DOCUMENTO DE SEGURIDADDOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018 DOCUMENTO DE...
Transcript of DOCUMENTO DE SEGURIDADDOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018 DOCUMENTO DE...
DOCUMENTO DE SEGURIDAD
FECHA: 30 DE OCTUBRE DE 2019
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 2 de 60
Índice
1. CUADRO DE CONTROL DE CAMBIOS. 4
2. OBJETO Y CAMPO DE APLICACIÓN. 4
3.DEFINICIONES 8
4.COMUNICACIONES CON LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS 13
4.1.DELEGADO DE PROTECCIÓN DE DATOS 13
4.2. NOTIFICACIÓN DE VIOLACIÓNES DE LA SEGURIDAD DE LOS DATOS 13
5.ACTUACIÓN ANTE EL EJERCICIO DE UN DERECHO POR EL INTERESADO 14
5.1.DERECHO DE ACCESO 15
5.2.DERECHO DE RECTIFICACIÓN 17
5.3.DERECHO DE SUPRESIÓN (DERECHO AL OLVIDO) 17
5.4.DERECHO DE OPOSICIÓN 18
5.5. DERECHO DE LIMITACIÓN DEL TRATAMIENTO 19
5.6. DERECHO DE PORTABILIDAD 20
6. TRATAMIENTO POR CUENTA DE TERCEROS DE DATOS DE CARÁCTER PERSONAL 21
7.DOCUMENTACIÓN ASOCIADA AL TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL 24
8. IDENTIFICACIÓN DE OPERACIONES O ACTIVIDADES DE TRATAMIENTO 26
9.ANÁLISIS DE RIESGOS 29
10. EVALUACIÓN DE IMPACTO SOBRE LA PROTECCIÓN DE DATOS 32
11. REGISTRO DE OPERACIONES DE TRATAMIENTO 33
12. NOTIFICACIONES DE VIOLACIONES DE SEGURIDAD 34
13. DELEGADO DE PROTECCIÓN DE DATOS 35
14. DERECHO A LA DESCONEXIÓN DIGITAL EN EL ÁMBITO LABORAL 36
15. DESCRIPCIÓN DEL SISTEMA DE INFORMACIÓN UTILIZADO PARA EL TRATAMIENTO DE LOS DATOS DE
CARÁCTER PERSONAL 37
16. FUNCIONES Y OBLIGACIONES DEL PERSONAL 40
17. IDENTIFICACIÓN Y AUTENTICACIÓN 43
18. CONTROL DE ACCESOS 46
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 3 de 60
19. GESTIÓN DE SOPORTES Y DOCUMENTOS ¡Error! Marcador no definido.
20. CRITERIOS DE ARCHIVO. ALMACENAMIENTO DE LA INFORMACIÓN. CUSTODIA DE DOCUMENTOS 49
21. ACCESO A TRAVÉS DE REDES DE COMUNICACIONES 50
22.RÉGIMEN DE TRABAJO FUERA DE LOS LOCALES DE UBICACIÓN DEL FICHERO 50
23 FICHEROS TEMPORALES 52
24. COPIAS DE SEGURIDAD 52
25. NOTIFICACIÓN, GESTIÓN Y REGISTRO DE INCIDENCIAS ¡Error! Marcador no definido.
26. CONTROLES PERIÓDICOS DE VERIFICACIÓN 57
27. AUDITORÍAS 58
28.CIFRADO 58
29.NOMBRAMIENTO DEL RESPONSABLE DE SEGURIDAD 58
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 4 de 60
1. CUADRO DE CONTROL DE CAMBIOS.
EDICIÓN
FECHA
RESUMEN DE CAMBIOS
0 02-08-2019
Redacción del Documento de Seguridad, nueva versión adaptada al
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de
abril de 2016, relativo a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de estos
datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de
protección de datos) y a la Ley 3/2018 de 5 de diciembre, de Protección de
Datos Personales y garantía de los derechos digitales.
2. OBJETO Y CAMPO DE APLICACIÓN.
El presente Documento de Seguridad tiene por objeto establecer una serie de normas y procedimientos que
posibiliten la aplicación de una serie de medidas tanto a nivel técnico como organizativo que deberá cumplir todo
el personal de la organización que tenga acceso a sistemas e instalaciones que alberguen sistemas de tratamiento
de Datos de Carácter Personal sujetos a los requisitos del RGPD (REGLAMENTO (UE) 2016/679 DEL
PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 5 de 60
deroga la Directiva 95/46/CE (Reglamento general de protección de datos), de aplicación desde el 25 de mayo
de 2018) y de la Ley 3/2018 de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos
digitales.
La LOPDGDD es aplicable a los tratamientos de datos referidos a datos de contacto, de empresarios individuales
y de profesionales liberales. Según el artículo 19 de la Ley 3/2018 de 5 de diciembre, de Protección de Datos
Personales y garantía de los derechos digitales:
1. Salvo prueba en contrario, se presumirá amparado en lo dispuesto en el artículo 6.1.f) del Reglamento
(UE) 2016/679 el tratamiento de los datos de contacto y en su caso los relativos a la función o puesto
desempeñado de las personas físicas que presten servicios en una persona jurídica siempre que se
cumplan los siguientes requisitos:
a) Que el tratamiento se refiera únicamente a los datos necesarios para su localización
profesional.
b) Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con
la persona jurídica en la que el afectado preste sus servicios.
2. La misma presunción operará para el tratamiento de los datos relativos a los empresarios individuales
y a los profesionales liberales, cuando se refieran a ellos únicamente en dicha condición y no se trate para
entablar una relación con los mismos como personas físicas.
3. Los responsables o encargados del tratamiento a los que se refiere el artículo 77.1 de esta ley orgánica
podrán también tratar los datos mencionados en los dos apartados anteriores cuando ello se derive de
una obligación legal o sea necesario para el ejercicio de sus competencias.
En relación a los datos de las personas fallecidas, la LOPDGDD excluye de su ámbito de aplicación su tratamiento,
no obstante se permite que las personas vinculadas al fallecido por razones familiares o de hecho o sus herederos
puedan solicitar el acceso a los mismos, así como su rectificación o supresión, en su caso con sujeción a las
instrucciones del fallecido (artículo 3).
En relación con los niveles de seguridad el RGPD y la LOPDGDD establecen la siguiente clasificación:
Categorías especiales de datos (art. 9 RGPD), que incluye datos personales que revelen el origen étnico o racial,
las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos
genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la
salud o datos relativos a la vida sexual o la orientación sexual de una persona física.
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 6 de 60
Según el artículo 9 de LOPDGDD, a los efectos del artículo 9.2.a) del Reglamento (UE) 2016/679, a fin de evitar
situaciones discriminatorias, el solo consentimiento del afectado no bastará para levantar la prohibición del
tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación
sexual, creencias u origen racial o étnico.
Lo dispuesto en el párrafo anterior no impedirá el tratamiento de dichos datos al amparo de los restantes
supuestos contemplados en el artículo 9.2 del Reglamento (UE) 2016/679, cuando así proceda.
Los tratamientos de datos contemplados en las letras g), h) e i) del artículo 9.2 del Reglamento (UE) 2016/679
fundados en el Derecho español deberán estar amparados en una norma con rango de ley, que podrá establecer
requisitos adicionales relativos a su seguridad y confidencialidad.
En particular, dicha norma podrá amparar el tratamiento de datos en el ámbito de la salud cuando así lo exija la
gestión de los sistemas y servicios de asistencia sanitaria y social, pública y privada, o la ejecución de un contrato
de seguro del que el afectado sea parte.
El tratamiento de datos personales relativos a condenas e infracciones penales (art. 10 RGPD).
Según el artículo 10 de LOPDGDD, el tratamiento de datos personales relativos a condenas e infracciones
penales, así como a procedimientos y medidas cautelares y de seguridad conexas, para fines distintos de los de
prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones
penales, sólo podrá llevarse a cabo cuando se encuentre amparado en una norma de Derecho de la Unión, en esta
ley orgánica o en otras normas de rango legal.
El registro completo de los datos referidos a condenas e infracciones penales, así como a procedimientos y
medidas cautelares y de seguridad conexas a que se refiere el artículo 10 del Reglamento (UE) 2016/679, podrá
realizarse conforme con lo establecido en la regulación del Sistema de registros administrativos de apoyo a la
Administración de Justicia.
Fuera de los supuestos señalados en los apartados anteriores, los tratamientos de datos referidos a condenas e
infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas solo serán posibles
cuando sean llevados a cabo por abogados y procuradores y tengan por objeto recoger la información facilitada
por sus clientes para el ejercicio de sus funciones.
Las medidas de seguridad a tener en cuenta estarán relacionadas y serán acordes con el estado de la técnica, los
costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de
probabilidad y gravedad variables para los derechos y libertades de las personas físicas.
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 7 de 60
El responsable del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de
seguridad adecuado al riesgo (y categoría de datos tratados), que en su caso incluya, entre otros:
a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de
los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso
de incidente físico o técnico;
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y
organizativas para garantizar la seguridad del tratamiento.
Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el
tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita
de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no
autorizados a dichos datos.
El ámbito de aplicación del presente documento son todas las medidas técnicas y organizativas referentes a las
actividades de tratamientos de datos de carácter personal realizadas por el SOLTEL (SOLTEL IT SOLUTIONS, SL,
SOLTEL IT SOFTWARE) en el ANEXO 01 INVENTARIO DE ACTIVIDADES DE TRATAMIENTO DE DATOS.
Este documento ha sido elaborado bajo la responsabilidad de GRUPO SOLTEL (SOLTEL IT SOLUTIONS, SL,
SOLTEL IT SOFTWARE cada una de las empresas como Responsables del Tratamiento, que se comprometen a
implantar y actualizar esta Normativa de Seguridad de obligado cumplimiento para todo el personal con acceso
a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, dando
así cumplimiento a lo establecido en el RGPD.
Cuando exista un tratamiento de datos por cuenta de terceros, el documento de seguridad deberá contener la
identificación de los tratamientos que se traten en concepto de encargado con referencia expresa al contrato o
documento que regule las condiciones del encargo, así como de la identificación del responsable y del período de
vigencia del encargo.
En aquellos casos en los que datos personales de un tratamiento se incorporen y traten de modo exclusivo en los
sistemas del encargado, el responsable deberá anotarlo en su documento de seguridad. Cuando tal circunstancia
afectase a parte o a la totalidad de los ficheros o tratamientos del responsable, podrá delegarse en el encargado
la llevanza del documento de seguridad, salvo en lo relativo a aquellos datos contenidos en recursos propios. Este
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 8 de 60
hecho se indicará de modo expreso en el contrato celebrado al amparo del artículo 28 RGPD, con especificación
de los tratamientos afectados.
En tal caso, se atenderá al documento de seguridad del encargado al efecto del cumplimiento de lo dispuesto por
el RGPD.
El documento de seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se
produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su
organización, en el contenido de la información incluida en los tratamientos o, en su caso, como consecuencia de
los controles periódicos realizados. En todo caso, se entenderá que un cambio es relevante cuando pueda
repercutir en el cumplimiento de las medidas de seguridad implantadas.
En relación a los anexos asociados que se referencian a lo largo del presente documento, generados para
garantizar la completitud del Documento de Seguridad en base a lo exigido por la legislación vigente, todos se
encuentran en la carpeta “ANEXOS” adjunta a este documento.
3.DEFINICIONES
Accesos autorizados: autorizaciones concedidas a un usuario para la utilización de los diversos recursos. En su
caso, incluirán las autorizaciones o funciones que tenga atribuidas un usuario por delegación del responsable del
tratamiento o del responsable de seguridad.
Afectado o interesado: Persona física titular de los datos que sean objeto del tratamiento.
Autenticación: procedimiento de comprobación de la identidad de un usuario.
Autoridad de control»: la autoridad pública independiente establecida por un Estado miembro con arreglo a lo
dispuesto en el artículo 51;
Autoridad de control interesada»: la autoridad de control a la que afecta el tratamiento de datos personales
debido a que:
a) el responsable o el encargado del tratamiento está establecido en el territorio del Estado miembro de esa
autoridad de control;
b) los interesados que residen en el Estado miembro de esa autoridad de control se ven sustancialmente
afectados o es probable que se vean sustancialmente afectados por el tratamiento, o
c) se ha presentado una reclamación ante esa autoridad de control;
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 9 de 60
Cancelación: Procedimiento en virtud del cual el responsable cesa en el uso de los datos. La cancelación implicará
el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su
tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para la
atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de
dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos.
Cesión o comunicación de datos: Tratamiento de datos que supone su revelación a una persona distinta del
interesado.
Consentimiento del interesado»: toda manifestación de voluntad libre, específica, informada e inequívoca por la
que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos
personales que le conciernen;
Contraseña: información confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser
usada en la autenticación de un usuario o en el acceso a un recurso.
Control de acceso: mecanismo que en función de la identificación ya autenticada permite acceder a datos o
recursos.
Copia de respaldo: copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación.
Datos biométricos»: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las
características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la
identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos;
Dato disociado: aquél que no permite la identificación de un afectado o interesado.
Datos genéticos»: datos personales relativos a las características genéticas heredadas o adquiridas de una
persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en
particular del análisis de una muestra biológica de tal persona;
Datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se
considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o
indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de
identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad
física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;
Datos relativos a la salud»: datos personales relativos a la salud física o mental de una persona física, incluida la
prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud;
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 10 de 60
Destinatario»: la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen
datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades
públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el
Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos por dichas autoridades públicas
será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento;
Documento: todo escrito, gráfico, sonido, imagen o cualquier otra clase de información que puede ser tratada en
un sistema de información como una unidad diferenciada.
Elaboración de perfiles»: toda forma de tratamiento automatizado de datos personales consistente en utilizar
datos personales para evaluar determinados aspectos personales de una persona física, en particular para
analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias
personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física;
Empresa»: persona física o jurídica dedicada a una actividad económica, independientemente de su forma
jurídica, incluidas las sociedades o asociaciones que desempeñen regularmente una actividad económica;
Encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro
organismo que trate datos personales por cuenta del responsable del tratamiento;
Establecimiento principal»:
a) en lo que se refiere a un responsable del tratamiento con establecimientos en más de un Estado miembro, el
lugar de su administración central en la Unión, salvo que las decisiones sobre los fines y los medios del
tratamiento se tomen en otro establecimiento del responsable en la Unión y este último establecimiento tenga
el poder de hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado tales decisiones se
considerará establecimiento principal;
b) en lo que se refiere a un encargado del tratamiento con establecimientos en más de un Estado miembro, el
lugar de su administración central en la Unión o, si careciera de esta, el establecimiento del encargado en la Unión
en el que se realicen las principales actividades de tratamiento en el contexto de las actividades de un
establecimiento del encargado en la medida en que el encargado esté sujeto a obligaciones específicas con
arreglo al presente Reglamento;
Exportador de datos personales: la persona física o jurídica, pública o privada, u órgano administrativo situado
en territorio español que realice, conforme a lo dispuesto en el presente Reglamento, una transferencia de datos
de carácter personal a un país tercero.
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 11 de 60
Fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya
sea centralizado, descentralizado o repartido de forma funcional o geográfica;
Ficheros temporales: ficheros de trabajo creados por usuarios o procesos que son necesarios para un
tratamiento ocasional o como paso intermedio durante la realización de un tratamiento.
Grupo empresarial»: grupo constituido por una empresa que ejerce el control y sus empresas controladas;
Identificación: procedimiento de reconocimiento de la identidad de un usuario.
Importador de datos personales: la persona física o jurídica, pública o privada, u órgano administrativo receptor
de los datos en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del
tratamiento, encargada del tratamiento o tercero.
Incidencia: cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.
Limitación del tratamiento»: el marcado de los datos de carácter personal conservados con el fin de limitar su
tratamiento en el futuro;
Normas corporativas vinculantes»: las políticas de protección de datos personales asumidas por un responsable
o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto
de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un
grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta;
Objeción pertinente y motivada»: la objeción a una propuesta de decisión sobre la existencia o no de infracción
del presente Reglamento, o sobre la conformidad con el presente Reglamento de acciones previstas en relación
con el responsable o el encargado del tratamiento, que demuestre claramente la importancia de los riesgos que
entraña el proyecto de decisión para los derechos y libertades fundamentales de los interesados y, en su caso,
para la libre circulación de datos personales dentro de la Unión;
Organización internacional»: una organización internacional y sus entes subordinados de Derecho internacional
público o cualquier otro organismo creado mediante un acuerdo entre dos o más países o en virtud de tal acuerdo.
Perfil de usuario: accesos autorizados a un grupo de usuarios.
Persona identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante
cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una
persona física no se considerará identificable si dicha identificación requiere plazos o actividades
desproporcionados.
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 12 de 60
Procedimiento de disociación: Todo tratamiento de datos personales que permita la obtención de datos
disociados.
Recurso: cualquier parte componente de un sistema de información.
Representante»: persona física o jurídica establecida en la Unión que, habiendo sido designada por escrito por el
responsable o el encargado del tratamiento con arreglo al artículo 27, represente al responsable o al encargado
en lo que respecta a sus respectivas obligaciones en virtud del presente Reglamento;
Responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro
organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o
de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los
criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados
miembros;
Responsable de seguridad: persona o personas a las que el responsable del tratamiento ha asignado
formalmente la función de coordinar y controlar las medidas de seguridad aplicables.
Servicio de la sociedad de la información»: todo servicio conforme a la definición del artículo 1, apartado 1, letra
b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo (19) ;
Seudonimización»: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado
sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a
medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona
física identificada o identificable;
Sistema de información: conjunto de ficheros, tratamientos, programas, soportes y en su caso, equipos
empleados para el tratamiento de datos de carácter personal.
Sistema de tratamiento: modo en que se organiza o utiliza un sistema de información. Atendiendo al sistema de
tratamiento, los sistemas de información podrán ser automatizados, no automatizados o parcialmente
automatizados.
Soporte: objeto físico que almacena o contiene datos o documentos, u objeto susceptible de ser tratado en un
sistema de información y sobre el cual se pueden grabar y recuperar datos.
Tercero»: persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del
responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos
personales bajo la autoridad directa del responsable o del encargado;
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 13 de 60
Tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de
datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización,
estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por
transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación,
supresión o destrucción;
Transferencia internacional de datos: Tratamiento de datos que supone una transmisión de los mismos fuera
del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga
por objeto la realización de un tratamiento de datos por cuenta del responsable del tratamiento establecido en
territorio español.
Transmisión de documentos: cualquier traslado, comunicación, envío, entrega o divulgación de la información
contenida en el mismo.
Tratamiento transfronterizo»:
a) el tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en más de
un Estado miembro de un responsable o un encargado del tratamiento en la Unión, si el responsable o el
encargado está establecido en más de un Estado miembro, o
b) el tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento de
un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o es probable que
afecte sustancialmente a interesados en más de un Estado miembro;
Usuario: sujeto o proceso autorizado para acceder a datos o recursos. Tendrán la consideración de usuarios los
procesos que permitan acceder a datos o recursos sin identificación de un usuario físico.
Violación de la seguridad de los datos personales»: toda violación de la seguridad que ocasione la destrucción,
pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma,
o la comunicación o acceso no autorizados a dichos datos;
4.COMUNICACIONES CON LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
4.1.DELEGADO DE PROTECCIÓN DE DATOS
Según el artículo 37.7 RGPD el responsable publicará los datos de contacto del delegado de protección de datos
y los comunicarán a la autoridad de control.
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 14 de 60
La notificación se ha realizado a través del canal habilitado para ello por la AEPD en su SEDE ELECTRÓNICA:
https://sedeagpd.gob.es/sede-electronica-web/.
4.2. NOTIFICACIÓN DE VIOLACIÓNES DE LA SEGURIDAD DE LOS DATOS
Se entiende por “Violación o quiebra de seguridad”: todo incidente que ocasione la destrucción, pérdida o
alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la
comunicación o acceso no autorizados a dichos datos. Debe ser comunicado al Responsable de Seguridad.
Por ejemplo: Pérdida de un ordenador portátil, Acceso no autorizado a las bases de datos, Borrado accidental de
algunos registros.
El delegado de protección de datos (DPD) debe notificarla a AEPD, a menos que sea improbable que la violación
suponga un riesgo para los derechos y libertades de los afectados, al mismo tiempo dará de alta dicha incidencia
en la aplicación creada a tal efecto.
La notificación de la quiebra a las autoridades debe producirse sin dilación indebida y, a ser posible, dentro de las
72 horas siguientes a que el responsable tenga constancia de ella.
La notificación se debe realizar a través del canal habilitado para ello por la AEPD en su SEDE ELECTRÓNICA:
https://sedeagpd.gob.es/sede-electronica-web/.
La notificación ha de incluir un contenido mínimo:
• La naturaleza de la violación
• Categorías de datos y de interesados afectados
• Medidas adoptadas por el responsable para solventar la quiebra
• Si procede, las medidas aplicadas para paliar los posibles efectos negativos sobre los interesados
En los casos en que sea probable que la violación de seguridad entrañe un alto riesgo para los derechos o
libertades de los interesados, la notificación a la autoridad de supervisión deberá complementarse con una
notificación dirigida a estos últimos.
5.ACTUACIÓN ANTE EL EJERCICIO DE UN DERECHO POR EL INTERESADO
El procedimiento que regula la actuación del responsable del tratamiento ante el ejercicio de un derecho por el
interesado debe ser conocido por todo el personal de la organización perteneciente a aquellos departamentos
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 15 de 60
que estén en contacto con el exterior, y deben ser conscientes de la importancia del hecho de estos ejercicios de
derechos que pueden realizar los interesados.
Los plazos para responder a los titulares de los datos que ejerciten sus derechos son cortos y limitados (1 mes),
por lo que deben estar suficientemente preparados y deben establecerse claramente los circuitos establecidos
para gestionar las peticiones una vez recibidas.
El responsable deberá informar al interesado sobre las actuaciones derivadas de su petición en el plazo de un
mes (podrá extenderse dos meses más cuando se trate de solicitudes especialmente complejas y deberá notificar
esta ampliación dentro del primer mes).
Si el responsable decide no atender una solicitud, deberá informar de ello, motivando su negativa, dentro del
plazo de un mes desde su presentación.
El personal de la empresa que reciba una solicitud de este tipo, deberá dirigirla al DELEGADO DE PROTECCIÓN
DE DATOS de la empresa
Los modelos de solicitud de los derechos se encuentran recogidos en el ANEXO 02 SOLICITUD DERECHOS y
deberán estar a disposición del interesado que los solicite.
Los modelos de respuesta a cada uno de los procesos se encuentran recogidos en el ANEXO 03 RESPUESTA
DERECHOS. Dichos modelos serán custodiados por el Responsable de Seguridad.
5.1.DERECHO DE ACCESO
El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o
no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente
información:
a) los fines del tratamiento;
b) las categorías de datos personales de que se trate;
c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos
personales, en particular destinatarios en terceros u organizaciones internacionales;
d) de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios
utilizados para determinar este plazo;
e) la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la
limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 16 de 60
f) el derecho a presentar una reclamación ante una autoridad de control;
g) cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su
origen;
h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22,
apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la
importancia y las consecuencias previstas de dicho tratamiento para el interesado.
En caso de que se transfieran datos personales a un tercer país o a una organización internacional, el interesado
tendrá derecho a ser informado de las garantías adecuadas en virtud del artículo 46 relativas a la transferencia.
El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento. El responsable
podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes
administrativos. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite
que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.
El derecho a obtener copia mencionado anteriormente no afectará negativamente a los derechos y libertades de
otros.
El derecho de acceso del afectado se ejercitará de acuerdo con lo establecido en el artículo 15 del Reglamento
(UE) 2016/679.
Cuando el responsable trate una gran cantidad de datos relativos al afectado y éste ejercite su derecho de acceso
sin especificar si se refiere a todos o a una parte de los datos, el responsable podrá solicitarle, antes de facilitar la
información, que el afectado especifique los datos o actividades de tratamiento a los que se refiere la solicitud.
El derecho de acceso se entenderá otorgado si el responsable del tratamiento facilitara al afectado un sistema de
acceso remoto, directo y seguro a los datos personales que garantice, de modo permanente, el acceso a su
totalidad. A tales efectos, la comunicación por el responsable al afectado del modo en que este podrá acceder a
dicho sistema bastará para tener por atendida la solicitud de ejercicio del derecho.
No obstante, el interesado podrá solicitar del responsable la información referida a los extremos previstos en el
artículo 15.1 del Reglamento (UE) 2016/679 que no se incluyese en el sistema de acceso remoto.
A los efectos establecidos en el artículo 12.5 del Reglamento (UE) 2016/679 se podrá considerar repetitivo el
ejercicio del derecho de acceso en más de una ocasión durante el plazo de seis meses, a menos que exista causa
legítima para ello.
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 17 de 60
Cuando el afectado elija un medio distinto al que se le ofrece que suponga un coste desproporcionado, la solicitud
será considerada excesiva, por lo que dicho afectado asumirá el exceso de costes que su elección comporte. En
este caso, solo será exigible al responsable del tratamiento la satisfacción del derecho de acceso sin dilaciones
indebidas.
5.2.DERECHO DE RECTIFICACIÓN
El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de
los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado
tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una
declaración adicional.
Al ejercer el derecho de rectificación reconocido en el artículo 16 del Reglamento (UE) 2016/679, el afectado
deberá indicar en su solicitud a qué datos se refiere y la corrección que haya de realizarse. Deberá acompañar,
cuando sea preciso, la documentación justificativa de la inexactitud o carácter incompleto de los datos objeto de
tratamiento.
5.3.DERECHO DE SUPRESIÓN (DERECHO AL OLVIDO)
El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los
datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales
cuando concurra alguna de las circunstancias siguientes:
a) los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados
de otro modo;
b) el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6 RGPD,
apartado 1, letra a), o el artículo 9 RGPD, apartado 2, letra a), y este no se base en otro fundamento jurídico;
c) el interesado se oponga al tratamiento con arreglo al artículo 21 RGPD, apartado 1, y no prevalezcan otros
motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21 RGPD,
apartado 2;
d) los datos personales hayan sido tratados ilícitamente;
e) los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho
de la Unión o de los Estados miembros que se aplique al responsable del tratamiento;
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 18 de 60
f) los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información
mencionados en el artículo 8, apartado 1.
En caso de que se haya hecho públicos los datos personales y esté obligado, a suprimir dichos datos, el
responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará
medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los
datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o
cualquier copia o réplica de los mismos.
No se aplicará la supresión de los datos cuando el tratamiento sea necesario:
a) para ejercer el derecho a la libertad de expresión e información;
b) para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de
la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una
misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable;
c) por razones de interés público en el ámbito de la salud pública de conformidad con el artículo 9 RGPD, apartado
2, letras h) e i), y apartado 3;
d) con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de
conformidad con el artículo 89 RGPD, apartado 1, en la medida en que el derecho indicado en el apartado 1
pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento, o
e) para la formulación, el ejercicio o la defensa de reclamaciones.
El derecho de supresión se ejercerá de acuerdo con lo establecido en el artículo 17 del Reglamento (UE)
2016/679.
Cuando la supresión derive del ejercicio del derecho de oposición con arreglo al artículo 21.2 del Reglamento
(UE) 2016/679, el responsable podrá conservar los datos identificativos del afectado necesarios con el fin de
impedir tratamientos futuros para fines de mercadotecnia directa.
5.4.DERECHO DE OPOSICIÓN
El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación
particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el
artículo 6 RGPD, apartado 1, letras e) o f), incluida la elaboración de perfiles sobre la base de dichas disposiciones.
El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 19 de 60
imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado,
o para la formulación, el ejercicio o la defensa de reclamaciones.
Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa, el interesado tendrá
derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la
elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia.
Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa, los datos personales dejarán
de ser tratados para dichos fines.
En el momento de la primera comunicación con el interesado, el derecho de oposición indicado en los párrafos
anteriores será mencionado explícitamente al interesado y será presentado claramente y al margen de cualquier
otra información.
En el contexto de la utilización de servicios de la sociedad de la información, y no obstante lo dispuesto en
la Directiva 2002/58/CE, el interesado podrá ejercer su derecho a oponerse por medios automatizados que
apliquen especificaciones técnicas.
Cuando los datos personales se traten con fines de investigación científica o histórica o fines estadísticos de
conformidad con el artículo 89 RGPD, apartado 1, el interesado tendrá derecho, por motivos relacionados con
su situación particular, a oponerse al tratamiento de datos personales que le conciernan, salvo que sea necesario
para el cumplimiento de una misión realizada por razones de interés público.
El derecho de oposición, así como los derechos relacionados con las decisiones individuales automatizadas,
incluida la realización de perfiles, se ejercerán de acuerdo con lo establecido, respectivamente, en los artículos
21 y 22 del Reglamento (UE) 2016/679.
5.5. DERECHO DE LIMITACIÓN DEL TRATAMIENTO
El ejercicio del derecho de limitación de tratamiento se llevará a cabo teniendo en cuenta:
El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos
cuando se cumpla alguna de las condiciones siguientes:
a) el interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable
verificar la exactitud de los mismos;
b) el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar
la limitación de su uso;
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 20 de 60
c) el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los
necesite para la formulación, el ejercicio o la defensa de reclamaciones;
d) el interesado se haya opuesto al tratamiento en virtud del artículo 21, apartado 1, mientras se verifica si los
motivos legítimos del responsable prevalecen sobre los del interesado.
2. Cuando el tratamiento de datos personales se haya limitado en virtud del apartado 1, dichos datos solo podrán
ser objeto de tratamiento, con excepción de su conservación, con el consentimiento del interesado o para la
formulación, el ejercicio o la defensa de reclamaciones, o con miras a la protección de los derechos de otra
persona física o jurídica o por razones de interés público importante de la Unión o de un determinado Estado
miembro.
3. Todo interesado que haya obtenido la limitación del tratamiento con arreglo al apartado 1 será informado por
el responsable antes del levantamiento de dicha limitación.
El derecho a la limitación del tratamiento se ejercerá de acuerdo con lo establecido en el artículo 18 del
Reglamento (UE) 2016/679.
El hecho de que el tratamiento de los datos personales esté limitado debe constar claramente en los sistemas de
información del responsable.
5.6. DERECHO DE PORTABILIDAD
El ejercicio del derecho de limitación de tratamiento se llevará a cabo teniendo en cuenta:
El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable
del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro
responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:
a) el tratamiento esté basado en el consentimiento con arreglo al artículo 6, apartado 1, letra a), o el artículo 9,
apartado 2, letra a), o en un contrato con arreglo al artículo 6, apartado 1, letra b), y
b) el tratamiento se efectúe por medios automatizados.
2. Al ejercer su derecho a la portabilidad de los datos de acuerdo con el apartado 1, el interesado tendrá derecho
a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente
posible.
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 21 de 60
3. El ejercicio del derecho mencionado en el apartado 1 del presente artículo se entenderá sin perjuicio del
artículo 17. Tal derecho no se aplicará al tratamiento que sea necesario para el cumplimiento de una misión
realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
4. El derecho mencionado en el apartado 1 no afectará negativamente a los derechos y libertades de otros.
El derecho a la portabilidad se ejercerá de acuerdo con lo establecido en el artículo 20 del Reglamento (UE)
2016/679.
6. TRATAMIENTO POR CUENTA DE TERCEROS DE DATOS DE CARÁCTER PERSONAL
El tratamiento realizado por parte de terceros de los datos de carácter personal sobre los que la empresas
GRUPO SOLTEL (SOLTEL IT SOLUTIONS, SL, SOLTEL IT SOFTWARE actúan como Responsables del Tratamiento,
queda regulado conforme a los requisitos establecidos en el Capítulo IV, artículo 28 del RGPD y artículo 33 de la
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales
(LOPDGDD)
Según establece el RGPD, el responsable deberá adoptar medidas apropiadas, incluida la elección de encargados,
de forma que garantice y esté en condiciones de demostrar que el tratamiento se realiza conforme el RGPD
(principio de responsabilidad activa).
El responsable debe elegir únicamente encargados que ofrezcan garantías suficientes para aplicar medidas
técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del
Reglamento. Esta previsión se extiende también a los encargados cuando subcontraten operaciones de
tratamiento con otros subencargados.
El contenido mínimo establecido para estos contratos (Capítulo IV, artículo 28 del RGPD) es el siguiente:
A.- LAS INSTRUCCIONES DEL RESPONSABLE DEL TRATAMIENTO
Se debe documentar de forma precisa las instrucciones respecto del encargo realizado. Es necesario identificar de forma clara y concreta cuáles son los
tratamientos de datos a realizar por el encargado del tratamiento, atendiendo al tipo de servicio prestado y a la forma de prestarlo. Es especialmente
necesario determinar de forma clara las comunicaciones a terceros que el responsable encomienda al encargado o que se derivan del servicio prestado.
La sujeción a las instrucciones del responsable deberá producirse igualmente en el caso de las transferencias internacionales de datos que puedan
producirse como consecuencia de la prestación del servicio. Si el encargado del tratamiento está obligado legalmente, por el Derecho de la Unión o de
un Estado miembro, a transferir datos a un tercer país deberá informar al responsable antes de llevar a cabo el tratamiento, salvo que tal derecho lo
prohíba por razones importantes de interés público.
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 22 de 60
Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de
datos de la Unión o de los Estados miembros, el encargado deberá informar inmediatamente al responsable.
B.- EL DEBER DE CONFIDENCIALIDAD
Hay que establecer la forma en que el encargado del tratamiento garantizará que las personas autorizadas para tratar datos personales se han
comprometido, de forma expresa, a respetar la confidencialidad o, en su caso, si están sujetas a una obligación de confidencialidad de naturaleza
estatutaria.
El cumplimiento de esta obligación debe quedar documentado y a disposición del responsable del tratamiento.
C.- LAS MEDIDAS DE SEGURIDAD
El acuerdo debe establecer la obligación del encargado de adoptar todas las medidas de seguridad necesarias, de conformidad con lo establecido en el
artículo 32 del RGPD.
Corresponde al responsable del tratamiento realizar la evaluación de riesgos para determinar las medidas de seguridad apropiadas para garantizar la
seguridad de la información tratada y los derechos de las personas afectadas. Así mismo el encargado también debe evaluar los posibles riesgos
derivados del tratamiento, teniendo en cuenta los medios utilizados (tecnologías, recursos etc.) y otras circunstancias que puedan incidir en la
seguridad, como por ejemplo que el encargado lleve a cabo otros tratamientos.
A partir de aquí, la determinación de las medidas de seguridad concretas puede realizarse a través de una lista exhaustiva de las mismas o de la remisión
a un estándar o marco nacional o internacional reconocido.
Así, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los
riesgos de probabilidad y gravedad variables para los derechos y las libertades de las personas físicas, el responsable y el encargado del tratamiento
establecerán las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo existente que, en su caso,
incluyan, entre otros:
a) La seudoanimización y el cifrado de datos personales;
b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico;
d) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del
tratamiento.
La adhesión a códigos de conducta o la posesión de una certificación son elementos que sirven para demostrar el cumplimiento de los requisitos
anteriormente indicados.
El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo su autoridad y tenga acceso a
datos personales sólo pueda tratarlos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los
Estados miembros.
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 23 de 60
D.- EL RÉGIMEN DE LA SUBCONTRATACIÓN
El acuerdo debe establecer el régimen de subcontratación. El RGPD exige la autorización previa por escrito del responsable del tratamiento para que el
encargado del tratamiento pueda recurrir a otro encargado (subencargado) para desarrollar el servicio encomendado, cuando esto conlleve el
tratamiento de los datos personales por parte de un tercero.
Esta autorización puede ser específica (identificación de la entidad concreta) o general (sólo autorizando la subcontratación, pero sin concretar la
entidad).
En el supuesto que la autorización sea de carácter general, el encargado informará al responsable de la incorporación de un subencargado o su
sustitución por otros subencargados, dando así al responsable la oportunidad de oponerse a dichos cambios.
Puede ser de utilidad establecer en el acuerdo o acto la forma (que en todo caso deberá constar por escrito) y el plazo para que el responsable pueda
manifestar su oposición.
En todo caso, el subencargado del tratamiento debe estar sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y en la
misma forma (acuerdo por escrito o acto jurídico vinculante) que el encargado del tratamiento en lo referente al adecuado tratamiento de los datos
personales y a la garantía de los derechos de las personas afectadas. En caso de incumplimiento por el subencargado, el encargado inicial seguirá siendo
plenamente responsable ante el responsable del tratamiento en lo referente al cumplimiento de las obligaciones del subencargado.
Cuando sea aplicable la legislación de contratos del sector público, habrá que tener en cuenta también las disposiciones específicas previstas en dicha
ley.
E.- LOS DERECHOS DE LOS INTERESADOS
Hay que establecer la forma en la que el encargado del tratamiento asistirá al responsable en el cumplimento de la obligación de responder a las
solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III del RGPD: Acceso a datos personales,
Rectificación, Supresión (derecho al olvido), Limitación del tratamiento, Portabilidad de datos, Oposición.
A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles) El acuerdo deberá establecer de forma clara si
corresponde al encargado del tratamiento atender y dar respuesta a las solicitudes de estos derechos o bien establecer expresamente que su única
obligación es comunicar al responsable del tratamiento que se ha ejercido un derecho.
En el primer supuesto, el acuerdo debe establecer la forma y los plazos para atender o, en su caso, dar respuesta a las solicitudes de ejercicio de derechos.
En el segundo supuesto, debe establecerse la forma y el plazo en que la solicitud y, en su caso, la información correspondiente al ejercicio del derecho se
debe comunicar al responsable del tratamiento.
En cuanto al derecho de información de las personas afectadas, se trata de un derecho no sujeto a solicitud y, por tanto, no sujeto a las previsiones del
artículo 28.3.e) del RGPD. Pese a ello, en aquellos casos en que el encargado deba realizar la recogida de datos es recomendable establecer en el acuerdo
o acto jurídico la forma y el momento en que debe darse el derecho de información.
F.- LA COLABORACIÓN EN EL CUMPLIMIENTO DE LAS OBLIGACIONES DEL RESPONSABLE
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 24 de 60
Se debe establecer la forma en que el encargado ayudará al responsable a garantizar el cumplimiento de las obligaciones relativas a la aplicación de las
medidas de seguridad que correspondan, la notificación de violaciones de datos a las Autoridades de Protección de Datos, la comunicación de
violaciones de datos a los interesados, la realización de las evaluaciones de impacto relativa la protección de datos y, en su caso, la realización de
consultas previas.
El cumplimiento de esta obligación queda supeditado a la naturaleza del tratamiento realizado y a la información que esté a disposición del encargado.
El responsable puede delegar en el encargado el cumplimiento de estas obligaciones.
G.- EL DESTINO DE LOS DATOS AL FINALIZAR LA PRESTACIÓN
Hay que prever si, una vez finalice la prestación de los servicios de tratamiento, el encargado del tratamiento debe proceder a la supresión o a la
devolución de los datos personales y de cualquier copia existente, ya sea al responsable o a otro encargado designado por el responsable.
El acuerdo debe establecer de forma clara cuál de las dos opciones es la elegida por el responsable, así como la forma y el plazo en que debe cumplirse.
En todo caso, los datos deberán ser devueltos al responsable cuando se requiera la conservación de los datos personales, en virtud del Derecho de la
Unión o de los Estados miembros.
No obstante, el encargado puede conservar una copia con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la
ejecución de la prestación.
H.- LA COLABORACIÓN CON EL RESPONSABLE PARA DEMOSTRAR EL CUMPLIMIENTO
Es preciso establecer la obligación del encargado de poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento
de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones,
realizadas por el responsable o por otro auditor autorizado por el responsable.
Se han identificado los encargados del tratamiento para los ficheros que contienen datos de carácter personal en
ANEXO 04 CONTROL ENCARGADOS DEL TRATAMIENTO
Se ha elaborado modelo de contrato de prestación de servicios con acceso a datos de carácter personal ANEXO
05 MODELO DE CONTRATO DE ENCARGADOS DEL TRATAMIENTO y un modelo de contrato de prestación
de servicios sin acceso a datos de carácter personal ANEXO 06 ACUERDO DE CONFIDENCIALIDAD.
7.DOCUMENTACIÓN ASOCIADA AL TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL
Para cada uno de los tratamientos de datos de carácter personal (o para cada operación de tratamiento de datos)
se ha elaborado una serie de documentación (clausulado informativo, modelos de comunicaciones, etc.)
encaminados a garantizar el cumplimiento del derecho de información de los titulares de los datos y a obtener el
consentimiento de los mismos para el tratamiento de dichos datos y dar cumplimiento al artículo 7 RGPD
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 25 de 60
Condiciones para el Consentimiento y artículo 6 Tratamiento basado en el consentimiento del afectado de la
LOPDGDD, y de los artículos 13 y 14 RGPD, y artículo 11 LOPDGDD Información que debe facilitarse al
interesado al recabar sus datos personales.
La documentación elaborada para estos fines se encuentra en el ANEXO 07 CLAUSULADO.
El consentimiento debe ser “inequívoco”
El consentimiento inequívoco es aquel que se ha prestado mediante una manifestación del interesado o mediante
una clara acción afirmativa.
A diferencia del Reglamento de Desarrollo de la anterior y derogada LOPD, no se admiten formas de
consentimiento tácito o por omisión, ya que se basan en la inacción.
Se contemplan situaciones en las que el consentimiento, además de inequívoco, ha de ser explícito:
• Tratamiento de datos sensibles.
• Adopción de decisiones automatizadas.
• Transferencias internacionales.
El consentimiento puede ser inequívoco y otorgarse de forma implícita cuando se deduzca de una acción del
interesado (por ejemplo, cuando el interesado continúa navegando por una web y acepta así el que se utilicen
cookies para monitorizar su navegación).
Los tratamientos iniciados con anterioridad al inicio de la aplicación del RGPD sobre la base del consentimiento
seguirán siendo legítimos siempre que ese consentimiento se hubiera prestado del modo en que prevé el propio
RGPD, es decir, mediante una manifestación o acción afirmativa.
La información a los interesados, tanto respecto a las condiciones de los tratamientos que les afecten como en
las respuestas a los ejercicios de derechos, deberá proporcionarse de forma concisa, transparente, inteligible y
de fácil acceso, con un lenguaje claro y sencillo.
Contenido cláusulas informativas
Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el
momento en que estos se obtengan, le facilitará toda la información indicada a continuación:
a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;
b) los datos de contacto del delegado de protección de datos, en su caso;
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 26 de 60
c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;
d) cuando el tratamiento se base en el artículo 6 RGPD, apartado 1, letra f), los intereses legítimos del
responsable o de un tercero;
e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
f) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización
internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las
transferencias indicadas en los artículos 46 o 47 RGPD o el artículo 49 RGPD, apartado 1, párrafo segundo,
referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de
que se hayan prestado.
Además de la información mencionada en el apartado anterior, el responsable del tratamiento facilitará al
interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para
garantizar un tratamiento de datos leal y transparente:
a) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados
para determinar este plazo;
b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al
interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como
el derecho a la portabilidad de los datos;
c) cuando el tratamiento esté basado en el artículo 6 RGPD, apartado 1, letra a), o el artículo 9 RGPD, apartado
2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la
licitud del tratamiento basado en el consentimiento previo a su retirada;
d) el derecho a presentar una reclamación ante una autoridad de control;
e) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para
suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las
posibles consecuencias de que no facilitar tales datos;
f) la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22 RGPD,
apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la
importancia y las consecuencias previstas de dicho tratamiento para el interesado.
Y además, en el caso de que los datos no se obtengan del propio interesado:
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 27 de 60
• El origen de los datos
• Las categorías de los datos
8. IDENTIFICACIÓN DE OPERACIONES O ACTIVIDADES DE TRATAMIENTO
La descripción de los tratamientos sujetos al análisis de riesgos, permite obtener un conocimiento del ciclo de
vida de los datos, de las actividades realizadas y de cualquier elemento que interviene en las mismas.
Las actividades de tratamiento se agrupan por procesos comunes expuestos a riesgos similares, lo que simplifica
el análisis y permite establecer medidas de seguridad por defecto. Por ejemplo, todas las operaciones de
almacenamiento de datos están asociados al riesgo de falta de disponibilidad, por lo que la medida mitigadora
aplicable puede ser una política diaria de copias de seguridad definida para todas las bases de datos.
El ciclo de vida de los datos se puede dividir en las siguientes etapas:
Captura de datos: Proceso de obtención de datos para su almacenamiento y posterior procesado. Dentro de esta
categoría se pueden encontrar diversas técnicas: formularios web, formularios en papel, toma de muestras y
realización de encuestas, grabaciones de audio y video, redes sociales, captación mediante sensores, etc.
Clasificación / Almacenamiento: Establecer categorías y asignarlas a los datos para su clasificación y
almacenamiento en los sistemas o archivos.
Uso / Tratamiento: Operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos
personales, ya sea por procedimientos de los datos automatizados o manuales.
Cesión o transferencia de los datos a un tercero para su tratamiento: Traspaso o comunicación de datos
realizada a un tercero, definido como aquella persona física o jurídica, pública o privada u órgano administrativo.
Este concepto es muy amplio, puesto que recoge tanto la entrega, comunicación, consulta, interconexión,
transferencia, difusión o cualquier otra forma de acceso a los datos.
Destrucción: Eliminar los datos que puedan estar contenidos en los sistemas o archivos, de manera que no
puedan ser recuperados de los soportes de almacenamiento.
Los elementos involucrados en cada una de las etapas del ciclo de vida de los datos en las actividades de
tratamiento, se pueden clasificar en las siguientes categorías:
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 28 de 60
Actividades de tratamiento sobre los datos de carácter personal
Una actividad de tratamiento responde a la materialización de una finalidad sobre los datos personales de un
determinado colectivo de personas. Así una actividad de tratamiento puede ser la gestión de personal, la gestión
de historias clínicas, la gestión de alumnos, la gestión de becas, la gestión de una biblioteca, la gestión de la agenda
institucional de una organización.
Son las que se ejecutan en el ciclo de vida o en el conjunto de etapas del ciclo de vida o en el conjunto de etapas
del ciclo de vida, y que dan lugar a alcanzar su finalidad definida. Una actividad u operación puede considerarse,
por ejemplo, el almacenamiento de datos en una base de datos, la manipulación de la información para la
obtención de decisiones, un proceso de borrado o cualquier tarea que requiera el tratamiento o manipulación de
los datos y que formen parte de un tratamiento que tiene una finalidad concreta y que define uno de los objetivos
o actuaciones que la organización debe realizar sobre los datos de carácter personal.
Datos
El ciclo de vida está directamente relacionado con los datos personales que se tratan. Por ello, su identificación
en cada etapa es fundamental para poder establecer interrelaciones y dependencias entre las operaciones de
tratamiento y conjuntos de datos identificados.
Para cada tipología de datos, se debe establecer su categoría (datos especiales) y su grado de importancia dentro
de las actividades de tratamiento, determinando si es imprescindible o no su inclusión. En este punto, también es
necesario considerar el principio de minimización de los datos y asegurar que no existen datos que no se prevén
utilizar o recopilar sin utilidad para la finalidad de las actividades de tratamiento.
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 29 de 60
Intervinientes.
Durante todo el ciclo de vida de los datos pueden existir numerosos intervinientes que participen en cada una de
las actividades de tratamiento. Esto se refiere a aquellas personas físicas o jurídicas que, de manera individual o
colectiva, están implicadas en las actividades del tratamiento de los datos de carácter personal, y cuyas funciones
y responsabilidades están definidas y delimitadas claramente.
Dentro de este grupo se puede incluir el responsable del tratamiento, áreas o empleados de las organizaciones
que participan activamente del procesado de los datos, encargados de tratamiento, etc.
Tecnología
De igual forma, la tecnología y los sistemas son una capa clave que da soporte a las actividades de tratamiento de
los datos de carácter personal. Se debe identificar aquellos elementos tecnológicos implicados (tanto hardware
como software) en las actividades de tratamiento a un alto nivel, sin llegar entrar en un análisis tecnológico
pormenorizado, como son las distintas tecnologías (cloud, BBDD, servidores), aplicaciones, dispositivos y/o
técnicas empleadas de procesamiento de los datos.
Para actividades de tratamiento con soporte en la misma tecnología, la exposición a los riesgos derivados de su
uso será similar y, por tanto, se podrá agrupar bajo este criterio las actividades de tratamiento a la hora de
identificar, evaluar y tratar los mismos.
Por último, no hay que olvidar que, si alguna actividad de tratamiento implica el procesamiento no automatizado
de los datos, se ha de identificar como una actividad más de tratamiento e inventariar como un activo más.
La identificación de operaciones de tratamiento de datos se incluye en el ANEXO 01 INVENTARIO DE
ACTIVIDADES DE TRATAMIENTO DE DATOS
9.ANÁLISIS DE RIESGOS
El RGPD condiciona la adopción de las medidas de responsabilidad activa al riesgo que los tratamientos puedan
suponer para los derechos y libertades de los interesados.
La gestión de riesgos requiere un profundo proceso de identificación, evaluación y tratamiento de los riesgos a
los que está expuesto una actividad de tratamiento. La metodología para la realización de un análisis está
enfocada a las actividades de tratamiento donde se requiere determinar la exposición al riesgo, en caso de ser
elevada requerirá una Evaluación de Impacto sobre la Protección de Datos (EIPD). Ante niveles de riesgo no
elevados, el proceso de análisis se puede simplificar poniendo foco en aquellos más relevantes que pueden
impactar en las actividades de tratamiento.
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 30 de 60
Los principales riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas,
se pueden diferenciar en 2 dimensiones:
Riesgos asociados a la protección de la información con foco en la integridad, disponibilidad y confidencialidad
de los datos. Por ejemplo, acceso ilegítimo a los datos o pérdida de datos.
Riesgos asociados al cumplimiento de los requisitos regulatorios relacionados con los derechos y libertades de
los interesados. Por ejemplo, uso ilegítimo de datos personales o la posibilidad de que el responsable no pueda
atender el ejercicio de los derechos que el RGPD reconoce al titular de los datos porque la organización no tiene
correctamente implementados y operativos los procedimientos correspondientes.
El proceso de gestión de riesgos se estructura en tres fases diferenciadas:
● Identificación
● Evaluación
● Tratamiento
● Identificación y evaluación de riesgos
Para la realización de la identificación y evaluación de riesgos para la protección de datos (análisis de riesgos), se
ha utilizado una metodología basada en la norma ISO 31000 (estándar internacional), que permite realizar un
análisis cualitativo de los riesgos para la protección de datos.
Los riesgos se identifican en base a las amenazas y vulnerabilidades a los que se encuentran expuestos los datos
personales y se ha tomado como referencia la Guía elaborada por la Agencia Española de Protección de Datos,
en la que los riesgos aparecen agrupados en categorías (Generales / Legitimación de los tratamientos y cesiones
de datos personales / Transferencias internacionales de datos / Notificación de los tratamientos / Transparencia
de los tratamientos / Calidad de los datos / Datos especialmente protegidos / Deber de secreto / Tratamientos
por encargo / Derechos / Seguridad).
El nivel de riesgo de una operación de tratamiento de datos personales, es una estimación de lo que puede ocurrir
y se valora, de forma cuantitativa, como el producto del impacto, (consecuencia), asociado a una amenaza
(suceso), por la probabilidad de la misma.
El cálculo del nivel de riesgo se realiza de la siguiente forma:
● PROBABILIDAD x IMPACTO = RIESGO
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 31 de 60
Probabilidad: Es la posibilidad de ocurrencia de un hecho, suceso o acontecimiento. La frecuencia de ocurrencia
implícita se corresponde con la amenaza. Para estimar la frecuencia podemos basarnos en datos empíricos (datos
objetivos) del histórico de la empresa, o en opiniones de expertos o del empresario (datos subjetivos). En la
estimación de la probabilidad de materialización del riesgo, se tiene en cuenta, además de la frecuencia de la
amenaza, el grado de vulnerabilidad al que está expuesta la organización para cada amenaza.
El valor de la probabilidad de materialización del riesgo se estima, dando valores de 1 a 3 en base a la siguiente
tabla:
Muy alta (81%-100%)
5
Alta (61%-80%) 4
Media (41%-60%) 3
Baja (21%-40%) 2
Muy baja (0%-20%) 1
Impacto o consecuencia de la materialización de una amenaza sobre una operación de tratamiento de datos
personales aprovechando una vulnerabilidad. El impacto se suele estimar en porcentaje de degradación que
afecta a los derechos de las personas (interesados cuyos datos son objeto de tratamiento), el 100% sería la
pérdida total de los derechos de las personas.
El valor del impacto de materialización del riesgo se estima en base al impacto que tendría sobre los derechos
fundamentales de las personas, dando valores de 1 a 3 en base a la siguiente tabla:
Muy alto 5
Alto 4
Medio 3
Bajo 2
Muy bajo 1
Por tanto, para el nivel de riesgo de una operación de tratamiento de datos personales obtenido en el análisis de
riesgos realizado, obtendremos valores de riesgo desde 1 a 9.
Para la realización del Análisis de Riesgos se ha utilizado una herramienta Excel, en base a la metodología descrita
en este apartado.
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 32 de 60
Gestión de los Riesgos (Tratamientos de los riesgos)
La gestión de riesgos incluye el análisis de riesgos (conocer los riesgos a los que está expuesta la organización y
los datos personales tratados por esta) y el tratamiento de los riesgos (tratamiento de los riesgos que superan un
nivel de riesgo admisible por la organización).
Para realizar el tratamiento de los riesgos, se puede optar por varias opciones:
Evitar el riesgo, por ejemplo, eliminando el factor que lo causa, o cesar un tratamiento específico.
Reducirlo o mitigarlo, implantando medidas (controles) que logren disminuir el nivel de riesgo por debajo del
aceptable por la organización.
Se puede reducir la probabilidad o frecuencia de ocurrencia: tomando, por ejemplo, medidas preventivas.
Se puede reducir el impacto de la amenaza o acotar el impacto, estableciendo por ejemplo controles y revisando
el funcionamiento de las medidas preventivas.
Transferirlo, compartirlo o asignarlo a terceros, en caso de que la organización no tenga la capacidad de
tratamiento y precise la contratación de un tercero con capacidad para reducir y gestionar el riesgo dejándolo
por debajo del umbral.
Aceptarlo, se asume el riesgo, bien porque está debajo del umbral aceptable de riesgo bien en situaciones en las
que los costes de su tratamiento son elevados y aun siendo riesgos de impacto alto su probabilidad de ocurrencia
es baja.
En nuestro caso se tratarán los riesgos cuyo nivel supere el valor 9, según se indica en la siguiente tabla:
PROBABILIDAD
IMPACTO__
Muy baja (0%-20%)
1
Baja (21%-40%)
2
Media (41%-60%)
3
Alta (61%-80%)
4
Muy alta (81%-100%)
5
Muy bajo 1 1 2 3 4 5
Bajo 2 2 4 6 8 10
Medio 3 3 6 9 12 15
Alto 4 4 8 12 16 20
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 33 de 60
Muy alto 5 5 10 15 20 25
Para la realización tratamientos de riesgos se ha utilizado la herramienta Excel de Análisis de Riesgos, en la
columna de controles (que se aplicarían), en base a la metodología descrita en este apartado.
Para la implantación de controles se tendrá de referencia los incluidos en las normas de seguridad de la
información ISO 27001 e ISO 27002.
El Análisis de Riesgos realizado se encuentra en el ANEXO 08 ANÁLISIS DE RIESGOS PROTECCIÓN DE DATOS
10. EVALUACIÓN DE IMPACTO SOBRE LA PROTECCIÓN DE DATOS
En caso de que el tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance,
contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del
tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la
protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento
similares que entrañen altos riesgos similares.
El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha sido
nombrado, al realizar la evaluación de impacto relativa a la protección de datos.
La evaluación de impacto relativa a la protección de los datos se requerirá en particular en caso de:
a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento
automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos
jurídicos para las personas físicas o que les afecten significativamente de modo similar;
b) tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de
los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o
c) observación sistemática a gran escala de una zona de acceso público.
La evaluación deberá incluir como mínimo:
a) una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento,
inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;
b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su
finalidad;
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 34 de 60
c) una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1, y
d) las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que
garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento,
teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.
En caso necesario, el responsable examinará si el tratamiento es conforme con la evaluación de impacto relativa
a la protección de datos, al menos cuando exista un cambio del riesgo que representen las operaciones de
tratamiento.
Se ha desarrollado un modelo de informe ANEXO 09 MODELO EVALUACIÓN DE IMPACTO.
11. REGISTRO DE OPERACIONES DE TRATAMIENTO
El responsable llevará un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho
registro deberá contener toda la información indicada a continuación:
a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del
responsable, y del delegado de protección de datos;
b) los fines del tratamiento;
c) una descripción de las categorías de interesados y de las categorías de datos personales;
d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los
destinatarios en terceros países u organizaciones internacionales;
e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la
identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el
artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se
refiere el artículo 32, apartado 1.
Estos registros constarán por escrito, inclusive en formato electrónico.
El responsable deberá poner el registro a disposición de la autoridad de control que lo solicite.
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 35 de 60
Las obligaciones realizar un registro de actividades de tratamiento no se aplicarán a ninguna empresa ni
organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un
riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos
personales indicadas en el artículo 9 RGPD, apartado 1, o datos personales relativos a condenas e infracciones
penales a que se refiere el artículo 10 RGPD.
12. NOTIFICACIONES DE VIOLACIONES DE SEGURIDAD
Violación o quiebra de seguridad: todo incidente que ocasione la destrucción, pérdida o alteración accidental o
ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no
autorizados a dichos datos. Debe ser comunicado al Delegado de Protección de Datos.
Por ejemplo: Pérdida de un ordenador portátil, Acceso no autorizado a las bases de datos, Borrado accidental de
algunos registros.
El Responsable (Delegado de Protección de Datos) debe notificarla a AEPD, a menos que sea improbable que la
violación suponga un riesgo para los derechos y libertades de los afectados.
La notificación de la quiebra a las autoridades debe producirse sin dilación indebida y, a ser posible, dentro de las
72 horas siguientes a que el responsable tenga constancia de ella.
La notificación se debe realizar a través del canal habilitado para ello por la AEPD en su SEDE ELECTRÓNICA:
https://sedeagpd.gob.es/sede-electronica-web/.
La notificación ha de incluir un contenido mínimo:
• la naturaleza de la violación
• categorías de datos y de interesados afectados
• medidas adoptadas por el responsable para solventar la quiebra
• si procede, las medidas aplicadas para paliar los posibles efectos negativos sobre los interesados
En los casos en que sea probable que la violación de seguridad entrañe un alto riesgo para los derechos o
libertades de los interesados, la notificación a la autoridad de supervisión deberá complementarse con una
notificación dirigida a estos últimos.
Se mantendrá un registro de las quiebras de seguridad que se produzcan en la entidad, según el ANEXO 1O
REGISTRO DE QUIEBRAS DE SEGURIDAD
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 36 de 60
13. DELEGADO DE PROTECCIÓN DE DATOS
El responsable del tratamiento designará un delegado de protección de datos siempre que:
a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio
de su función judicial;
b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en
razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran
escala, o
c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de
categorías especiales de datos con arreglo al artículo 9 o de datos personales relativos a condenas e infracciones
penales a que se refiere el artículo 10.
Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar
un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su
estructura organizativa y tamaño.
El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a
sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad
para desempeñar las funciones indicadas en el artículo 39 RGPD.
El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del
tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.
El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de
datos y los comunicarán a la autoridad de control.
La notificación se debe realizar a través del canal habilitado para ello por la AEPD en su SEDE ELECTRÓNICA:
https://sedeagpd.gob.es/sede-electronica-web/.
14. DERECHO A LA DESCONEXIÓN DIGITAL EN EL ÁMBITO LABORAL
El derecho a la desconexión digital se regula dentro del TÍTULO X Garantía de los derechos digitales de la
Ley 3/2018 de Protección de Datos y Garantía de los Derechos Digitales, en su artículo 88:
1. Los trabajadores y los empleados públicos tendrán derecho a la desconexión digital a fin de garantizar,
fuera del tiempo de trabajo legal o convencionalmente establecido, el respeto de su tiempo de descanso,
permisos y vacaciones, así como de su intimidad personal y familiar.
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 37 de 60
2. Las modalidades de ejercicio de este derecho atenderán a la naturaleza y objeto de la relación laboral,
potenciarán el derecho a la conciliación de la actividad laboral y la vida personal y familiar y se sujetarán a lo
establecido en la negociación colectiva o, en su defecto, a lo acordado entre la empresa y los representantes
de los trabajadores.
3. El empleador, previa audiencia de los representantes de los trabajadores, elaborará una política interna
dirigida a trabajadores, incluidos los que ocupen puestos directivos, en la que definirán las modalidades de
ejercicio del derecho a la desconexión y las acciones de formación y de sensibilización del personal sobre un uso
razonable de las herramientas tecnológicas que evite el riesgo de fatiga informática. En particular, se preservará
el derecho a la desconexión digital en los supuestos de realización total o parcial del trabajo a distancia así como
en el domicilio del empleado vinculado al uso con fines laborales de herramientas tecnológicas.
Se mantendrá una política interna de desconexión digital en el ámbito laboral en el ANEXO 11 POLÍTICA
INTERNA EN RELACIÓN CON EL DERECHO A LA DESCONEXIÓN DIGITAL EN EL ÁMBITO LABORAL.
15. DESCRIPCIÓN DEL SISTEMA DE INFORMACIÓN UTILIZADO PARA EL TRATAMIENTO DE LOS DATOS DE CARÁCTER PERSONAL
GRUPO SOLTEL cuenta con una infraestructura informática centralizada en lo que se denomina un Centro de
Proceso de Datos (CPD), ubicados en Sevilla edificio Fundosa, con una infraestructura tecnológica que da
soporte a toda su estructura.
Las características de los Sistemas de Información se detalla a continuación:
Los componentes hardware principales de este CPD están actualmente instalados en varios armarios racks y son
los que se describen a continuación:
● 2 servidores (máquinas independientes).
● 4 switches.
● Cabina de almacenamiento para todo el entorno.
● Cabina de almacenamiento NAS
● Equipamiento Firewall.
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 38 de 60
SOLTEL gestiona la información en un entorno virtualizado, construido sobre una plataforma de Vmware, donde
se simulan múltiples máquinas (denominadas “máquinas virtuales”) que utilizan los recursos que aportan los
servidores mencionados.
SOLTEL dispone también de diversas licencias y servicios de suscripción:
● Licencia Vmware Vsphere Enterprise Plus.
● Licencia Vmware Vcenter Standard.
● Licencia Veeam backup Enterprise.
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 39 de 60
Mapa de red
El sistema informático utilizado por los diferentes usuarios para el tratamiento de los datos de carácter personal,
se compone de ordenadores de sobremesa en cada uno de los puestos de trabajo conectados en red. Los
ordenadores de cada puesto acceden a la información estrictamente necesaria para el desempeño de la actividad
para cada puesto de trabajo. Algunos equipos del personal de la Dirección Económico-Financiera contienen la
aplicación de facturación-contabilidad ATRACTOR para el tratamiento de la información relativa a los clientes y
proveedores; cuya base de datos se aloja en el servidor correspondiente, y es donde se almacena toda la
información generada como consecuencia de su actividad. Algunos equipos del personal de la Dirección de
Recursos Humanos y Administración contienen la aplicación de gestión de personal ATRACTOR para el
tratamiento de la información relativa a los trabajadores; cuya base de datos se aloja en el servidor
correspondiente, y es donde se almacena toda la información generada como consecuencia de su actividad. El
personal exclusivamente puede acceder a las carpetas con la información necesaria para el desempeño de la
actividad de su puesto de trabajo.
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 40 de 60
En relación con el asesoramiento y mantenimiento informático, hardware y software: las tareas de
mantenimiento se realizan en las instalaciones de la empresa o a través de acceso remoto por personal de la
misma.
Existe la posibilidad de conexión remota a la red por parte de determinados empleados de la empresa, así como
por personal externo cuando así se requiere, mediante la habilitación de accesos por Red Privada Virtual (VPN).
Estos accesos y la creación de VPN deben ser explícitamente autorizados y configurados por parte del personal
del Área de Sistemas de SOLTEL
Todos los empleados de la empresa pueden conectarse a su cuenta de Google (Gsuite) desde cualquier ubicación,
teniendo en cuenta lo siguiente (según el procedimiento IT 09.10 GUIA DE LAS BUENAS PRÁCTICAS EN
SEGURIDAD DE LA INFORMACIÓN) :
- El usuario será responsable de garantizar la seguridad de la información que de su trabajo se haya
generado en el mismo y evitar posibles riesgos derivados de esta actividad con la adopción de las
oportunas medidas de seguridad.
- No se podrá acceder a información confidencial en entornos no controlados.
- Se consideran entornos controlados, a efectos de esta política, la residencia habitual del usuario o
cualquier otra ubicación que con anterioridad indique a la empresa.
- El usuario se hace responsable de la no revelación de información a la que tenga acceso en el desarrollo
de su actividad profesional, y de la custodia de los medios de trabajo facilitados.
- Queda prohibido utilizar los recursos informáticos a los que tenga acceso, para uso privado o para
cualquier otra finalidad diferente de las estrictamente laborales, en los casos en los que:
- Su uso vulnere cualquier legislación o norma interna de la empresa.
- Su uso implique un consumo continuado y/o relevante de recursos de Internet u otros de la
empresa.
- Su uso implique el acceso a páginas de Internet o a correos electrónicos que puedan suponer
riesgos para nuestros sistemas informáticos (virus), o daños para la imagen o la reputación de la
empresa.
- En caso de incidentes de seguridad derivados del uso del equipo, de la cuenta de Google o
cualquier otro recurso, el usuario deberá ponerlo a la mayor brevedad en conocimiento del
Responsable de seguridad.
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 41 de 60
16. FUNCIONES Y OBLIGACIONES DEL PERSONAL
Todo el personal que acceda a los datos de carácter personal está obligado a conocer y observar las medidas,
normas, procedimientos, reglas y estándares que afecten a las funciones que desarrolla.
Constituye una obligación del personal notificar al Responsable del tratamiento las incidencias de seguridad de
las que tengan conocimiento respecto a los recursos protegidos, según los procedimientos establecidos en este
Documento, y en concreto en el apartado relativo a la notificación, gestión y registro de incidencias.
Todas las personas deberán guardar el debido secreto y confidencialidad sobre los datos personales que
conozcan en el desarrollo de su trabajo..
El personal afectado por esta normativa, que se refleja en IT 09.01 ORGANIZACION DE LA SEGURIDAD DE LA
INFORMACIÓN y se clasifica, de conformidad con lo establecido en la legislación vigente en materia de
Seguridad de Datos Personales, en:
Responsable del Tratamiento: Es el encargado jurídicamente de la seguridad de los datos, de implantar las
medidas de seguridad contenidas en el presente documento y de adoptar los mecanismos necesarios para que el
personal afectado por este documento conozca las normas que le son aplicables en materia de Protección de
Datos en el desarrollo o ejecución de sus funciones.
Encargado del Tratamiento: Es la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo
que, sólo o conjuntamente con otros, trate datos de carácter personal por cuenta del Responsable del
Tratamiento.
Usuario: Es la persona física autorizada por el Responsable del Tratamiento para acceder a datos personales y
cuyo tratamiento es necesario para el desarrollo de sus funciones.
Administrador: Es la persona física encargada de administrar o mantener el entorno operativo para el
tratamiento de datos. Este personal estará supervisado por el responsable del Departamento de Sistemas, ya que
por sus funciones pueden utilizar herramientas de administración que permitan el acceso a los datos protegidos.
Responsable de Recursos Humanos
Tendrá acceso en todo momento a la información personal de todos los empleados, incluida la información de
carácter médico.
Será la persona encargada de recabar los datos de los empleados e introducirlos en el fichero. Antes de recabar
los datos informará a los titulares de lo dispuesto en la LOPD y recabará su consentimiento mediante la firma del
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 42 de 60
documento de conformidad.
Informará al empleado de los derechos de acceso, rectificación y cancelación en lo concerniente a la relación
entidad-empleado. Y explicará el procedimiento existente para la ejercitación de dichos derechos.
Responsable de Selección de personal
Será la persona encargada de recibir los datos de los candidatos e introducirlos en el fichero.
Informará al titular cuando así lo solicite de los derechos de acceso, rectificación y cancelación y explicará el
procedimiento existente en la entidad para la ejercitación de dichos derechos mediante la entrega del
documento preceptivo en el que se garantiza el derecho de información de los titulares de los datos. Este
documento, debidamente fechado y firmado por el candidato, deberá ser archivado junto con su información
identificativa y curricular.
Tendrá acceso en todo momento a la información de los candidatos durante los dos meses siguientes a la
recepción del currículum.
Personal de Administración
Tendrá acceso en todo momento a la información personal de todos los empleados, incluida la información de
carácter médico.
Será la persona encargada de recabar los datos de los empleados e introducirlos en el sistema de información.
Antes de recabar los datos informará a los titulares de lo dispuesto en la LOPD y recabará su consentimiento
mediante la firma del documento de conformidad.
Informará al empleado de los derechos de acceso, rectificación y cancelación en lo concerniente a la relación
empresa-empleado. Y explicará el procedimiento existente para la ejercitación de dichos derechos.
Personal de Dirección
El personal de Dirección tendrá acceso a información de gestión de las personas a su cargo. Se considerará como
información de gestión:
● Datos de identificación
● Datos profesionales generados en la organización, incluidas evaluaciones del desempeño, cursos
recibidos, vacaciones e información salarial.
Así mismo tendrá acceso a toda la información de socios, usuarios y proveedores de la entidad necesarios para la
gestión, seguimiento y mantenimiento de la relación contractual.
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 43 de 60
Personal Informatico
Como administradores del sistema, tendrán acceso en todo momento a la información de todos los ficheros para
realizar las tareas de soporte informático ante las incidencias que pudieran producirse.
Personal comercial
Será la persona encargada de recibir los datos de carácter personal de los clientes y potenciales clientes e
introducir dicha información en el sistema de información.
Informará al titular cuando así lo solicite de los derechos de acceso, rectificación y cancelación y explicará el
procedimiento para la ejercitación de dichos derechos.
Tendrá acceso en todo momento a la información de los clientes (junto con su expediente en relación con el
servicio prestado por el) y potenciales clientes.
Responsabilidad por incumplimiento de las obligaciones.
Este documento es de obligado cumplimiento para todo el personal de
El Responsable del Tratamiento velará por el cumplimiento de las normas descritas en este documento, y si
detecta incumplimiento de las mismas, tanto deliberado como accidental, alertará a los causantes del mismo
realizando un seguimiento hasta asegurarse de que desaparece el problema.
En caso de incumplimiento deliberado o cuando concurran las siguientes circunstancias:
● No colaboración por parte de los causantes para resolver el problema causado.
● Reincidencia.
● Gravedad del hecho (infracción consciente para obtener un beneficio).
El Responsable de Seguridad pondrá el hecho en conocimiento del Responsable del Tratamiento, quien valorará
las circunstancias pudiendo decidir si iniciar o no de los trámites de apertura de un procedimiento disciplinario/
sancionador dentro de la empresa.
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 44 de 60
17. IDENTIFICACIÓN Y AUTENTICACIÓN
Reflejado en el documento IT 09.03 CONTROL DE ACCESO de la ISO 27.000
Los sistemas informáticos que dan acceso a ficheros que contienen datos de carácter personal tendrán siempre
este acceso restringido mediante un código de usuario y una contraseña, sin cuya introducción resulte imposible
acceder a los datos protegidos.
Sólo en los casos en que el sistema informático o los ficheros de datos sean accedidos exclusivamente por un
usuario, se podrá prescindir del código de usuario. En este supuesto, las referencias que a continuación se
realizan al código de usuario se entenderán referidas exclusivamente a la contraseña.
• Todos los usuarios autorizados, disponen de un código de usuario particular asociado a una contraseña
que sólo conoce el usuario.
• El código de usuario y la contraseña son absolutamente personales e intransferibles; por ello, los
registros que se efectúen sobre operaciones realizadas bajo un código y contraseña se atribuirán, salvo
prueba en contrario, al titular de los mismos y quedarán bajo su responsabilidad personal.
• Queda expresamente prohibido ceder o comunicar la contraseña o mecanismo de autenticación a otros,
así como aceptarla de otro usuario, incluso de la misma área de trabajo, y deben custodiarse
debidamente.
• Cada usuario es responsable de la confidencialidad de su contraseña, por lo que si advierte o sospecha
que la misma ha podido ser conocida fortuita o fraudulentamente por personas no autorizadas, deberá
registrarlo como incidencia y notificárselo de inmediato al responsable de seguridad, que asignará una
nueva contraseña al usuario, aplicándose el procedimiento de gestión y registro de incidencias. Será
decisión de la persona u órgano autorizado, el presentar la correspondiente denuncia, en función del
daño producido, la posible transgresión de leyes o disposiciones, implicación de terceros, y el impacto
que en la imagen de la entidad que el conocimiento del hecho pudiera suponer.
• Cuando es necesario dar de alta un nuevo usuario, la Dirección se pone en contacto con
EQUIPO.SISTEMAS que lo hará conforme a las funciones a desarrollar indicadas por la Dirección. Se le
facilitará su nombre de usuario y contraseña. La contraseña deberá ser cambiada tras el primer inicio de
sesión.
En el caso de necesitar compartir datos o correo se usarán otros mecanismos como carpetas o sistemas de
trabajo en grupo.
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 45 de 60
Los administradores de seguridad y de redes deberán establecer sistemas suficientemente flexibles y eficaces
como para poder otorgar acceso a cualquier usuario autorizado en un tiempo razonable, para evitar tener que
utilizar un código de usuario ajeno en caso de ausencia o sustitución.
Cada usuario sólo tendrá un código para acceder a un sistema único o a varios. Cada código de usuario
identificará a un usuario y no a un grupo, aunque los sistemas permitan esa posibilidad.
No se reutilizarán o se reasignarán códigos de usuario.
La identificación de los usuarios se hará preferentemente mediante códigos que no sean deducibles a partir de
datos muy conocidos de los propios usuarios, como número de empleado, o primeras letras de nombre y apellido.
En cuanto a las contraseñas, y salvo que para determinados sistemas, por no disponer de ciertas facilidades o no
requerir el mismo nivel de los datos el responsable del servicio lo autorice expresamente, se cumplirán los
siguientes puntos:
• Las contraseñas que lleguen en los paquetes y programas, especialmente aquéllas de administradores o
usuarios con accesos amplios, se sustituirán.
• La longitud será como mínimo de ocho caracteres (MÍNIMO 8 CARACTERES) incluyendo mayúscilas,
minúsculas y números.
• Se asignarán de forma que cada usuario la pueda recordar fácilmente sin consultar anotaciones y que a
la vez sean muy difíciles de deducir por otros.
• Se podrán asignar dígitos, letras (tanto mayúsculas como minúsculas) y símbolos especiales, y caracteres
superiores e inferiores si el sistema lo permite, para que no resulten palabras que figuran en los
diccionarios o derivadas de éstas como tiempos de verbos.
• En el caso de contraseñas asignados por el sistema o por el administrador, se harán llegar al destinatario
lo antes posible, y éste entrará al sistema de forma inmediata, exigiéndole el sistema que asigne una
nueva contraseña.
• El administrador del sistema o el supervisor del usuario se asegurarán de que el receptor sea el
verdadero usuario.
• Los usuarios no escribirán las contraseñas, salvo que no exista riesgo de revelación no autorizada.
• Se permitirán un número de intentos de acceso al sistema de información limitados (5 Intentos).
• El archivo en el que queden almacenadas las contraseñas será accesible exclusivamente por el
responsable del tratamiento o el responsable de seguridad con la autorización expresa de aquél. El
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 46 de 60
archivo deberá estar protegido y las contraseñas se almacenarán de forma ininteligible, de forma que ni
siquiera el responsable del tratamiento o el responsable de seguridad serán capaces de poder descifrar
en ningún caso las contraseñas guardadas.
• Las contraseñas tendrán una vigencia máxima de 3 meses (máximo 3 meses), salvo sistemas o
aplicaciones más críticos, en que podrán ser incluso de un solo uso.
Sólo se otorgarán códigos de usuario a empleados, contratados o asesores autorizados por escrito por parte de
directivos con poder suficiente para ello.
Los perfiles otorgados a los usuarios y los conjuntos de datos o recursos a los que puedan acceder, lo serán
basándose en las función que hayan de realizar, no por su nivel o categoría dentro de la entidad. Los usuarios
deben firmar un acuerdo con la entidad para la que prestan servicios en el que se reconocen sus posibilidades de
acceso y su responsabilidad de uso y no cesión ni revelación de contraseñas o claves.
En la medida en que sea posible y práctico, a los usuarios se les pedirá una única identificación y autenticación
frente al sistema, y en función de su perfil se les permitirá o no después el acceso a diferentes plataformas,
sistemas, aplicaciones, datos y transacciones, y con determinados atributos.
En el caso de varios sistemas con diferente nivel de protección, excepcionalmente puede ser preferible requerir
más de una contraseña diferente.
En el caso de ausencia de uso del teclado durante un tiempo (diez minutos salvo para aquellos sistemas en que
por sus características se fije otro límite, inferior o superior), el terminal, ordenador personal o estación,
automáticamente dejará de mostrar en pantalla la misma información, siendo necesaria la autenticación del
usuario de nuevo para la reanudación.
En el caso de aplicaciones o datos clasificados, el usuario antes de abandonar su puesto de trabajo, incluso
momentáneamente, deberá salir del sistema o bloquear su sesión, y especialmente cuando al área puedan
acceder otras personas como clientes, proveedores o público en general.
Los privilegios especiales o los perfiles con funciones más avanzadas, como creación de usuarios o asignación de
contraseñas iniciales, sólo se asignarán a administradores y a quién realmente las necesiten, en función de las
tareas que les hayan encomendado.
Cuando un usuario varía de función o bien deja de prestar servicios para la entidad, su usuario será
automáticamente eliminado, o al menos bloqueado mientras tanto, y en su departamento o área el responsable
deberá asignar a alguien la custodia y revisión de los ficheros, programas y documentación que hubiera usado
hasta entonces, al menos de forma provisional.
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 47 de 60
18. CONTROL DE ACCESOS
Referencia documento ISO 27000 - IT 09.03 CONTROL DE ACCESOS
Los sistemas informáticos que dan acceso a ficheros que contienen datos de carácter personal tendrán siempre
este acceso restringido mediante un código de usuario y una contraseña, sin cuya introducción resulte imposible
acceder a los datos protegidos. De este modo se garantiza que los usuarios únicamente accedan a aquéllos datos
y recursos que precisen para el desarrollo de sus funciones, y se evitan que los usuarios accedan a recursos y
datos de carácter personal con derechos distintos de los autorizados.
En el apartado relativo a las FUNCIONES Y OBLIGACIONES DE LOS USUARIOS existirá una relación
actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos.
Se mantendrá un registro de los accesos de los usuarios al sistema de información que estará gestionado y bajo
control del Responsable de Seguridad, que lo revisará y conservará durante los periodos establecidos
reglamentariamente.
El personal autorizado por el Responsable del Tratamiento para conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecido Referencia documento ISO 27000 IT 09.03 CONTROL DE ACCESOS
19. CONTROL DE ACCESO FÍSICO
Exclusivamente el personal autorizado tendrá acceso a los lugares donde se encuentre los equipos que dan
soporte al sistema de información. El acceso al CPD está restringido a personal autorizado que está definido
en Referencia documento ISO 27000 IT 09.05 SEGURIDAD FÍSICA Y DEL ENTORNO
20. GESTIÓN DE SOPORTES Y DOCUMENTOS
Referencia documento ISO 27000 IT 09.02 GESTIÓN DE ACTIVOS
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 48 de 60
El objeto de esta norma es dejar establecidos los procedimientos de gestión de soportes que permitan identificar,
inventariar y almacenar los soportes informáticos de acuerdo con las exigencias establecidas en el artículo 92 del
Real Decreto 1720/2007 de 21 de diciembre (Reglamento de Desarrollo de la LOPD)
El etiquetado de soportes se realiza sobre todos los activos con datos de carácter personal, identificando el
código del soporte, nombre del fichero, código del fichero comunicado por la Agencia Española de Protección de
Datos y el nivel de seguridad de los datos contenidos en el fichero.
Para el inventario de los soportes y la identificación del tipo de información que contienen se mantendrá para
cada soporte o conjunto de soportes un registro con un número de identificación único, el tipo de información
que contiene y la fecha de alta o baja en el inventario.
Los pasos para dar un alta en el inventario son:
• Se almacenarán los siguientes datos relativos al soporte:
▪ Fecha de alta del soporte.
▪ Código de la etiqueta con la que se identifica el soporte.
▪ Tipo de soporte que es.
▪ Descripción del contenido del soporte.
• Identificar el soporte mediante una pegatina con el mismo código de etiqueta registrado en la aplicación.
Cuando un soporte vaya a ser desechado se procederá a la destrucción física del mismo. Para la reutilización de
soportes será necesario borrar previamente toda la información que contenga. Tanto para el desechado como
para la reutilización de un soporte habrá de asegurarse que sea imposible la recuperación de la información
almacenada en él.
Siempre que se proceda al desechado o reutilización de un soporte se debe avisar al Responsable de Seguridad
para que proceda a su baja en el inventario.
• Destrucción lógica. Su objetivo es borrar los datos existentes en dicho soporte. Se realiza mediante un
formateo del mismo. Este proceso no siempre es viable, pues habitualmente los soportes a destruir
presentan problemas de funcionamiento; en cualquier caso debe intentarse.
• Destrucción física. Se pretende la inutilización definitiva del soporte. Este procedimiento varía según su
tipo:
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 49 de 60
• Discos Duros. Habitualmente, basta con abrir la carcasa que contiene los discos. Para mayor seguridad
se procederá a rayar la superficie de los mismos mediante un elemento mecánico.
• CDs. Basta con romperlos.
• Para la destrucción de papel se utilizará una destructora con nivel de protección equivalente al nivel de
datos del fichero de procedencia de los datos.
Si los soportes van a ser entregados a una entidad externa para mantenimiento, y no ha sido posible borrarlos, o
bien se intenta la recuperación o es para su destrucción, y en especial si no existe un contrato, se deben exigir
cláusulas de confidencialidad, y en el caso de destrucción, la confirmación escrita de la misma.
Hasta que se proceda al tratamiento, borrado o destrucción, los soportes estarán protegidos frente al acceso no
autorizado.
Finalmente se dará de baja en el inventario de soportes anotando el método utilizado. Los pasos para dar una
baja en el inventario son:
• Los soportes no podrán salir de los locales en que están ubicados, salvo autorización del responsable del
tratamiento. Cuando dicha salida tenga por finalidad la realización de operaciones de mantenimiento se
tomarán las medidas necesarias para impedir su recuperación indebida (desmagnetización, cifrado, etc.).
Se seleccionará el soporte a dar de baja buscando el número identificativo del soporte y se guardará un
registro informando de la salida o baja de ese soporte en el que se indicará:
▪ Fecha de baja del soporte.
▪ Motivo de esta baja.
▪ Procedimiento utilizado para realizar la baja / destrucción.
Los soportes se almacenarán en un local con llave, estando el acceso al mismo limitado al Responsable del
tratamiento y a las personas que este expresamente autorice.
La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o
anexos a un correo electrónico, fuera de los locales bajo el control del responsable del tratamiento, deberá ser
previamente autorizada por él o encontrarse debidamente autorizada en el documento de seguridad.
Se autoriza de manera genérica a todos los usuarios de la organización que así lo requieran para el desarrollo de
sus funciones a enviar la siguiente información por correo electrónico:
1. albaranes y facturas emitidas a los clientes.
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 50 de 60
2. documentación relativa a los empleados de la entidad necesaria para la regularización de su situación
con las AAPP con competencia en la materia, con destino la asesoría laboral o la AA.PP. competente.
3. información relativa a los salarios de los empleados para que la transferencia bancaria pueda llevarse a
cabo.
4. INDICAR OTRAS SALIDAS DE SOPORTES
Se autoriza de manera genérica a los usuarios del Departamento Comercial de la organización que así lo
requieran para el desarrollo de sus funciones a sacar dispositivos móviles con las medidas de seguridad
correspondientes (usuario + contraseña)
21. CRITERIOS DE ARCHIVO. ALMACENAMIENTO DE LA INFORMACIÓN. CUSTODIA DE DOCUMENTOS
Se establecerán criterios de archivo que garanticen la correcta conservación de los documentos, la localización
y consulta de la información y posibilitar el ejercicio de los derechos de acceso, rectificación, supresión y olvido,
limitación del tratamiento, portabilidad y oposición.
Deberán disponer de mecanismos que obstaculicen su apertura. Cuando no se pueda, se adoptarán medidas que
impidan el acceso de personas no autorizadas.
Mientras la documentación no se encuentre archivada en los dispositivos de almacenamiento establecidos, por
estar en proceso de revisión o tramitación, la persona que se encuentre al cargo de la misma deberá custodiarla
e impedir en todo momento que pueda ser accedida por persona no autorizada.
La documentación del año en curso se encuentra distribuida en las diferentes dependencias de las instalaciones
de la entidad, a la disposición de los usuarios autorizados que requieran su acceso para el desarrollo de su
actividad profesional.
La documentación de años anteriores se encuentra en armarios específicos para el almacenamiento definitivo.
Para la identificación del contenido archivado, se etiquetarán las carpetas en base a las siguientes pautas:
• FACTURAS EMITIDAS: FACTURAS CLIENTES – MES - AÑO
• FACTURAS RECIBIDAS: FACTURAS PROVEEDORES – MES - AÑO.
• CONTRATOS Y NÓMINAS: existe un expediente por cada trabajador en el que se guarda toda la
documentación generada por el empleado en el transcurso de la relación laboral con la entidad.
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 51 de 60
21. ACCESO A TRAVÉS DE REDES DE COMUNICACIONES
Referencia documento ISO 27000 IT 09.03 CONTROL DE ACCESOS
Con la finalidad de garantizar el cumplimiento de lo recogido en el artículo 85 del Real Decreto 1720/2007 de 21
de diciembre (Reglamento de Desarrollo de la LOPD) (Acceso a través de redes de comunicaciones), la entidad
implantará las medidas tendentes a garantizar la confidencialidad e integridad de los contenidos y minimizar los
ataques activos o pasivos, para garantizar un nivel de seguridad equivalente al correspondiente a los accesos en
modo local.
Estas medidas serán:
• Sistemas de autenticación fiables en los terminales, mediante nombre de usuario y contraseña.
• Protecciones físicas de acceso a los sistemas informáticos.
• Limitación del número de intentos de acceso al sistema ante la introducción reiterada de una contraseña
errónea.
• Bloqueo de terminales inactivos pasado un tiempo, según posibilidades de acceso y ubicación de los
mismos.
En el caso de redes locales, las medidas dependerán del tipo de datos y su nivel, y del ámbito: sala cerrada,
conexiones externas con otras redes, edificios compartidos con otras entidades, etc.
22.RÉGIMEN DE TRABAJO FUERA DE LOS LOCALES DE UBICACIÓN DEL FICHERO
Cualquier tratamiento de datos de carácter personal fuera de los locales de ubicación del fichero deberá ser
autorizado expresamente por el Responsable del tratamiento.
Deberá garantizarse el nivel de seguridad correspondiente a los datos contenidos en el fichero tratado.
Las medidas de seguridad deberán implementarse tanto en la ubicación del fichero como en los terminales o
dispositivos desde los que se accede o donde aparecen resultados visuales o impresos, así como en los procesos
de transmisión, para lo que se aplicarán otros apartados del Documento de Seguridad que puedan ser aplicables,
tales como identificación y autenticación, control de accesos, ficheros temporales, registro de incidencias,
gestión de soportes, registro de accesos, copias, telecomunicaciones y pruebas con datos reales.
En el caso de Encargados del Tratamiento existirán contratos que cumplan el artículo 12 de la LOPD, y se
especificarán las medidas de seguridad a cumplir.
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 52 de 60
En otros casos que no entren en la categoría anterior, existirán también medidas de seguridad adecuadas en
cuanto a accesos y autenticación, y salvaguardas en su caso, así como acuerdos de confidencialidad, y también
respecto a la devolución/destrucción de datos una vez finalizado el trabajo o según las condiciones que se
determinen, y de no realización de copias no autorizadas, o no modificación de datos sin autorización, según los
casos.
FORMATOS ASOCIADOS.-
Autorización para el tratamiento de datos fuera de su ubicación.
AUTORIZACIÓN DE SALIDA
Fecha de salida
Usuario
Fichero/s origen de los datos
Finalidad
AUTORIZACIÓN
Persona que autoriza
Cargo / Puesto
Observaciones
Firma
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 53 de 60
23 FICHEROS TEMPORALES
Los usuarios sólo crearán los ficheros temporales que sean estrictamente necesarios, y que estén autorizados, al
menos de forma genérica, por el Responsable del tratamiento.
Cualquier fichero temporal tendrá una finalidad concreta y una vigencia máxima, establecida en unidades de
tiempo desde su creación o hasta que se alcance una fecha u hora, o cuando se finalice un evento (como un
proceso), o cuando tenga lugar otro evento, como puede ser la copia siguiente o el apagado del sistema.
Todo fichero temporal que no sea creado de forma automática por un sistema tendrá asignado un responsable,
que lo será de su protección y de su uso: un usuario, un técnico o un encargado del tratamiento.
No se añadirán nuevos registros o campos a los ficheros temporales sin autorización, ya que de ese modo podrían
dar lugar a ficheros nuevos e incluso de un nivel de seguridad superior al original u originales.
En cualquier caso, los ficheros temporales cumplirán las medidas de seguridad correspondientes a su nivel, de
acuerdo con los criterios establecidos en el Reglamento y lo que se especifique en el Documento de Seguridad,
así como en su caso lo que se establezca en los correspondientes contratos.
Cuando ya no sean necesarios para los fines que motivaron su creación, tanto los ficheros temporales como las
copias de trabajo de documentos, se borrarán. En el caso de los ficheros temporales que crean directamente los
sistemas operativos, sistemas de gestión de bases de datos u otros, se borrarán expresamente de forma periódica
si el sistema no los borra de forma automática.
24. COPIAS DE SEGURIDAD
La seguridad de los datos personales de los ficheros no sólo supone la confidencialidad de los mismos, sino que
también conlleva la integridad y la disponibilidad de esos datos. Para garantizar estos dos aspectos
fundamentales de la seguridad es necesario que existan unos procesos de respaldo y de recuperación que, en
caso de fallo del sistema informático, permitan recuperar y en su caso reconstruir los datos del Fichero.
El responsable de fichero se encargará de verificar la definición y correcta aplicación de los procedimientos de
realización de copias de respaldo y de recuperación de los datos.
Existirá una persona, bien sea el administrador o bien otro usuario expresamente designado, que será
responsable de obtener periódicamente una copia de seguridad del fichero, a efectos de respaldo y posible
recuperación en caso de fallo.
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 54 de 60
En caso de fallo del sistema con pérdida total o parcial de los datos de los ficheros existirá un procedimiento,
informático o manual, que partiendo de la última copia de respaldo y del registro de las operaciones realizadas
desde el momento de la copia, reconstruya los datos del Fichero al estado en que se encontraban en el momento
del fallo. Reflejado en el documento de la ISO27000 IT 06.01 PLAN DE CONTINUIDAD Y DISPONIBILIDAD
Deberán realizarse copias de respaldo como mínimo semanalmente, salvo que en dicho periodo no se hubiera
producido ninguna actualización de los datos.
Deberá conservarse una copia de respaldo de los datos y de los procedimientos de recuperación de los mismos
en un lugar diferente de aquel donde se encuentre el sistema de información de la entidad.
Deberán verificarse semestralmente la correcta definición, funcionamiento y aplicación de los procedimientos
de realización de copias de respaldo y de recuperación de datos.
Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con
datos de carácter personal no se realizarán con datos reales, salvo que se asegure el nivel de seguridad
correspondiente al tratamiento realizado y se anote su realización en el documento de seguridad. Si está previsto
realizar pruebas con datos reales, previamente deberá haberse realizado una copia de seguridad, que deberá ser
convenientemente registrada.
DESCRIPCIÓN DEL PROCEDIMIENTO
Las copias de seguridad se realizan en un disco duro dedicado a la copia en el Servidor, se realiza copia
diaria o semanal (según se haya establecido su criticidad) haciendo distinción entre incrementales y completas
de la información a través del software VEEAM BACKUP el cual deja registro de la correcta realización de la
copia y notifica los errores en el proceso en caso de producirse alguno.
Las copia de seguridad se realizan fuera de las instalaciones de Soltel en el CPD de Acens (Grupo Telefónica)
FORMATOS ASOCIADOS.-
Inventario de copias de respaldo.
TIPO DE
SOPORTE
CÓDIGO ALTA BAJA FECHA
COPIA
PERIODICIDAD
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 55 de 60
VEEAM
BACKUP
Diario Diciembre
2011
Rota tras 15
copias (15 días)
Diario (al terminar
Backup ultimos)
VEEAM
BACKUP
Diario2 Diciembre
2012
Rota tras 15
copias (15 días)
Diario (al terminar
Diario)
VEEAM
BACKUP
Maquina3 Enero 2014 Rota tras 4 copias
(1 mes)
Semanal (Lunes)
VEEAM
BACKUP
Backup
últimos
Enero 2012 Rota tras 15
copias (15 días)
Diario a las 00:00
25. NOTIFICACIÓN, GESTIÓN Y REGISTRO DE INCIDENCIAS
Definido el proceso en it 09.01 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Una incidencia es cualquier evento que pueda producirse esporádicamente y que pueda suponer un peligro para
la seguridad de los ficheros, entendida bajo sus tres vertientes de confidencialidad, integridad y disponibilidad
de los datos.
El procedimiento de notificación y gestión de incidencias contendrá necesariamente un registro en el que se haga
constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza
la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras
aplicadas.
Cualquier hecho que constituya una incidencia se incorporará al registro de incidencias por parte de la persona
designada y con el conocimiento del Responsable del tratamiento. En función del posible impacto de la incidencia,
habrá de comunicarse esta, a la mayor celeridad si el impacto y el riesgo pueden ser mayores. El mantener un
registro de las incidencias que comprometan la seguridad de un Fichero es una herramienta imprescindible para
la prevención de posibles ataques a esa seguridad, así como para persecución de los responsables de los mismos.
Deben documentarse los procedimientos de notificación, gestión y respuesta ante las incidencias, contando con
un Registro de Incidencias en el que se anoten las incidencias producidas que afecten a la seguridad de los datos,
con el siguiente contenido, y que tendrá orden cronológico:
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 56 de 60
• Tipo de incidencia.
• Fecha y hora en que se han producido.
• La persona que ha notificado la existencia de la incidencia.
• La persona a la que se comunica la incidencia.
• Los efectos que se hubieran derivado de la misma.
• Persona que ejecutó el proceso de recuperación.
• Los datos restaurados.
• Cuando corresponda, qué datos ha sido necesario grabar manualmente en el proceso de recuperación.
Será necesaria la autorización por escrito del responsable del tratamiento para la ejecución de los
procedimientos de recuperación de los datos.
Cualquier persona que conozca hechos o circunstancias que puedan constituir una incidencia, especialmente si
implica un riesgo respecto a la seguridad de los datos automatizados de carácter personal, los pondrá en
conocimiento, preferentemente por escrito (considerándose válido el correo electrónico como medio), de la
persona responsable del tratamiento y/o de la persona responsable de seguridad quienes recabarán la
información complementaria necesaria en cada caso.
Ante cualquier incidencia, el usuario deberá comunicar inmediatamente esta al Responsable de Seguridad.
El Responsable de Seguridad, o en su ausencia su sustituto o cualquiera de los administradores del sistema,
supervisará la evaluación y gestión de la incidencia.
El procedimiento de gestión contempla los siguientes pasos:
Calificación de la incidencia. Comprobación de que realmente se trata de una incidencia del sistema y no de un
error o mala interpretación por parte del usuario. Se determinará en qué medida esta puede afectar a los datos
objeto de protección y a su tratamiento.
Evaluación y alcance de daños. Una vez identificada como una incidencia, se procederá a una primera evaluación
de la misma determinando, en su caso, los datos y procesos afectados. El objetivo es determinar el alcance global
en el menor tiempo posible, a fin de concretar la gravedad del problema. Siempre y cuando se presuma un
deterioro en los datos o el malfuncionamiento de un programa, y no sea posible su aislamiento, se procederá a
detener el sistema comunicándolo previamente a los usuarios.
Registro de la incidencia. Se anotan los datos de la incidencia en el Documento de Seguridad.
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 57 de 60
Evaluación detallada de daños. Se estudian en detalle los daños ocasionados así como los posibles orígenes de
los mismos.
Propuesta de solución. Con la información recopilada, se diseña la solución a adoptar para devolver el sistema a
un estado consistente y, en su caso, recuperar la información perdida. Debe contemplar mecanismos de chequeo
con el fin de verificar el cumplimiento de estos objetivos.
Implantación de la solución. Sobre la base de una solución aprobada, se procederá a su implementación.
Verificación del sistema. Una vez implantada, se procederá a la ejecución de los mecanismos de chequeo
previstos en la Propuesta de Solución. De obtener algún resultado negativo, se repite el proceso desde el paso 4;
en caso contrario se restablece el uso del sistema en productivo.
Determinación del origen. Restablecido el sistema, es preciso determinar el origen de la incidencia. Se pretende
con ello obtener un mejor conocimiento del funcionamiento del sistema que permita anticiparse, y evitar, las
incidencias.
Medidas correctoras y/o preventivas. Conocidos los efectos y las causas, se diseñarán medidas correctoras y/o
preventivas encaminadas a eliminar, o minimizar, los daños provocados por la incidencia.
Cierre de la incidencia. La gestión de la incidencia concluye con la ordenación y archivo de toda la información
relativa a la misma, incluyendo los correspondientes Registros.
FORMATOS ASOCIADOS.-
Registro de incidencias.
INCIDENCIA Nº:
Fecha de notificación
Tipo de incidencia
Descripción detallada de la incidencia
Fecha y hora en que se produjo la incidencia
Persona(s) que realiza(n) la notificación
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 58 de 60
Persona(s) a quien(es) se comunica
Efectos que puede producir
Persona que realiza la comunicación
Firma
26. CONTROLES PERIÓDICOS DE VERIFICACIÓN
El cumplimiento de las normas que contiene el presente documento, deberá comprobarse con una periodicidad
semestral, con la finalidad de detectar y subsanar posibles anomalías.
El Responsable del Tratamiento, comprobará y controlará, al menos semestralmente:
● Listado de usuarios.
● Existencia de copias de respaldo y seguridad.
● Pruebas de restauración de copias de seguridad.
● Los cambios que se hayan realizado en el software, hardware, base de datos, aplicación de acceso.
● Cumplimiento de los requisitos establecidos para el control de salidas y entradas de soportes.
● Incidencias (incluidas quiebras de seguridad) de Protección de Datos gestionadas a través de la
Plataforma Tecnológica.
● Registro de actividades de tratamiento.
● Análisis de Riesgos
Los resultados de todos estos informes serán incorporados a este documento como actualización del ANEXO 12
INFORME CONTROLES PERIÓDICOS
Del mismo modo, y con carácter mensual, se elaborará un control de accesos a los datos de categorías especiales.
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 59 de 60
27. AUDITORÍAS
Al menos cada dos años, se realizará una Auditoría para verificar el correcto cumplimiento y la adecuación de las
medidas del presente documento de seguridad o las exigencias del Reglamento de Seguridad, identificando las
deficiencias y proponiendo las medidas correctoras necesarias.
Los informes serán analizados por el DPD y el Responsable del Tratamiento quienes propondrán las medidas
correctoras correspondientes.
Los informes de Auditoría se conservarán y quedarán a disposición de la Agencia Española de Protección de
Datos.
28.CIFRADO
REeferenciado en el documento ISO27000 IT 09.04 CONTROLES CRIPTOGRÁFICOS
La entidad cuenta con varias medidas de cifrado de datos implantadas:
● Comunicaciones VPN con proveedores y delegaciones.
● Aplicaciones publicadas https.
La salida de soportes no se cifra actualmente.
Los correos electrónicos no siguen ninguna política de cifrado específico de adjuntos.
29.NOMBRAMIENTO DEL RESPONSABLE DE SEGURIDAD
El nombramiento del Responsable de Seguridad es único para los todos los ficheros que trata la entidad y se
realiza según el formato anexo:
D. __________________________________________________________________________, en calidad de
_______________________________________________________, por medio del presente escrito, asume la condición de
Responsable de Seguridad de los tratamientos de datos personales identificados en el Documento de Seguridad
de [INDICAR]. Dicha condición implica la asunción de las funciones correspondientes de coordinación y control
de las medidas definidas y descritas en el Documento de Seguridad de [INDICAR].
DOCUMENTO DE SEGURIDAD REGLAMENTO (UE) 2016/679 Y LEY 3/2018
DOCUMENTO DE SEGURIDAD USO INTERNO
Versión. 0 de 02-08-2019 60 de 60
En ____________________, a _______ de _________________ de 201_
Fdo. D. _________________________________________________