Responsables del Tratamiento, que se comprometen a

implantar y actualizar esta Normativa de Seguridad de obligado cumplimiento para todo el personal con acceso

a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, dando

así cumplimiento a lo establecido en el RGPD.

Cuando exista un tratamiento de datos por cuenta de terceros, el documento de seguridad deberá contener la

identificación de los tratamientos que se traten en concepto de encargado con referencia expresa al contrato o

documento que regule las condiciones del encargo, así como de la identificación del responsable y del período de

vigencia del encargo.

En aquellos casos en los que datos personales de un tratamiento se incorporen y traten de modo exclusivo en los

sistemas del encargado, el responsable deberá anotarlo en su documento de seguridad. Cuando tal circunstancia

afectase a parte o a la totalidad de los ficheros o tratamientos del responsable, podrá delegarse en el encargado

la llevanza del documento de seguridad, salvo en lo relativo a aquellos datos contenidos en recursos propios. Este



Versión. 0 de 02-08-2019 8 de 60

hecho se indicará de modo expreso en el contrato celebrado al amparo del artículo 28 RGPD, con especificación

de los tratamientos afectados.

En tal caso, se atenderá al documento de seguridad del encargado al efecto del cumplimiento de lo dispuesto por

el RGPD.

El documento de seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se

produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su

organización, en el contenido de la información incluida en los tratamientos o, en su caso, como consecuencia de

los controles periódicos realizados. En todo caso, se entenderá que un cambio es relevante cuando pueda

repercutir en el cumplimiento de las medidas de seguridad implantadas.

En relación a los anexos asociados que se referencian a lo largo del presente documento, generados para

garantizar la completitud del Documento de Seguridad en base a lo exigido por la legislación vigente, todos se

encuentran en la carpeta “ANEXOS” adjunta a este documento.

3.DEFINICIONES

Accesos autorizados: autorizaciones concedidas a un usuario para la utilización de los diversos recursos. En su

caso, incluirán las autorizaciones o funciones que tenga atribuidas un usuario por delegación del responsable del

tratamiento o del responsable de seguridad.

Afectado o interesado: Persona física titular de los datos que sean objeto del tratamiento.

Autenticación: procedimiento de comprobación de la identidad de un usuario.

Autoridad de control»: la autoridad pública independiente establecida por un Estado miembro con arreglo a lo

dispuesto en el artículo 51;

Autoridad de control interesada»: la autoridad de control a la que afecta el tratamiento de datos personales

debido a que:

a) el responsable o el encargado del tratamiento está establecido en el territorio del Estado miembro de esa

autoridad de control;

b) los interesados que residen en el Estado miembro de esa autoridad de control se ven sustancialmente

afectados o es probable que se vean sustancialmente afectados por el tratamiento, o

c) se ha presentado una reclamación ante esa autoridad de control;



Versión. 0 de 02-08-2019 9 de 60

Cancelación: Procedimiento en virtud del cual el responsable cesa en el uso de los datos. La cancelación implicará

el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su

tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para la

atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de

dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos.

Cesión o comunicación de datos: Tratamiento de datos que supone su revelación a una persona distinta del

interesado.

Consentimiento del interesado»: toda manifestación de voluntad libre, específica, informada e inequívoca por la

que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos

personales que le conciernen;

Contraseña: información confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser

usada en la autenticación de un usuario o en el acceso a un recurso.

Control de acceso: mecanismo que en función de la identificación ya autenticada permite acceder a datos o

recursos.

Copia de respaldo: copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación.

Datos biométricos»: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las

características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la

identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos;

Dato disociado: aquél que no permite la identificación de un afectado o interesado.

Datos genéticos»: datos personales relativos a las características genéticas heredadas o adquiridas de una

persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en

particular del análisis de una muestra biológica de tal persona;

Datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se

considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o

indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de

identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad

física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

Datos relativos a la salud»: datos personales relativos a la salud física o mental de una persona física, incluida la

prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud;



Versión. 0 de 02-08-2019 10 de 60

Destinatario»: la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen

datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades

públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el

Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos por dichas autoridades públicas

será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento;

Documento: todo escrito, gráfico, sonido, imagen o cualquier otra clase de información que puede ser tratada en

un sistema de información como una unidad diferenciada.

Elaboración de perfiles»: toda forma de tratamiento automatizado de datos personales consistente en utilizar

datos personales para evaluar determinados aspectos personales de una persona física, en particular para

analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias

personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física;

Empresa»: persona física o jurídica dedicada a una actividad económica, independientemente de su forma

jurídica, incluidas las sociedades o asociaciones que desempeñen regularmente una actividad económica;

Encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro

organismo que trate datos personales por cuenta del responsable del tratamiento;

Establecimiento principal»:

a) en lo que se refiere a un responsable del tratamiento con establecimientos en más de un Estado miembro, el

lugar de su administración central en la Unión, salvo que las decisiones sobre los fines y los medios del

tratamiento se tomen en otro establecimiento del responsable en la Unión y este último establecimiento tenga

el poder de hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado tales decisiones se

considerará establecimiento principal;

b) en lo que se refiere a un encargado del tratamiento con establecimientos en más de un Estado miembro, el

lugar de su administración central en la Unión o, si careciera de esta, el establecimiento del encargado en la Unión

en el que se realicen las principales actividades de tratamiento en el contexto de las actividades de un

establecimiento del encargado en la medida en que el encargado esté sujeto a obligaciones específicas con

arreglo al presente Reglamento;

Exportador de datos personales: la persona física o jurídica, pública o privada, u órgano administrativo situado

en territorio español que realice, conforme a lo dispuesto en el presente Reglamento, una transferencia de datos

de carácter personal a un país tercero.



Versión. 0 de 02-08-2019 11 de 60

Fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya

sea centralizado, descentralizado o repartido de forma funcional o geográfica;

Ficheros temporales: ficheros de trabajo creados por usuarios o procesos que son necesarios para un

tratamiento ocasional o como paso intermedio durante la realización de un tratamiento.

Grupo empresarial»: grupo constituido por una empresa que ejerce el control y sus empresas controladas;

Identificación: procedimiento de reconocimiento de la identidad de un usuario.

Importador de datos personales: la persona física o jurídica, pública o privada, u órgano administrativo receptor

de los datos en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del

tratamiento, encargada del tratamiento o tercero.

Incidencia: cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.

Limitación del tratamiento»: el marcado de los datos de carácter personal conservados con el fin de limitar su

tratamiento en el futuro;

Normas corporativas vinculantes»: las políticas de protección de datos personales asumidas por un responsable

o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto

de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un

grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta;

Objeción pertinente y motivada»: la objeción a una propuesta de decisión sobre la existencia o no de infracción

del presente Reglamento, o sobre la conformidad con el presente Reglamento de acciones previstas en relación

con el responsable o el encargado del tratamiento, que demuestre claramente la importancia de los riesgos que

entraña el proyecto de decisión para los derechos y libertades fundamentales de los interesados y, en su caso,

para la libre circulación de datos personales dentro de la Unión;

Organización internacional»: una organización internacional y sus entes subordinados de Derecho internacional

público o cualquier otro organismo creado mediante un acuerdo entre dos o más países o en virtud de tal acuerdo.

Perfil de usuario: accesos autorizados a un grupo de usuarios.

Persona identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante

cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una

persona física no se considerará identificable si dicha identificación requiere plazos o actividades

desproporcionados.



Versión. 0 de 02-08-2019 12 de 60

Procedimiento de disociación: Todo tratamiento de datos personales que permita la obtención de datos

disociados.

Recurso: cualquier parte componente de un sistema de información.

Representante»: persona física o jurídica establecida en la Unión que, habiendo sido designada por escrito por el

responsable o el encargado del tratamiento con arreglo al artículo 27, represente al responsable o al encargado

en lo que respecta a sus respectivas obligaciones en virtud del presente Reglamento;

Responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro

organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o

de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los

criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados

miembros;

Responsable de seguridad: persona o personas a las que el responsable del tratamiento ha asignado

formalmente la función de coordinar y controlar las medidas de seguridad aplicables.

Servicio de la sociedad de la información»: todo servicio conforme a la definición del artículo 1, apartado 1, letra

b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo (19) ;

Seudonimización»: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado

sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a

medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona

física identificada o identificable;

Sistema de información: conjunto de ficheros, tratamientos, programas, soportes y en su caso, equipos

empleados para el tratamiento de datos de carácter personal.

Sistema de tratamiento: modo en que se organiza o utiliza un sistema de información. Atendiendo al sistema de

tratamiento, los sistemas de información podrán ser automatizados, no automatizados o parcialmente

automatizados.

Soporte: objeto físico que almacena o contiene datos o documentos, u objeto susceptible de ser tratado en un

sistema de información y sobre el cual se pueden grabar y recuperar datos.

Tercero»: persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del

responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos

personales bajo la autoridad directa del responsable o del encargado;



Versión. 0 de 02-08-2019 13 de 60

Tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de

datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización,

estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por

transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación,

supresión o destrucción;

Transferencia internacional de datos: Tratamiento de datos que supone una transmisión de los mismos fuera

del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga

por objeto la realización de un tratamiento de datos por cuenta del responsable del tratamiento establecido en

territorio español.

Transmisión de documentos: cualquier traslado, comunicación, envío, entrega o divulgación de la información

contenida en el mismo.

Tratamiento transfronterizo»:

a) el tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en más de

un Estado miembro de un responsable o un encargado del tratamiento en la Unión, si el responsable o el

encargado está establecido en más de un Estado miembro, o

b) el tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento de

un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o es probable que

afecte sustancialmente a interesados en más de un Estado miembro;

Usuario: sujeto o proceso autorizado para acceder a datos o recursos. Tendrán la consideración de usuarios los

procesos que permitan acceder a datos o recursos sin identificación de un usuario físico.

Violación de la seguridad de los datos personales»: toda violación de la seguridad que ocasione la destrucción,

pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma,

o la comunicación o acceso no autorizados a dichos datos;

4.COMUNICACIONES CON LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

4.1.DELEGADO DE PROTECCIÓN DE DATOS

Según el artículo 37.7 RGPD el responsable publicará los datos de contacto del delegado de protección de datos

y los comunicarán a la autoridad de control.



Versión. 0 de 02-08-2019 14 de 60

La notificación se ha realizado a través del canal habilitado para ello por la AEPD en su SEDE ELECTRÓNICA:

https://sedeagpd.gob.es/sede-electronica-web/.

4.2. NOTIFICACIÓN DE VIOLACIÓNES DE LA SEGURIDAD DE LOS DATOS

Se entiende por “Violación o quiebra de seguridad”: todo incidente que ocasione la destrucción, pérdida o

alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la

comunicación o acceso no autorizados a dichos datos. Debe ser comunicado al Responsable de Seguridad.

Por ejemplo: Pérdida de un ordenador portátil, Acceso no autorizado a las bases de datos, Borrado accidental de

algunos registros.

El delegado de protección de datos (DPD) debe notificarla a AEPD, a menos que sea improbable que la violación

suponga un riesgo para los derechos y libertades de los afectados, al mismo tiempo dará de alta dicha incidencia

en la aplicación creada a tal efecto.

La notificación de la quiebra a las autoridades debe producirse sin dilación indebida y, a ser posible, dentro de las

72 horas siguientes a que el responsable tenga constancia de ella.

La notificación se debe realizar a través del canal habilitado para ello por la AEPD en su SEDE ELECTRÓNICA:


La notificación ha de incluir un contenido mínimo:

• La naturaleza de la violación

• Categorías de datos y de interesados afectados

• Medidas adoptadas por el responsable para solventar la quiebra

• Si procede, las medidas aplicadas para paliar los posibles efectos negativos sobre los interesados

En los casos en que sea probable que la violación de seguridad entrañe un alto riesgo para los derechos o

libertades de los interesados, la notificación a la autoridad de supervisión deberá complementarse con una

notificación dirigida a estos últimos.

5.ACTUACIÓN ANTE EL EJERCICIO DE UN DERECHO POR EL INTERESADO

El procedimiento que regula la actuación del responsable del tratamiento ante el ejercicio de un derecho por el

interesado debe ser conocido por todo el personal de la organización perteneciente a aquellos departamentos

https://sedeagpd.gob.es/sede-electronica-web/




Versión. 0 de 02-08-2019 15 de 60

que estén en contacto con el exterior, y deben ser conscientes de la importancia del hecho de estos ejercicios de

derechos que pueden realizar los interesados.

Los plazos para responder a los titulares de los datos que ejerciten sus derechos son cortos y limitados (1 mes),

por lo que deben estar suficientemente preparados y deben establecerse claramente los circuitos establecidos

para gestionar las peticiones una vez recibidas.

El responsable deberá informar al interesado sobre las actuaciones derivadas de su petición en el plazo de un

mes (podrá extenderse dos meses más cuando se trate de solicitudes especialmente complejas y deberá notificar

esta ampliación dentro del primer mes).

Si el responsable decide no atender una solicitud, deberá informar de ello, motivando su negativa, dentro del

plazo de un mes desde su presentación.

El personal de la empresa que reciba una solicitud de este tipo, deberá dirigirla al DELEGADO DE PROTECCIÓN

DE DATOS de la empresa

Los modelos de solicitud de los derechos se encuentran recogidos en el ANEXO 02 SOLICITUD DERECHOS y

deberán estar a disposición del interesado que los solicite.

Los modelos de respuesta a cada uno de los procesos se encuentran recogidos en el ANEXO 03 RESPUESTA

DERECHOS. Dichos modelos serán custodiados por el Responsable de Seguridad.

5.1.DERECHO DE ACCESO

El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o

no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente

información:

a) los fines del tratamiento;

b) las categorías de datos personales de que se trate;

c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos

personales, en particular destinatarios en terceros u organizaciones internacionales;

d) de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios

utilizados para determinar este plazo;

e) la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la

limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;



Versión. 0 de 02-08-2019 16 de 60

f) el derecho a presentar una reclamación ante una autoridad de control;

g) cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su

origen;

h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22,

apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la

importancia y las consecuencias previstas de dicho tratamiento para el interesado.

En caso de que se transfieran datos personales a un tercer país o a una organización internacional, el interesado

tendrá derecho a ser informado de las garantías adecuadas en virtud del artículo 46 relativas a la transferencia.

El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento. El responsable

podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes

administrativos. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite

que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.

El derecho a obtener copia mencionado anteriormente no afectará negativamente a los derechos y libertades de

otros.

El derecho de acceso del afectado se ejercitará de acuerdo con lo establecido en el artículo 15 del Reglamento

(UE) 2016/679.

Cuando el responsable trate una gran cantidad de datos relativos al afectado y éste ejercite su derecho de acceso

sin especificar si se refiere a todos o a una parte de los datos, el responsable podrá solicitarle, antes de facilitar la

información, que el afectado especifique los datos o actividades de tratamiento a los que se refiere la solicitud.

El derecho de acceso se entenderá otorgado si el responsable del tratamiento facilitara al afectado un sistema de

acceso remoto, directo y seguro a los datos personales que garantice, de modo permanente, el acceso a su

totalidad. A tales efectos, la comunicación por el responsable al afectado del modo en que este podrá acceder a

dicho sistema bastará para tener por atendida la solicitud de ejercicio del derecho.

No obstante, el interesado podrá solicitar del responsable la información referida a los extremos previstos en el

artículo 15.1 del Reglamento (UE) 2016/679 que no se incluyese en el sistema de acceso remoto.

A los efectos establecidos en el artículo 12.5 del Reglamento (UE) 2016/679 se podrá considerar repetitivo el

ejercicio del derecho de acceso en más de una ocasión durante el plazo de seis meses, a menos que exista causa

legítima para ello.



Versión. 0 de 02-08-2019 17 de 60

Cuando el afectado elija un medio distinto al que se le ofrece que suponga un coste desproporcionado, la solicitud

será considerada excesiva, por lo que dicho afectado asumirá el exceso de costes que su elección comporte. En

este caso, solo será exigible al responsable del tratamiento la satisfacción del derecho de acceso sin dilaciones

indebidas.

5.2.DERECHO DE RECTIFICACIÓN

El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de

los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado

tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una

declaración adicional.

Al ejercer el derecho de rectificación reconocido en el artículo 16 del Reglamento (UE) 2016/679, el afectado

deberá indicar en su solicitud a qué datos se refiere y la corrección que haya de realizarse. Deberá acompañar,

cuando sea preciso, la documentación justificativa de la inexactitud o carácter incompleto de los datos objeto de

tratamiento.

5.3.DERECHO DE SUPRESIÓN (DERECHO AL OLVIDO)

El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los

datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales

cuando concurra alguna de las circunstancias siguientes:

a) los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados

de otro modo;

b) el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6 RGPD,

apartado 1, letra a), o el artículo 9 RGPD, apartado 2, letra a), y este no se base en otro fundamento jurídico;

c) el interesado se oponga al tratamiento con arreglo al artículo 21 RGPD, apartado 1, y no prevalezcan otros

motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21 RGPD,

apartado 2;

d) los datos personales hayan sido tratados ilícitamente;

e) los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho

de la Unión o de los Estados miembros que se aplique al responsable del tratamiento;



Versión. 0 de 02-08-2019 18 de 60

f) los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información

mencionados en el artículo 8, apartado 1.

En caso de que se haya hecho públicos los datos personales y esté obligado, a suprimir dichos datos, el

responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará

medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los

datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o

cualquier copia o réplica de los mismos.

No se aplicará la supresión de los datos cuando el tratamiento sea necesario:

a) para ejercer el derecho a la libertad de expresión e información;

b) para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de

la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una

misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable;

c) por razones de interés público en el ámbito de la salud pública de conformidad con el artículo 9 RGPD, apartado

2, letras h) e i), y apartado 3;

d) con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de

conformidad con el artículo 89 RGPD, apartado 1, en la medida en que el derecho indicado en el apartado 1

pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento, o

e) para la formulación, el ejercicio o la defensa de reclamaciones.

El derecho de supresión se ejercerá de acuerdo con lo establecido en el artículo 17 del Reglamento (UE)

2016/679.

Cuando la supresión derive del ejercicio del derecho de oposición con arreglo al artículo 21.2 del Reglamento

(UE) 2016/679, el responsable podrá conservar los datos identificativos del afectado necesarios con el fin de

impedir tratamientos futuros para fines de mercadotecnia directa.

5.4.DERECHO DE OPOSICIÓN

El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación

particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el

artículo 6 RGPD, apartado 1, letras e) o f), incluida la elaboración de perfiles sobre la base de dichas disposiciones.

El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos



Versión. 0 de 02-08-2019 19 de 60

imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado,

o para la formulación, el ejercicio o la defensa de reclamaciones.

Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa, el interesado tendrá

derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la

elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia.

Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa, los datos personales dejarán

de ser tratados para dichos fines.

En el momento de la primera comunicación con el interesado, el derecho de oposición indicado en los párrafos

anteriores será mencionado explícitamente al interesado y será presentado claramente y al margen de cualquier

otra información.

En el contexto de la utilización de servicios de la sociedad de la información, y no obstante lo dispuesto en

la Directiva 2002/58/CE, el interesado podrá ejercer su derecho a oponerse por medios automatizados que

apliquen especificaciones técnicas.

Cuando los datos personales se traten con fines de investigación científica o histórica o fines estadísticos de

conformidad con el artículo 89 RGPD, apartado 1, el interesado tendrá derecho, por motivos relacionados con

su situación particular, a oponerse al tratamiento de datos personales que le conciernan, salvo que sea necesario

para el cumplimiento de una misión realizada por razones de interés público.

El derecho de oposición, así como los derechos relacionados con las decisiones individuales automatizadas,

incluida la realización de perfiles, se ejercerán de acuerdo con lo establecido, respectivamente, en los artículos

21 y 22 del Reglamento (UE) 2016/679.

5.5. DERECHO DE LIMITACIÓN DEL TRATAMIENTO

El ejercicio del derecho de limitación de tratamiento se llevará a cabo teniendo en cuenta:

El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos

cuando se cumpla alguna de las condiciones siguientes:

a) el interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable

verificar la exactitud de los mismos;

b) el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar

la limitación de su uso;



Versión. 0 de 02-08-2019 20 de 60

c) el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los

necesite para la formulación, el ejercicio o la defensa de reclamaciones;

d) el interesado se haya opuesto al tratamiento en virtud del artículo 21, apartado 1, mientras se verifica si los

motivos legítimos del responsable prevalecen sobre los del interesado.

2. Cuando el tratamiento de datos personales se haya limitado en virtud del apartado 1, dichos datos solo podrán

ser objeto de tratamiento, con excepción de su conservación, con el consentimiento del interesado o para la

formulación, el ejercicio o la defensa de reclamaciones, o con miras a la protección de los derechos de otra

persona física o jurídica o por razones de interés público importante de la Unión o de un determinado Estado

miembro.

3. Todo interesado que haya obtenido la limitación del tratamiento con arreglo al apartado 1 será informado por

el responsable antes del levantamiento de dicha limitación.

El derecho a la limitación del tratamiento se ejercerá de acuerdo con lo establecido en el artículo 18 del

Reglamento (UE) 2016/679.

El hecho de que el tratamiento de los datos personales esté limitado debe constar claramente en los sistemas de

información del responsable.

5.6. DERECHO DE PORTABILIDAD

El ejercicio del derecho de limitación de tratamiento se llevará a cabo teniendo en cuenta:

El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable

del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro

responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:

a) el tratamiento esté basado en el consentimiento con arreglo al artículo 6, apartado 1, letra a), o el artículo 9,

apartado 2, letra a), o en un contrato con arreglo al artículo 6, apartado 1, letra b), y

b) el tratamiento se efectúe por medios automatizados.

2. Al ejercer su derecho a la portabilidad de los datos de acuerdo con el apartado 1, el interesado tendrá derecho

a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente

posible.



Versión. 0 de 02-08-2019 21 de 60

3. El ejercicio del derecho mencionado en el apartado 1 del presente artículo se entenderá sin perjuicio del

artículo 17. Tal derecho no se aplicará al tratamiento que sea necesario para el cumplimiento de una misión

realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

4. El derecho mencionado en el apartado 1 no afectará negativamente a los derechos y libertades de otros.

El derecho a la portabilidad se ejercerá de acuerdo con lo establecido en el artículo 20 del Reglamento (UE)

2016/679.

6. TRATAMIENTO POR CUENTA DE TERCEROS DE DATOS DE CARÁCTER PERSONAL

El tratamiento realizado por parte de terceros de los datos de carácter personal sobre los que la empresas

GRUPO SOLTEL (SOLTEL IT SOLUTIONS, SL, SOLTEL IT SOFTWARE actúan como Responsables del Tratamiento,

queda regulado conforme a los requisitos establecidos en el Capítulo IV, artículo 28 del RGPD y artículo 33 de la

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales

(LOPDGDD)

Según establece el RGPD, el responsable deberá adoptar medidas apropiadas, incluida la elección de encargados,

de forma que garantice y esté en condiciones de demostrar que el tratamiento se realiza conforme el RGPD

(principio de responsabilidad activa).

El responsable debe elegir únicamente encargados que ofrezcan garantías suficientes para aplicar medidas

técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del

Reglamento. Esta previsión se extiende también a los encargados cuando subcontraten operaciones de

tratamiento con otros subencargados.

El contenido mínimo establecido para estos contratos (Capítulo IV, artículo 28 del RGPD) es el siguiente:

A.- LAS INSTRUCCIONES DEL RESPONSABLE DEL TRATAMIENTO

Se debe documentar de forma precisa las instrucciones respecto del encargo realizado. Es necesario identificar de forma clara y concreta cuáles son los

tratamientos de datos a realizar por el encargado del tratamiento, atendiendo al tipo de servicio prestado y a la forma de prestarlo. Es especialmente

necesario determinar de forma clara las comunicaciones a terceros que el responsable encomienda al encargado o que se derivan del servicio prestado.

La sujeción a las instrucciones del responsable deberá producirse igualmente en el caso de las transferencias internacionales de datos que puedan

producirse como consecuencia de la prestación del servicio. Si el encargado del tratamiento está obligado legalmente, por el Derecho de la Unión o de

un Estado miembro, a transferir datos a un tercer país deberá informar al responsable antes de llevar a cabo el tratamiento, salvo que tal derecho lo

prohíba por razones importantes de interés público.



Versión. 0 de 02-08-2019 22 de 60

Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de

datos de la Unión o de los Estados miembros, el encargado deberá informar inmediatamente al responsable.

B.- EL DEBER DE CONFIDENCIALIDAD

Hay que establecer la forma en que el encargado del tratamiento garantizará que las personas autorizadas para tratar datos personales se han

comprometido, de forma expresa, a respetar la confidencialidad o, en su caso, si están sujetas a una obligación de confidencialidad de naturaleza

estatutaria.

El cumplimiento de esta obligación debe quedar documentado y a disposición del responsable del tratamiento.

C.- LAS MEDIDAS DE SEGURIDAD

El acuerdo debe establecer la obligación del encargado de adoptar todas las medidas de seguridad necesarias, de conformidad con lo establecido en el

artículo 32 del RGPD.

Corresponde al responsable del tratamiento realizar la evaluación de riesgos para determinar las medidas de seguridad apropiadas para garantizar la

seguridad de la información tratada y los derechos de las personas afectadas. Así mismo el encargado también debe evaluar los posibles riesgos

derivados del tratamiento, teniendo en cuenta los medios utilizados (tecnologías, recursos etc.) y otras circunstancias que puedan incidir en la

seguridad, como por ejemplo que el encargado lleve a cabo otros tratamientos.

A partir de aquí, la determinación de las medidas de seguridad concretas puede realizarse a través de una lista exhaustiva de las mismas o de la remisión

a un estándar o marco nacional o internacional reconocido.

Así, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los

riesgos de probabilidad y gravedad variables para los derechos y las libertades de las personas físicas, el responsable y el encargado del tratamiento

establecerán las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo existente que, en su caso,

incluyan, entre otros:

a) La seudoanimización y el cifrado de datos personales;

b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;

c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico;

d) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del

tratamiento.

La adhesión a códigos de conducta o la posesión de una certificación son elementos que sirven para demostrar el cumplimiento de los requisitos

anteriormente indicados.

El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo su autoridad y tenga acceso a

datos personales sólo pueda tratarlos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los

Estados miembros.



Versión. 0 de 02-08-2019 23 de 60

D.- EL RÉGIMEN DE LA SUBCONTRATACIÓN

El acuerdo debe establecer el régimen de subcontratación. El RGPD exige la autorización previa por escrito del responsable del tratamiento para que el

encargado del tratamiento pueda recurrir a otro encargado (subencargado) para desarrollar el servicio encomendado, cuando esto conlleve el

tratamiento de los datos personales por parte de un tercero.

Esta autorización puede ser específica (identificación de la entidad concreta) o general (sólo autorizando la subcontratación, pero sin concretar la

entidad).

En el supuesto que la autorización sea de carácter general, el encargado informará al responsable de la incorporación de un subencargado o su

sustitución por otros subencargados, dando así al responsable la oportunidad de oponerse a dichos cambios.

Puede ser de utilidad establecer en el acuerdo o acto la forma (que en todo caso deberá constar por escrito) y el plazo para que el responsable pueda

manifestar su oposición.

En todo caso, el subencargado del tratamiento debe estar sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y en la

misma forma (acuerdo por escrito o acto jurídico vinculante) que el encargado del tratamiento en lo referente al adecuado tratamiento de los datos

personales y a la garantía de los derechos de las personas afectadas. En caso de incumplimiento por el subencargado, el encargado inicial seguirá siendo

plenamente responsable ante el responsable del tratamiento en lo referente al cumplimiento de las obligaciones del subencargado.

Cuando sea aplicable la legislación de contratos del sector público, habrá que tener en cuenta también las disposiciones específicas previstas en dicha

ley.

E.- LOS DERECHOS DE LOS INTERESADOS

Hay que establecer la forma en la que el encargado del tratamiento asistirá al responsable en el cumplimento de la obligación de responder a las

solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III del RGPD: Acceso a datos personales,

Rectificación, Supresión (derecho al olvido), Limitación del tratamiento, Portabilidad de datos, Oposición.

A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles) El acuerdo deberá establecer de forma clara si

corresponde al encargado del tratamiento atender y dar respuesta a las solicitudes de estos derechos o bien establecer expresamente que su única

obligación es comunicar al responsable del tratamiento que se ha ejercido un derecho.

En el primer supuesto, el acuerdo debe establecer la forma y los plazos para atender o, en su caso, dar respuesta a las solicitudes de ejercicio de derechos.

En el segundo supuesto, debe establecerse la forma y el plazo en que la solicitud y, en su caso, la información correspondiente al ejercicio del derecho se

debe comunicar al responsable del tratamiento.

En cuanto al derecho de información de las personas afectadas, se trata de un derecho no sujeto a solicitud y, por tanto, no sujeto a las previsiones del

artículo 28.3.e) del RGPD. Pese a ello, en aquellos casos en que el encargado deba realizar la recogida de datos es recomendable establecer en el acuerdo

o acto jurídico la forma y el momento en que debe darse el derecho de información.

F.- LA COLABORACIÓN EN EL CUMPLIMIENTO DE LAS OBLIGACIONES DEL RESPONSABLE



Versión. 0 de 02-08-2019 24 de 60

Se debe establecer la forma en que el encargado ayudará al responsable a garantizar el cumplimiento de las obligaciones relativas a la aplicación de las

medidas de seguridad que correspondan, la notificación de violaciones de datos a las Autoridades de Protección de Datos, la comunicación de

violaciones de datos a los interesados, la realización de las evaluaciones de impacto relativa la protección de datos y, en su caso, la realización de

consultas previas.

El cumplimiento de esta obligación queda supeditado a la naturaleza del tratamiento realizado y a la información que esté a disposición del encargado.

El responsable puede delegar en el encargado el cumplimiento de estas obligaciones.

G.- EL DESTINO DE LOS DATOS AL FINALIZAR LA PRESTACIÓN

Hay que prever si, una vez finalice la prestación de los servicios de tratamiento, el encargado del tratamiento debe proceder a la supresión o a la

devolución de los datos personales y de cualquier copia existente, ya sea al responsable o a otro encargado designado por el responsable.

El acuerdo debe establecer de forma clara cuál de las dos opciones es la elegida por el responsable, así como la forma y el plazo en que debe cumplirse.

En todo caso, los datos deberán ser devueltos al responsable cuando se requiera la conservación de los datos personales, en virtud del Derecho de la

Unión o de los Estados miembros.

No obstante, el encargado puede conservar una copia con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la

ejecución de la prestación.

H.- LA COLABORACIÓN CON EL RESPONSABLE PARA DEMOSTRAR EL CUMPLIMIENTO

Es preciso establecer la obligación del encargado de poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento

de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones,

realizadas por el responsable o por otro auditor autorizado por el responsable.

Se han identificado los encargados del tratamiento para los ficheros que contienen datos de carácter personal en

ANEXO 04 CONTROL ENCARGADOS DEL TRATAMIENTO

Se ha elaborado modelo de contrato de prestación de servicios con acceso a datos de carácter personal ANEXO

05 MODELO DE CONTRATO DE ENCARGADOS DEL TRATAMIENTO y un modelo de contrato de prestación

de servicios sin acceso a datos de carácter personal ANEXO 06 ACUERDO DE CONFIDENCIALIDAD.

7.DOCUMENTACIÓN ASOCIADA AL TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL

Para cada uno de los tratamientos de datos de carácter personal (o para cada operación de tratamiento de datos)

se ha elaborado una serie de documentación (clausulado informativo, modelos de comunicaciones, etc.)

encaminados a garantizar el cumplimiento del derecho de información de los titulares de los datos y a obtener el

consentimiento de los mismos para el tratamiento de dichos datos y dar cumplimiento al artículo 7 RGPD



Versión. 0 de 02-08-2019 25 de 60

Condiciones para el Consentimiento y artículo 6 Tratamiento basado en el consentimiento del afectado de la

LOPDGDD, y de los artículos 13 y 14 RGPD, y artículo 11 LOPDGDD Información que debe facilitarse al

interesado al recabar sus datos personales.

La documentación elaborada para estos fines se encuentra en el ANEXO 07 CLAUSULADO.

El consentimiento debe ser “inequívoco”

El consentimiento inequívoco es aquel que se ha prestado mediante una manifestación del interesado o mediante

una clara acción afirmativa.

A diferencia del Reglamento de Desarrollo de la anterior y derogada LOPD, no se admiten formas de

consentimiento tácito o por omisión, ya que se basan en la inacción.

Se contemplan situaciones en las que el consentimiento, además de inequívoco, ha de ser explícito:

• Tratamiento de datos sensibles.

• Adopción de decisiones automatizadas.

• Transferencias internacionales.

El consentimiento puede ser inequívoco y otorgarse de forma implícita cuando se deduzca de una acción del

interesado (por ejemplo, cuando el interesado continúa navegando por una web y acepta así el que se utilicen

cookies para monitorizar su navegación).

Los tratamientos iniciados con anterioridad al inicio de la aplicación del RGPD sobre la base del consentimiento

seguirán siendo legítimos siempre que ese consentimiento se hubiera prestado del modo en que prevé el propio

RGPD, es decir, mediante una manifestación o acción afirmativa.

La información a los interesados, tanto respecto a las condiciones de los tratamientos que les afecten como en

las respuestas a los ejercicios de derechos, deberá proporcionarse de forma concisa, transparente, inteligible y

de fácil acceso, con un lenguaje claro y sencillo.

Contenido cláusulas informativas

Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el

momento en que estos se obtengan, le facilitará toda la información indicada a continuación:

a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;

b) los datos de contacto del delegado de protección de datos, en su caso;



Versión. 0 de 02-08-2019 26 de 60

c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;

d) cuando el tratamiento se base en el artículo 6 RGPD, apartado 1, letra f), los intereses legítimos del

responsable o de un tercero;

e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

f) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización

internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las

transferencias indicadas en los artículos 46 o 47 RGPD o el artículo 49 RGPD, apartado 1, párrafo segundo,

referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de

que se hayan prestado.

Además de la información mencionada en el apartado anterior, el responsable del tratamiento facilitará al

interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para

garantizar un tratamiento de datos leal y transparente:

a) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados

para determinar este plazo;

b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al

interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como

el derecho a la portabilidad de los datos;

c) cuando el tratamiento esté basado en el artículo 6 RGPD, apartado 1, letra a), o el artículo 9 RGPD, apartado

2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la

licitud del tratamiento basado en el consentimiento previo a su retirada;

d) el derecho a presentar una reclamación ante una autoridad de control;

e) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para

suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las

posibles consecuencias de que no facilitar tales datos;

f) la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22 RGPD,

apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la

importancia y las consecuencias previstas de dicho tratamiento para el interesado.

Y además, en el caso de que los datos no se obtengan del propio interesado:



Versión. 0 de 02-08-2019 27 de 60

• El origen de los datos

• Las categorías de los datos

8. IDENTIFICACIÓN DE OPERACIONES O ACTIVIDADES DE TRATAMIENTO

La descripción de los tratamientos sujetos al análisis de riesgos, permite obtener un conocimiento del ciclo de

vida de los datos, de las actividades realizadas y de cualquier elemento que interviene en las mismas.

Las actividades de tratamiento se agrupan por procesos comunes expuestos a riesgos similares, lo que simplifica

el análisis y permite establecer medidas de seguridad por defecto. Por ejemplo, todas las operaciones de

almacenamiento de datos están asociados al riesgo de falta de disponibilidad, por lo que la medida mitigadora

aplicable puede ser una política diaria de copias de seguridad definida para todas las bases de datos.

El ciclo de vida de los datos se puede dividir en las siguientes etapas:

Captura de datos: Proceso de obtención de datos para su almacenamiento y posterior procesado. Dentro de esta

categoría se pueden encontrar diversas técnicas: formularios web, formularios en papel, toma de muestras y

realización de encuestas, grabaciones de audio y video, redes sociales, captación mediante sensores, etc.

Clasificación / Almacenamiento: Establecer categorías y asignarlas a los datos para su clasificación y

almacenamiento en los sistemas o archivos.

Uso / Tratamiento: Operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos

personales, ya sea por procedimientos de los datos automatizados o manuales.

Cesión o transferencia de los datos a un tercero para su tratamiento: Traspaso o comunicación de datos

realizada a un tercero, definido como aquella persona física o jurídica, pública o privada u órgano administrativo.

Este concepto es muy amplio, puesto que recoge tanto la entrega, comunicación, consulta, interconexión,

transferencia, difusión o cualquier otra forma de acceso a los datos.

Destrucción: Eliminar los datos que puedan estar contenidos en los sistemas o archivos, de manera que no

puedan ser recuperados de los soportes de almacenamiento.

Los elementos involucrados en cada una de las etapas del ciclo de vida de los datos en las actividades de

tratamiento, se pueden clasificar en las siguientes categorías:



Versión. 0 de 02-08-2019 28 de 60

Actividades de tratamiento sobre los datos de carácter personal

Una actividad de tratamiento responde a la materialización de una finalidad sobre los datos personales de un

determinado colectivo de personas. Así una actividad de tratamiento puede ser la gestión de personal, la gestión

de historias clínicas, la gestión de alumnos, la gestión de becas, la gestión de una biblioteca, la gestión de la agenda

institucional de una organización.

Son las que se ejecutan en el ciclo de vida o en el conjunto de etapas del ciclo de vida o en el conjunto de etapas

del ciclo de vida, y que dan lugar a alcanzar su finalidad definida. Una actividad u operación puede considerarse,

por ejemplo, el almacenamiento de datos en una base de datos, la manipulación de la información para la

obtención de decisiones, un proceso de borrado o cualquier tarea que requiera el tratamiento o manipulación de

los datos y que formen parte de un tratamiento que tiene una finalidad concreta y que define uno de los objetivos

o actuaciones que la organización debe realizar sobre los datos de carácter personal.

Datos

El ciclo de vida está directamente relacionado con los datos personales que se tratan. Por ello, su identificación

en cada etapa es fundamental para poder establecer interrelaciones y dependencias entre las operaciones de

tratamiento y conjuntos de datos identificados.

Para cada tipología de datos, se debe establecer su categoría (datos especiales) y su grado de importancia dentro

de las actividades de tratamiento, determinando si es imprescindible o no su inclusión. En este punto, también es

necesario considerar el principio de minimización de los datos y asegurar que no existen datos que no se prevén

utilizar o recopilar sin utilidad para la finalidad de las actividades de tratamiento.



Versión. 0 de 02-08-2019 29 de 60

Intervinientes.

Durante todo el ciclo de vida de los datos pueden existir numerosos intervinientes que participen en cada una de

las actividades de tratamiento. Esto se refiere a aquellas personas físicas o jurídicas que, de manera individual o

colectiva, están implicadas en las actividades del tratamiento de los datos de carácter personal, y cuyas funciones

y responsabilidades están definidas y delimitadas claramente.

Dentro de este grupo se puede incluir el responsable del tratamiento, áreas o empleados de las organizaciones

que participan activamente del procesado de los datos, encargados de tratamiento, etc.

Tecnología

De igual forma, la tecnología y los sistemas son una capa clave que da soporte a las actividades de tratamiento de

los datos de carácter personal. Se debe identificar aquellos elementos tecnológicos implicados (tanto hardware

como software) en las actividades de tratamiento a un alto nivel, sin llegar entrar en un análisis tecnológico

pormenorizado, como son las distintas tecnologías (cloud, BBDD, servidores), aplicaciones, dispositivos y/o

técnicas empleadas de procesamiento de los datos.

Para actividades de tratamiento con soporte en la misma tecnología, la exposición a los riesgos derivados de su

uso será similar y, por tanto, se podrá agrupar bajo este criterio las actividades de tratamiento a la hora de

identificar, evaluar y tratar los mismos.

Por último, no hay que olvidar que, si alguna actividad de tratamiento implica el procesamiento no automatizado

de los datos, se ha de identificar como una actividad más de tratamiento e inventariar como un activo más.

La identificación de operaciones de tratamiento de datos se incluye en el ANEXO 01 INVENTARIO DE

ACTIVIDADES DE TRATAMIENTO DE DATOS

9.ANÁLISIS DE RIESGOS

El RGPD condiciona la adopción de las medidas de responsabilidad activa al riesgo que los tratamientos puedan

suponer para los derechos y libertades de los interesados.

La gestión de riesgos requiere un profundo proceso de identificación, evaluación y tratamiento de los riesgos a

los que está expuesto una actividad de tratamiento. La metodología para la realización de un análisis está

enfocada a las actividades de tratamiento donde se requiere determinar la exposición al riesgo, en caso de ser

elevada requerirá una Evaluación de Impacto sobre la Protección de Datos (EIPD). Ante niveles de riesgo no

elevados, el proceso de análisis se puede simplificar poniendo foco en aquellos más relevantes que pueden

impactar en las actividades de tratamiento.



Versión. 0 de 02-08-2019 30 de 60

Los principales riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas,

se pueden diferenciar en 2 dimensiones:

Riesgos asociados a la protección de la información con foco en la integridad, disponibilidad y confidencialidad

de los datos. Por ejemplo, acceso ilegítimo a los datos o pérdida de datos.

Riesgos asociados al cumplimiento de los requisitos regulatorios relacionados con los derechos y libertades de

los interesados. Por ejemplo, uso ilegítimo de datos personales o la posibilidad de que el responsable no pueda

atender el ejercicio de los derechos que el RGPD reconoce al titular de los datos porque la organización no tiene

correctamente implementados y operativos los procedimientos correspondientes.

El proceso de gestión de riesgos se estructura en tres fases diferenciadas:

● Identificación

● Evaluación

● Tratamiento

● Identificación y evaluación de riesgos

Para la realización de la identificación y evaluación de riesgos para la protección de datos (análisis de riesgos), se

ha utilizado una metodología basada en la norma ISO 31000 (estándar internacional), que permite realizar un

análisis cualitativo de los riesgos para la protección de datos.

Los riesgos se identifican en base a las amenazas y vulnerabilidades a los que se encuentran expuestos los datos

personales y se ha tomado como referencia la Guía elaborada por la Agencia Española de Protección de Datos,

en la que los riesgos aparecen agrupados en categorías (Generales / Legitimación de los tratamientos y cesiones

de datos personales / Transferencias internacionales de datos / Notificación de los tratamientos / Transparencia

de los tratamientos / Calidad de los datos / Datos especialmente protegidos / Deber de secreto / Tratamientos

por encargo / Derechos / Seguridad).

El nivel de riesgo de una operación de tratamiento de datos personales, es una estimación de lo que puede ocurrir

y se valora, de forma cuantitativa, como el producto del impacto, (consecuencia), asociado a una amenaza

(suceso), por la probabilidad de la misma.

El cálculo del nivel de riesgo se realiza de la siguiente forma:

● PROBABILIDAD x IMPACTO = RIESGO



Versión. 0 de 02-08-2019 31 de 60

Probabilidad: Es la posibilidad de ocurrencia de un hecho, suceso o acontecimiento. La frecuencia de ocurrencia

implícita se corresponde con la amenaza. Para estimar la frecuencia podemos basarnos en datos empíricos (datos

objetivos) del histórico de la empresa, o en opiniones de expertos o del empresario (datos subjetivos). En la

estimación de la probabilidad de materialización del riesgo, se tiene en cuenta, además de la frecuencia de la

amenaza, el grado de vulnerabilidad al que está expuesta la organización para cada amenaza.

El valor de la probabilidad de materialización del riesgo se estima, dando valores de 1 a 3 en base a la siguiente

tabla:

Muy alta (81%-100%)

5

Alta (61%-80%) 4

Media (41%-60%) 3

Baja (21%-40%) 2

Muy baja (0%-20%) 1

Impacto o consecuencia de la materialización de una amenaza sobre una operación de tratamiento de datos

personales aprovechando una vulnerabilidad. El impacto se suele estimar en porcentaje de degradación que

afecta a los derechos de las personas (interesados cuyos datos son objeto de tratamiento), el 100% sería la

pérdida total de los derechos de las personas.

El valor del impacto de materialización del riesgo se estima en base al impacto que tendría sobre los derechos

fundamentales de las personas, dando valores de 1 a 3 en base a la siguiente tabla:

Muy alto 5

Alto 4

Medio 3

Bajo 2

Muy bajo 1

Por tanto, para el nivel de riesgo de una operación de tratamiento de datos personales obtenido en el análisis de

riesgos realizado, obtendremos valores de riesgo desde 1 a 9.

Para la realización del Análisis de Riesgos se ha utilizado una herramienta Excel, en base a la metodología descrita

en este apartado.



Versión. 0 de 02-08-2019 32 de 60

Gestión de los Riesgos (Tratamientos de los riesgos)

La gestión de riesgos incluye el análisis de riesgos (conocer los riesgos a los que está expuesta la organización y

los datos personales tratados por esta) y el tratamiento de los riesgos (tratamiento de los riesgos que superan un

nivel de riesgo admisible por la organización).

Para realizar el tratamiento de los riesgos, se puede optar por varias opciones:

Evitar el riesgo, por ejemplo, eliminando el factor que lo causa, o cesar un tratamiento específico.

Reducirlo o mitigarlo, implantando medidas (controles) que logren disminuir el nivel de riesgo por debajo del

aceptable por la organización.

Se puede reducir la probabilidad o frecuencia de ocurrencia: tomando, por ejemplo, medidas preventivas.

Se puede reducir el impacto de la amenaza o acotar el impacto, estableciendo por ejemplo controles y revisando

el funcionamiento de las medidas preventivas.

Transferirlo, compartirlo o asignarlo a terceros, en caso de que la organización no tenga la capacidad de

tratamiento y precise la contratación de un tercero con capacidad para reducir y gestionar el riesgo dejándolo

por debajo del umbral.

Aceptarlo, se asume el riesgo, bien porque está debajo del umbral aceptable de riesgo bien en situaciones en las

que los costes de su tratamiento son elevados y aun siendo riesgos de impacto alto su probabilidad de ocurrencia

es baja.

En nuestro caso se tratarán los riesgos cuyo nivel supere el valor 9, según se indica en la siguiente tabla:

PROBABILIDAD

IMPACTO__

Muy baja (0%-20%)

1

Baja (21%-40%)

2

Media (41%-60%)

3

Alta (61%-80%)

4

Muy alta (81%-100%)

5

Muy bajo 1 1 2 3 4 5

Bajo 2 2 4 6 8 10

Medio 3 3 6 9 12 15

Alto 4 4 8 12 16 20



Versión. 0 de 02-08-2019 33 de 60

Muy alto 5 5 10 15 20 25

Para la realización tratamientos de riesgos se ha utilizado la herramienta Excel de Análisis de Riesgos, en la

columna de controles (que se aplicarían), en base a la metodología descrita en este apartado.

Para la implantación de controles se tendrá de referencia los incluidos en las normas de seguridad de la

información ISO 27001 e ISO 27002.

El Análisis de Riesgos realizado se encuentra en el ANEXO 08 ANÁLISIS DE RIESGOS PROTECCIÓN DE DATOS

10. EVALUACIÓN DE IMPACTO SOBRE LA PROTECCIÓN DE DATOS

En caso de que el tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance,

contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del

tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la

protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento

similares que entrañen altos riesgos similares.

El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha sido

nombrado, al realizar la evaluación de impacto relativa a la protección de datos.

La evaluación de impacto relativa a la protección de los datos se requerirá en particular en caso de:

a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento

automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos

jurídicos para las personas físicas o que les afecten significativamente de modo similar;

b) tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de

los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o

c) observación sistemática a gran escala de una zona de acceso público.

La evaluación deberá incluir como mínimo:

a) una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento,

inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;

b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su

finalidad;



Versión. 0 de 02-08-2019 34 de 60

c) una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1, y

d) las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que

garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento,

teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

En caso necesario, el responsable examinará si el tratamiento es conforme con la evaluación de impacto relativa

a la protección de datos, al menos cuando exista un cambio del riesgo que representen las operaciones de

tratamiento.

Se ha desarrollado un modelo de informe ANEXO 09 MODELO EVALUACIÓN DE IMPACTO.

11. REGISTRO DE OPERACIONES DE TRATAMIENTO

El responsable llevará un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho

registro deberá contener toda la información indicada a continuación:

a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del

responsable, y del delegado de protección de datos;

b) los fines del tratamiento;

c) una descripción de las categorías de interesados y de las categorías de datos personales;

d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los

destinatarios en terceros países u organizaciones internacionales;

e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la

identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el

artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;

f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;

g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se

refiere el artículo 32, apartado 1.

Estos registros constarán por escrito, inclusive en formato electrónico.

El responsable deberá poner el registro a disposición de la autoridad de control que lo solicite.



Versión. 0 de 02-08-2019 35 de 60

Las obligaciones realizar un registro de actividades de tratamiento no se aplicarán a ninguna empresa ni

organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un

riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos

personales indicadas en el artículo 9 RGPD, apartado 1, o datos personales relativos a condenas e infracciones

penales a que se refiere el artículo 10 RGPD.

12. NOTIFICACIONES DE VIOLACIONES DE SEGURIDAD

Violación o quiebra de seguridad: todo incidente que ocasione la destrucción, pérdida o alteración accidental o

ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no

autorizados a dichos datos. Debe ser comunicado al Delegado de Protección de Datos.

Por ejemplo: Pérdida de un ordenador portátil, Acceso no autorizado a las bases de datos, Borrado accidental de

algunos registros.

El Responsable (Delegado de Protección de Datos) debe notificarla a AEPD, a menos que sea improbable que la

violación suponga un riesgo para los derechos y libertades de los afectados.

La notificación de la quiebra a las autoridades debe producirse sin dilación indebida y, a ser posible, dentro de las

72 horas siguientes a que el responsable tenga constancia de ella.



La notificación ha de incluir un contenido mínimo:

• la naturaleza de la violación

• categorías de datos y de interesados afectados

• medidas adoptadas por el responsable para solventar la quiebra

• si procede, las medidas aplicadas para paliar los posibles efectos negativos sobre los interesados

En los casos en que sea probable que la violación de seguridad entrañe un alto riesgo para los derechos o

libertades de los interesados, la notificación a la autoridad de supervisión deberá complementarse con una

notificación dirigida a estos últimos.

Se mantendrá un registro de las quiebras de seguridad que se produzcan en la entidad, según el ANEXO 1O

REGISTRO DE QUIEBRAS DE SEGURIDAD




Versión. 0 de 02-08-2019 36 de 60

13. DELEGADO DE PROTECCIÓN DE DATOS

El responsable del tratamiento designará un delegado de protección de datos siempre que:

a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio

de su función judicial;

b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en

razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran

escala, o

c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de

categorías especiales de datos con arreglo al artículo 9 o de datos personales relativos a condenas e infracciones

penales a que se refiere el artículo 10.

Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar

un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su

estructura organizativa y tamaño.

El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a

sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad

para desempeñar las funciones indicadas en el artículo 39 RGPD.

El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del

tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.

El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de

datos y los comunicarán a la autoridad de control.



14. DERECHO A LA DESCONEXIÓN DIGITAL EN EL ÁMBITO LABORAL

El derecho a la desconexión digital se regula dentro del TÍTULO X Garantía de los derechos digitales de la

Ley 3/2018 de Protección de Datos y Garantía de los Derechos Digitales, en su artículo 88:

1. Los trabajadores y los empleados públicos tendrán derecho a la desconexión digital a fin de garantizar,

fuera del tiempo de trabajo legal o convencionalmente establecido, el respeto de su tiempo de descanso,

permisos y vacaciones, así como de su intimidad personal y familiar.




Versión. 0 de 02-08-2019 37 de 60

2. Las modalidades de ejercicio de este derecho atenderán a la naturaleza y objeto de la relación laboral,

potenciarán el derecho a la conciliación de la actividad laboral y la vida personal y familiar y se sujetarán a lo

establecido en la negociación colectiva o, en su defecto, a lo acordado entre la empresa y los representantes

de los trabajadores.

3. El empleador, previa audiencia de los representantes de los trabajadores, elaborará una política interna

dirigida a trabajadores, incluidos los que ocupen puestos directivos, en la que definirán las modalidades de

ejercicio del derecho a la desconexión y las acciones de formación y de sensibilización del personal sobre un uso

razonable de las herramientas tecnológicas que evite el riesgo de fatiga informática. En particular, se preservará

el derecho a la desconexión digital en los supuestos de realización total o parcial del trabajo a distancia así como

en el domicilio del empleado vinculado al uso con fines laborales de herramientas tecnológicas.

Se mantendrá una política interna de desconexión digital en el ámbito laboral en el ANEXO 11 POLÍTICA

INTERNA EN RELACIÓN CON EL DERECHO A LA DESCONEXIÓN DIGITAL EN EL ÁMBITO LABORAL.

15. DESCRIPCIÓN DEL SISTEMA DE INFORMACIÓN UTILIZADO PARA EL TRATAMIENTO DE LOS DATOS DE CARÁCTER PERSONAL

GRUPO SOLTEL cuenta con una infraestructura informática centralizada en lo que se denomina un Centro de

Proceso de Datos (CPD), ubicados en Sevilla edificio Fundosa, con una infraestructura tecnológica que da

soporte a toda su estructura.

Las características de los Sistemas de Información se detalla a continuación:

Los componentes hardware principales de este CPD están actualmente instalados en varios armarios racks y son

los que se describen a continuación:

● 2 servidores (máquinas independientes).

● 4 switches.

● Cabina de almacenamiento para todo el entorno.

● Cabina de almacenamiento NAS

● Equipamiento Firewall.



Versión. 0 de 02-08-2019 38 de 60

SOLTEL gestiona la información en un entorno virtualizado, construido sobre una plataforma de Vmware, donde

se simulan múltiples máquinas (denominadas “máquinas virtuales”) que utilizan los recursos que aportan los

servidores mencionados.

SOLTEL dispone también de diversas licencias y servicios de suscripción:

● Licencia Vmware Vsphere Enterprise Plus.

● Licencia Vmware Vcenter Standard.

● Licencia Veeam backup Enterprise.



Versión. 0 de 02-08-2019 39 de 60

Mapa de red

El sistema informático utilizado por los diferentes usuarios para el tratamiento de los datos de carácter personal,

se compone de ordenadores de sobremesa en cada uno de los puestos de trabajo conectados en red. Los

ordenadores de cada puesto acceden a la información estrictamente necesaria para el desempeño de la actividad

para cada puesto de trabajo. Algunos equipos del personal de la Dirección Económico-Financiera contienen la

aplicación de facturación-contabilidad ATRACTOR para el tratamiento de la información relativa a los clientes y

proveedores; cuya base de datos se aloja en el servidor correspondiente, y es donde se almacena toda la

información generada como consecuencia de su actividad. Algunos equipos del personal de la Dirección de

Recursos Humanos y Administración contienen la aplicación de gestión de personal ATRACTOR para el

tratamiento de la información relativa a los trabajadores; cuya base de datos se aloja en el servidor

correspondiente, y es donde se almacena toda la información generada como consecuencia de su actividad. El

personal exclusivamente puede acceder a las carpetas con la información necesaria para el desempeño de la

actividad de su puesto de trabajo.



Versión. 0 de 02-08-2019 40 de 60

En relación con el asesoramiento y mantenimiento informático, hardware y software: las tareas de

mantenimiento se realizan en las instalaciones de la empresa o a través de acceso remoto por personal de la

misma.

Existe la posibilidad de conexión remota a la red por parte de determinados empleados de la empresa, así como

por personal externo cuando así se requiere, mediante la habilitación de accesos por Red Privada Virtual (VPN).

Estos accesos y la creación de VPN deben ser explícitamente autorizados y configurados por parte del personal

del Área de Sistemas de SOLTEL

Todos los empleados de la empresa pueden conectarse a su cuenta de Google (Gsuite) desde cualquier ubicación,

teniendo en cuenta lo siguiente (según el procedimiento IT 09.10 GUIA DE LAS BUENAS PRÁCTICAS EN

SEGURIDAD DE LA INFORMACIÓN) :

- El usuario será responsable de garantizar la seguridad de la información que de su trabajo se haya

generado en el mismo y evitar posibles riesgos derivados de esta actividad con la adopción de las

oportunas medidas de seguridad.

- No se podrá acceder a información confidencial en entornos no controlados.

- Se consideran entornos controlados, a efectos de esta política, la residencia habitual del usuario o

cualquier otra ubicación que con anterioridad indique a la empresa.

- El usuario se hace responsable de la no revelación de información a la que tenga acceso en el desarrollo

de su actividad profesional, y de la custodia de los medios de trabajo facilitados.

- Queda prohibido utilizar los recursos informáticos a los que tenga acceso, para uso privado o para

cualquier otra finalidad diferente de las estrictamente laborales, en los casos en los que:

- Su uso vulnere cualquier legislación o norma interna de la empresa.

- Su uso implique un consumo continuado y/o relevante de recursos de Internet u otros de la

empresa.

- Su uso implique el acceso a páginas de Internet o a correos electrónicos que puedan suponer

riesgos para nuestros sistemas informáticos (virus), o daños para la imagen o la reputación de la

empresa.

- En caso de incidentes de seguridad derivados del uso del equipo, de la cuenta de Google o

cualquier otro recurso, el usuario deberá ponerlo a la mayor brevedad en conocimiento del

Responsable de seguridad.



Versión. 0 de 02-08-2019 41 de 60

16. FUNCIONES Y OBLIGACIONES DEL PERSONAL

Todo el personal que acceda a los datos de carácter personal está obligado a conocer y observar las medidas,

normas, procedimientos, reglas y estándares que afecten a las funciones que desarrolla.

Constituye una obligación del personal notificar al Responsable del tratamiento las incidencias de seguridad de

las que tengan conocimiento respecto a los recursos protegidos, según los procedimientos establecidos en este

Documento, y en concreto en el apartado relativo a la notificación, gestión y registro de incidencias.

Todas las personas deberán guardar el debido secreto y confidencialidad sobre los datos personales que

conozcan en el desarrollo de su trabajo..

El personal afectado por esta normativa, que se refleja en IT 09.01 ORGANIZACION DE LA SEGURIDAD DE LA

INFORMACIÓN y se clasifica, de conformidad con lo establecido en la legislación vigente en materia de

Seguridad de Datos Personales, en:

Responsable del Tratamiento: Es el encargado jurídicamente de la seguridad de los datos, de implantar las

medidas de seguridad contenidas en el presente documento y de adoptar los mecanismos necesarios para que el

personal afectado por este documento conozca las normas que le son aplicables en materia de Protección de

Datos en el desarrollo o ejecución de sus funciones.

Encargado del Tratamiento: Es la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo

que, sólo o conjuntamente con otros, trate datos de carácter personal por cuenta del Responsable del

Tratamiento.

Usuario: Es la persona física autorizada por el Responsable del Tratamiento para acceder a datos personales y

cuyo tratamiento es necesario para el desarrollo de sus funciones.

Administrador: Es la persona física encargada de administrar o mantener el entorno operativo para el

tratamiento de datos. Este personal estará supervisado por el responsable del Departamento de Sistemas, ya que

por sus funciones pueden utilizar herramientas de administración que permitan el acceso a los datos protegidos.

Responsable de Recursos Humanos

Tendrá acceso en todo momento a la información personal de todos los empleados, incluida la información de

carácter médico.

Será la persona encargada de recabar los datos de los empleados e introducirlos en el fichero. Antes de recabar

los datos informará a los titulares de lo dispuesto en la LOPD y recabará su consentimiento mediante la firma del



Versión. 0 de 02-08-2019 42 de 60

documento de conformidad.

Informará al empleado de los derechos de acceso, rectificación y cancelación en lo concerniente a la relación

entidad-empleado. Y explicará el procedimiento existente para la ejercitación de dichos derechos.

Responsable de Selección de personal

Será la persona encargada de recibir los datos de los candidatos e introducirlos en el fichero.

Informará al titular cuando así lo solicite de los derechos de acceso, rectificación y cancelación y explicará el

procedimiento existente en la entidad para la ejercitación de dichos derechos mediante la entrega del

documento preceptivo en el que se garantiza el derecho de información de los titulares de los datos. Este

documento, debidamente fechado y firmado por el candidato, deberá ser archivado junto con su información

identificativa y curricular.

Tendrá acceso en todo momento a la información de los candidatos durante los dos meses siguientes a la

recepción del currículum.

Personal de Administración

Tendrá acceso en todo momento a la información personal de todos los empleados, incluida la información de

carácter médico.

Será la persona encargada de recabar los datos de los empleados e introducirlos en el sistema de información.

Antes de recabar los datos informará a los titulares de lo dispuesto en la LOPD y recabará su consentimiento

mediante la firma del documento de conformidad.

Informará al empleado de los derechos de acceso, rectificación y cancelación en lo concerniente a la relación

empresa-empleado. Y explicará el procedimiento existente para la ejercitación de dichos derechos.

Personal de Dirección

El personal de Dirección tendrá acceso a información de gestión de las personas a su cargo. Se considerará como

información de gestión:

● Datos de identificación

● Datos profesionales generados en la organización, incluidas evaluaciones del desempeño, cursos

recibidos, vacaciones e información salarial.

Así mismo tendrá acceso a toda la información de socios, usuarios y proveedores de la entidad necesarios para la

gestión, seguimiento y mantenimiento de la relación contractual.



Versión. 0 de 02-08-2019 43 de 60

Personal Informatico

Como administradores del sistema, tendrán acceso en todo momento a la información de todos los ficheros para

realizar las tareas de soporte informático ante las incidencias que pudieran producirse.

Personal comercial

Será la persona encargada de recibir los datos de carácter personal de los clientes y potenciales clientes e

introducir dicha información en el sistema de información.

Informará al titular cuando así lo solicite de los derechos de acceso, rectificación y cancelación y explicará el

procedimiento para la ejercitación de dichos derechos.

Tendrá acceso en todo momento a la información de los clientes (junto con su expediente en relación con el

servicio prestado por el) y potenciales clientes.

Responsabilidad por incumplimiento de las obligaciones.

Este documento es de obligado cumplimiento para todo el personal de

El Responsable del Tratamiento velará por el cumplimiento de las normas descritas en este documento, y si

detecta incumplimiento de las mismas, tanto deliberado como accidental, alertará a los causantes del mismo

realizando un seguimiento hasta asegurarse de que desaparece el problema.

En caso de incumplimiento deliberado o cuando concurran las siguientes circunstancias:

● No colaboración por parte de los causantes para resolver el problema causado.

● Reincidencia.

● Gravedad del hecho (infracción consciente para obtener un beneficio).

El Responsable de Seguridad pondrá el hecho en conocimiento del Responsable del Tratamiento, quien valorará

las circunstancias pudiendo decidir si iniciar o no de los trámites de apertura de un procedimiento disciplinario/

sancionador dentro de la empresa.



Versión. 0 de 02-08-2019 44 de 60

17. IDENTIFICACIÓN Y AUTENTICACIÓN

Reflejado en el documento IT 09.03 CONTROL DE ACCESO de la ISO 27.000

Los sistemas informáticos que dan acceso a ficheros que contienen datos de carácter personal tendrán siempre

este acceso restringido mediante un código de usuario y una contraseña, sin cuya introducción resulte imposible

acceder a los datos protegidos.

Sólo en los casos en que el sistema informático o los ficheros de datos sean accedidos exclusivamente por un

usuario, se podrá prescindir del código de usuario. En este supuesto, las referencias que a continuación se

realizan al código de usuario se entenderán referidas exclusivamente a la contraseña.

• Todos los usuarios autorizados, disponen de un código de usuario particular asociado a una contraseña

que sólo conoce el usuario.

• El código de usuario y la contraseña son absolutamente personales e intransferibles; por ello, los

registros que se efectúen sobre operaciones realizadas bajo un código y contraseña se atribuirán, salvo

prueba en contrario, al titular de los mismos y quedarán bajo su responsabilidad personal.

• Queda expresamente prohibido ceder o comunicar la contraseña o mecanismo de autenticación a otros,

así como aceptarla de otro usuario, incluso de la misma área de trabajo, y deben custodiarse

debidamente.

• Cada usuario es responsable de la confidencialidad de su contraseña, por lo que si advierte o sospecha

que la misma ha podido ser conocida fortuita o fraudulentamente por personas no autorizadas, deberá

registrarlo como incidencia y notificárselo de inmediato al responsable de seguridad, que asignará una

nueva contraseña al usuario, aplicándose el procedimiento de gestión y registro de incidencias. Será

decisión de la persona u órgano autorizado, el presentar la correspondiente denuncia, en función del

daño producido, la posible transgresión de leyes o disposiciones, implicación de terceros, y el impacto

que en la imagen de la entidad que el conocimiento del hecho pudiera suponer.

• Cuando es necesario dar de alta un nuevo usuario, la Dirección se pone en contacto con

EQUIPO.SISTEMAS que lo hará conforme a las funciones a desarrollar indicadas por la Dirección. Se le

facilitará su nombre de usuario y contraseña. La contraseña deberá ser cambiada tras el primer inicio de

sesión.

En el caso de necesitar compartir datos o correo se usarán otros mecanismos como carpetas o sistemas de

trabajo en grupo.



Versión. 0 de 02-08-2019 45 de 60

Los administradores de seguridad y de redes deberán establecer sistemas suficientemente flexibles y eficaces

como para poder otorgar acceso a cualquier usuario autorizado en un tiempo razonable, para evitar tener que

utilizar un código de usuario ajeno en caso de ausencia o sustitución.

Cada usuario sólo tendrá un código para acceder a un sistema único o a varios. Cada código de usuario

identificará a un usuario y no a un grupo, aunque los sistemas permitan esa posibilidad.

No se reutilizarán o se reasignarán códigos de usuario.

La identificación de los usuarios se hará preferentemente mediante códigos que no sean deducibles a partir de

datos muy conocidos de los propios usuarios, como número de empleado, o primeras letras de nombre y apellido.

En cuanto a las contraseñas, y salvo que para determinados sistemas, por no disponer de ciertas facilidades o no

requerir el mismo nivel de los datos el responsable del servicio lo autorice expresamente, se cumplirán los

siguientes puntos:

• Las contraseñas que lleguen en los paquetes y programas, especialmente aquéllas de administradores o

usuarios con accesos amplios, se sustituirán.

• La longitud será como mínimo de ocho caracteres (MÍNIMO 8 CARACTERES) incluyendo mayúscilas,

minúsculas y números.

• Se asignarán de forma que cada usuario la pueda recordar fácilmente sin consultar anotaciones y que a

la vez sean muy difíciles de deducir por otros.

• Se podrán asignar dígitos, letras (tanto mayúsculas como minúsculas) y símbolos especiales, y caracteres

superiores e inferiores si el sistema lo permite, para que no resulten palabras que figuran en los

diccionarios o derivadas de éstas como tiempos de verbos.

• En el caso de contraseñas asignados por el sistema o por el administrador, se harán llegar al destinatario

lo antes posible, y éste entrará al sistema de forma inmediata, exigiéndole el sistema que asigne una

nueva contraseña.

• El administrador del sistema o el supervisor del usuario se asegurarán de que el receptor sea el

verdadero usuario.

• Los usuarios no escribirán las contraseñas, salvo que no exista riesgo de revelación no autorizada.

• Se permitirán un número de intentos de acceso al sistema de información limitados (5 Intentos).

• El archivo en el que queden almacenadas las contraseñas será accesible exclusivamente por el

responsable del tratamiento o el responsable de seguridad con la autorización expresa de aquél. El



Versión. 0 de 02-08-2019 46 de 60

archivo deberá estar protegido y las contraseñas se almacenarán de forma ininteligible, de forma que ni

siquiera el responsable del tratamiento o el responsable de seguridad serán capaces de poder descifrar

en ningún caso las contraseñas guardadas.

• Las contraseñas tendrán una vigencia máxima de 3 meses (máximo 3 meses), salvo sistemas o

aplicaciones más críticos, en que podrán ser incluso de un solo uso.

Sólo se otorgarán códigos de usuario a empleados, contratados o asesores autorizados por escrito por parte de

directivos con poder suficiente para ello.

Los perfiles otorgados a los usuarios y los conjuntos de datos o recursos a los que puedan acceder, lo serán

basándose en las función que hayan de realizar, no por su nivel o categoría dentro de la entidad. Los usuarios

deben firmar un acuerdo con la entidad para la que prestan servicios en el que se reconocen sus posibilidades de

acceso y su responsabilidad de uso y no cesión ni revelación de contraseñas o claves.

En la medida en que sea posible y práctico, a los usuarios se les pedirá una única identificación y autenticación

frente al sistema, y en función de su perfil se les permitirá o no después el acceso a diferentes plataformas,

sistemas, aplicaciones, datos y transacciones, y con determinados atributos.

En el caso de varios sistemas con diferente nivel de protección, excepcionalmente puede ser preferible requerir

más de una contraseña diferente.

En el caso de ausencia de uso del teclado durante un tiempo (diez minutos salvo para aquellos sistemas en que

por sus características se fije otro límite, inferior o superior), el terminal, ordenador personal o estación,

automáticamente dejará de mostrar en pantalla la misma información, siendo necesaria la autenticación del

usuario de nuevo para la reanudación.

En el caso de aplicaciones o datos clasificados, el usuario antes de abandonar su puesto de trabajo, incluso

momentáneamente, deberá salir del sistema o bloquear su sesión, y especialmente cuando al área puedan

acceder otras personas como clientes, proveedores o público en general.

Los privilegios especiales o los perfiles con funciones más avanzadas, como creación de usuarios o asignación de

contraseñas iniciales, sólo se asignarán a administradores y a quién realmente las necesiten, en función de las

tareas que les hayan encomendado.

Cuando un usuario varía de función o bien deja de prestar servicios para la entidad, su usuario será

automáticamente eliminado, o al menos bloqueado mientras tanto, y en su departamento o área el responsable

deberá asignar a alguien la custodia y revisión de los ficheros, programas y documentación que hubiera usado

hasta entonces, al menos de forma provisional.



Versión. 0 de 02-08-2019 47 de 60

18. CONTROL DE ACCESOS

Referencia documento ISO 27000 - IT 09.03 CONTROL DE ACCESOS

Los sistemas informáticos que dan acceso a ficheros que contienen datos de carácter personal tendrán siempre

este acceso restringido mediante un código de usuario y una contraseña, sin cuya introducción resulte imposible

acceder a los datos protegidos. De este modo se garantiza que los usuarios únicamente accedan a aquéllos datos

y recursos que precisen para el desarrollo de sus funciones, y se evitan que los usuarios accedan a recursos y

datos de carácter personal con derechos distintos de los autorizados.

En el apartado relativo a las FUNCIONES Y OBLIGACIONES DE LOS USUARIOS existirá una relación

actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos.

Se mantendrá un registro de los accesos de los usuarios al sistema de información que estará gestionado y bajo

control del Responsable de Seguridad, que lo revisará y conservará durante los periodos establecidos

reglamentariamente.

El personal autorizado por el Responsable del Tratamiento para conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecido Referencia documento ISO 27000 IT 09.03 CONTROL DE ACCESOS

19. CONTROL DE ACCESO FÍSICO

Exclusivamente el personal autorizado tendrá acceso a los lugares donde se encuentre los equipos que dan

soporte al sistema de información. El acceso al CPD está restringido a personal autorizado que está definido

en Referencia documento ISO 27000 IT 09.05 SEGURIDAD FÍSICA Y DEL ENTORNO

20. GESTIÓN DE SOPORTES Y DOCUMENTOS

Referencia documento ISO 27000 IT 09.02 GESTIÓN DE ACTIVOS



Versión. 0 de 02-08-2019 48 de 60

El objeto de esta norma es dejar establecidos los procedimientos de gestión de soportes que permitan identificar,

inventariar y almacenar los soportes informáticos de acuerdo con las exigencias establecidas en el artículo 92 del

Real Decreto 1720/2007 de 21 de diciembre (Reglamento de Desarrollo de la LOPD)

El etiquetado de soportes se realiza sobre todos los activos con datos de carácter personal, identificando el

código del soporte, nombre del fichero, código del fichero comunicado por la Agencia Española de Protección de

Datos y el nivel de seguridad de los datos contenidos en el fichero.

Para el inventario de los soportes y la identificación del tipo de información que contienen se mantendrá para

cada soporte o conjunto de soportes un registro con un número de identificación único, el tipo de información

que contiene y la fecha de alta o baja en el inventario.

Los pasos para dar un alta en el inventario son:

• Se almacenarán los siguientes datos relativos al soporte:

▪ Fecha de alta del soporte.

▪ Código de la etiqueta con la que se identifica el soporte.

▪ Tipo de soporte que es.

▪ Descripción del contenido del soporte.

• Identificar el soporte mediante una pegatina con el mismo código de etiqueta registrado en la aplicación.

Cuando un soporte vaya a ser desechado se procederá a la destrucción física del mismo. Para la reutilización de

soportes será necesario borrar previamente toda la información que contenga. Tanto para el desechado como

para la reutilización de un soporte habrá de asegurarse que sea imposible la recuperación de la información

almacenada en él.

Siempre que se proceda al desechado o reutilización de un soporte se debe avisar al Responsable de Seguridad

para que proceda a su baja en el inventario.

• Destrucción lógica. Su objetivo es borrar los datos existentes en dicho soporte. Se realiza mediante un

formateo del mismo. Este proceso no siempre es viable, pues habitualmente los soportes a destruir

presentan problemas de funcionamiento; en cualquier caso debe intentarse.

• Destrucción física. Se pretende la inutilización definitiva del soporte. Este procedimiento varía según su

tipo:



Versión. 0 de 02-08-2019 49 de 60

• Discos Duros. Habitualmente, basta con abrir la carcasa que contiene los discos. Para mayor seguridad

se procederá a rayar la superficie de los mismos mediante un elemento mecánico.

• CDs. Basta con romperlos.

• Para la destrucción de papel se utilizará una destructora con nivel de protección equivalente al nivel de

datos del fichero de procedencia de los datos.

Si los soportes van a ser entregados a una entidad externa para mantenimiento, y no ha sido posible borrarlos, o

bien se intenta la recuperación o es para su destrucción, y en especial si no existe un contrato, se deben exigir

cláusulas de confidencialidad, y en el caso de destrucción, la confirmación escrita de la misma.

Hasta que se proceda al tratamiento, borrado o destrucción, los soportes estarán protegidos frente al acceso no

autorizado.

Finalmente se dará de baja en el inventario de soportes anotando el método utilizado. Los pasos para dar una

baja en el inventario son:

• Los soportes no podrán salir de los locales en que están ubicados, salvo autorización del responsable del

tratamiento. Cuando dicha salida tenga por finalidad la realización de operaciones de mantenimiento se

tomarán las medidas necesarias para impedir su recuperación indebida (desmagnetización, cifrado, etc.).

Se seleccionará el soporte a dar de baja buscando el número identificativo del soporte y se guardará un

registro informando de la salida o baja de ese soporte en el que se indicará:

▪ Fecha de baja del soporte.

▪ Motivo de esta baja.

▪ Procedimiento utilizado para realizar la baja / destrucción.

Los soportes se almacenarán en un local con llave, estando el acceso al mismo limitado al Responsable del

tratamiento y a las personas que este expresamente autorice.

La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o

anexos a un correo electrónico, fuera de los locales bajo el control del responsable del tratamiento, deberá ser

previamente autorizada por él o encontrarse debidamente autorizada en el documento de seguridad.

Se autoriza de manera genérica a todos los usuarios de la organización que así lo requieran para el desarrollo de

sus funciones a enviar la siguiente información por correo electrónico:

1. albaranes y facturas emitidas a los clientes.



Versión. 0 de 02-08-2019 50 de 60

2. documentación relativa a los empleados de la entidad necesaria para la regularización de su situación

con las AAPP con competencia en la materia, con destino la asesoría laboral o la AA.PP. competente.

3. información relativa a los salarios de los empleados para que la transferencia bancaria pueda llevarse a

cabo.

4. INDICAR OTRAS SALIDAS DE SOPORTES

Se autoriza de manera genérica a los usuarios del Departamento Comercial de la organización que así lo

requieran para el desarrollo de sus funciones a sacar dispositivos móviles con las medidas de seguridad

correspondientes (usuario + contraseña)

21. CRITERIOS DE ARCHIVO. ALMACENAMIENTO DE LA INFORMACIÓN. CUSTODIA DE DOCUMENTOS

Se establecerán criterios de archivo que garanticen la correcta conservación de los documentos, la localización

y consulta de la información y posibilitar el ejercicio de los derechos de acceso, rectificación, supresión y olvido,

limitación del tratamiento, portabilidad y oposición.

Deberán disponer de mecanismos que obstaculicen su apertura. Cuando no se pueda, se adoptarán medidas que

impidan el acceso de personas no autorizadas.

Mientras la documentación no se encuentre archivada en los dispositivos de almacenamiento establecidos, por

estar en proceso de revisión o tramitación, la persona que se encuentre al cargo de la misma deberá custodiarla

e impedir en todo momento que pueda ser accedida por persona no autorizada.

La documentación del año en curso se encuentra distribuida en las diferentes dependencias de las instalaciones

de la entidad, a la disposición de los usuarios autorizados que requieran su acceso para el desarrollo de su

actividad profesional.

La documentación de años anteriores se encuentra en armarios específicos para el almacenamiento definitivo.

Para la identificación del contenido archivado, se etiquetarán las carpetas en base a las siguientes pautas:

• FACTURAS EMITIDAS: FACTURAS CLIENTES – MES - AÑO

• FACTURAS RECIBIDAS: FACTURAS PROVEEDORES – MES - AÑO.

• CONTRATOS Y NÓMINAS: existe un expediente por cada trabajador en el que se guarda toda la

documentación generada por el empleado en el transcurso de la relación laboral con la entidad.



Versión. 0 de 02-08-2019 51 de 60

21. ACCESO A TRAVÉS DE REDES DE COMUNICACIONES

Referencia documento ISO 27000 IT 09.03 CONTROL DE ACCESOS

Con la finalidad de garantizar el cumplimiento de lo recogido en el artículo 85 del Real Decreto 1720/2007 de 21

de diciembre (Reglamento de Desarrollo de la LOPD) (Acceso a través de redes de comunicaciones), la entidad

implantará las medidas tendentes a garantizar la confidencialidad e integridad de los contenidos y minimizar los

ataques activos o pasivos, para garantizar un nivel de seguridad equivalente al correspondiente a los accesos en

modo local.

Estas medidas serán:

• Sistemas de autenticación fiables en los terminales, mediante nombre de usuario y contraseña.

• Protecciones físicas de acceso a los sistemas informáticos.

• Limitación del número de intentos de acceso al sistema ante la introducción reiterada de una contraseña

errónea.

• Bloqueo de terminales inactivos pasado un tiempo, según posibilidades de acceso y ubicación de los

mismos.

En el caso de redes locales, las medidas dependerán del tipo de datos y su nivel, y del ámbito: sala cerrada,

conexiones externas con otras redes, edificios compartidos con otras entidades, etc.

22.RÉGIMEN DE TRABAJO FUERA DE LOS LOCALES DE UBICACIÓN DEL FICHERO

Cualquier tratamiento de datos de carácter personal fuera de los locales de ubicación del fichero deberá ser

autorizado expresamente por el Responsable del tratamiento.

Deberá garantizarse el nivel de seguridad correspondiente a los datos contenidos en el fichero tratado.

Las medidas de seguridad deberán implementarse tanto en la ubicación del fichero como en los terminales o

dispositivos desde los que se accede o donde aparecen resultados visuales o impresos, así como en los procesos

de transmisión, para lo que se aplicarán otros apartados del Documento de Seguridad que puedan ser aplicables,

tales como identificación y autenticación, control de accesos, ficheros temporales, registro de incidencias,

gestión de soportes, registro de accesos, copias, telecomunicaciones y pruebas con datos reales.

En el caso de Encargados del Tratamiento existirán contratos que cumplan el artículo 12 de la LOPD, y se

especificarán las medidas de seguridad a cumplir.



Versión. 0 de 02-08-2019 52 de 60

En otros casos que no entren en la categoría anterior, existirán también medidas de seguridad adecuadas en

cuanto a accesos y autenticación, y salvaguardas en su caso, así como acuerdos de confidencialidad, y también

respecto a la devolución/destrucción de datos una vez finalizado el trabajo o según las condiciones que se

determinen, y de no realización de copias no autorizadas, o no modificación de datos sin autorización, según los

casos.

FORMATOS ASOCIADOS.-

Autorización para el tratamiento de datos fuera de su ubicación.

AUTORIZACIÓN DE SALIDA

Fecha de salida

Usuario

Fichero/s origen de los datos

Finalidad

AUTORIZACIÓN

Persona que autoriza

Cargo / Puesto

Observaciones

Firma



Versión. 0 de 02-08-2019 53 de 60

23 FICHEROS TEMPORALES

Los usuarios sólo crearán los ficheros temporales que sean estrictamente necesarios, y que estén autorizados, al

menos de forma genérica, por el Responsable del tratamiento.

Cualquier fichero temporal tendrá una finalidad concreta y una vigencia máxima, establecida en unidades de

tiempo desde su creación o hasta que se alcance una fecha u hora, o cuando se finalice un evento (como un

proceso), o cuando tenga lugar otro evento, como puede ser la copia siguiente o el apagado del sistema.

Todo fichero temporal que no sea creado de forma automática por un sistema tendrá asignado un responsable,

que lo será de su protección y de su uso: un usuario, un técnico o un encargado del tratamiento.

No se añadirán nuevos registros o campos a los ficheros temporales sin autorización, ya que de ese modo podrían

dar lugar a ficheros nuevos e incluso de un nivel de seguridad superior al original u originales.

En cualquier caso, los ficheros temporales cumplirán las medidas de seguridad correspondientes a su nivel, de

acuerdo con los criterios establecidos en el Reglamento y lo que se especifique en el Documento de Seguridad,

así como en su caso lo que se establezca en los correspondientes contratos.

Cuando ya no sean necesarios para los fines que motivaron su creación, tanto los ficheros temporales como las

copias de trabajo de documentos, se borrarán. En el caso de los ficheros temporales que crean directamente los

sistemas operativos, sistemas de gestión de bases de datos u otros, se borrarán expresamente de forma periódica

si el sistema no los borra de forma automática.

24. COPIAS DE SEGURIDAD

La seguridad de los datos personales de los ficheros no sólo supone la confidencialidad de los mismos, sino que

también conlleva la integridad y la disponibilidad de esos datos. Para garantizar estos dos aspectos

fundamentales de la seguridad es necesario que existan unos procesos de respaldo y de recuperación que, en

caso de fallo del sistema informático, permitan recuperar y en su caso reconstruir los datos del Fichero.

El responsable de fichero se encargará de verificar la definición y correcta aplicación de los procedimientos de

realización de copias de respaldo y de recuperación de los datos.

Existirá una persona, bien sea el administrador o bien otro usuario expresamente designado, que será

responsable de obtener periódicamente una copia de seguridad del fichero, a efectos de respaldo y posible

recuperación en caso de fallo.



Versión. 0 de 02-08-2019 54 de 60

En caso de fallo del sistema con pérdida total o parcial de los datos de los ficheros existirá un procedimiento,

informático o manual, que partiendo de la última copia de respaldo y del registro de las operaciones realizadas

desde el momento de la copia, reconstruya los datos del Fichero al estado en que se encontraban en el momento

del fallo. Reflejado en el documento de la ISO27000 IT 06.01 PLAN DE CONTINUIDAD Y DISPONIBILIDAD

Deberán realizarse copias de respaldo como mínimo semanalmente, salvo que en dicho periodo no se hubiera

producido ninguna actualización de los datos.

Deberá conservarse una copia de respaldo de los datos y de los procedimientos de recuperación de los mismos

en un lugar diferente de aquel donde se encuentre el sistema de información de la entidad.

Deberán verificarse semestralmente la correcta definición, funcionamiento y aplicación de los procedimientos

de realización de copias de respaldo y de recuperación de datos.

Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con

datos de carácter personal no se realizarán con datos reales, salvo que se asegure el nivel de seguridad

correspondiente al tratamiento realizado y se anote su realización en el documento de seguridad. Si está previsto

realizar pruebas con datos reales, previamente deberá haberse realizado una copia de seguridad, que deberá ser

convenientemente registrada.

DESCRIPCIÓN DEL PROCEDIMIENTO

Las copias de seguridad se realizan en un disco duro dedicado a la copia en el Servidor, se realiza copia

diaria o semanal (según se haya establecido su criticidad) haciendo distinción entre incrementales y completas

de la información a través del software VEEAM BACKUP el cual deja registro de la correcta realización de la

copia y notifica los errores en el proceso en caso de producirse alguno.

Las copia de seguridad se realizan fuera de las instalaciones de Soltel en el CPD de Acens (Grupo Telefónica)


Inventario de copias de respaldo.

TIPO DE

SOPORTE

CÓDIGO ALTA BAJA FECHA

COPIA

PERIODICIDAD



Versión. 0 de 02-08-2019 55 de 60

VEEAM

BACKUP

Diario Diciembre

2011

Rota tras 15

copias (15 días)

Diario (al terminar

Backup ultimos)

VEEAM

BACKUP

Diario2 Diciembre

2012

Rota tras 15

copias (15 días)

Diario (al terminar

Diario)

VEEAM

BACKUP

Maquina3 Enero 2014 Rota tras 4 copias

(1 mes)

Semanal (Lunes)

VEEAM

BACKUP

Backup

últimos

Enero 2012 Rota tras 15

copias (15 días)

Diario a las 00:00

25. NOTIFICACIÓN, GESTIÓN Y REGISTRO DE INCIDENCIAS

Definido el proceso en it 09.01 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

Una incidencia es cualquier evento que pueda producirse esporádicamente y que pueda suponer un peligro para

la seguridad de los ficheros, entendida bajo sus tres vertientes de confidencialidad, integridad y disponibilidad

de los datos.

El procedimiento de notificación y gestión de incidencias contendrá necesariamente un registro en el que se haga

constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza

la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras

aplicadas.

Cualquier hecho que constituya una incidencia se incorporará al registro de incidencias por parte de la persona

designada y con el conocimiento del Responsable del tratamiento. En función del posible impacto de la incidencia,

habrá de comunicarse esta, a la mayor celeridad si el impacto y el riesgo pueden ser mayores. El mantener un

registro de las incidencias que comprometan la seguridad de un Fichero es una herramienta imprescindible para

la prevención de posibles ataques a esa seguridad, así como para persecución de los responsables de los mismos.

Deben documentarse los procedimientos de notificación, gestión y respuesta ante las incidencias, contando con

un Registro de Incidencias en el que se anoten las incidencias producidas que afecten a la seguridad de los datos,

con el siguiente contenido, y que tendrá orden cronológico:



Versión. 0 de 02-08-2019 56 de 60

• Tipo de incidencia.

• Fecha y hora en que se han producido.

• La persona que ha notificado la existencia de la incidencia.

• La persona a la que se comunica la incidencia.

• Los efectos que se hubieran derivado de la misma.

• Persona que ejecutó el proceso de recuperación.

• Los datos restaurados.

• Cuando corresponda, qué datos ha sido necesario grabar manualmente en el proceso de recuperación.

Será necesaria la autorización por escrito del responsable del tratamiento para la ejecución de los

procedimientos de recuperación de los datos.

Cualquier persona que conozca hechos o circunstancias que puedan constituir una incidencia, especialmente si

implica un riesgo respecto a la seguridad de los datos automatizados de carácter personal, los pondrá en

conocimiento, preferentemente por escrito (considerándose válido el correo electrónico como medio), de la

persona responsable del tratamiento y/o de la persona responsable de seguridad quienes recabarán la

información complementaria necesaria en cada caso.

Ante cualquier incidencia, el usuario deberá comunicar inmediatamente esta al Responsable de Seguridad.

El Responsable de Seguridad, o en su ausencia su sustituto o cualquiera de los administradores del sistema,

supervisará la evaluación y gestión de la incidencia.

El procedimiento de gestión contempla los siguientes pasos:

Calificación de la incidencia. Comprobación de que realmente se trata de una incidencia del sistema y no de un

error o mala interpretación por parte del usuario. Se determinará en qué medida esta puede afectar a los datos

objeto de protección y a su tratamiento.

Evaluación y alcance de daños. Una vez identificada como una incidencia, se procederá a una primera evaluación

de la misma determinando, en su caso, los datos y procesos afectados. El objetivo es determinar el alcance global

en el menor tiempo posible, a fin de concretar la gravedad del problema. Siempre y cuando se presuma un

deterioro en los datos o el malfuncionamiento de un programa, y no sea posible su aislamiento, se procederá a

detener el sistema comunicándolo previamente a los usuarios.

Registro de la incidencia. Se anotan los datos de la incidencia en el Documento de Seguridad.



Versión. 0 de 02-08-2019 57 de 60

Evaluación detallada de daños. Se estudian en detalle los daños ocasionados así como los posibles orígenes de

los mismos.

Propuesta de solución. Con la información recopilada, se diseña la solución a adoptar para devolver el sistema a

un estado consistente y, en su caso, recuperar la información perdida. Debe contemplar mecanismos de chequeo

con el fin de verificar el cumplimiento de estos objetivos.

Implantación de la solución. Sobre la base de una solución aprobada, se procederá a su implementación.

Verificación del sistema. Una vez implantada, se procederá a la ejecución de los mecanismos de chequeo

previstos en la Propuesta de Solución. De obtener algún resultado negativo, se repite el proceso desde el paso 4;

en caso contrario se restablece el uso del sistema en productivo.

Determinación del origen. Restablecido el sistema, es preciso determinar el origen de la incidencia. Se pretende

con ello obtener un mejor conocimiento del funcionamiento del sistema que permita anticiparse, y evitar, las

incidencias.

Medidas correctoras y/o preventivas. Conocidos los efectos y las causas, se diseñarán medidas correctoras y/o

preventivas encaminadas a eliminar, o minimizar, los daños provocados por la incidencia.

Cierre de la incidencia. La gestión de la incidencia concluye con la ordenación y archivo de toda la información

relativa a la misma, incluyendo los correspondientes Registros.


Registro de incidencias.

INCIDENCIA Nº:

Fecha de notificación

Tipo de incidencia

Descripción detallada de la incidencia

Fecha y hora en que se produjo la incidencia

Persona(s) que realiza(n) la notificación



Versión. 0 de 02-08-2019 58 de 60

Persona(s) a quien(es) se comunica

Efectos que puede producir

Persona que realiza la comunicación

Firma

26. CONTROLES PERIÓDICOS DE VERIFICACIÓN

El cumplimiento de las normas que contiene el presente documento, deberá comprobarse con una periodicidad

semestral, con la finalidad de detectar y subsanar posibles anomalías.

El Responsable del Tratamiento, comprobará y controlará, al menos semestralmente:

● Listado de usuarios.

● Existencia de copias de respaldo y seguridad.

● Pruebas de restauración de copias de seguridad.

● Los cambios que se hayan realizado en el software, hardware, base de datos, aplicación de acceso.

● Cumplimiento de los requisitos establecidos para el control de salidas y entradas de soportes.

● Incidencias (incluidas quiebras de seguridad) de Protección de Datos gestionadas a través de la

Plataforma Tecnológica.

● Registro de actividades de tratamiento.

● Análisis de Riesgos

Los resultados de todos estos informes serán incorporados a este documento como actualización del ANEXO 12

INFORME CONTROLES PERIÓDICOS

Del mismo modo, y con carácter mensual, se elaborará un control de accesos a los datos de categorías especiales.



Versión. 0 de 02-08-2019 59 de 60

27. AUDITORÍAS

Al menos cada dos años, se realizará una Auditoría para verificar el correcto cumplimiento y la adecuación de las

medidas del presente documento de seguridad o las exigencias del Reglamento de Seguridad, identificando las

deficiencias y proponiendo las medidas correctoras necesarias.

Los informes serán analizados por el DPD y el Responsable del Tratamiento quienes propondrán las medidas

correctoras correspondientes.

Los informes de Auditoría se conservarán y quedarán a disposición de la Agencia Española de Protección de

Datos.

28.CIFRADO

REeferenciado en el documento ISO27000 IT 09.04 CONTROLES CRIPTOGRÁFICOS

La entidad cuenta con varias medidas de cifrado de datos implantadas:

● Comunicaciones VPN con proveedores y delegaciones.

● Aplicaciones publicadas https.

La salida de soportes no se cifra actualmente.

Los correos electrónicos no siguen ninguna política de cifrado específico de adjuntos.

29.NOMBRAMIENTO DEL RESPONSABLE DE SEGURIDAD

El nombramiento del Responsable de Seguridad es único para los todos los ficheros que trata la entidad y se

realiza según el formato anexo:

D. __________________________________________________________________________, en calidad de

_______________________________________________________, por medio del presente escrito, asume la condición de

Responsable de Seguridad de los tratamientos de datos personales identificados en el Documento de Seguridad

de [INDICAR]. Dicha condición implica la asunción de las funciones correspondientes de coordinación y control

de las medidas definidas y descritas en el Documento de Seguridad de [INDICAR].



Versión. 0 de 02-08-2019 60 de 60

En ____________________, a _______ de _________________ de 201_

Fdo. D. _________________________________________________

documento de seguridaddocumento de seguridad reglamento (ue) 2016/679 y ley 3/2018 documento de...

Documents