documento de seguridad fincas galicia gestion inmobiliaria ... de seguridad fincas galici… ·...
TRANSCRIPT
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 2 Tfno. 91 352 56 39 www.gie.es
INDICE DEL DOCUMENTO DE SEGURIDAD 1. Objeto del documento de seguridad ............................................................................................. 5
2. Ámbito de aplicación ..................................................................................................................... 5
3. Recursos protegidos ..................................................................................................................... 5
4. Medidas de seguridad................................................................................................................... 6
4.1. Medidas de seguridad comunes a la totalidad de ficheros y sistemas de tratamiento ........ 6
4.2. Medidas de seguridad aplicables a ficheros automatizados ................................................ 8
A Medidas de seguridad de nivel básico .......................................................................... 8
B Medidas de seguridad de nivel medio.........................................................................11
C Medidas de seguridad de nivel alto.............................................................................12
4.3. Medidas de seguridad aplicables a ficheros no automatizados .........................................13
A Medidas de seguridad de nivel básico ........................................................................13
B Medidas de seguridad de nivel medio.........................................................................14
C Medidas de seguridad de nivel alto.............................................................................15
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 3 Tfno. 91 352 56 39 www.gie.es
ANEXOS Anexo 1.- Datos de notificación .......................................................................................................17
Anexo 2.- Estructura del fichero (1/4) ..............................................................................................18
Anexo 3.- Descripción del sistema del tratamiento de la información .............................................34
Anexo 4.- Contrato de tratamiento de datos por cuenta de terceros ..............................................35
Anexo 5.- Inventario de encargados del tratamiento .......................................................................44
Anexo 6.- Prestación de servicios sin acceso a datos ....................................................................46
Anexo 7.- Autorizaciones .................................................................................................................47
Anexo 8.- Manual de funciones y obligaciones del personal...........................................................49
Anexo 9.- Relación de usuarios de los sistemas de información ....................................................53
Anexo 10.- Gestión de incidencias ....................................................................................................54
Anexo 11.- Gestión de soportes ........................................................................................................56
Anexo 12.- Procedimiento de respaldo y recuperación .....................................................................63
Anexo 13.- Identificación del responsable de seguridad ...................................................................64
Anexo 14.- Controles periódicos de verificación................................................................................64
Anexo 15.- Ejercicio de derechos ......................................................................................................74
Anexo 16.- Calidad de datos .............................................................................................................79
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 4 Tfno. 91 352 56 39 www.gie.es
CLÁUSULAS DE INFORMACIÓN Y CONSENTIMIENTO
1. Cláusula informativa para empleados .......................................................................................82
2. Cláusula informativa para el fichero de curriculum vitae ...........................................................83
3. Cláusula informativa para clientes .............................................................................................84
4. Cláusula a incluir en los correos electrónicos ...........................................................................85
5. Cláusula informativa del fichero de video vigilancia ..................................................................86
6. Cláusula de protección de datos de carácter personal para facturas .......................................88
APLICACIÓN DE LA LEY DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN
1 Informe Ley de Servicios de la Sociedad de la Información
2 Aviso Legal
3 Política de Privacidad
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 5 Tfno. 91 352 56 39 www.gie.es
1. OBJETO DEL DOCUMENTO DE SEGURIDAD
El presente documento responde a la obligación establecida en el artículo 88 del Real Decreto
1720/2007, de 21 de Diciembre, de elaborar un Documento de Seguridad en el que se regulen las
medidas de seguridad de los ficheros, automatizados o no, que contengan datos de carácter
personal.
Los ficheros de datos de carácter personal que se incluyen en el presente Documento de Seguridad,
son titularidad de FINCAS GALICIA GESTION INMOBILIARIA, S.L. (en adelante, “LA ENTIDAD”),
como Responsable del fichero.
INSCRIPCIONES EN EL REGISTRO GENERAL DE PROTECCION DE DATOS (RGPD)
A continuación se detallan todos aquellos ficheros inscritos en el RGPD, y que constituyen la base
del Sistema de Información1 del presente Documento:
NOMBRE DEL FICHERO Nº DE INSCRIPCIÓN EN EL RGPD
CLIENTES Y PROVEEDORES
NÓMINAS Y PERSONAL
2. ÁMBITO DE APLICACIÓN
Este documento ha sido elaborado bajo la responsabilidad de la entidad descrita en el apartado 1
anterior, que como Responsable del Fichero, se compromete a implantar y actualizar esta normativa
de seguridad de obligado cumplimiento para todo el personal con acceso a los datos protegidos o a
los sistemas de información que permiten el acceso a los mismos.
Todas las personas que tengan acceso a los datos del fichero, bien a través del sistema informático
habilitado para acceder al mismo, o bien a través de cualquier otro medio de acceso al fichero, se
encuentran obligadas por ley a cumplir lo establecido en este documento, y sujetas a las
consecuencias que pudieran incurrir en caso de incumplimiento.
Una copia de este documento con la parte que le afecte será entregada, para su conocimiento, a
cada persona autorizada a acceder a los datos del fichero, siendo requisito obligatorio para poder
acceder a estos datos, el haber firmado la recepción del mismo.
3. RECURSOS PROTEGIDOS
La protección de los datos del fichero frente a accesos no autorizados se deberá realizar mediante
el control, a su vez, de todas las vías por las que se pueda tener acceso a dicha información.
1 Sistema de Información: Es el conjunto de ficheros, programas, soportes y equipos empleados para el almacenamiento y
tratamiento de datos de carácter personal.
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 6 Tfno. 91 352 56 39 www.gie.es
Los recursos que, por servir de medio directo o indirecto para acceder al fichero, deberán ser
controlados por esta normativa son:
1. Los centros de tratamiento y locales donde se encuentren ubicados los ficheros o se
almacenen los soportes que los contengan, su descripción figura en el anexo 1.
2. Los puestos de trabajo, bien locales o remotos, desde los que se pueda tener acceso al
fichero. La relación de esos puestos de trabajo está descrita en el anexo 1.
3. Los servidores, si los hubiese, y el entorno del sistema operativo y de comunicaciones en el
que se encuentra ubicado el fichero, que se encuentra descrito en el anexo 2.
4. Los sistemas informáticos, o aplicaciones establecidas para acceder a los datos, descritos
en el anexo 3.
4. MEDIDAS DE SEGURIDAD
4.1 MEDIDAS DE SEGURIDAD COMUNES A LA TOTALIDAD DE FICHEROS
Y SISTEMAS DE TRATAMIENTO
a. Encargados del tratamiento
Un encargado del tratamiento es aquella persona física o jurídica, pública o privada, que podrá
acceder a datos personales de responsabilidad de un tercero para prestarle un servicio. (Casos más
habituales: Gestoría, entidad de mantenimiento informático)
La LOPD exige que cuando el Responsable del fichero encomiende un tratamiento de datos a un
encargado del tratamiento, ambos deberán suscribir un contrato (escrito) de “Tratamiento por cuenta
de terceros” en el que necesariamente deberá constar:
I. Que el encargado del tratamiento únicamente tratará los datos conforme a las
instrucciones del responsable del tratamiento.
II. Que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los
comunicará, ni siquiera para su conservación, a otras personas.
III. En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere
el artículo 9 LOPD que el encargado del tratamiento está obligado a implementar.
Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos
o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que
conste alguno de dichos datos.
El anexo 4 contiene el contrato que deberá suscribir la entidad con cada encargado del tratamiento
para regular los tratamientos por cuenta de terceros.
Asimismo, el anexo 5 contempla el inventario de encargados del tratamiento de los ficheros de la
entidad.
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 7 Tfno. 91 352 56 39 www.gie.es
b. Prestaciones de servicios sin acceso a datos personales
Es habitual la contratación de prestaciones de servicios con terceras entidades, cuyo desarrollo no
implique el acceso a Datos de Carácter Personal. En estos casos el contrato de prestación de
servicios deberá recoger de forma expresa la prohibición de acceder a datos personales así como
la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de
la prestación del servicio. El anexo 6 recoge esta cláusula.
c. Delegación de autorizaciones
El RLOPD atribuye al Responsable del fichero una serie de obligaciones y autorizaciones que
podrán ser delegadas en determinadas personas físicas.
El anexo 7 contiene el listado de personas habilitadas para otorgar estas autorizaciones así como
aquellas en las que recae la delegación.
En cualquier caso, esta designación no supone una delegación de la responsabilidad que
corresponde al Responsable del fichero.
d. Acceso a datos a través de redes de telecomunicaciones
Las medidas de seguridad exigibles a los accesos a Datos de Carácter Personal a través de redes
de comunicaciones, sean o no públicas, deberán garantizar un nivel de seguridad equivalente al
correspondiente a los accesos en modo local, conforme a los niveles de seguridad, básico, medio y
alto definidos en el RLOPD.
e. Régimen de trabajo fuera de los locales del Responsable del fichero o del
encargado del tratamiento
En ocasiones, será necesario el tratamiento de Datos de Carácter Personal incluidos en ficheros de
la entidad fuera de los locales donde se encuentre ubicada dicha información. Por ello, es
imprescindible dotar de las medidas de seguridad necesarias a los sistemas y a la información que
se vaya a tratar fuera de dichas dependencias.
Los supuestos en los que se contempla el tratamiento de datos fuera de los locales de la entidad y
las medidas a seguir son los siguientes:
Prestación de servicios por parte de terceros: deberá existir un contrato firmado entre la
entidad y el prestador de servicios, en el que esté contemplada la necesidad de establecer
las medidas de seguridad acordes al nivel de seguridad de los datos tratados.
Necesidades por motivos justificados de trabajo: el tratamiento de datos fuera de los
locales donde se almacenan los ficheros, se restringirá estrictamente a aquellos empleados
que lo necesiten para el desarrollo de sus funciones. En este supuesto, el usuario deberá
solicitar autorización. Además, el Responsable de Seguridad verificará que la información y
los sistemas informáticos que la almacenarán disponen de las medidas de seguridad
necesarias.
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 8 Tfno. 91 352 56 39 www.gie.es
Fallo en los sistemas de información: solo se podrán tratar datos por este motivo cuando
se produzca una contingencia en los sistemas de información que requieran restaurar el
servicio informático en otra ubicación.
f. Ficheros temporales o copias de trabajo de documentos
Durante los procesos informáticos los sistemas generan ficheros temporales que en muchos casos
contienen datos personales. Por ello, se dispondrán las medidas y procedimientos oportunos para
el control y la gestión de los ficheros temporales que deberán cumplir el nivel de seguridad que les
corresponda con arreglo al tipo de datos que traten.
Todo fichero temporal será borrado una vez que haya dejado de ser necesario para los fines que
motivaron su creación.
Se comprobará por parte del Administrador del Sistema que, los ficheros temporales que
normalmente crean automáticamente las aplicaciones informáticas o incluso los sistemas operativos,
son eliminados, sea manualmente o automáticamente, mediante controles periódicos de inspección.
4.2 MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS
AUTOMATIZADOS
A. MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO
A.1. Funciones y obligaciones del personal
Las funciones y obligaciones del personal con acceso a Datos de Carácter Personal se
encuentran documentadas en el anexo 8 del presente documento, de acuerdo con lo estipulado
en el artículo 89 RLOPD.
El personal afectado por esta normativa se clasifica en las siguientes categorías:
RESPONSABLE DE SEGURIDAD, encargado de coordinar las medidas de seguridad
definidas en el presente Documento de Seguridad en el caso de los ficheros de nivel medio
y alto. Esta designación no supone, sin embargo, la delegación de la responsabilidad
jurídica de la seguridad del Fichero, que sigue correspondiendo al responsable del Fichero.
ADMINISTRADORES DEL SISTEMA, encargados de administrar o mantener el entorno
operativo del Fichero. Este personal deberá estar explícitamente relacionado ya que por sus
funciones pueden utilizar herramientas de administración que permitan el acceso a los datos
protegidos saltándose las barreras de acceso de las aplicaciones. La presente figura es
opcional, y en el caso de que no se haya optado por su creación, sus funciones serán
desempeñadas por el Responsable de Seguridad.
USUARIOS DEL FICHERO, o personal que usualmente utiliza el sistema informático de
acceso al Fichero, y que asimismo deben estar explícitamente relacionados.
Una de las obligaciones del Responsable del fichero es adoptar las medidas necesarias para dar
a conocer la normativa de seguridad a sus empleados. En este sentido, los usuarios con acceso
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 9 Tfno. 91 352 56 39 www.gie.es
a Datos de Carácter Personal deben suscribir el manual de funciones y obligaciones; en el que
se delimitan las facultades de uso del sistema de información por parte del personal de la entidad.
A.2. Registro de incidencias
Una incidencia es cualquier evento que pueda producirse esporádicamente y que pueda suponer
un peligro para la seguridad del Fichero, entendida bajo sus tres vertientes de confidencialidad,
integridad y disponibilidad de los datos.
El mantener un registro de las incidencias que comprometan la seguridad de un Fichero es una
herramienta imprescindible para la prevención de posibles ataques a esa seguridad, así como para
la persecución de los responsables de los mismos.
1. El Responsable de seguridad del Fichero habilitará un Libro de Incidencias a disposición de
todos los usuarios y administradores del Fichero con el fin de que se registren en él cualquier
incidencia que pueda suponer un peligro para la seguridad del mismo.
2. Cualquier usuario que tenga conocimiento de una incidencia es responsable del registro de
la misma en el Libro de Incidencias del Fichero o en su caso de la comunicación por escrito
al Responsable de seguridad o al Responsable del Fichero.
3. El conocimiento y la no notificación o registro de una incidencia por parte de un usuario será
considerado como una falta contra la seguridad del Fichero por parte de ese usuario.
4. La notificación o registro de una incidencia deberá constar al menos de los siguientes datos:
tipo de incidencia, fecha y hora en que se produjo, persona que realiza la notificación,
persona a quien se comunica, efectos que puede producir, descripción detallada de la
misma.
El anexo 10 contiene un registro de incidencias así como un catálogo de posibles incidencias.
A.3. Control de accesos
Para asegurar la confidencialidad, integridad y disponibilidad de los datos, es esencial el control de
los accesos a los ficheros con Datos de Carácter Personal responsabilidad de la entidad, así como
de aquellos de los que resulte encargado del tratamiento.
Por ello, los empleados, el personal de las empresas externas y, en general, cualquier persona con
acceso a los sistemas de información, deben acceder únicamente a aquella información
estrictamente necesaria para la realización de sus funciones.
En este sentido, cada usuario, en función de la actividad que desarrolle en su puesto de trabajo,
tendrá definido el perfil de acceso y los privilegios inherentes a dicho acceso.
El anexo 9 contiene la relación autorizada de usuarios y perfiles de usuarios; el anexo 7 contiene
los accesos autorizados para cada uno de ellos, así como la identificación del personal autorizado
para conceder, alterar o anular el acceso autorizado sobre los recursos.
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 10 Tfno. 91 352 56 39 www.gie.es
A.4. Gestión de soportes y documentos
Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar
el tipo de información que contienen, ser inventariados (se adjunta inventario de soportes en el
anexo 11a) y solo deberán ser accesibles por el personal autorizado.
En este sentido, “soportes informáticos” son todos aquellos medios de grabación y recuperación de
datos que se utilizan para realizar copias o pasos intermedios en los procesos de la aplicación que
gestiona el Fichero.
Dado que la mayor parte de los soportes que hoy en día se utilizan, como disquetes o CD-ROMs,
son fácilmente transportables, reproducibles y/o copiables, es evidente la importancia que para la
seguridad de los datos del Fichero tiene el control de estos medios.
1. Los soportes que contengan datos personales, deberán estar claramente identificados con
una etiqueta externa que indique de qué fichero se trata, qué tipo de datos contiene, proceso
que los ha originado y fecha de creación.
2. Aquellos medios que sean reutilizables, y que hayan contenido copias de datos personales,
deberán ser borrados físicamente antes de su reutilización, de forma que los datos que
contenían no sean recuperables.
3. Los soportes que contengan datos personales deberán ser almacenados en lugares a los
que no tengan acceso personas no autorizadas y que no estén por tanto relacionadas en el
anexo 9. Asimismo, los soportes deberán ser inventariados en el anexo 11.
4. La salida de soportes informáticos que contengan datos personales fuera de los locales
donde está ubicado el Fichero deberá ser expresamente autorizada por el Responsable del
Fichero, utilizando para ello el documento adjunto en el anexo 11b.
A.5. Identificación y autenticación
Los sistemas de información donde se ubiquen los datos personales, deberán tener su acceso
restringido a los usuarios autorizados para tal fin mediante procedimientos de identificación y
autenticación, de tal forma que no permita el acceso a dichos datos a personas no autorizadas.
El mecanismo de autenticación para acceder a los ficheros que contengan Datos de Carácter
Personal, se basará en la utilización de contraseñas personales, de esta forma todos los usuarios
con acceso autorizado deberán tener un código de usuario que será único y que estará asociado
a la contraseña correspondiente que sólo será conocida por el propio usuario.
El archivo donde se almacenen las contraseñas deberá estar protegido, cifrado y bajo la
responsabilidad del administrador del sistema o del responsable de seguridad.
Las contraseñas deberán ser modificadas de forma periódica sin que en ningún caso dicha
periodicidad pueda exceder de un año.
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 11 Tfno. 91 352 56 39 www.gie.es
A.6. Copias de respaldo y recuperación
La seguridad de los datos personales no sólo supone la confidencialidad de los mismos sino que
también conlleva la integridad y la disponibilidad de esos datos.
Para garantizar estos dos aspectos fundamentales de la seguridad es necesario que existan unos
procedimientos de respaldo y recuperación que, en caso de fallo del sistema informático, permitan
recuperar y en su caso reconstruir los datos del Fichero.
1. Existirá una persona, bien sea el administrador o bien otro usuario expresamente
designado, que será responsable de obtener periódicamente una copia de seguridad del
Fichero, a efectos de respaldo y posible recuperación en caso de fallo.
2. Estas copias deberán realizarse con una periodicidad, al menos semanal, salvo en el caso
de que no se haya producido ninguna actualización de los datos.
3. En caso de fallo del sistema con pérdida total o parcial de los datos del Fichero existirá un
procedimiento, informático o manual, que partiendo de la última copia de respaldo y del
registro de las operaciones realizadas desde el momento de la copia, reconstruya los datos
del Fichero al estado en que se encontraban en el momento del fallo. Las características de
este procedimiento están descritas en el anexo 12.
El responsable del fichero o la persona delegada deberá verificar al menos cada seis meses la
correcta definición, funcionamiento y aplicación de los procedimientos de copias de respaldo y
recuperación.
B. MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
B.1. Responsable de seguridad
El presente documento de seguridad contiene en su anexo 13 la identificación del Responsable de
seguridad designado por la entidad.
El Responsable de seguridad deberá coordinar y controlar las medidas de seguridad definidas en el
presente Documento.
B.2. Auditoría
A partir del nivel medio de seguridad, los sistemas de información e instalaciones de tratamiento y
almacenamiento de datos deberán someterse a una auditoría al menos bianual, externa o interna, en
la que se verifique lo dispuesto en el RLOPD en relación con las medidas de seguridad.
El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles contenidos
tanto en la LOPD como en el RLOPD, identificar sus deficiencias y proponer medidas correctoras o
complementarias necesarias.
B.3. Medidas adicionales de Gestión de soportes y documentos
En los casos de ficheros de nivel medio, además de lo expuesto para ficheros de nivel básico,
en relación con la gestión de soportes se deberá establecer un sistema de registro de entradas
y salidas de soportes informáticos que permita conocer el tipo de soporte, fecha y hora, emisor,
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 12 Tfno. 91 352 56 39 www.gie.es
número de soportes o documentos, tipo de información que contienen, forma de envío,
destinatario, o persona responsable de la recepción que deberá estar debidamente autorizada.
Se adjuntan los formularios de registro de entrada y salida de soportes en el anexo 11 del
presente documento.
B.4. Medidas adicionales de identificación y autenticación
El artículo 98 RLOPD obliga a implantar un mecanismo que detecte e impida el acceso reiterado y
no autorizado por parte de un usuario. Los sistemas de información se deberán configurar con el fin
de limitar la posibilidad de intentar reiteradamente el acceso no autorizado a los mismos.
B.5. Control de acceso físico
Exclusivamente el personal autorizado en el anexo 9 podrá tener acceso a los lugares donde se
encuentren instalados los equipos que den soporte a los sistemas de información.
B.6. Medidas adicionales de Registro y notificación de incidencias
En el caso de los ficheros de nivel medio y alto, si la incidencia es una recuperación de datos,
además de lo expresado para los ficheros de nivel básico, se indicará: autorización por escrito del
responsable de seguridad, procedimientos realizados, persona que realizó el proceso, datos
restaurados, y datos grabados manualmente.
El modelo para la notificación y registro de Incidencias y un catálogo de las mismas se encuentran
en el anexo 10.
B.7. Controles periódicos de verificación
El cumplimiento de las normas y procedimientos contenidos en este documento deberán ser
periódicamente comprobados, de forma que puedan detectarse y subsanarse anomalías que puedan
afectar a la seguridad e integridad de los datos protegidos.
El anexo 14 contiene un documento para el control de verificación así como un catálogo de
conceptos verificables.
C. MEDIDAS DE SEGURIDAD DE NIVEL ALTO
C.1. Gestión y distribución de soportes
En los casos de ficheros de nivel alto, además de lo anteriormente expuesto para los ficheros de
nivel básico y nivel medio, los soportes deberán identificarse mediante sistemas de etiquetado
comprensibles, que permitan identificar su contenido a las personas con acceso autorizado, y
que dificulten la identificación para el resto de personas.
Asimismo, la distribución de los soportes y en cualquier caso, los soportes que se encuentren
fuera de las instalaciones del Responsable del fichero, se realizará cifrando los datos contenidos
en los mismos.
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 13 Tfno. 91 352 56 39 www.gie.es
C.2. Medidas adicionales de copias de respaldo y recuperación
Para ficheros a los que corresponda un nivel de seguridad alto, una copia de respaldo así como de
los procedimientos de recuperación, deben almacenarse en lugar diferente de aquel en que se
encuentren los equipos informáticos que los tratan.
C.3. Registro de accesos
De cada intento de acceso se deberá almacenar la información referente a la identificación del
usuario, la fecha y hora en que se produjo el acceso, el fichero accedido, el tipo de acceso, y si el
acceso ha sido autorizado o denegado, en caso de accesos autorizados, se almacenará el registro
accedido.
Toda la información de control para el seguimiento de los accesos a los datos de la entidad cuyas
medidas de seguridad son de nivel alto, se almacenará durante un periodo mínimo de dos años.
El Responsable de Seguridad deberá supervisar personalmente los mecanismos de registros de
accesos, así como revisar la información generada por dicho sistema y elaborará un informe de las
revisiones realizadas y los problemas detectados, al menos, una vez al mes.
C.4. Telecomunicaciones
Las medidas de seguridad exigibles a los accesos a datos de carácter personal a través de redes de
comunicaciones deberán garantizar un nivel de seguridad equivalente al correspondiente a los
accesos en modo local.
La transmisión de datos a través de redes de redes públicas o inalámbricas de comunicaciones, se
realizará cifrando los datos o utilizando cualquier mecanismo que garantice que la información no
sea inteligible ni manipulada por terceros.
4.3 MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS NO
AUTOMATIZADOS
A. MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO
A.1. Medidas comunes
- Alcance
- Niveles de seguridad
- Encargado del tratamiento
- Prestaciones de servicios sin acceso a datos personales
- Delegación de autorizaciones
- Régimen de trabajo fuera de los locales del responsable del fichero o encargado del
tratamiento
- Copias de trabajo de documentos
- Documento de seguridad
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 14 Tfno. 91 352 56 39 www.gie.es
- Funciones y obligaciones del personal
- Registro de incidencias
- Control de accesos
- Gestión de soportes
A.2. Criterios de archivo
Siempre que la legislación sectorial aplicable contemple un procedimiento específico de archivo y
organización de la documentación que contenga Datos de Carácter Personal, el Responsable del
fichero deberá proceder a organizar la misma conforme a los referidos criterios.
En el supuesto de que no exista norma aplicable que contemple un procedimiento específico de
archivo y organización de la documentación, se deberán definir los procedimientos y criterios de
archivo de tal forma que se garantice la correcta conservación de los documentos, la localización y
consulta de la información y se posibilite el ejercicio de los derechos de oposición al tratamiento,
acceso, rectificación y cancelación.
A.3. Dispositivos de almacenamiento
El Responsable del fichero deberá velar por la efectiva implantación de mecanismos de seguridad
(como llaves de acceso) en archivadores así como en cualquier otro medio de almacenamiento de
documentos que contengan Datos de Carácter Personal.
A.4. Custodia de los soportes
En aquellos supuestos en los que la documentación que contenga Datos de Carácter Personal se
encuentre en uso activo por parte de un usuario autorizado, la persona que se encuentre a cargo de
la misma, deberá custodiar e impedir en todo momento que pueda ser accedida por personas no
autorizadas.
En particular, se implantará una “política de mesas limpias” como consecuencia de la cual, los
usuarios que trabajen con documentos y expedientes en formato papel que contengan datos de
personas, deberán almacenar los mismos en los archivadores correspondientes una vez concluya
la jornada laboral, al objeto de impedir el acceso no autorizado a Datos de Carácter Personal.
B. MEDIDAS DE SEGURIDAD DE NIVEL MEDIO
B.1. Responsable de seguridad
Según prevé el artículo 109 RLOPD, el Responsable del fichero deberá designar al menos un
responsable de seguridad en los términos y con las funciones previstas en el artículo 95 RLOPD. El
anexo 13 contiene la identificación del responsable de seguridad de la entidad.
B.2. Auditoría
Los sistemas de tratamiento no automatizados que contengan Datos de Carácter Personal que
requieran la implantación de medidas de seguridad de nivel medio, deberán someterse a una
auditoría bienal de verificación del cumplimiento de las medidas aplicables a ficheros no
automatizados de acuerdo con las exigencias del RLOPD.
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 15 Tfno. 91 352 56 39 www.gie.es
C. MEDIDAS DE SEGURIDAD DE NIVEL ALTO
C.1. Almacenamiento de la información
Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no
automatizados con Datos de Carácter Personal que requieran la implantación de medidas de
seguridad de nivel alto, deberán encontrarse en áreas en las que el acceso esté protegido con
puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente.
Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos
incluidos en el fichero.
C.2. Copia o reproducción
La generación de copias o la reproducción de los documentos, únicamente podrá ser realizada bajo
el control del personal autorizado en el anexo 7 del presente Documento.
Las copias deberán ser destruidas a través de máquinas destructoras de papel, que en cualquier
caso, eviten la recuperación posterior de los documentos desechados.
C.3. Acceso a la documentación
Sólo el personal autorizado en el anexo 7 de este Documento, podrá acceder a los datos que figuren
en los ficheros no automatizados que deban cumplir las medidas de seguridad de nivel alto.
C.4. Traslado de documentación
Siempre que se proceda al traslado físico de la documentación contenida en un fichero, deberán
adoptarse medidas dirigidas a impedir el acceso o manipulación por parte de terceros, de la
información objeto de traslado.
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 17 Tfno. 91 352 56 39 www.gie.es
ANEXO 1 - DATOS DE NOTIFICACIÓN
DATOS DEL RESPONSABLE DEL FICHERO Denominación Social: FINCAS GALICIA GESTION INMOBILIARIA, S.L. C.I.F/N.I.F.: B15919111 Dirección: AVENIDA BALNEARIO 36 BAJO Localidad: ARTEIXO Código Postal: 15142 Provincia: A CORUÑA Correo electrónico: [email protected] Teléfono: 699937680
DATOS DEL CONSULTOR LOPD Nombre: David Apellidos: Díaz Lima Teléfono de Empresa: Cargo: Abogado Correo electrónico: [email protected]
DIRECCIÓN A EFECTOS DE NOTIFICACIÓN Dirección: AVENIDA BALNEARIO 36 BAJO Localidad: ARTEIXO Código Postal: 15142 Provincia: A CORUÑA Correo electrónico: [email protected] Teléfono: 699937680
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 18 Tfno. 91 352 56 39 www.gie.es
ANEXO 2 - ESTRUCTURA DEL FICHERO (1/4)
NOMBRE DEL FICHERO ORIGEN
CLIENTES Y PROVEEDORES
GESTIÓN ADMINISTRATIVA, FISCAL Y CONTABLE.
El propio Interesado ☒
Registros Públicos ☐
Otras Personas Físicas ☐
Entidad Privada ☐
Fuentes Accesibles al Público ☐
Administraciones Públicas ☐
Sistema de Tratamiento Nivel de Seguridad del Fichero
Automatizado ☐ Manual ☐ Mixto ☒ Básico ☒ Medio ☐ Alto ☐
Finalidades previstas Colectivos interesados
Gestión de Clientes Contable, Fiscal y Administrativa ☐ Empleados ☐
Recursos Humanos ☐ Clientes y Usuarios ☒
Gestión de Nóminas ☐ Proveedores ☐
Prevención de riesgos Laborables ☐ Asociados/Miembros ☐
Prestación de Servicios de Solvencia Patrimonial y Crédito ☐ Propietarios/Arrendatarios ☐
Cumplimiento / Incumplimiento de Obligaciones Dinerarias ☐ Pacientes ☐
Servicios Económicos Financieros y Seguros ☐ Estudiantes ☐
Análisis de Perfiles ☐ Personas de Contacto ☐
Publicidad y Prospección Comercial ☐ Padres/Tutores ☐
Prestación de Servicios de Comunicación Electrónica ☐ Representante Legal ☐
Guías/Repertorios de Servicios de Comunicaciones Electrónicas ☐ Solicitantes ☐
Comercio Electrónico ☐ Beneficiarios ☐
Prestación de Servicios de Certificación Electrónica ☐ Cargos Públicos ☐
Gestión de Asociados/Partidos Políticos/Iglesias/Sindicatos (sin lucro) ☐ Otros Colectivos ☐
Actividades Asociativas, Culturales, Recreativas, Deportivas y Sociales ☐
Gestión de Asistencia Social ☐
Educación ☐
Investigación Epidemiológica y Actividades Analógicas ☐
Gestión y Control Sanitario ☐
Historial Clínico ☐
Seguridad Privada ☐
Seguridad y Control de Acceso a Edificios ☐
Video Vigilancia ☐
Fines Estadísticos, Históricos o Científicos ☐
Otros tipos de finalidad ☐
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 19 Tfno. 91 352 56 39 www.gie.es
ANEXO 2 – ESTRUCTURA DEL FICHERO (2/4)
NOMBRE DEL FICHERO Datos Especialmente Protegidos
(Nivel Alto)
CLIENTES Y PROVEEDORES
GESTIÓN ADMINISTRATIVA, FISCAL Y CONTABLE.
Ideología ☐
Afiliación sindical ☐
Religión ☐
Creencias ☐
Otros Datos Especialmente Protegidos (nivel alto)
Origen racial o étnico ☐
Vida Sexual ☐
Salud ☐
Datos de carácter identificativo (nivel básico)
D.N.I./C.I.F. ☒
Nº de S.S./Mutualidad ☐
Nombre y Apellidos ☒
Tarjeta Sanitaria ☐
Dirección (postal y electrónica) ☒
Teléfono ☒
Firma y/o huella digitalizada ☐
Imagen y/o voz (ej. El D.N.I. contiene fotografía) ☐
Marcas Físicas ☐
Firma Electrónica ☐
Otros datos de carácter identificativo ☐
Datos de características personales (nivel básico)
Datos del estado civil ☐
Datos de la familia ☐
Fecha de nacimiento ☐
Lugar de nacimiento ☐
Edad ☐
Sexo ☐
Nacionalidad ☐
Lengua Materna ☐
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 20 Tfno. 91 352 56 39 www.gie.es
ANEXO 2 – ESTRUCTURA DEL FICHERO (3/4)
NOMBRE DEL FICHERO Datos de Detalles de Empleo
CLIENTES Y PROVEEDORES
GESTIÓN ADMINISTRATIVA, FISCAL Y CONTABLE.
Profesión ☐
Puesto de Trabajo ☐
Datos no económicos de nómina
☐
Historial del trabajador ☐
Datos de Circunstancias Sociales
Características de alojamiento y vivienda ☐
Propiedades y posesiones ☐
Situación Militar ☐
Aficiones y Estilo ☐
Pertenencia a clubes y asociaciones ☐
Licencias, permisos y autorizaciones ☐
Datos Académicos y profesionales
Formación, titulaciones ☐
Historial del estudiante ☐
Experiencia profesional ☐
Pertenencia a colegios o asociaciones profesionales ☐
Datos Económico-Financieros y de Seguros
Ingresos y rentas ☐
Inversiones ☐
Créditos, préstamos y avales ☐
Datos Bancarios ☒
Planes de pensiones/jubilación ☐
Datos económicos de nómina ☐
Estudiantes ☐
Personas de Contacto ☐
Padres o Tutores ☐
Representación legal ☐
Solicitantes ☐
Beneficiarios ☐
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 21 Tfno. 91 352 56 39 www.gie.es
ANEXO 2 – ESTRUCTURA DEL FICHERO (4/4)
NOMBRE DEL FICHERO Datos de Transacciones de Bienes y
Servicios
CLIENTES Y PROVEEDORES
GESTIÓN ADMINISTRATIVA, FISCAL Y CONTABLE.
Bienes y servicios suministrados por el afectado
☐
Bienes y servicios recibidos por el afectado
☐
Transacciones financieras ☐
Compensaciones/Indemnizaciones ☐
Información Comercial
Actividades y negocios
Licencias comerciales
Suscripciones o publicaciones/medios de comunicación
Creaciones artísticas, literarias, científicas o técnicas
Otros Tipos de datos
Datos de tráfico:
Datos de localización
Datos derivados de actos de violencia de género
Otros tipos de datos
Transferencia internacional de Datos
¿Se hace transferencia internacional de datos?
Destinatarios Posibles
Organizaciones o personas directamente relacionadas con el responsable
Organismos de la Seguridad Social
Registros públicos
Administración, Local, Autonómica y Central
Categoría de Destinatarios de Cesión
Organizaciones relacionadas con el responsable ☒ Entidades Aseguradoras ☐
Organismos de la Seguridad Social ☐ Otras entidades financieras ☐
Prestaciones de Servicios de Telecomunicaciones ☐ Entidades Sanitarias ☐ Empresas dedicadas a Publicidad o Marketing Directo ☐ Registros públicos ☐
Administración pública con competencia en la materia ☐ Colegios Profesionales ☐
Otros órganos de la Administración pública ☐ Notarios y Procuradores ☐
Comisión Nacional de Juego ☐ Sindicatos y juntas de Persona ☐
Asociaciones y Organizaciones sin ánimo de lucro ☐ Administración Tributaria ☒
Fuerzas y Cuerpos de Seguridad ☐ Otros destinatarios de Cesión ☐
Bancos/Cajas de Ahorro y Cajas Rurales ☒ Organismos de la Unión Europea ☐
Comisión Nacional del Mercado de Valores ☐
Entidades dedicadas al cumplimiento/incumplimiento de Obligaciones dinerarias ☐
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 22 Tfno. 91 352 56 39 www.gie.es
ANEXO 2 – ESTRUCTURA DEL FICHERO (1/4)
NOMBRE DEL FICHERO ORIGEN
NOMINAS Y PERSONAL
GESTIÓN DE NOMINAS, RECURSOS HUMANOS Y PREVENCION DE RIESGOS LABORABLES
El propio interesado ☒
Registros Públicos ☐
Otras Personas Físicas ☐
Entidad Privada ☐
Fuentes Accesibles al Público ☐
Administraciones Públicas ☐
Sistema de Tratamiento Nivel de Seguridad del Fichero
Automatizado ☐ Manual ☐ Mixto ☒ Básico ☒ Medio ☐ Alto ☐
Finalidades previstas Colectivos interesados
Gestión de Clientes Contable, Fiscal y Administrativa ☒ Empleados ☒
Recursos Humanos ☒ Clientes y Usuarios ☐
Gestión de Nóminas ☒ Proveedores ☐
Prevención de riesgos Laborables ☒ Asociados/Miembros ☐
Prestación de Servicios de Solvencia Patrimonial y Crédito ☐ Propietarios/Arrendatarios ☐
Cumplimiento / Incumplimiento de Obligaciones Dinerarias ☐ Pacientes ☐
Servicios Económicos Financieros y Seguros ☐ Estudiantes ☐
Análisis de Perfiles ☐ Personas de Contacto ☐
Publicidad y Prospección Comercial ☐ Padres/Tutores ☐
Prestación de Servicios de Comunicación Electrónica ☐ Representante Legal ☐
Guías/Repertorios de Servicios de Comunicaciones Electrónicas ☐ Solicitantes ☐
Comercio Electrónico ☐ Beneficiarios ☐
Prestación de Servicios de Certificación Electrónica ☐ Cargos Públicos ☐
Gestión de Asociados/Partidos Políticos/Iglesias/Sindicatos (sin lucro) ☐ Otros Colectivos ☐
Actividades Asociativas, Culturales, Recreativas, Deportivas y Sociales ☐
Gestión de Asistencia Social ☐
Educación ☐
Investigación Epidemiológica y Actividades Analógicas ☐
Gestión y Control Sanitario ☐
Historial Clínico ☐
Seguridad Privada ☐
Seguridad y Control de Acceso a Edificios ☐
Video Vigilancia ☐
Fines Estadísticos, Históricos o Científicos ☐
Otros tipos de finalidad ☐
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 23 Tfno. 91 352 56 39 www.gie.es
ANEXO 2 – ESTRUCTURA DEL FICHERO (2/4)
NOMBRE DEL FICHERO Datos Especialmente Protegidos
(Nivel Alto)
NOMINAS Y PERSONAL
GESTIÓN DE NOMINAS, RECURSOS HUMANOS Y PREVENCION DE RIESGOS LABORABLES
Ideología ☐
Afiliación sindical ☐
Religión ☐
Creencias ☐
Otros Datos Especialmente Protegidos (nivel alto)
Origen racial o étnico ☐
Vida Sexual ☐
Salud ☐
Datos de carácter identificativo (nivel básico)
D.N.I./C.I.F. ☒
Nº de S.S./Mutualidad ☒
Nombre y Apellidos ☒
Tarjeta Sanitaria ☒
Dirección (postal y electrónica) ☒
Teléfono ☒
Firma y/o huella digitalizada ☒
Imagen y/o voz (ej. El D.N.I. contiene fotografía) ☒
Marcas Físicas ☐
Firma Electrónica ☐
Otros datos de carácter identificativo ☐
Datos de características personales (nivel básico)
Datos del estado civil ☒
Datos de la familia ☒
Fecha de nacimiento ☒
Lugar de nacimiento ☒
Edad ☒
Sexo ☒
Nacionalidad ☒
Lengua Materna ☐
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 24 Tfno. 91 352 56 39 www.gie.es
ANEXO 2 – ESTRUCTURA DEL FICHERO (3/4)
NOMBRE DEL FICHERO Datos de Detalles de Empleo
NOMINAS Y PERSONAL
GESTIÓN DE NOMINAS, RECURSOS HUMANOS Y PREVENCION DE RIESGOS LABORABLES
Profesión ☒
Puesto de Trabajo ☒
Datos no económicos de nómina
☐
Historial del trabajador ☐
Datos de Circunstancias Sociales
Características de alojamiento y vivienda ☐
Propiedades y posesiones ☐
Situación Militar ☐
Aficiones y Estilo ☐
Pertenencia a clubes y asociaciones ☐
Licencias, permisos y autorizaciones ☐
Datos Académicos y profesionales
Formación, titulaciones ☒
Historial del estudiante ☐
Experiencia profesional ☒
Pertenencia a colegios o asociaciones profesionales ☐
Datos Económico-Financieros y de Seguros
Ingresos y rentas ☒
Inversiones ☐
Créditos, préstamos y avales ☐
Datos Bancarios ☒
Planes de pensiones/jubilación ☐
Datos económicos de nómina ☒
Estudiantes ☐
Personas de Contacto ☐
Padres o Tutores ☐
Representación legal ☐
Solicitantes ☐
Beneficiarios ☐
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 25 Tfno. 91 352 56 39 www.gie.es
ANEXO 2 – ESTRUCTURA DEL FICHERO (4/4)
NOMBRE DEL FICHERO Datos de Transacciones de Bienes y
Servicios
NOMINAS Y PERSONAL
GESTIÓN DE NOMINAS, RECURSOS HUMANOS Y PREVENCION DE RIESGOS LABORABLES
Bienes y servicios suministrados por el afectado
☐
Bienes y servicios recibidos por el afectado
☐
Transacciones financieras ☐
Compensaciones/Indemnizaciones ☐
Información Comercial
Actividades y negocios
Licencias comerciales
Suscripciones o publicaciones/medios de comunicación
Creaciones artísticas, literarias, científicas o técnicas
Otros Tipos de datos
Datos de tráfico:
Datos de localización
Datos derivados de actos de violencia de género
Otros tipos de datos
Transferencia internacional de Datos
¿Se hace transferencia internacional de datos?
Destinatarios Posibles
Organizaciones o personas directamente relacionadas con el responsable
Organismos de la Seguridad Social
Registros públicos
Administración, Local, Autonómica y Central
Categoría de Destinatarios de Cesión
Organizaciones relacionadas con el responsable ☐ Entidades Aseguradoras ☐
Organismos de la Seguridad Social ☒ Otras entidades financieras ☐
Prestaciones de Servicios de Telecomunicaciones ☐ Entidades Sanitarias ☒
Empresas dedicadas a Publicidad o Marketing Directo ☐ Registros públicos ☐
Administración pública con competencia en la materia ☐ Colegios Profesionales ☐
Otros órganos de la Administración pública ☐ Notarios y Procuradores ☐
Comisión Nacional de Juego ☐ Sindicatos y juntas de Persona ☐
Asociaciones y Organizaciones sin ánimo de lucro ☐ Administración Tributaria ☒
Fuerzas y Cuerpos de Seguridad ☐ Otros destinatarios de Cesión ☐
Bancos/Cajas de Ahorro y Cajas Rurales ☒ Organismos de la Unión Europea ☐
Comisión Nacional del Mercado de Valores ☐
Entidades dedicadas al cumplimiento/incumplimiento de Obligaciones dinerarias ☐
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 26 Tfno. 91 352 56 39 www.gie.es
ANEXO 3 - DESCRIPCIÓN DEL SISTEMA DEL TRATAMIENTO DE LA INFORMACION
ACCESO FÍSICO: SE ENCUENTRAN EN ESTANTERÍAS. A LOS DATOS RELATIVOS A
NÓMINAS PUEDEN ACCEDER 3 PERSONAS, MIENTRAS QUE A LOS RESTANTES
PUEDEN ACCEDER LOS CUATRO EMPLEADOS.
ACCESO PC: EXISTEN DOS PC POR OFICINA A LOS QUE TIENEN ACCESO LOS CUATRO
EMPLEADOS. SOLO UNO DE ELLOS ACCEDE CON CONTRASEÑA.
SOFTWARE: NOTEGES.
COPIAS DE SEGURIDAD: SE HACE UNA COPIA DE SEGURIDAD SEMANAL EN EL DISCO
DURO EXTERNO.
VIDEOVIGILANCIA: NO.
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 27 Tfno. 91 352 56 39 www.gie.es
ANEXO 4 - CONTRATO DE TRATAMIENTO DE DATOS POR CUENTA DE
TERCEROS
En Arteixo, a 17 de Octubre de 2016
REUNIDOS
DE UNA PARTE,
FINCAS GALICIA GESTION INMOBILIARIA, S.L., con C.I.F. B15919111, domiciliado a estos
efectos en AVENIDA BALNEARIO 36, BAJO, 15142 ARTEIXO, A CORUÑA (en lo sucesivo, “EL
RESPONSABLE”).
DE OTRA PARTE,
TUAS 58, S.L., con C.I.F. B15687544, domiciliado a estos efectos en C/FEDERICO TAPIA 58,
15005 A CORUÑA, (en lo sucesivo “EL ENCARGADO”).
M A N I F I E S T A N
I. Que el Responsable de los Ficheros es titular, entre otros, de los ficheros de datos de
carácter personal indicados en la Estipulación Novena más abajo.
II. Que el Encargado del Tratamiento viene prestando servicios de Asesoría al Responsable
de los Ficheros, para cuyos fines ha necesitado acceder a los datos que se encuentran
contenidos en los Ficheros (los “Servicios”).
III. Que la relación entre ambas partes ha venido siendo regulada por contrato firmado entre
las mismas, el cual se estima adecuado modificar a la vista de la entrada en vigor del Real
Decreto 1720/2007, de 21 de diciembre (“RD 1720/2007), nueva norma de desarrollo de la
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal
(“LOPD”).
IV. Que, ambas partes se reconocen mutuamente la capacidad legal necesaria para contratar
y obligarse, y, en especial, para celebrar el presente Contrato, llevándolo a efecto conforme
a las siguientes.
ESTIPULACIONES
PRIMERA.- EL ENCARGADO se compromete a guardar la máxima reserva y secreto sobre la
información clasificada como confidencial. Se considerará información confidencial cualquier dato al
que EL ENCARGADO acceda en virtud del presente contrato y/o en el acuerdo general que regula
los servicios a prestar por parte de EL ENCARGADO a EL RESPONSABLE, en especial la
información y datos propios de EL RESPONSABLE a los que haya accedido o acceda durante la
ejecución del mismo. No tendrán el carácter de confidencial todas aquellas informaciones y datos
que fueran de dominio público o que estuvieran en posesión de EL ENCARGADO con anterioridad
a iniciar la prestación de sus servicios y hubieran sido obtenidas por medios lícitos.
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 28 Tfno. 91 352 56 39 www.gie.es
SEGUNDA.- La obligación de confidencialidad recogida en el presente contrato tendrá carácter
indefinido, manteniéndose en vigor con posterioridad a la finalización, por cualquier causa, de la
relación entre las partes.
TERCERA.- EL RESPONSABLE, es, con carácter único, quien decidirá sobre la finalidad, contenido
y uso de EL FICHERO al que acceda EL ENCARGADO como resultado de las actividades
realizadas por ésta.
CUARTA.- EL ENCARGADO accederá a EL FICHERO únicamente, cuando sea imprescindible
para el buen desarrollo de los servicios acordados entre las partes.
QUINTA.- EL ENCARGADO, se obliga a respetar todas las obligaciones que pudieran
corresponderle como encargado del tratamiento con arreglo a las disposiciones de la LOPD y
cualquier otra disposición o regulación complementaria que le fuera igualmente aplicable.
SEXTA.- EL ENCARGADO en su condición de encargado del tratamiento, únicamente tratará los
datos conforme a las instrucciones que reciba expresamente de EL RESPONSABLE.
SÉPTIMA.- EL ENCARGADO no destinará, aplicará o utilizará los datos a los que tenga acceso con
fin distinto al expresamente indicado en el presente contrato, o de cualquier otra forma que suponga
un incumplimiento de las instrucciones expresas que EL RESPONSABLE, en su condición de
responsable del tratamiento, le proporcione.
OCTAVA.- EL ENCARGADO se compromete a no revelar, transferir, ceder o de otra forma
comunicar EL FICHERO o los datos en él contenidos, ya sea verbalmente, por escrito, por medios
electrónicos, papel o mediante acceso informático, ni siquiera para su conservación, a ningún
tercero. A tal efecto EL ENCARGADO sólo podrá permitir el acceso a los datos a aquellos
empleados que tengan la necesidad de conocerlos para la prestación de los servicios contratados.
NOVENA.- EL ENCARGADO se obliga al cumplimiento de las obligaciones derivadas de la
normativa de protección de datos y más concretamente, en lo que se refiere a la implantación de las
medidas de seguridad que se indican a continuación según lo dispuesto en el RD 1720/07.
Asimismo, EL ENCARGADO garantiza el mantenimiento de estas medidas de seguridad así como
cualesquiera otras que le fueran impuestas, de índole técnica y organizativas, necesarias para
garantizar la seguridad, presente y futura, de los datos de carácter personal y evitar su alteración,
pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza
de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana
o del medio físico o natural, conforme a lo establecido en la normativa sobre protección de datos de
carácter personal.
Ficheros a los que accederá EL ENCARGADO en calidad de encargado del tratamiento y nivel de
medidas de seguridad aplicables a cada uno de ellos:
Denominación del fichero Nivel de seguridad aplicable
CLIENTES Y PROVEEDORES BÁSICO
NÓMINAS Y PERSONAL BÁSICO
DÉCIMA.- Una vez cumplida o resuelta la prestación contractual acordada entre EL
RESPONSABLE y EL ENCARGADO, los datos de carácter personal serán devueltos a EL
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 29 Tfno. 91 352 56 39 www.gie.es
RESPONSABLE, al igual que cualquier soporte o documento en el que conste algún dato de
carácter personal objeto del tratamiento, debiendo certificar inmediatamente por escrito dicha
devolución, en el plazo máximo de 10 días hábiles desde la fecha de cumplimiento o resolución del
contrato.
UNDÉCIMA.- De acuerdo con lo dispuesto en el artículo 80 del RD 1720/07, EL ENCARGADO
asume las siguientes obligaciones:
Si ambas partes hubieran pactado que EL ENCARGADO accediera a los datos de carácter
personal o a los recursos del sistema de información de EL RESPONSABLE, el personal
del primero se comprometerá al cumplimiento de las medidas de seguridad previstas por
EL RESPONSABLE en su Documento de Seguridad. Asimismo, y en el presente supuesto,
EL ENCARGADO no podrá incorporar tales datos a sistemas o soportes distintos de los del
responsable.
Si el servicio fuera prestado por EL ENCARGADO en sus propios locales, ajenos a los de
EL RESPONSABLE, el primero deberá elaborar un documento de seguridad en los
términos exigidos por el artículo 88 del RD 1720/07 o completar el que ya hubiera elaborado,
en su caso, identificando el fichero o tratamiento y el responsable del mismo e incorporando
las medidas de seguridad a implantar en relación con dicho tratamiento.
DUODÉCIMA.- Es obligación del Responsable de los Ficheros velar por que el Encargado del
Tratamiento reúna las garantías necesarias para el cumplimiento de lo establecido en la legislación
sobre protección de datos de carácter personal. A fin de cumplir con esta obligación, el Responsable
de los Ficheros tendrá derecho a:
Solicitar que el Encargado del Tratamiento exhiba la documentación preceptiva, conforme a
lo establecido en el RD 1720/2007 y normativa complementaria.
Realizar auditorías para verificar el cumplimiento de las medidas de seguridad y su
implantación, en el momento en el que lo considera oportuno, siempre que medie un
preaviso de al menos quince (15) días naturales sobre la fecha fijada para realizar dicha
auditoria.
DECIMOTERCERA.- Todos aquellos ficheros que sean creados e inscritos ante la Agencia
Española de Protección de Datos por el Responsable de los Ficheros con posterioridad a la firma
del presente Contrato y a los que el Encargado del Tratamiento tenga que tener acceso para la
correcta prestación de los Servicios, quedarán sometidos a los términos previstos en este Contrato
quedando obligado el Responsable de los Ficheros ha comunícaselo al Encargado del Tratamiento
de manera expresa, por cualquier medio escrito, adjuntándose copia de dichas comunicaciones a
este contrato como Anexos sucesivos.
DECIMOCUARTA.- EL RESPONSABLE autoriza expresamente a EL ENCARGADO a contratar
con terceros cuya intervención estime oportuna para el buen desarrollo de los servicios,
informándole de la identidad del tercero y de los servicios encargados. Además, EL ENCARGADO
se obliga a suscribir con el tercero un contrato en el que se estipulen las obligaciones que este debe
cumplir en relación a la protección de datos personales.
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 30 Tfno. 91 352 56 39 www.gie.es
DECIMOQUINTA.- La totalidad de los términos y condiciones del presente documento, incluidos sus
anexos, tienen carácter confidencial, estando sujetos a las obligaciones expuestas a lo largo del
acuerdo.
Datos incluidos en el presente contrato
DECIMOSEXTA.- De conformidad con lo dispuesto en la Ley Orgánica 15/1999 de Protección de
Datos de Carácter Personal, EL RESPONSABLE con domicilio en el lugar indicado en el
encabezamiento del presente contrato, informa a los intervinientes en el mismo, que los datos que
figuran en él, serán incorporados a un fichero de datos de carácter personal responsabilidad de EL
RESPONSABLE con la finalidad de llevar a cabo la gestión de la relación contractual generada con
la firma del presente documento.
Para ejercitar los derechos de acceso, rectificación, oposición y cancelación reconocidos por la
legislación vigente, el interesado deberá realizar una comunicación a la dirección indicada
anteriormente, a los referidos efectos, indicando como referencia “Protección de datos”.
Régimen de responsabilidad
DECIMOSÉPTIMA.- EL ENCARGADO mantendrá indemne a EL RESPONSABLE frente a
cualquier reclamación que derive del tratamiento de datos de carácter personal que EL
ENCARGADO realice en relación con el objeto del presente contrato como consecuencia del
incumplimiento de dicha normativa.
Asimismo, en el supuesto de que EL ENCARGADO utilizara los datos de carácter personal a los
que tuviera acceso vulnerando las obligaciones que le corresponden en calidad de encargado del
tratamiento según lo dispuesto en la LOPD así como en el RD 1720/07, y siempre que resultare
acreditado, EL ENCARGADO se obliga a:
Hacerse cargo del pago de cualquier cantidad que por cualquier causa y concepto EL
RESPONSABLE se viera obligada a abonar, como consecuencia del uso indebido de los
datos, incluidas sanciones administrativas y las eventuales indemnizaciones a cuyo pago
fuera condenada ésta, en virtud del correspondiente procedimiento, administrativo o judicial.
Asimismo, EL ENCARGADO se compromete al pago de las costas judiciales y los
honorarios de abogados y procurador que EL RESPONSABLE utilizare en los eventuales
procesos que se entablaran en su contra.
Abonar a EL RESPONSABLE, la suma que en su momento ambas partes acuerden en
concepto de indemnización de daños morales y de reputación comercial sufridos por éste
como consecuencia del uso indebido de los ficheros suministrados, cuya cantidad se fijará
proporcionalmente a los perjuicios causados.
Ambas partes, en prueba de su conformidad, firman el presente contrato, por duplicado ejemplar,
en el lugar y fecha indicados ut supra.
EL RESPONSABLE EL ENCARGADO
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 31 Tfno. 91 352 56 39 www.gie.es
CONTRATO DE TRATAMIENTO DE DATOS POR CUENTA DE TERCEROS
En Arteixo, a 17 de Octubre de 2016
REUNIDOS
DE UNA PARTE,
FINCAS GALICIA GESTION INMOBILIARIA, S.L., con C.I.F. B15919111, domiciliado a estos
efectos en AVENIDA BALNEARIO 36, BAJO, 15142 ARTEIXO, A CORUÑA, (en lo sucesivo, “EL
RESPONSABLE”).
DE OTRA PARTE,
NOTEGES SOFTWARE PARA AGENTES INMOBILIARIOS, S.L., con C.I.F. B91171652,
domiciliado a estos efectos en AVENIDA SAN FRANCISCO JAVIER, EDIFICIO SEVILLA 9, 41018
SEVILLA, (en lo sucesivo “EL ENCARGADO”).
M A N I F I E S T A N
I. Que el Responsable de los Ficheros es titular, entre otros, de los ficheros de datos de
carácter personal indicados en la Estipulación Novena más abajo.
II. Que el Encargado del Tratamiento viene prestando servicios de Mantenimiento
Informático al Responsable de los Ficheros, para cuyos fines ha necesitado acceder a
los datos que se encuentran contenidos en los Ficheros (los “Servicios”).
III. Que la relación entre ambas partes ha venido siendo regulada por contrato firmado entre
las mismas, el cual se estima adecuado modificar a la vista de la entrada en vigor del
Real Decreto 1720/2007, de 21 de diciembre (“RD 1720/2007), nueva norma de
desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de
Carácter Personal (“LOPD”).
IV. Que, ambas partes se reconocen mutuamente la capacidad legal necesaria para
contratar y obligarse, y, en especial, para celebrar el presente Contrato, llevándolo a
efecto conforme a las siguientes.
ESTIPULACIONES
PRIMERA.- EL ENCARGADO se compromete a guardar la máxima reserva y secreto sobre la
información clasificada como confidencial. Se considerará información confidencial cualquier dato al
que EL ENCARGADO acceda en virtud del presente contrato y/o en el acuerdo general que regula
los servicios a prestar por parte de EL ENCARGADO a EL RESPONSABLE, en especial la
información y datos propios de EL RESPONSABLE a los que haya accedido o acceda durante la
ejecución del mismo. No tendrán el carácter de confidencial todas aquellas informaciones y datos
que fueran de dominio público o que estuvieran en posesión de EL ENCARGADO con anterioridad
a iniciar la prestación de sus servicios y hubieran sido obtenidas por medios lícitos.
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 32 Tfno. 91 352 56 39 www.gie.es
SEGUNDA.- La obligación de confidencialidad recogida en el presente contrato tendrá carácter
indefinido, manteniéndose en vigor con posterioridad a la finalización, por cualquier causa, de la
relación entre las partes.
TERCERA.- EL RESPONSABLE, es, con carácter único, quien decidirá sobre la finalidad, contenido
y uso de EL FICHERO al que acceda EL ENCARGADO como resultado de las actividades
realizadas por ésta.
CUARTA.- EL ENCARGADO accederá a EL FICHERO únicamente, cuando sea imprescindible
para el buen desarrollo de los servicios acordados entre las partes.
QUINTA.- EL ENCARGADO, se obliga a respetar todas las obligaciones que pudieran
corresponderle como encargado del tratamiento con arreglo a las disposiciones de la LOPD y
cualquier otra disposición o regulación complementaria que le fuera igualmente aplicable.
SEXTA.- EL ENCARGADO en su condición de encargado del tratamiento, únicamente tratará los
datos conforme a las instrucciones que reciba expresamente de EL RESPONSABLE.
SÉPTIMA.- EL ENCARGADO no destinará, aplicará o utilizará los datos a los que tenga acceso con
fin distinto al expresamente indicado en el presente contrato, o de cualquier otra forma que suponga
un incumplimiento de las instrucciones expresas que EL RESPONSABLE, en su condición de
responsable del tratamiento, le proporcione.
OCTAVA.- EL ENCARGADO se compromete a no revelar, transferir, ceder o de otra forma
comunicar EL FICHERO o los datos en él contenidos, ya sea verbalmente, por escrito, por medios
electrónicos, papel o mediante acceso informático, ni siquiera para su conservación, a ningún
tercero. A tal efecto EL ENCARGADO sólo podrá permitir el acceso a los datos a aquellos
empleados que tengan la necesidad de conocerlos para la prestación de los servicios contratados.
NOVENA.- EL ENCARGADO se obliga al cumplimiento de las obligaciones derivadas de la
normativa de protección de datos y más concretamente, en lo que se refiere a la implantación de las
medidas de seguridad que se indican a continuación según lo dispuesto en el RD 1720/07.
Asimismo, EL ENCARGADO garantiza el mantenimiento de estas medidas de seguridad así como
cualesquiera otras que le fueran impuestas, de índole técnica y organizativas, necesarias para
garantizar la seguridad, presente y futura, de los datos de carácter personal y evitar su alteración,
pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza
de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana
o del medio físico o natural, conforme a lo establecido en la normativa sobre protección de datos de
carácter personal.
Ficheros a los que accederá EL ENCARGADO en calidad de encargado del tratamiento y nivel de
medidas de seguridad aplicables a cada uno de ellos:
Denominación del fichero Nivel de seguridad aplicable
CLIENTES Y PROVEEDORES BÁSICO
DÉCIMA.- Una vez cumplida o resuelta la prestación contractual acordada entre EL
RESPONSABLE y EL ENCARGADO, los datos de carácter personal serán devueltos a EL
RESPONSABLE, al igual que cualquier soporte o documento en el que conste algún dato de
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 33 Tfno. 91 352 56 39 www.gie.es
carácter personal objeto del tratamiento, debiendo certificar inmediatamente por escrito dicha
devolución, en el plazo máximo de 10 días hábiles desde la fecha de cumplimiento o resolución del
contrato.
UNDÉCIMA.- De acuerdo con lo dispuesto en el artículo 80 del RD 1720/07, EL ENCARGADO
asume las siguientes obligaciones:
Si ambas partes hubieran pactado que EL ENCARGADO accediera a los datos de carácter
personal o a los recursos del sistema de información de EL RESPONSABLE, el personal
del primero se comprometerá al cumplimiento de las medidas de seguridad previstas por
EL RESPONSABLE en su Documento de Seguridad. Asimismo, y en el presente supuesto,
EL ENCARGADO no podrá incorporar tales datos a sistemas o soportes distintos de los del
responsable.
Si el servicio fuera prestado por EL ENCARGADO en sus propios locales, ajenos a los de
EL RESPONSABLE, el primero deberá elaborar un documento de seguridad en los
términos exigidos por el artículo 88 del RD 1720/07 o completar el que ya hubiera elaborado,
en su caso, identificando el fichero o tratamiento y el responsable del mismo e incorporando
las medidas de seguridad a implantar en relación con dicho tratamiento.
DUODÉCIMA.- Es obligación del Responsable de los Ficheros velar por que el Encargado del
Tratamiento reúna las garantías necesarias para el cumplimiento de lo establecido en la legislación
sobre protección de datos de carácter personal. A fin de cumplir con esta obligación, el Responsable
de los Ficheros tendrá derecho a:
Solicitar que el Encargado del Tratamiento exhiba la documentación preceptiva, conforme a
lo establecido en el RD 1720/2007 y normativa complementaria.
Realizar auditorías para verificar el cumplimiento de las medidas de seguridad y su
implantación, en el momento en el que lo considera oportuno, siempre que medie un
preaviso de al menos quince (15) días naturales sobre la fecha fijada para realizar dicha
auditoria.
DECIMOTERCERA.- Todos aquellos ficheros que sean creados e inscritos ante la Agencia
Española de Protección de Datos por el Responsable de los Ficheros con posterioridad a la firma
del presente Contrato y a los que el Encargado del Tratamiento tenga que tener acceso para la
correcta prestación de los Servicios, quedarán sometidos a los términos previstos en este Contrato
quedando obligado el Responsable de los Ficheros ha comunícaselo al Encargado del Tratamiento
de manera expresa, por cualquier medio escrito, adjuntándose copia de dichas comunicaciones a
este contrato como Anexos sucesivos.
DECIMOCUARTA.- EL RESPONSABLE autoriza expresamente a EL ENCARGADO a contratar
con terceros cuya intervención estime oportuna para el buen desarrollo de los servicios,
informándole de la identidad del tercero y de los servicios encargados. Además, EL ENCARGADO
se obliga a suscribir con el tercero un contrato en el que se estipulen las obligaciones que este debe
cumplir en relación a la protección de datos personales.
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 34 Tfno. 91 352 56 39 www.gie.es
DECIMOQUINTA.- La totalidad de los términos y condiciones del presente documento, incluidos sus
anexos, tienen carácter confidencial, estando sujetos a las obligaciones expuestas a lo largo del
acuerdo.
Datos incluidos en el presente contrato
DECIMOSEXTA.- De conformidad con lo dispuesto en la Ley Orgánica 15/1999 de Protección de
Datos de Carácter Personal, EL RESPONSABLE con domicilio en el lugar indicado en el
encabezamiento del presente contrato, informa a los intervinientes en el mismo, que los datos que
figuran en él, serán incorporados a un fichero de datos de carácter personal responsabilidad de EL
RESPONSABLE con la finalidad de llevar a cabo la gestión de la relación contractual generada con
la firma del presente documento.
Para ejercitar los derechos de acceso, rectificación, oposición y cancelación reconocidos por la
legislación vigente, el interesado deberá realizar una comunicación a la dirección indicada
anteriormente, a los referidos efectos, indicando como referencia “Protección de datos”.
Régimen de responsabilidad
DECIMOSÉPTIMA.- EL ENCARGADO mantendrá indemne a EL RESPONSABLE frente a
cualquier reclamación que derive del tratamiento de datos de carácter personal que EL
ENCARGADO realice en relación con el objeto del presente contrato como consecuencia del
incumplimiento de dicha normativa.
Asimismo, en el supuesto de que EL ENCARGADO utilizara los datos de carácter personal a los
que tuviera acceso vulnerando las obligaciones que le corresponden en calidad de encargado del
tratamiento según lo dispuesto en la LOPD así como en el RD 1720/07, y siempre que resultare
acreditado, EL ENCARGADO se obliga a:
Hacerse cargo del pago de cualquier cantidad que por cualquier causa y concepto EL
RESPONSABLE se viera obligada a abonar, como consecuencia del uso indebido de los
datos, incluidas sanciones administrativas y las eventuales indemnizaciones a cuyo pago
fuera condenada ésta, en virtud del correspondiente procedimiento, administrativo o judicial.
Asimismo, EL ENCARGADO se compromete al pago de las costas judiciales y los
honorarios de abogados y procurador que EL RESPONSABLE utilizare en los eventuales
procesos que se entablaran en su contra.
Abonar a EL RESPONSABLE, la suma que en su momento ambas partes acuerden en
concepto de indemnización de daños morales y de reputación comercial sufridos por éste
como consecuencia del uso indebido de los ficheros suministrados, cuya cantidad se fijará
proporcionalmente a los perjuicios causados.
Ambas partes, en prueba de su conformidad, firman el presente contrato, por duplicado ejemplar,
en el lugar y fecha indicados ut supra.
EL RESPONSABLE EL ENCARGADO
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 35 Tfno. 91 352 56 39 www.gie.es
ANEXO 5 - INVENTARIO DE ENCARGADOS DEL TRATAMIENTO
Encargado Ficheros accedidos Modo de acceso
TUAS 58, S.L.
TODOS los ficheros
Locales encargado Locales responsable
NOTEGES SOFTWARE PARA AGENTES INMOBILIARIOS, S.L.
Clientes y proveedores
Locales encargado Locales responsable
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 36 Tfno. 91 352 56 39 www.gie.es
EJEMPLO ANEXO 5
Encargado Ficheros accedidos Modo de acceso
Gestoría laboral
Nóminas y personal
Locales encargado
Asesoría fiscal y contable
Clientes y proveedores
Locales encargado
Mantenimiento informático
TODOS los ficheros
Locales responsable Remoto
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 37 Tfno. 91 352 56 39 www.gie.es
ANEXO 6 - PRESTACIÓN DE SERVICIOS SIN ACCESO A DATOS
De acuerdo con lo establecido en el artículo 83 del Real Decreto 1720/2007, de 21 de diciembre,
por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre,
de protección de datos de carácter personal y dado que la prestación de servicios acordada entre
las partes no requiere el acceso por parte de [Prestador de servicios] a datos de carácter personal,
se prohíbe expresamente que [Prestador de servicios] acceda a datos de carácter personal
incluidos en ficheros responsabilidad de [Responsable del fichero] o que en cualquier caso, sean
objeto de tratamiento por parte de la misma.
Sin perjuicio de lo dispuesto en el párrafo anterior, [Prestador de servicios] se obliga al
cumplimiento de la obligación de secreto respecto a los datos que el personal de su entidad hubiera
podido conocer con motivo de la prestación del servicio, responsabilizándose de las consecuencias
que en cualquier ámbito pudieran derivarse como consecuencia de la vulneración de la referida
obligación.
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 38 Tfno. 91 352 56 39 www.gie.es
ANEXO 7 - AUTORIZACIONES
Delegación de autorizaciones
Nombre y apellidos de la persona habilitada para otorgar la autorizaciones
Puesto / Función
Personas en las que se delega la autorización
Autorización Nombre y apellidos de la persona delegada
Conceder, anular o alterar el acceso a los recursos del sistema
Salida de soportes y/o documentos
Recepción de soportes y/o documentos
Ejecución de los procedimientos de recuperación de datos
Régimen de trabajo fuera de los locales
Usuarios y perfiles de usuarios
Perfil Fichero afectado
Lectura Modificación Borrado Copia o traslado
Responsable de Seguridad
Informático
Administrativo
Técnicos
Comerciales
Secretaría
Personal ajeno con acceso a los recursos de la entidad
Nombre y apellidos Entidad Fichero afectado
Lectura Modificación Borrado
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 39 Tfno. 91 352 56 39 www.gie.es
EJEMPLO ANEXO 7
Delegación de autorizaciones
Nombre y apellidos de la persona habilitada para otorgar la autorizaciones
Puesto / Función
Juan Rodríguez Rodríguez Responsable de Seguridad
Miguel Pérez Pérez Administrador de Sistemas
Personas en las que se delega la autorización
Autorización Nombre y apellidos de la persona delegada
Conceder, anular o alterar el acceso a los recursos del sistema
Miguel Pérez Pérez (Administrador de Sistemas)
Salida de soportes y/o documentos María López López (Usuaria)
Recepción de soportes y/o documentos
María López López (Usuaria)
Ejecución de los procedimientos de recuperación de datos
Miguel Pérez Pérez (Administrador de Sistemas)
Régimen de trabajo fuera de los locales
Usuarios y perfiles de usuarios
Perfil Fichero afectado
Lectura Modificación Borrado Copia o traslado
Responsable de Seguridad
TODOS
Informático TODOS
Administrativo TODOS
Técnicos TODOS
Comerciales TODOS
Secretaría TODOS
Personal ajeno con acceso a los recursos de la entidad
Nombre y apellidos Entidad Fichero afectado
Lectura Modificación Borrado
José Fernández Fernández
Mantenimiento Informático, S.A.
TODOS
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 40 Tfno. 91 352 56 39 www.gie.es
ANEXO 8 - MANUAL DE FUNCIONES Y OBLIGACIONES DEL PERSONAL
A. Obligaciones del Responsable de seguridad
Coordinará la puesta en marcha de las medidas de seguridad y controlará el
cumplimiento de las mismas en conjunción con los responsables administrativos de los
ficheros en caso de que se haya optado por designar a los mismos.
Analizará las incidencias registradas, tomando las medidas oportunas, para
independientemente de las medidas particulares que se hayan adoptado en el momento
que se produjeron, poner las medidas correctoras que limiten esas incidencias en el
futuro.
Se encargará de los controles periódicos de verificación del cumplimiento de la
normativa especificada en el presente Documento de Seguridad.
Comprobará, con una periodicidad al menos trimestral, que la lista de Usuarios
autorizados se corresponde con la lista de los usuarios que realmente están accediendo
a la aplicación de acceso al Fichero. El Administrador del Sistema colaborará con el
Responsable de Seguridad en este sentido, además de informarle de cualquier alta, baja
o modificación de la lista de Usuarios.
Comprobar, al menos semestralmente, que el Documento de Seguridad esta actualizado.
Cada dos años y en el caso de ficheros de nivel medio y alto, el sistema se someterá a
un proceso de auditoría que generará un informe de adecuación a las exigencias del
RLOPD indicando, en caso necesario, las deficiencias encontradas y las
recomendaciones para solucionarlas.
El responsable de seguridad analizará este informe y comunicará las conclusiones del
mismo al Responsable del Fichero para que adopte las medidas correctoras adecuadas.
Gestionará y controlará directamente los mecanismos que registran los accesos a los
Ficheros con datos de carácter personal. Además analizará mensualmente la información
registrada y elaborará un informe de las revisiones realizadas y los problemas
detectados.
El responsable de seguridad comprobará trimestralmente el cumplimiento de los registros
de entradas y salidas de soportes informáticos.
B) Obligaciones del administrador del sistema
Es el encargado de administrar o mantener el entorno operativo del Fichero, por tanto
del mantenimiento de los equipos y del software que contienen estos. Dado que el
Fichero está contenido en un determinado entorno informático, el Administrador del
sistema debe asumir determinadas obligaciones.
Se responsabilizará de la correcta instalación del software de acceso a los datos del
Fichero, tales como aplicaciones de gestión o generadores de listados, en cada uno de
los equipos.
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 41 Tfno. 91 352 56 39 www.gie.es
Controlará la particular configuración del sistema informático de la organización, con
especial atención a las conexiones de red local, así como a las conexiones a redes
externas.
Debe establecer un mecanismo que impida el acceso al sistema desde cualquier puesto
local o remoto a personas no autorizadas. Para ello empleará medidas de seguridad
implementadas en el sistema operativo, limitando el número máximo de intentos fallidos
de conexión y, en caso de ser técnicamente posible, registrando estas incidencias con
detalle de fecha, hora, identificador de usuario y clave erróneas, con objeto de identificar
al autor de tales intentos.
Mantendrá una relación del personal autorizado a acceder al sistema de información, ya
sea local o remotamente, y mantendrá la máxima garantía de seguridad esta relación,
que ha de contener el nombre de los usuarios y sus identificadores y contraseñas.
Si en el momento de implantar una aplicación que acceda a los datos del Fichero
precisara realizar pruebas con datos reales, solicitará autorización al responsable del
Fichero y garantizará que los datos usados para las pruebas reciban el mismo tratamiento
de seguridad que los originales, debiendo para ello:
1. Anotar dicha circunstancia en el Documento de Seguridad.
2. Realizar una copia de seguridad previamente a la realización de la pruebas.
Se encargará de comunicar al Responsable del Fichero o en su caso a la persona
delegada, las modificaciones significativas realizadas en el sistema informático que da
acceso a los datos del Fichero.
Se responsabilizará de guardar y proteger las copias de seguridad, de tal forma que no
puedan tener acceso a las mismas las personas no autorizadas.
Si la aplicación o sistema de acceso al fichero utilizase ficheros temporales, ficheros de
“logging”, el administrador deberá asegurarse de que esos datos no son accesibles por
personal no autorizado.
Si el equipo en el que está ubicado el fichero está integrado en una red de
comunicaciones de forma que desde otros equipos conectados a la misma sea posible
el acceso al fichero, el administrador deberá asegurarse de que este acceso no se
permite a personas no autorizadas.
Si la aplicación informática que permite el acceso al fichero no cuenta con un control de
acceso, deberá ser el sistema operativo en el que se ejecuta esa aplicación, el que impida
el acceso no autorizado, mediante el control de los citados códigos de usuario y
contraseñas.
Se responsabilizará del cumplimiento de los mecanismos establecidos para la
asignación, distribución y cambio de contraseñas.
Será responsable de que las contraseñas se almacenen en archivo protegido.
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 42 Tfno. 91 352 56 39 www.gie.es
Deberá realizar con una periodicidad al menos semanal, una copia de seguridad a
efectos de respaldo y posible recuperación de datos en caso de fallo. Podrá ser
designado expresamente otro usuario para responsabilizarse de este extremo.
Se encargará de que en caso de fallo del sistema con pérdida parcial o total de los datos,
exista y se lleve a cabo un procedimiento que partiendo de la última copia de respaldo y
del registro de las operaciones realizadas desde el momento de la copia, reconstruya los
datos del fichero al estado en que se encontraban en el momento del fallo.
En el posible caso de no existir en la organización la figura del Administrador del Sistema,
será el Responsable de Seguridad quien asuma las obligaciones anteriormente descritas.
C) Obligaciones de los usuarios del sistema
Los usuarios del sistema, deben conocer y aceptar las normas de seguridad de la
organización.
Los puestos de trabajo estarán bajo la responsabilidad de algún usuario autorizado que
garantizará que la información que muestran no pueda ser visible por personas no
autorizadas.
Las pantallas, impresoras o cualquier otro tipo de dispositivos conectados al puesto de
trabajo, deberán estar ubicados en lugares que garanticen confidencialidad e impidan
accesos no autorizados.
El usuario, cuando abandone su puesto de trabajo, temporalmente o al finalizar su jornada
de trabajo, deberá dejarlo en un estado que impida la visualización de los datos protegidos.
Esto podrá realizarse a través de un protector de pantalla que impida la visualización de
los datos. La reanudación del trabajo implicará la desactivación de la pantalla protectora
con la introducción de la contraseña correspondiente.
Deberán asegurarse de que no quedan documentos impresos en la bandeja de salida que
contengan datos protegidos. Si las impresoras son compartidas con otros usuarios no
autorizados para acceder a los datos del fichero, cada usuario deberá retirar los
documentos conforme vayan siendo impresos.
La conexión a redes o sistemas exteriores de los puestos de trabajo desde los que se
realiza el acceso al fichero, quedan expresamente prohibidas.
No podrán cambiar la configuración fija y sistema operativo de los equipos, salvo
autorización del Responsable de seguridad o de las personas en las que haya delegado
expresamente esta autorización.
Cada usuario será responsable de la confidencialidad de su contraseña y, en el supuesto
de que ésta sea conocida fortuita o fraudulentamente por personas no autorizadas, deberá
registrarlo como incidencia y proceder a su cambio.
Cualquier usuario que tenga conocimiento de una incidencia es responsable de la
comunicación de la misma al administrador del sistema, o en su caso, del registro de la
misma en el registro de incidencias del fichero. En este sentido, el conocimiento y la no
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 43 Tfno. 91 352 56 39 www.gie.es
notificación de una incidencia por parte de un usuario será considerado como una falta
contra la seguridad del fichero por parte de dicho usuario.
Deberán responsabilizarse de que los soportes que contengan datos personales, bien como
consecuencia de operaciones intermedias propias de la aplicación que los trata, o bien
como consecuencia de procesos periódicos de respaldo o cualquier otra operación
esporádica, se encuentren claramente identificados con una etiqueta externa que indique
de qué fichero se trata, qué tipo de datos contiene, proceso que los ha originado y fecha de
creación.
Se encargarán de que aquéllos soportes que resulten reutilizables, y que hayan contenido
datos personales, sean borrados físicamente antes de su reutilización, de forma que los
datos que contenía anteriormente, no sean recuperables.
Se ocuparán de que los soportes que contengan datos personales sean almacenados en
lugares a los que no tengan acceso personas no autorizadas para el acceso a dichos datos.
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 44 Tfno. 91 352 56 39 www.gie.es
ANEXO 9 - RELACIÓN DE USUARIOS DE LOS SISTEMAS DE INFORMACIÓN
NOMBRE Y APELLIDOS
DNI CARGO FICHEROS
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 45 Tfno. 91 352 56 39 www.gie.es
ANEXO 10 - GESTIÓN DE INCIDENCIAS
a) Notificación y registro de incidencias
INCIDENCIA Nº
NIVEL BÁSICO
Fecha de notificación
Tipo de incidencia
Descripción detallada de la incidencia
Fecha y hora en que se produjo la incidencia
Persona que realiza la notificación
Persona a quien se comunica
Efectos que puede producir
NIVEL MEDIO/ALTO
Procedimiento realizado
Persona que realiza el procedimiento
Datos restaurados
Datos grabados manualmente
Autorización del Responsable de Seguridad
Firma
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 46 Tfno. 91 352 56 39 www.gie.es
EJEMPLO ANEXO 10
a) Registro de Incidencias
INCIDENCIA Nº
NIVEL BÁSICO
Fecha de notificación 14/02/2009
Tipo de incidencia Indisponibilidad de los sistemas de información
Descripción detallada de la incidencia Debido a un fallo del sistema la información no se encuentra accesible
Fecha y hora en que se produjo la incidencia
14/02/2009, 13:15h.
Persona que realiza la notificación María López López
Persona a quien se comunica Miguel Pérez Pérez
Efectos que puede producir Inaccesibilidad a los datos, pérdida de información
NIVEL MEDIO/ALTO
Procedimiento realizado
Persona que realiza el procedimiento Miguel Pérez Pérez
Datos restaurados Fichero CV
Datos grabados manualmente No
Autorización del Responsable de Seguridad
Sí. Ubicada en
Firma
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 47 Tfno. 91 352 56 39 www.gie.es
b) Catálogo de posibles incidencias
Si bien no es posible tipificar a priori un catálogo exhaustivo de incidencias que pueden afectar a la
seguridad e integridad de los datos personales, se adjunta a modo de ejemplo, un listado orientativo
de incidencias conocidas.
1. Incidencias que pueden afectar a la confidencialidad
1.1.- Lectura no autorizada de la información contenida en los ficheros.
1.1.1.- Por parte de personal informático.
1.1.2.- Por parte de otras personas de la organización.
1.1.3.- Por parte de personas ajenas a la organización.
1.2.- Copia no autorizada de la información.
1.2.1.- Por parte de personal informático.
1.2.2.- Por parte de otras personas de la organización.
1.2.3.- Por parte de personas ajenas a la organización.
1.3.- Error en la distribución:
- de informes
- de soportes
1.4.- Error en la manipulación:
- de informes
- de soportes
1.5.- Obtención de información desde soportes desechados.
1.6.- Descifrado de la información:
1.6.1.- Por descubrimiento de claves.
1.6.2.- Por conocimiento directo de las claves.
2.- Incidencias que afectan a la integridad:
2.1.- Modificación no autorizada de la información:
2.1.1.- Por parte de personal de la organización.
2.1.2.- Por parte de personas ajenas a la organización.
2.2.- Borrado no autorizado de la información:
2.2.1.- Por parte de personal informático de la organización.
2.2.2.- Por parte de personas de la organización.
2.2.3.- Por parte de personas ajenas a la organización.
2.3.- Destrucción parcial o total de la información por:
2.3.1.- Fallos en equipos.
2.3.2.- Fallos en instalaciones ocasionadas por:
Incendios
Inundaciones
Tormentas
2.4.- Imposibilidad de recuperar datos, partiendo de las copias de respaldo.
2.5.- Alteración o borrado de la información durante su explotación por:
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 48 Tfno. 91 352 56 39 www.gie.es
2.5.1.- Fallos ocasionados por aplicaciones.
2.5.2.- Fallos ocasionados por sistemas operativos.
3.- Incidencias que afectan a la disponibilidad:
3.1.- Modificaciones no autorizadas de permisos de acceso lógico a los ficheros.
3.2.- Imposibilidad o limitación del uso de las instalaciones:
3.2.1.- Fenómenos meteorológicos.
3.2.2.- Huelgas, manifestaciones.
3.2.3.- Otras.
3.3.- Indisponibilidad de los sistemas:
3.3.1.- Por fallos informáticos.
4.- Incidencias que afectan a la autenticación:
4.1.- Suplantación del usuario autorizado por el no autorizado:
4.1.1.- Cesión de la clave.
4.1.2.- Por conocimiento de la clave de acceso.
4.1.3.- Por violación de los controles de acceso.
4.2.- Por fallos en los programas o dispositivos de control de acceso lógico.
4.3.- Por fallos en su gestión:
4.3.1.- Bajas de personas no comunicadas.
4.3.2.- Autorizaciones de acceso improcedentes.
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 49 Tfno. 91 352 56 39 www.gie.es
ANEXO 11 - GESTIÓN DE SOPORTES
a) Inventario de soportes
TIPO SOPORTE CÓDIGO ALTA BAJA DESTRUCCIÓN REUTILIZACIÓN
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 50 Tfno. 91 352 56 39 www.gie.es
EJEMPLO ANEXO 11
a) Inventario de soportes
TIPO SOPORTE CÓDIGO ALTA BAJA DESTRUCCIÓN REUTILIZACIÓN
CD
001/09
02/02/09
30/07/09
CD
002/09
02/07/09
CD
003/09
02/07/09
USB
004/09
16/07/09
CD
005/09
16/07/09
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 51 Tfno. 91 352 56 39 www.gie.es
b) Registro y autorización de entrada y salida de soportes
ENTRADA DE SOPORTES
CÓDIGO DE ENTRADA: Fecha de entrada de soporte:
SOPORTE Identificación: Contenido: Fichero de procedencia de los datos: Fecha de creación:
FINALIDAD, ORIGEN Y DESTINO Finalidad: Origen: Destinatario:
FORMA DE ENVÍO Medio de envío: Remitente:
AUTORIZACIÓN Persona que autoriza: Cargo: Observaciones: Firma:
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 52 Tfno. 91 352 56 39 www.gie.es
SALIDA DE SOPORTES
CÓDIGO DE SALIDA: Fecha de salida de soporte:
SOPORTE Identificación: Contenido: Fichero de procedencia de los datos: Fecha de creación:
FINALIDAD, ORIGEN Y DESTINO Finalidad: Origen: Destino: Destinatario:
FORMA DE ENVÍO Medio de envío: Remitente:
AUTORIZACIÓN Persona que autoriza: Cargo: Observaciones: Firma:
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 53 Tfno. 91 352 56 39 www.gie.es
EJEMPLO ANEXO 11
b) Registro y autorización de entrada de soportes
ENTRADA DE SOPORTES
CÓDIGO DE ENTRADA: 001/09 Fecha de entrada de soporte: 25/07/09
SOPORTE Identificación: USB Contenido: Datos de nóminas Fichero de procedencia de los datos: Nóminas y personal Fecha de creación:
FINALIDAD, ORIGEN Y DESTINO Finalidad: Realización de nóminas Origen: Gestoría laboral, S.A. Destinatario: Ana Álvarez Álvarez
FORMA DE ENVÍO Medio de envío: Mensajería Remitente: Alberto Márquez Márquez
AUTORIZACIÓN Persona que autoriza: Juan Rodríguez Rodríguez Cargo: Responsable de Seguridad Observaciones: Firma:
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 54 Tfno. 91 352 56 39 www.gie.es
ANEXO 12 - PROCEDIMIENTO DE RESPALDO Y RECUPERACIÓN
Características de los procedimientos de copias de respaldo
Fichero Periodicidad Soporte Ubicación de procedimiento de
copia y recuperación
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 55 Tfno. 91 352 56 39 www.gie.es
ANEXO 13 - IDENTIFICACIÓN DEL RESPONSABLE DE SEGURIDAD
ANEXO 14 - CONTROLES PERIÓDICOS DE VERIFICACIÓN
a) Controles periódicos de verificación
Medidas comunes a la totalidad de ficheros y sistemas de tratamiento Fichero: …………………….. Fecha de la verificación: ……………………….
Concepto verificado
Anomalías detectadas Medidas correctoras
Encargados del tratamiento
Prestaciones de servicios sin acceso a datos
Delegación de autorizaciones
Acceso a datos a través de redes telecomunicaciones
Régimen de trabajo fuera de los locales
Ficheros temporales y copias de trabajo de documentos
Responsable de seguridad
Fecha: Nombre y apellidos: Firma:
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 56 Tfno. 91 352 56 39 www.gie.es
Medidas de nivel básico para ficheros automatizados Fichero: ……………………….. Fecha de la verificación: ……………………….
Concepto verificado
Anomalías detectadas Medidas correctoras
Funciones y obligaciones del personal
Registro de incidencias
Control de acceso
Gestión de soportes y documentos
Identificación y autenticación
Copias de respaldo y recuperación
Responsable de seguridad
Fecha: Nombre y apellidos: Firma:
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 57 Tfno. 91 352 56 39 www.gie.es
Medidas de nivel medio para ficheros automatizados Fichero: ……………………….. Fecha de la verificación: ……………………….
Concepto verificado
Anomalías detectadas Medidas correctoras
Responsable de seguridad
Auditoría
Medidas adicionales soportes y documentos
Medidas adicionales identificación y autenticación
Control de acceso físico
Medidas adicionales incidencias
Controles periódicos de verificación
Responsable de seguridad
Fecha: Nombre y apellidos: Firma:
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 58 Tfno. 91 352 56 39 www.gie.es
Medidas de nivel alto para ficheros automatizados Fichero: ……………………….. Fecha de la verificación: ……………………….
Concepto verificado
Anomalías detectadas Medidas correctoras
Gestión y distribución de soportes
Copias de respaldo y recuperación
Registro de accesos
Telecomunicaciones
Responsable de seguridad
1. 2. Fecha:
Nombre y apellidos: Firma:
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 59 Tfno. 91 352 56 39 www.gie.es
Medidas de nivel básico para ficheros NO automatizados Fichero: ……………………….. Fecha de la verificación: ……………………….
Concepto verificado
Anomalías detectadas Medidas correctoras
Criterios de archivo
Dispositivos de almacenamiento
Custodia de los soportes
Responsable de seguridad
Fecha: Nombre y apellidos: Firma:
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 60 Tfno. 91 352 56 39 www.gie.es
Medidas de nivel medio para ficheros NO automatizados Fichero: ……………………….. Fecha de la verificación: ……………………….
Concepto verificado
Anomalías detectadas Medidas correctoras
Auditoría
Responsable de seguridad
Responsable de seguridad
Fecha: Nombre y apellidos: Firma:
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 61 Tfno. 91 352 56 39 www.gie.es
Medidas de nivel alto para ficheros NO automatizados Fichero: ……………………….. Fecha de la verificación: ……………………….
Concepto verificado
Anomalías detectadas Medidas correctoras
Copia o reproducción
Acceso a la documentación
Traslado de documentación
Responsable de seguridad
Fecha: Nombre y apellidos Firma:
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 62 Tfno. 91 352 56 39 www.gie.es
EJEMPLO ANEXO 14
a) Medidas comunes a la totalidad de ficheros y sistemas de tratamiento Fichero: ……………………….. Fecha de la verificación: ……………………….
Concepto verificado
Anomalías detectadas Medidas correctoras
Encargados del tratamiento
No se ha suscrito el correspondiente contrato de tratamiento por cuenta de terceros (art. 12 LOPD) con la Asesoría fiscal y contable
Firmar el contrato
Prestaciones de servicios sin acceso a datos
Delegación de autorizaciones
Acceso a datos a través de redes telecomunicaciones
Régimen de trabajo fuera de los locales
Ficheros temporales y copias de trabajo de documentos
Responsable de seguridad
Fecha: 28/07/2009 Nombre y apellidos: Juan Rodríguez
Rodríguez Firma:
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 63 Tfno. 91 352 56 39 www.gie.es
b) Catálogo de conceptos verificables A continuación se incluye un listado estructurado a fin de facilitar –a modo de ejemplo- los puntos a
comprobar en el sistema de información mediante la tabla del anexo anterior en cada control
periódico de verificación:
1. Aplicación del documento de seguridad
1.1. Existencia de copia del documento de seguridad en poder de cada Responsable de Seguridad
1.2. Disponibilidad del documento respecto de los usuarios del sistema
1.3. Nivel de conocimiento del documento por parte de los usuarios
1.4. Nivel de acatamiento a las normas y estándares que contiene
2. Vigencia del documento de seguridad
2.1. Adecuación del documento a los dispositivos físicos
2.2. Adecuación del documento a los recursos lógicos
2.3. Adecuación del documento al personal activo
3. Sistema de identificación y autenticación
3.1. Existencia de cambios periódicos de contraseña
3.2. Correlación entre la lista y el personal con acceso al sistema
3.3. Instauración de permisos al personal
3.3.1. Adecuación a las funciones cumplidas dentro del sistema por cada usuario
3.4. Almacenamiento cifrado de las contraseñas dentro del sistema
4. Control de acceso
4.1. Existencia de procedimientos de control de acceso lógico al sistema de información
4.2. Existencia de logs
4.2.1. Comprobación periódica
4.2.1.1. Redacción de informes
5. Gestión de soportes
5.1. Existencia de identificación en los soportes
5.2. Existencia de inventario de soportes
5.2.1. Registro de los soportes
5.3. Almacenamiento de soportes en sitio seguro
5.3.1. Cumplimiento almacenamiento de soportes para nivel alto
5.4. Existencia de inventario de entrada de soportes
5.4.1. Registro de cada soporte entrante
5.5. Existencia de inventario de salida de soportes
5.5.1. Registro de cada soporte saliente
5.6. Existencia de medidas ante desecho / reutilización de soportes
5.6.1. Cumplimiento de las medidas
6. Control antivirus
6.1. Existencia de un antivirus
6.1.1. Constatación de la actividad dentro del sistema
6.1.2. Grado de actualización de la aplicación
6.1.3. Grado de actualización de las cadenas de detección de virus
6.1.4. Automatización de la aplicación sobre archivos
6.2. Constatación de pérdida de datos suscitadas por virus
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 64 Tfno. 91 352 56 39 www.gie.es
7. Copias de respaldo
7.1. Existencia de procesos de copias de respaldo
7.2. Establecimiento de procedimientos periódicos
7.2.1. Cumplimiento de los plazos establecidos
7.3. Almacenamiento de las copias en lugar seguro
7.3.1. Medidas especiales de almacenamiento de copias para ficheros de nivel alto
7.4. Comprobación de recuperación de datos
8. Gestión de incidencias
8.1. Existencia de procedimiento
8.1.1. Registro de incidencias
8.1.1.1. Cumplimiento de medidas por los administradores del sistema
8.1.1.2. Cumplimiento de notificación por parte de los usuarios
8.1.2. Nivel de respuesta ante incidencias
8.2. Existencia de catálogo de incidencias
8.3. Existencia de acciones correctoras iniciadas ante incidencias
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 65 Tfno. 91 352 56 39 www.gie.es
ANEXO 15 - EJERCICIO DE DERECHOS
a) Cartas modelo de ejercicio de derechos
b) Protocolo de ejercicio de derechos
Características generales de los derechos ARCO2:
De acuerdo con lo dispuesto en la LOPD así como en su reglamento de desarrollo, los afectados
por un tratamiento de datos pueden ejercitar los siguientes derechos en relación con sus Datos de
Carácter Personal:
Derecho de Acceso.
Derecho de Rectificación.
Derecho de Cancelación.
Derecho de Oposición.
Los derechos serán denegados cuando la solicitud sea formulada por persona distinta del afectado
y no se acreditase que la misma actúa en representación de aquél.
El ejercicio de estos derechos es independiente y no se debe entender que el ejercicio de ninguno
de ellos sea requisito previo para el ejercicio de otro. Por ejemplo, no es necesario ejercitar el
derecho de acceso con anterioridad a solicitar la rectificación/cancelación de los datos.
El Responsable del fichero deberá conceder al interesado un medio sencillo y gratuito para el
ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
La solicitud de ejercicio de derechos, deberá contener:
a) Nombre y apellidos del interesado.
b) Fotocopia de su documento nacional de identidad, o de su pasaporte u otro documento
válido que lo identifique y, en su caso, de la persona que lo represente, o instrumentos
electrónicos equivalentes; así como el documento o instrumento electrónico acreditativo de
tal representación.
c) Petición en que se concreta la solicitud.
d) Dirección a efectos de notificaciones, fecha y firma del solicitante.
e) Documentos acreditativos de la petición que formula, en su caso.
El Responsable del tratamiento deberá contestar la solicitud que se le dirija en todo caso, con
independencia de que figuren o no datos personales del afectado en sus ficheros, recayendo sobre
él, la carga de la prueba de la respuesta.
2 Derechos de Acceso, Rectificación, Cancelación y Oposición
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 66 Tfno. 91 352 56 39 www.gie.es
Derecho de acceso
Es el derecho del afectado a obtener información sobre si sus propios Datos de Carácter Personal
están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando,
así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas
o previstas de los mismos.
El régimen normativo de protección de datos señala dos plazos diferentes en la tramitación de una
solicitud de acceso:
1. Plazo de la comunicación (formal) de concesión/denegación del acceso: un mes a partir de
la recepción de la misma en la entidad, plazo máximo en el que se puede comunicar al
afectado si se desestima su solicitud, o bien se procede a su tramitación.
En el caso de que no disponga de Datos de Carácter Personal de los afectados deberá
igualmente comunicárselo en el mismo plazo.
2. Plazo de la comunicación informativa relativa a la información que conste: diez días hábiles
a partir de la comunicación al interesado de que procede tramitar su solicitud.
En relación con la información que debe aportarse al solicitante, se ha de tener en consideración
que:
a. Los datos, cualquiera que sea el soporte en que sean facilitados, se proporcionarán
en forma legible e inteligible, sin utilizar claves o códigos que requieran el uso de
dispositivos mecánicos específicos.
b. Dicha información comprenderá todos los datos de base del afectado, los
resultantes de cualquier elaboración o proceso informático, así como la información
disponible sobre el origen de los datos, los cesionarios de los mismos y la
especificación de los concretos usos y finalidades para los que se almacenaron los
datos.
El responsable del fichero o tratamiento podrá denegar el acceso a los Datos de Carácter Personal
si:
a. El derecho ya se haya ejercitado en los doce meses anteriores a la solicitud, salvo
que se acredite un interés legítimo al efecto.
b. Así lo prevea una Ley o una norma de derecho comunitario de aplicación directa o
cuando éstas impidan al responsable del tratamiento revelar a los afectados el
tratamiento de los datos a los que se refiera el acceso.
En todo caso, el Responsable del fichero informará al afectado de su derecho a recabar la tutela de
la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las
comunidades autónomas, conforme a lo dispuesto en el artículo 18 de la Ley Orgánica 15/1999, de
13 de diciembre.
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 67 Tfno. 91 352 56 39 www.gie.es
Derechos de rectificación y cancelación
Derecho de rectificación: es el derecho del afectado a que se modifiquen los datos que resulten
ser inexactos o incompletos.
Derecho de cancelación: dará lugar a que se supriman los datos que resulten ser inadecuados o
excesivos, sin perjuicio del deber de bloqueo conforme a lo indicado en el Reglamento de Desarrollo
de la LOPD.
En los supuestos en que el interesado invoque el ejercicio del derecho de cancelación para revocar
el consentimiento previamente prestado, se estará a lo dispuesto en la Ley Orgánica 15/1999.
En relación con el procedimiento deben considerarse los siguientes elementos:
a. La solicitud de rectificación deberá indicar a qué datos se refiere y la corrección que haya
de realizarse y deberá ir acompañada de la documentación justificativa de lo solicitado.
b. En la solicitud de cancelación, el interesado deberá indicar a qué datos se refiere, aportando
al efecto la documentación que lo justifique, en su caso.
El responsable del fichero resolverá sobre la solicitud de rectificación o cancelación en el plazo
máximo de diez días a contar desde la recepción de la solicitud.
En el caso de que no disponga de datos de carácter personal del afectado deberá igualmente
comunicárselo en el mismo plazo.
Si los datos rectificados o cancelados hubieran sido cedidos previamente, el responsable del fichero
deberá comunicar la rectificación o cancelación efectuada al cesionario, en idéntico plazo, para que
éste, también en el plazo de diez días contados desde la recepción de dicha comunicación, proceda,
asimismo, a rectificar o cancelar los datos.
La rectificación o cancelación efectuada por el cesionario no requerirá comunicación alguna al
interesado, sin perjuicio del ejercicio de derechos por parte de los interesados reconocidos en la Ley
La rectificación o cancelación de los datos de carácter personal no procederá:
a. Cuando los datos de carácter personal deban ser conservados durante los plazos previstos
en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la
persona o entidad responsable del tratamiento y el interesado que justificaron el tratamiento
de los datos.
b. Cuando así lo prevea una ley o una norma de derecho comunitario de aplicación directa o
cuando éstas impidan al responsable del tratamiento revelar a los afectados el tratamiento
de los datos a los que se refiera el acceso.
Al igual que en el ejercicio del derecho de acceso, en todo caso, el responsable del fichero informará
al afectado de su derecho a recabar la tutela de la Agencia Española de Protección de Datos o, en
su caso, de las autoridades de control de las Comunidades Autónomas, conforme a lo dispuesto en
el artículo 18 de la Ley Orgánica 15/1999, de 13 de diciembre.
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 68 Tfno. 91 352 56 39 www.gie.es
Derecho de oposición
Derecho de oposición: es el derecho del afectado a que no se lleve a cabo el tratamiento de sus
datos de carácter personal o se cese en el mismo en los siguientes supuestos:
a. Cuando no sea necesario su consentimiento para el tratamiento, como
consecuencia de la concurrencia de un motivo legítimo y fundado, referido a su
concreta situación personal, que lo justifique, siempre que una Ley no disponga lo
contrario.
En el presente caso, en la solicitud, deberán hacerse constar los motivos fundados
y legítimos, relativos a una concreta situación personal del afectado, que justifican
el ejercicio de este derecho.
b. Cuando se trate de ficheros que tengan por finalidad la realización de actividades
de publicidad y prospección comercial.
c. Cuando el tratamiento tenga por finalidad la adopción de una decisión referida al
afectado y basada únicamente en un tratamiento automatizado de sus datos de
carácter personal.
El responsable del fichero resolverá sobre la solicitud de oposición en el plazo máximo de diez días
a contar desde la recepción de la solicitud.
En el caso de que no disponga de datos de carácter personal de los afectados deberá igualmente
comunicárselo en el mismo plazo.
Derecho de oposición a las decisiones basadas únicamente en un tratamiento automatizado de
datos.
Los interesados tienen derecho a no verse sometidos a una decisión con efectos jurídicos sobre
ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento
automatizado de datos destinado a evaluar determinados aspectos de su personalidad, tales como
su rendimiento laboral, crédito, fiabilidad o conducta.
No obstante, los afectados podrán verse sometidos a una de las decisiones indicadas anteriormente,
cuando
a) Se haya adoptado en el marco de la celebración o ejecución de un contrato a petición del
interesado, siempre que se le otorgue la posibilidad de alegar lo que estimara pertinente, a fin de
defender su derecho o interés.
En todo caso, el responsable del fichero deberá informar previamente al afectado, de forma clara y
precisa, de que se adoptarán decisiones con las características señaladas en el anteriormente y
cancelará los datos en caso de que no llegue a celebrarse finalmente el contrato.
b) Esté autorizada por una norma con rango de Ley que establezca medidas que garanticen el
interés legítimo del interesado.
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 69 Tfno. 91 352 56 39 www.gie.es
c) Modelos de respuesta ante los ejercicios de derechos
ACCESO
“Por la presente, le comunicamos que de conformidad con el artículo 15 de la Ley Orgánica 15/1999,
de Protección de Datos de Carácter Personal, procedemos a hacer efectivo el ejercicio de su
derecho de acceso, solicitado con fecha.......... A tal efecto, se adjunta una copia de los datos de
carácter personal que de su titularidad se mantienen en nuestros ficheros, así como el origen de los
mismos y las finalidades para las que fueron recabados.
Atentamente,”
* En el supuesto de que existan cesiones de datos, se deberá indicar la existencia de dichas
cesiones así como los datos identificativos de los cesionarios.
RECTIFICACIÓN
“Por la presente, le comunicamos que de conformidad con el artículo 16 de la Ley 15 de la Ley
Orgánica 15/1999, de Protección de Datos de Carácter Personal, se ha procedido a hacer efectivo
su derecho de rectificación, en el plazo establecido.
Atentamente,”
CANCELACIÓN
“Por la presente, le comunicamos que se ha recibido en nuestras oficinas su carta fechada el día
_________, mediante la que se solicita la cancelación de los datos que figuran en nuestros ficheros,
y que de conformidad con el artículo 16 de la Ley 15 de la Ley Orgánica 15/1999, de Protección de
Datos de Carácter Personal, se ha procedido a hacer efectivo su derecho de cancelación, en el
plazo establecido y en relación con los siguientes datos (indicar datos).
Atentamente,”
OPOSICIÓN
“Por la presente, le comunicamos que de conformidad con el artículo 6.4 de la Ley Orgánica 15 de
la Ley 15/1999 de Protección de Datos de Carácter Personal, se ha procedido a hacer efectivo su
derecho de oposición.
Atentamente,”
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 70 Tfno. 91 352 56 39 www.gie.es
Anexo 16 - CALIDAD DE LOS DATOS
Reglas generales del principio de calidad de los datos:
1. Datos Personales inexactos o no actualizados, que conserven la finalidad para la
que fueron recabados:
Proceder a la rectificación de dichos datos en el plazo de 10 días desde
que se tenga conocimiento de la inexactitud de dichos datos.
En caso de que no fuera posible la rectificación de los datos personales,
caben otras dos alternativas:
Proceder al bloqueo de los datos durante el plazo de prescripción
correspondiente y a su eliminación posterior del sistema de
información.
Proceder a la disociación de los datos. Lo que implica llevar a cabo
un tratamiento de datos personales contenidos en el fichero de
modo que la información que se obtenga no pueda asociarse a
persona identificada o identificable.
2. Datos Personales inexactos o no actualizados que hayan dejado de responder a
la finalidad para la que fueron recabados:
Procedimiento de disociación, de manera que no se permita asociar los
datos de carácter personal a una persona identificada o identificable.
Supresión de los datos: Eliminación permanente de los datos personales
del sistema de información.
3. Datos que hayan dejado de ser pertinentes o adecuados para la finalidad para la
que fueron recabados pero que, como consecuencia de las obligaciones legales
en la materia, deban ser conservados.
Deberán ser bloqueados y una vez transcurrido el periodo legalmente
establecido al efecto, definitivamente eliminados.
4. Datos que hayan dejado de ser pertinentes o adecuados para la finalidad para la
que fueron recabados y sobre los que no exista obligación de conservarlos.
Procedimiento de Disociación: Lo que implica llevar a cabo un tratamiento
de datos personales contenidos en el fichero de modo que la información
que se obtenga no pueda asociarse a persona identificada o identificable
de forma permanente
Supresión de los datos: Eliminación de los datos del sistema de
información.
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 71 Tfno. 91 352 56 39 www.gie.es
5. Datos que hayan dejado de ser pertinentes o adecuados para la finalidad para la
que fueron recabados y sobre los que no exista obligación de conservarlos, cuya
extinción física no sea posible, tanto por razones técnicas como por causa del
procedimiento o soporte utilizado.
Bloqueo de los datos, con el fin de impedir su ulterior proceso o utilización.
Procedimiento de Disociación: Lo que implica llevar a cabo un tratamiento
de datos personales contenidos en el fichero de modo que la información
que se obtenga no pueda asociarse a persona identificada o identificable
de forma permanente.
6. Los datos de carácter personal serán almacenados de forma que permitan el
ejercicio del derecho de acceso, salvo que sean legalmente cancelados.
Las aplicaciones de tratamientos de datos deben permitir el ejercicio de los derechos
de los afectados por el tratamiento.
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 72 Tfno. 91 352 56 39 www.gie.es
CLÁUSULAS DE INFORMACIÓN Y CONSENTIMIENTO
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 73 Tfno. 91 352 56 39 www.gie.es
1. CLÁUSULA INFORMATIVA PARA EMPLEADOS
De conformidad con lo dispuesto en la Ley Orgánica 15/1999 de Protección de Datos de Carácter
Personal, sus datos formarán parte de un fichero de datos de carácter personal, responsabilidad de
FINCAS GALICIA GESTION INMOBILIARIA, S.L. con C.I.F. B15919111, domiciliado a estos efectos
en AVENIDA BALNEARIO 36, BAJO, 15142 ARTEIXO, A CORUÑA, cuya finalidad es gestionar la
relación que mantiene con usted, y en particular y a título enunciativo, y no limitativo:
Controlar la utilización que realice de los recursos de la empresa a los que pudiera tener
acceso, como el uso y gasto telefónico, la utilización de Internet, los servicios de
mensajería instantánea, así como el correo electrónico, que son recursos de uso
exclusivo en el ámbito profesional,
Realizar el pago de las nóminas,
Funciones y actividades propias del Departamento de Recursos Humanos,
Llevar a cabo las obligaciones existentes en materia de protección de la salud y
prevención de riesgos laborales,
Gestionar y controlar su participación, asistencia y aprovechamiento en las acciones
formativas organizadas por la empresa en las que en su caso participe,
Realizar el control del absentismo así como el cumplimiento del horario laboral,
Remitir aquellas comunicaciones que pudieran llevarse a cabo desde la empresa,
Utilizar la información recogida en las grabaciones de videovigilancia, en el caso de
existir, para el ejercicio y funciones de control empresarial.
Asimismo, FINCAS GALICIA GESTION INMOBILIARIA, S.L. le informa que sus datos serán
comunicados a las siguientes entidades:
Tesorería General de la Seguridad Social: en cumplimiento de las obligaciones legales
vigentes en materia de seguridad social.
Agencia Estatal Tributaria: con la finalidad de llevar a cabo las obligaciones fiscales y
tributarias vigentes.
Entidades gestoras de la vigilancia de la salud: para el cumplimiento de la protección
respecto a contingencias de accidentes de trabajo y enfermedad profesional en los
términos previstos en la legislación vigente.
Entidades bancarias: para realizar el ingreso de los importes de las nóminas.
Entidades aseguradoras: con la finalidad de llevar a cabo la suscripción de pólizas de
seguros entre el empleado y la entidad destinataria de los datos.
Para ejercitar los derechos de acceso, rectificación, oposición y cancelación reconocidos por la
legislación vigente, el interesado deberá realizar una comunicación a la dirección arriba indicada, a
los referidos efectos, indicando como referencia “Protección de datos - Personal”, adjuntando copia
de su Documento Nacional de Identidad.
Fdo.:
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 74 Tfno. 91 352 56 39 www.gie.es
2. CLÁUSULA INFORMATIVA PARA EL FICHERO DE CURRICULA VITARUM
De conformidad con lo dispuesto en la Ley Orgánica 15/1999, de Protección de Datos de Carácter
Personal, FINCAS GALICIA GESTION INMOBILIARIA, S.L., con C.I.F. B15919111, domiciliado a
estos efectos en AVENIDA BALNEARIO 36, BAJO, 15142 ARTEIXO, A CORUÑA, le informa que
los datos que nos ha proporcionado formarán parte de un fichero responsabilidad de dicha entidad,
con la finalidad de llevar a cabo procesos de selección de personal.
En caso de que desee ejercitar los derechos que le asisten de acceso, rectificación, oposición y
cancelación, puede remitirnos una comunicación escrita a la dirección indicada anteriormente a los
referidos efectos con la referencia “Protección de Datos – CV”, adjuntando copia de su DNI o
documento identificativo equivalente.
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 75 Tfno. 91 352 56 39 www.gie.es
3. CLÁUSULA INFORMATIVA PARA CLIENTES
FINCAS GALICIA GESTION INMOBILIARIA, S.L., con C.I.F. B15919111, domiciliado a estos
efectos en AVENIDA BALNEARIO 36, BAJO, 15142 ARTEIXO, A CORUÑA, le garantiza la
protección de todos los datos de carácter personal facilitados y, en cumplimiento de los dispuesto
en la Ley Orgánica 15/1999, de 13 de diciembre, de datos de carácter personal, en el RD 1720/2007,
de 21 de diciembre, y restante normativa de aplicación, le informa que:
a) Todos los datos de carácter personal facilitados serán tratados por ésta de acuerdo con las
prescripciones legales aplicables al respecto y quedarán incorporados en el fichero clientes
y proveedores, creado y mantenido bajo la responsabilidad de FINCAS GALICIA GESTION
INMOBILIARIA, S.L. el cual ha sido debidamente registrado ante la Agencia Española de
Protección de Datos.
b) Los datos son recabados con la finalidad de llevar a cabo todo lo relacionado con nuestra
actividad de AGENCIA INMOBILIARIA, y en particular:
□ Gestión de Venta de Inmuebles.
□ Gestión de Alquiler de Inmuebles.
□ Servicios de búsqueda de vivienda.
c) Los datos de carácter personal incorporados en el fichero referido podrán ser cedidos a
terceros cuando sea así dispuesto por Ley o a entidades u Organismos, Públicos y/o
Privados, que así lo requieran, cuando se realice para las mismas finalidades que las
establecidas en el párrafo anterior, y en especial para la publicación publicitario de los
Inmuebles en formato impreso y/o digital, lo que usted acepta expresamente.
d) La utilización de la información para fines publicitarios deberá ser aceptada expresamente
marcando la casilla □ salvo aquella necesaria para la gestión de los servicios contratados.
e) Usted podrá, en todo momento, ejercitar los derechos de acceso, rectificación, cancelación
y oposición sobre sus datos personales así como el de revocación del consentimiento para
cualquiera de las finalidades antes señaladas, enviando comunicación a donde consten
claramente los datos de contacto a la cual deberá acompañarse fotocopia de su DNI/NIF o
documento que acredite su identidad.
f) A través del presente documento usted autoriza inequívocamente el tratamiento de sus
datos de carácter personal y todo ello de conformidad con lo establecido en los párrafos
anteriores.
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 76 Tfno. 91 352 56 39 www.gie.es
4. CLÁUSULA A INCLUIR EN LOS CORREOS ELECTRONICOS
A los efectos de lo establecido en la Ley Orgánica 15/1999 (LOPD) y Ley 34/2002, (LSSI), le
informamos que su dirección de correo electrónico forma parte de una base de datos que tiene como
finalidad, entre otras, gestionar las comunicaciones y envío de publicidad, ya sea por su relación
con nosotros o porque nos haya autorizado a que sus datos figuren en nuestro fichero. Usted podrá
en todo momento, ejercitar sus derechos ARCO por correo ordinario a FINCAS GALICIA GESTION
INMOBILIARIA, S.L., con C.I.F. B15919111, domiciliado a estos efectos en AVENIDA BALNEARIO
36, BAJO, 15142 ARTEIXO, A CORUÑA, en los términos establecidos en la LOPD. Este mensaje
se dirige exclusivamente a su destinatario y puede contener información privilegiada o confidencial.
Si usted ha recibido este mensaje por error, por favor borre su contenido y comuníquenoslo en la
dirección del remitente a la mayor brevedad posible.
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 77 Tfno. 91 352 56 39 www.gie.es
5. CLÁUSULA INFORMATIVA DEL FICHERO DE VIDEOVIGILANCIA
A) Distintivo informativo a colocar en lugar suficientemente visible de zonas vigiladas
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 78 Tfno. 91 352 56 39 www.gie.es
B) Cláusula informativa a disposición de los afectados en el fichero de video vigilancia
En virtud del artículo 3 apartado B de la Instrucción 1/2006 de la AEPD, se deben tener impresos de
información a disposición de los interesados con el siguiente contenido:
FINCAS GALICIA GESTION INMOBILIARIA, S.L., con C.I.F. B15919111, domiciliado a estos
efectos en AVENIDA BALNEARIO 36, BAJO, 15142 ARTEIXO, A CORUÑA, le informa que sus
datos personales se incorporarán al fichero de su responsabilidad denominado “Videovigilancia” y
serán tratados con finalidades de seguridad a través de un sistema de videovigilancia.
De igual modo se le informa que en caso de que desee ejercitar los derechos que le asisten de
acceso, rectificación, oposición y cancelación, puede remitir una comunicación escrita a la dirección
arriba indicada a los referidos efectos, adjuntando copia de su DNI o documento identificativo
equivalente.
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 79 Tfno. 91 352 56 39 www.gie.es
6. CLÁUSULA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL PARA FACTURAS
En cumplimiento de lo previsto en la LO 15/1999, de Protección de Datos de Carácter Personal, y
el RD 1720/2007, le informamos que los datos recogidos serán almacenados en nuestro fichero de
Clientes y Proveedores, con la finalidad de llevar a cabo todo lo relacionado con la actividad de la
Inmobiliaria, así como la remisión de ofertas comerciales, cuando corresponda. Usted podrá, en
todo momento, ejercitar sus derechos ARCO por correo ordinario en la siguiente dirección FINCAS
GALICIA GESTION INMOBILIARIA, S.L., con C.I.F. B15919111, domiciliado a estos efectos en
AVENIDA BALNEARIO 36, BAJO, 15142 ARTEIXO, A CORUÑA, en los términos establecidos en
la LOPD.
FINCAS GALICIA GESTION INMOBILIARIA, S.L.
[email protected] 80 Tfno. 91 352 56 39 www.gie.es
OBLIGACIONES
1.- PARA LOS EQUIPOS INFORMÁTICOS SE DEBEN HACER COPIAS DE SEGURIDAD DE
TODOS LOS FICHEROS CON DATOS PERSONALES Y QUE VAYAN SUFRIENDO
MODIFICACIONES. ESTAS COPIAS SE HACEN, AL MENOS, CADA 7 DÍAS EN LA FORMA QUE
ESTIMEN OPORTUNA Y SE ALMACENAN FUERA DE LA EMPRESA. EL MOTIVO DEL ALMACEN
EXTERNO ES QUE EN CASO DE ROBO O INCENDIO SIEMPRE TENDRAN UNA COPIA DE
RESPALDO CON LA QUE REHACER SUS FICHEROS.
2.- PARA LOS EQUIPOS INFORMÁTICOS SE DEBEN ESTABLECER CONTRASEÑAS EN LOS
PC´S DE LA OFICINA, DE TAL MODO QUE EL ACCESO AL SISTEMA SE HAGA MEDIANTE LA
IDENTIFICACIÓN DE UN USUARIO Y UNA CONTRASEÑA. LA CONTRASEÑA DEBE TENER, AL
MENOS, 6 DIGITOS ALFANUMÉRICOS (NUMERO + LETRA). ESTA CONTRASEÑA SE DEBERÁ
CAMBIAR CADA 3 MESES Y SERÁ PERSONAL E INTRANSFERIBLE.
3.- CUANDO SE MARCHE DE SU PUESTO DE TRABAJO O ESTE MAS DE 20 MINUTOS SIN
UTILIZAR EL EQUIPO INFORMÁTICO ESTE SE BLOQUEARA INMEDIATAMENTE MEDIANTE UN
SALVAPANTALLAS EN EL QUE DEBERÁ INTRODUCIR DE NUEVO LA CONTRASEÑA PARA QUE
ESTÉ OPERATIVO.
4.- IGUALMENTE LOS FICHEROS O LA INFORMACIÓN QUE DEJE DE SER NECESARIA Y
PERTINENTE SE DEBERÁ BLOQUEAR O, EN SU CASO, ELIMINAR.
5.- LOS FICHEROS EN PAPEL DE UNA IMPORTANCIA MAYOR POR TENER UN
IMPORTANTE NUMERO DE DATOS PERSONALES, COMO POR EJ. NOMINAS, DEBERÁN ESTAR
EN ARMARIOS BAJO LLAVE.
6.- LOS EMPLEADOS DEBEN FIRMAR LA CLÁUSULA DE INFORMACIÓN DE
TRABAJADORES, CLÁUSULA INFORMATIVA 1.
7.- SE DEBEN INCLUIR:
LA CLÁUSULA INFORMATIVA 3, PARA LOS CLIENTES. SE DEBE ENTREGAR PARA
SU FIRMA A LOS CLIENTES.
LA CLÁUSULA INFORMATIVA 4, PARA LOS EMAIL EN LAS FIRMAS DE LOS EMAILS.
LA CLAUSULA INFORMATIVA 6, PARA LAS FACTURAS.
8.- SE DEBEN FIRMAR LOS CONTRATOS DE PRESTACION DE SERVICIOS, ANEXO 4, CON
LA EMPRESAS QUE LE PRESTEN ALGUN TIPO DE SERVICIO CON ACCESO A DATOS DE
CARÁCTER PERSONAL, COMO, POR EJ. LA GESTORÍA.
9.- PARA EL CASO DE TENER PAGINA WEB SE DEBE INCLUIR LA CLÁUSULA DE AVISO
LEGAL Y POLÍTICA DE PRIVACIDAD, CREADAS AL EFECTO. IGUALMENTE DEBERÁ INCLUIRSE
LA CLÁUSULA DE COOKIES SI UTILIZAN GOOGLE ANALYTICS.