Aviso Legal

  1. INTRODUCCIÓN

 

El presente Documento, redactado en cumplimiento de lo dispuesto en el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016, recoge las medidas necesarias para garantizar la protección, confidencialidad, integridad y disponibilidad de los recursos afectados por lo dispuesto en el citado Reglamento y en la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal.

El  «documento de seguridad» se organiza en;

  • AMBITO DE APLICACIÓN
  • EVALUACION DE IMPACTO GUIA/ ANÁLISIS DEL RIESGO
  • MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTÁNDARES ENCAMINADOS A GARANTIZAR LOS NIVELES DE SEGURIDAD EXIGIDOS EN ESTE DOCUMENTO IDENTIFICACIÓN Y AUTENTICACIÓN. INCLUIDA LA ADAPTACIÓN DE LA PÁGINA WEB (en el consentimiento y con relaciones a la política de  cookies, aviso legal y política de privacidad).
  • INFORMACIÓN Y OBLIGACIONES
  • PROCEDIMIENTOS DE REVISIÓN
  • TRATAMIENTO DE DATOS, modificaciones en el otorgamiento del consentimiento aplicable a clientes, proveedores y empresas de servicios; se lleva a cabo una actualización del clausulado documental. Especial tratamiento de datos protegidos,  CONSETIMIENTO EXPRESO.
  • REGISTRO DE ACTIVIDAD, con la entrada en vigor del Reglamento se elimina la subida de datos a la AEDP, lo que se sustituirá por el control interno que deberá estar a disposición de la Agencia, conforme al modelo que se otorga y cuyo contenido se deberá anexar conforme se elabore a este documento.
  • ANEXO MEDIDAS DE SEGURIDAD

 

Sobre la tipología documental; se puede dividir en informatizada, manual o mixta, y se incluye un anexo por cada fichero o tratamiento, con las medidas que le afecten de forma concreta. Además, se han especificado aquellas medidas que afectan sólo a ficheros automatizados y las que afectan a los no automatizados.

Las medidas que no van precedidas de ninguna de estas marcas deben aplicarse con carácter general, tanto a ficheros o tratamientos automatizados como no automatizados y con independencia del nivel de seguridad.

El documento deberá mantenerse en todo momento actualizado, siempre que se produzcan cambios relevantes en el sistema de información, y al menos con carácter anual. Dicho obligación de mantenimiento es del titular y responsable, en este caso, de doña Teresa Vázquez Palacios.

El modelo se ha redactado con el objeto de recopilar las exigencias mínimas establecidas por el Reglamento. Es posible y recomendable incorporar cualquier otra medida que se considere oportuna para aumentar la seguridad de los tratamientos, o incluso, adoptar las medidas exigidas para un nivel de seguridad superior al que por el tipo de información les correspondería, teniendo en cuenta la infraestructura y las circunstancias particulares de la organización;

 

 

2.   ÁMBITO DE APLICACIÓN DEL DOCUMENTO

El presente documento será de aplicación a los ficheros que contienen datos de carácter personal que se hallan bajo la responsabilidad de TERESA VÁZQUEZ PALACIOS los cuales se obtienen de la actividad de EJERCICIO DE LA ABOGACÍA, incluyendo los sistemas de información, soportes y equipos empleados para el tratamiento de datos de carácter personal, que deban ser protegidos de acuerdo a lo dispuesto en normativa vigente, las personas que intervienen en el tratamiento y en el DESPACHO sito en CALLE CABO NOVAL 8, 1º D, 33007- OVIEDO (Asturias).

 

En concreto, los ficheros sujetos a las medidas de seguridad establecidas en este documento, con indicación del nivel de seguridad de categorías especiales, son los siguientes:

Fichero Responsable del tratamiento Nivel de seguridad
CLIENTES

PROVEEDORES

COLABORADORES/ USUARIOS

TERESA VÁZQUEZ PALACIOS

DNI 9415702-P

 

Categorías especiales.

 

 

2.1 NOMBRAMIENTOS

 

 

El titular del fichero TERESA VÁZQUEZ PALACIOS, realiza el siguiente nombramiento:

 

 

  • Responsable de seguridad: Dª TERESA VÁZQUEZ PALACIOS.
  • Funciones: deberá de coordinar y controlar las medidas de seguridad aplicables.
  • Ficheros a los que tiene acceso: clientes, proveedores y colaboradores y usuarios.
  • Usuario electrónico: teresav.palacios@hotmail.es

 

El cual en este mismo acto se compromete a respetar la normativa en Materia de Protección de Datos personales (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, Directiva 95/46/CE del parlamento europeo y del consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), así como cumplir de manera íntegra el presente documento de seguridad.

 

Por este mismo acto se le autoriza el acceso a los datos de carácter personal, consistentes en el soporte físico de clientes y proveedores, así como los contenidos en el sistema obtenidos de la página Web (POR DETERMINAR).

 

 

Por lo que acepto el cargo, los derechos y las obligaciones de cumplimiento en materia de protección de datos por la actividad que se realiza en el DESPACHO DE TERESA VÁZQUEZ PALACIOS.

 

 

En Oviedo, a 24 mayo de 2018.

 

 

 

 

 

 

 

 

TERESA VÁZQUEZ PALACIOS

 

 

 

 

Responsable de seguridad.

Titular del fichero.

 

 

 

 

2.2 NOMBRAMIENTOS II

 

El titular del fichero TERESA VÁZQUEZ PALACIOS, realiza el siguiente nombramiento:

 

  • Usuaria: Dª. GEMMA ARBESÚ SÁNCHEZ, DNI 9395823-R.
  • Funciones: está autorizada para acceder a datos o recursos.
  • Ficheros a los que tiene acceso: CLIENTES, PROVEEDORES Y COLABORADORES/ USUARIOS.
  • Usuario electrónico: (gelena97@gmail.com

 

El cual en este mismo acto se compromete a respetar la normativa en Materia de Protección de Datos personales (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, Directiva 95/46/CE del parlamento europeo y del consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), así como cumplir de manera íntegra el presente documento de seguridad.

Por lo que acepto el cargo, los derechos y las obligaciones de cumplimiento en materia de protección de datos por la actividad que se realiza en el DESPACHO DE TERESA VÁZQUEZ PALACIOS.

 

En Oviedo, a 24 de mayo de 2018.

 

 

Dª. GEMMA ARBESÚ SÁNCHEZ

Usuaria.

 

 

Dª TERESA VÁZQUEZ PALACIOS

Titular del fichero.

 

 

 

 

2.3 REGISTRO DE JUSTIFICANTES DE INFORMACIÓN A LAS PERSONAS QUE INTERVIENEN EN EL TRATAMIENTO.

 

Dª TERESA VÁZQUEZ PALACIOS, responsable de seguridad, hago saber que se me ha informado de mis responsabilidades y obligaciones de mi cargo, que a continuación se enumeran:

  • El responsable de seguridad deberá de coordinar y controlar las medidas de seguridad contenidas en el presente documento de seguridad.
  • Deberá de encargarse de los mecanismos que permiten el registro de accesos, sin que deban permitir la desactivación ni la manipulación de los mismos.
  • Se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados.
  • Toda actuación deberá ceñirse a lo contenido al presente documento de seguridad y a la normativa aplicable.
  • Adopción de medidas para subsanar las incidencias.
  • Comprobación de la correcta aplicación de los procedimientos de copias de respaldo y de recuperación de los datos. Si se usa personal externos para los procedimientos anteriores, deberá comprobar que su actuación se realiza confidencialmente.
  • Actualización de la relación de usuarios con acceso a los ficheros y asignación de los nuevos códigos y claves a los usuarios.
  • Informar a los nuevos empleados sobre todo lo que tiene que ver con la aplicación de la normativa de protección de datos aplicados en el desarrollo de sus funciones.
  • Inventariar los soportes creados por los usuarios, y crear un lugar para su almacenamiento.
  • Autorizar las entradas o salidas de soportes.
  • Controlar el registro de accesos.
  • Velar por que se cumplan las medidas de seguridad que figuran en el presente documento.
  • Y cualquier otra establecida en el RD 1720/2007 y en la LO 15/1999.

A su vez DECLARO que conozco que estoy obligado a observar las medidas, normas, procedimientos, reglas y estándares que afecten a las funciones que desarrollo.

Por último estoy informado de que el incumplimiento de las obligaciones y medidas de seguridad establecidas en el presente documento, sancionarán conforme a lo establecido en los artículos 43 a 49 de la LO 15/1999, y el procedimiento se llevará conforme a los artículos 120 a 129 del RD  1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

 

Para que conste en el documento de seguridad, en Oviedo, a 24 de mayo de 2018.

 

 

Fdo. TERESA VÁZQUEZ PALACIOS

 

 

2.4 REGISTRO DE JUSTIFICANTES DE INFORMACIÓN A LAS PERSONAS QUE INTERVIENEN EN EL TRATAMIENTO

 

Dª. GEMMA ARBESÚ SÁNCHEZ, usuaria, hago saber que se me ha informado de mis responsabilidades y obligaciones, que a continuación se enumeran:

  • Debido a las funciones que ejerce en el DESPACHO DE TERESA VÁZQUEZ PALACIOS, está tendrá acceso a los datos personales de los soportes, y se compromete a no alterar el contenido del mismo, ni a eliminar o hacer transferencias de los datos sin consentimiento del responsable del fichero.
  • Debido a que contara con un usuario electrónico, solo podrá consultar los datos que necesite para el ejercicio de sus funciones.
  • Cumplimiento de la normativa de seguridad.
  • Secreto de la información que obtengan sobre datos de carácter personal.
  • Usar los datos sólo para los fines para los que ha sido obtenidos.
  • solicitar las autorizaciones necesarias para el tratamiento de los datos cuando se produzcan entradas o salidas de soportes.
  • No divulgar las contraseñas.
  • No utilizar con fines privados los sistemas informáticos de la empresa, salvo autorización de la empresa.
  • En caso de incidencias, informar al responsable de seguridad.

A su vez DECLARO que conozco que estoy obligada a observar las medidas, normas, procedimientos, reglas y estándares que afecten a las funciones que desarrollo.

Por último estoy informada de que el incumplimiento de las obligaciones y medidas de seguridad establecidas en el presente documento, sancionarán conforme a lo establecido en los artículos 43 a 49 de la LO 15/1999, y el procedimiento se llevará conforme a los artículos 120 a 129 del RD  1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

 

Para que conste en el documento de seguridad, en Oviedo, a 24 de mayo de 2018

 

 

 

 

 

 

 

Fdo. Dª. GEMMA ARBESÚ SÁNCHEZ USUARIA.

 

 

 

2.5 AUTORIZACIONES DE SALIDA O RECUPERACIÓN DE DATOS

 

TERESA VÁZQUEZ PALACIOS, como responsable del fichero de _____________________, de acuerdo al Registro de Actividad, autorizo a_______________________________________________________________________________, para que saque del establecimiento del DESPACHO DE TERESA VÁZQUEZ PALACIOS el siguiente soporte _________________________________________________, con el motivo de  _____________________________________________________________, debido a su carácter:

  1. Periódico.
  2. Planificado.

Para que conste en el documento de seguridad, el día _______________________________.

 

 

 

 

Responsable del fichero.

 

 

Persona autorizada.

 

 

2.6  DELEGACIÓN DE AUTORIZACIONES 

 

TERESA VÁZQUEZ PALACIOS, como responsable del fichero de _____________________ de acuerdo al Registro de Actividad, delego las siguientes funciones:

  1. Salida de dispositivos portátiles.
  2. Copia de documentos en soporte papel
  3. Reproducción de documentos en soporte papel

 

A ____________________________________________________.

Para que conste en el documento de seguridad, el día _______________________________.

 

 

 

Responsable del fichero.

 

 

 

Persona autorizada.

 

 

 

  1. ANÁLISIS DE RIESGO Y EVALUACIÓN DE IMPACTO

En ambos casos se utiliza de base las guías facilitadas por la AEPD

3.1 ANÁLISIS DE RIESGO

El objetivo es dilucidar sobre el nivel de riesgo al que está expuesto el tratamiento y si es necesario llevar a cabo una Evaluación de Impacto de Protección de Datos, en lo sucesivo EIPD.

  • Análisis de las listas de tratamientos previstos en la regulación (art 35.3, 35.4, y 35.5). En este supuesto se tratan datos sensibles relativos a: (art. 9) “las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las de orientación sexuales de una persona física”. Por ello se debe recabar del interesado el consentimiento expreso, como se expondrá y facilitará.
  • Análisis de la naturaleza, alcance, contexto y fines de tratamiento (art 35.1). En este supuesto se tratan categorías especiales de datos anteriormente indicadas, combinadas con distintas fuentes de información (particulares, organismos públicos y privados).
  • Alcance del tratamiento: según los criterios facilitados por la AEPD, se realiza un proceso de toma de decisiones con efectos jurídicos; se valora la exclusión de beneficios sociales o fiscales.
  • Contexto del tratamiento: posibilidad de cesión de datos a terceros
  • Finalidades del tratamiento: fines jurídicos.

 

Lo anterior nos lleva a la necesidad de implementar una Evaluación de Impacto EIPD, conforme al art. 35 del Reglamento, que deberá de ser gestionada, desarrollada y actualizada por el responsable de tratamiento.

Deberá incluir como mínimo: “a) una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento”.

3.2 EVALUACIÓN DE IMPACTO

CONTESTUALIZACIÓN. El ciclo de vida de los datos (asociados al tratamiento y a las entidades participantes)

Obtención de datos: formularios web- correo electrónico, formularios en papel; grabaciones de audio y video, reuniones con clientes o fuentes externas o públicas.

Clasificación / Almacenamiento: se pueden dividir en; clientes, proveedores y colaboradores. Siendo la primera categoría donde se circunscriben los datos especialmente sensibles, por lo que es necesario su archivo bajo contraseñas (si se trata de datos digitalizados) o bajo cerraduras si están en soporte papel.

Uso / Tratamiento: Fines exclusivamente comprendidos en la hoja de encargo entregada al cliente, en el acuerdo de colaboración o en la prestación del servicio por los proveedores.

Cesión de los datos a un tercero para su tratamiento: Traspaso o comunicación de datos realizada a un tercero (toda persona física o jurídica, pública o privada u órgano administrativo). Como dispone la Agencia “El concepto de cesión o comunicación es muy amplio, puesto que la revelación recoge tanto la entrega, comunicación, consulta, interconexión, transferencia, difusión o cualquier otra forma que facilite el acceso a los datos”.

Destrucción: Eliminar los datos que puedan estar contenidos en los sistemas o archivos, de manera que no puedan ser recuperados de los soportes. Ello conforme a los principios de tratamiento del art. 5 del Reglamento.

 

1.-  Analizar la necesidad y proporcionalidad del tratamiento Gestión de riesgos Identificar amenazas y riesgos

Los datos se obtienen para desarrollar el asunto/s encargados por el interesado; relaciones con colaboradores para el anterior fin o recibimiento de servicios por los proveedores.

Definición del tratamiento. El propietario de los datos especialmente protegidos es el cliente,  por lo que se precisa consentimiento expreso por separado. “Se deben identificar todos los datos que puedan ser objeto de tratamiento (nombre, apellidos, dirección, datos de salud, correo electrónico o imágenes), su necesidad para la finalidad con la que se recogen y el origen o la fuente de los mismos (clientes, potenciales clientes, empleados, pacientes, redes sociales, fuentes externas, etc.). El mismo se especificará en la hoja de encargo, se archivarán en carpetas físicas bajo llave y digitales, debiendo estar bajo código de acceso”.

Licitud del tratamiento art. 6; recabar consentimiento expreso, utilizar los datos indispensable para el objeto encargado. El plazo de conservación se limite a un mínimo estricto, debiendo coincidir con el de responsabilidad civil contractual.

 

2.-  Evaluar y tratar los riesgos

Se deben prestar garantías, medidas de seguridad y mecanismos para garantizar la protección de datos personales y a demostrar la conformidad con el RGPD, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

“El riesgo es la exposición a amenazas, por tanto, Una amenaza es cualquier factor de riesgo con potencial para provocar un daño o perjuicio a los interesados sobre cuyos datos de carácter personal se realiza un tratamiento. por ejemplo: Desastres naturales: Fuego, agua, desastres ambientales…

 Errores y fallos: Destrucción no intencionada, programación inadecuada de un proceso de perfilado, fuga de información…

Ataques intencionados: Hacking, phishing, malware, robo… Incumplimiento normativo: Incumplimiento del periodo de retención, ausencia de base legitimadora del tratamiento…

Identificar la amenaza: acceso iligitimo datos, modificación no autorizada de datos o eliminación de datos corte suministro, error humano.”

Opciones;

  • Inexistencia de contraseñas de seguridad de soportes digitales (ordenadores, discos duros, usb…) y en manuales (cerraduras en locales o arhivos).
  • Acceso ilegítimo a datos.
  • La pérdida de un dispositivo móvil o de información.
  • Modificación no autorizada de datos.
  • Eliminación de datos.

Las consecuencias pueden ser: daño moral, físico o material sobre el interesado (Impacto).

Cumpliendo unos estándares de control de acceso (contraseñas, accesos cerrados) el riesgo de que ocurra es limitado. Se debe valorar y estimar la probabilidad y el impacto de que el riesgo se materialice.

Sin embargo, el impacto se podría dividir en dos categorías en atención a lo anterior;

“Impacto despreciable: El impacto es muy bajo (por ejemplo, un evento cuyas consecuencias son prácticamente despreciables sin impacto sobre el interesado).

 Impacto limitado: El impacto es bajo (por ejemplo, un evento cuyas consecuencias implican un daño menor sin impacto relevante sobre el interesado).

Impacto significativo: El impacto es alto (por ejemplo, un evento cuyas consecuencias implican un daño elevado con impacto sobre el interesado).

Impacto máximo: El impacto es bajo (por ejemplo, un evento cuyas consecuencias implican un daño muy elevado con un impacto crítico sobre el interesado)”.

3.3 REDUCCIONES DE RIESGO. MEDIDAS

De control, que reduzcan los niveles de probabilidad y/o impacto asociados al riesgo inherente. Se incluyen las organizativas y Técnicas: Medidas asociadas a procedimientos, a la organización y gobierno de la entidad. En esta tipología de medidas se pueden incluir los procedimientos para ejercer los derechos de los interesados, protocolos para gestionar vulnerabilidades e incidentes, etc.

Legales: Medidas asociadas al cumplimiento normativo. Por ejemplo, cláusulas para recogida de consentimientos expresos, etc. Técnicas: Medidas que permiten velar por la seguridad física y lógica de los activos de información. Por ejemplo, controles de acceso, cifrado, etc.

Medidas y normas relativas a la identificación y autenticación del personal autorizado para acceder a los datos personales.

Digitales

Se ubican en un ordenador de sobremesa sito en el despacho: 2018TDAT01/lpa.

Además, con carácter secundario se utiliza el ordenador portátil: 2018TDAT02/lpa.

Los dispositivos deben mantener instalado y actualizar ANTIVIRUS que protejan el equipo e impidan la vulneración y puesta en peligro de datos personales.

Respecto a los datos personales obtenidos por medio de la página web, así como de los obtenidos de la actividad,  el titular de se compromete a contratar a un Informático para que establezca un mecanismo de contraseñas para que las personas autorizadas a tal efecto que puedan acceder a los datos personales que precisen el desarrollo de sus funciones. Tal identificación y acceso al programa deberá de realizarse de forma inequívoca y personalizada, verificando su autorización.

Cuando se realice esta medida de identificación, el informático al que se le encomiende el encargo deberá de detallar el procedimiento de asignación de usuarios y donde se almacena esa información, el cual deberá de tener en cuenta que se debe de garantizar la confidencialidad e integridad de los datos personales obtenidos de la página Web así como de los registrados en el sistema interno de registros, detallándolo en un Informe el cual deberá de estar Anexo a este documento de seguridad, así como firmar el documento antes de la elaboración del encargo. 

La periodicidad para cambiar las contraseñas es de 6 meses.

 

  1. Contraseñas seguras

 

No todas las contraseñas que los usuarios puedan emplear poseen la misma seguridad, sino que existe una serie de consideraciones que, de aplicarse, aumentan la seguridad de éstas:

  • Estar compuesta por caracteres de cada uno de los siguientes tres grupos:
    1. Letras (mayúsculas y minúsculas) A, B, C… (y a, b, c…)
  • Numéricos 0, 1, 2, 3, 4, 5, 6, 7, 8, 9
  1. Símbolos (todos los caracteres que no se definen como letras o números) ` ~ ! @ # $ % ^ & * ( ) _ + – = { } | [ ] \ : » ; ‘ < > ? , . /
  • Tener al menos un símbolo entre las posiciones segunda y sexta.
  1. Ser significativamente diferente de otras contraseñas anteriores.
  2. No contener su nombre o su nombre de usuario.
  3. No ser una palabra o un nombre comunes.

 

Control de acceso

 

Solo se accederá a aquellos datos y recursos que precise para el desarrollo de sus funciones. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados, a través de un mecanismo de contraseñas anteriormente detallado.

Exclusivamente Dª TERESA VÁZQUEZ PALACIOS, como responsable de seguridad, está autorizada para conceder, alterar o anular el acceso autorizado sobre los datos y los recursos.

El procedimiento a seguir para dar de alta a la persona o personas que podrán acceder a los datos de carácter personal consistirá en una autorización por escrito, por la titular en la que se indicará cuáles son los datos y recursos a los cuales se puede acceder por la persona a la que se da de alta. Dicha autorización deberá ser firmada por la persona autorizada (como justificante del conocimiento de la extensión de la referida autorización) entregándosele una copia del referido documento.

Para modificar o anular el acceso previamente autorizado, por la titular se procederá a comunicar la modificación o anulación del acceso (a los datos de carácter personal) a la persona o personas cuyo acceso se vaya a modificar o anular.

En caso de relevo de alguna de las personas con acceso a recursos protegidos, se dará de baja el usuario de la persona saliente, y se creará un usuario para la persona entrante.

Relación de usuarios

Se incluye la relación de usuarios actualizada con acceso autorizado a cada sistema de información. Asimismo, se incluye el tipo de acceso autorizado para cada uno de ellos. En concreto se incluye:

 

  • Nombre de usuario.
  • Sus funciones en materia de protección de datos.
  • Ficheros a los cuales tiene acceso.

Esta lista se actualizará cada vez que se realice un alta o baja en los usuarios con acceso al sistema de información. Asimismo, se actualizará cuando se modifiquen los permisos correspondientes a algún integrante de la relación de usuarios, de forma que ésta esté siempre actualizada.

Sólo el responsable del fichero tendrá acceso al archivo en papel, que será custodiado bajo control de acceso físico.

 

Papel/ Mixtos

 

El acceso a la documentación se limita exclusivamente al personal autorizado. En cualquier caso garantizarán la correcta conservación de los documentos, la localización y consulta de la información y posibilitarán el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.

Se establece el siguiente mecanismo para identificar los accesos realizados en el caso de los documentos relacionados, según sean de proveedores, colaboradores o clientes:

  • Los documentos que contengan los datos de contacto, que se encuentren en el soporte informático.
  • Los documentos que contengan los datos de contacto, que se encuentren en soporte físico.

 

Los accesos se deberán de controlar por medio de una bitácora electrónica establecida por el informático en su momento donde se indique la fecha, la hora y el año en que se accedió. Dicha bitácora electrónica deberá de guardarse de manera automática en un soporte electrónico, para garantizar que el registro de accesos no se pierda y/o en caso de que surja algún problema igualmente se debe de imprimir en papel de manera bimensual, por el RESPONSABLE DE SEGURIDAD debiéndolo de integrar al presente documento de seguridad dicho registro en papel.

 

Gestión de soportes y documentos

Los soportes (entendidos estos como los medios de grabación y recuperación de datos que se utilicen para realizar copias o en los procesos de la aplicación utilizada para gestionar los ficheros) que contengan datos de carácter personal deben ser etiquetados para permitir su identificación a los usuarios con acceso  autorizado a los mismos y así mismo deben dificultar la identificación para el resto de personas inventariados y almacenados en el centro de trabajo, en lugar de acceso restringido al que sólo tendrán acceso las personas con autorización que se relacionan a continuación:

NOMBRE CARGO
Dª  TERESA VÁZQUEZ PALACIOS RESPONSABLE DEL FICHERO
Dª  TERESA VÁZQUEZ PALACIOS RESPONSABLE DE SEGURIDAD
Dª. GEMMA ARBESÚ SANCHEZ USUARIA

 

Las siguientes normas serán de aplicación para el almacenamiento de soportes informáticos:

  • Los soportes se almacenarán en el centro de trabajo de TERESA VÁZQUEZ PALACIOS en un lugar seguro y bajo llave.
  • Se ubicarán en un lugar de acceso restringido, donde solo posea acceso los usuarios anteriormente indicados.
  • Cada soporte será convenientemente etiquetado, de acuerdo con las normas que se detallan más adelante en este documento.

 

Asimismo, se llevará un inventario de los soportes con datos personales en un anexo del presente documento. Este anexo se actualizará cuando se dé de alta o baja un soporte.

Estos soportes se etiquetarán de acuerdo con el siguiente procedimiento:

  • La etiqueta del soporte debe permitir identificar claramente la información que contiene.
  • Cada soporte poseerá asimismo un número correlativo, que permitirá su identificación unívoca en el inventario de soportes.

Se incorpora un Formulario para el inventariado de soportes en el del presente documento de seguridad.

 

Registro de entrada y salida de soportes

La creación de un nuevo soporte o bien la entrada de éste desde el exterior se considerará como entrada de soportes.

La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos en correos electrónicos, fuera de los locales bajo el control del responsable del tratamiento, deberá ser autorizada por el responsable del fichero o aquel en que se hubiera delegado de acuerdo al siguiente procedimiento:

  • En caso de que la salida no sea planteada por el propio responsable del fichero, éste deberá ser informado de la necesidad de realizarla, y de las personas y/o organizaciones que recibirán los soportes.
  • El responsable del fichero autorizará la salida, anotándola en el registro de entradas y salidas. Esta anotación incluirá, al menos, en el caso de las entradas, el tipo de soporte, la fecha y hora, el emisor, el número de soportes, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción, y en el caso de las salidas, el tipo de soporte, al fecha y hora, el destinatario, el número de soportes, el tipo de información que contienen, la forma de envío y la persona responsable de la entrega.
  • Firmará en el libro de registro de entradas y salidas de soportes, y entregará una copia de la autorización a la persona o personas que efectuarán la salida.

Se  incluirán los documentos de autorización relativos a la entrada y salida de soportes que contengan datos personales.

 

Respecto a los soportes que vayan a ser desechados, tanto el responsable del fichero como el responsable de seguridad deberán asegurarse que no pueden recuperarse los datos personales que hasta ese punto albergaba.

En el caso de soportes consumibles (CD/DVD/diskette, etc.) se procederá a la destrucción del soporte.

En el caso de soportes fijos (discos duros, portátiles, discos duros portátiles) se procederá al formateo de la unidad (La opción que físicamente lo borre, no que sólo elimine la entrada en el directorio), o bien grabando encima datos aleatorios para que el contenido anterior no resulte accesible ni con mecanismos o dispositivos sofisticados.

Si para la destrucción fuera necesario acudir a un servicio externo y no existe un contrato, se deberán suscribir documentos de confidencialidad así como la confirmación por escrito de la destrucción.

Es importante tener presente, que hasta que se proceda al borrado o destrucción, los soportes estarán protegidos frente al acceso no autorizado.

En el traslado de la documentación se adoptarán las siguientes medidas para evitar la sustracción, pérdida o acceso indebido a la información:

  • Transportarlo con la mayor discreción sin comunicar a las personas que saben de su salida del establecimiento del DESPACHO DE TERESA VÁZQUEZ PALACIOS, que lleva consigo documentos que contienen datos personales.
  • En caso de pérdida notificar a las autoridades pertinentes (Policía y AEPD) sobre la situación.
  • En caso de sustracción notificar a la Autoridad pertinente, por medio de una denuncia, ese hecho así como de los datos que fueron robados. De igual forma se notificara a la AEPD, esa situación.

 

Almacenamiento de la información 

Se deberá de crear si esta medida no está adoptada aún un sistema de almacenamiento de datos personales, en donde la información suministrada en algún tipo de dispositivo (electrónico) se deba de detallar y establecer un mecanismo que restrinja su acceso a personas autorizadas.

Una vez que se haya adoptado esta medida, deberá de constar de forma ANEXA a este documento la especificación del dispositivo así como el sistema que restringe su acceso.

 

Custodia de soportes 

En tanto los documentos con datos personales no se encuentren archivados en los dispositivos de almacenamiento indicados en el punto anterior, por estar en proceso de tramitación, las personas que se encuentren a su cargo deberán custodiarlos e impedir el acceso a personas no autorizadas.

Acceso a datos a través de redes de comunicaciones 

 

Las medidas de seguridad exigibles a los accesos a los datos de carácter personal a través de redes de comunicaciones deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local. Esto incluye el control de acceso, el cifrado de las redes de comunicaciones, etc. Así, podemos significar lo siguiente:

  • Todas las entradas y salidas de datos del fichero que se efectúen mediante correo electrónico se realizarán desde una única cuenta o dirección de correo controlada por un usuario autorizado por el responsable del fichero. Igualmente si se realiza la entrada o salida de datos mediante sistemas de transferencia de ficheros por red, únicamente un usuario o administrador estará autorizado para realizar esas operaciones.

 

  • Se guardarán copias de todos los correos electrónicos que involucren entradas o salidas de datos del fichero, en directorios protegidos y bajo control del responsable citado. Se mantendrán copias de esos correos durante al menos dos años. Asimismo, se guardarán durante un mínimo de dos años, en directorios protegido, una copia de los ficheros recibidos o transmitidos por sistemas de transferencia de ficheros por red, junto con un registro de la fecha y hora en que se realizó la operación y el destino del fichero enviado.

 

  • Cuando los datos del fichero vayan a ser enviados por correo electrónico o por sistemas de transferencia de ficheros, a través de redes públicas o no protegidas, se recomienda que sean encriptados de forma que sólo puedan ser leídos e interpretados por el destinatario.

 

  • La transmisión de datos de carácter personal a través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.

 

Tratamiento de datos en Internet

Para el caso de que el tratamiento de datos se realice mediante métodos o dispositivos ubicados o que utilicen Internet deberán seguir las indicaciones expuestas en el presente documento así como lo preceptuado en la Ley 34/2002, 11 de Julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (L.S.S.I). se incluye el aviso legal y política de privacidad a insertar en página Web.

 

RELACIÓN DE CUENTAS DE CORREO ELECTRÓNICO EXISTENTES.

 

Cuenta de electrónico existente:

▬         teresav.palacios@hotmail.es

Personas que tienen acceso al mismo:

▬         TERESA VÁZQUEZ PALACIOS

 

ESPECIAL REFERENCIA A LA ACTUALIZACIÓN DE LA PÁGINA WEB: AVISO LEGAL, POLÍTICA DE PRIVACIDAD Y COOKIES

En la apertura de la web debe aparecer como ventana emergente un AVISO donde el usuario debe aceptar de manera expresa el AVISO LEGAL, POLÍTICA DE PRIVACIDAD Y COOKIES, que deberán tener apartados propios en la web, cuyo contenido a continuación se recomienda;

Para mejora de servicios y presentación de publicidad sobre las preferencias obtenidas del análisis de la navegación del usuario, se utilizan cookies propias y de terceros, por lo que se precisa la autorización para seguir navegando; de igual modo existe en la web un apartado de aviso legal y política de privacidad. Se puede modificar la configuración u obtener más información en el siguiente enlace.

  • ACEPTO Y CONTINÚO NAVEGANDO

 

AVISO LEGAL/ POLÍTICA DE PRIVACIDAD

– TITULAR WEB: TERESA VÁZQUEZ PALACIOS con DESPACHO sito en CALLE CABO NOVAL 8, 1º D, 33007- OVIEDO (Asturias), teresav.palacios@hotmail.es; 985208295.

– ACCESO Y USO: el objeto de la web es prestar información sobre el despacho en el que se prestan servicios jurídicos de abogacía. El acceso a esta página web es gratuito. Los usuarios al navegar, muestran su  conformidad de forma expresa, plena y sin reservas del contenido, avisos web y de estas cláusulas.

El titular web puede modificar o suspender el contenido.

El usuario se obliga a utilizar los servicios y contenidos conforme a la legislación vigente y principios de la buena fe y costumbres generalmente admitidas, así como a no vulnerar con su actuación a través del sitio web el orden público, y en especial a no menospreciar o atentar contra los derechos fundamentales y libertades públicas reconocidos constitucionalmente y en el resto de la legislación. Se exonera a la titular de la web del mal uso o inadecuada información que se realice siendo exclusiva responsabilidad del usuario que accede a ellos o los utiliza indebidamente.

 

El usuario exonera al titular web de cualquier responsabilidad relativa a la navegación en la web y su contenido, como de los daños y perjuicios derivados de fallos o problemas de software de su ordenador o el que utilice, así como de los derivados por conexión a internet.

No se puede garantizar el acceso o  las interrupciones a la web.

– PROTECCION DE DATOS DE CARÁCTER PERSONAL. En el supuesto de que se facilite algún dato de carácter personal a través de la página web, los usuarios deberán proporcionar previamente ciertos datos de carácter personal sobre los que garantizan su veracidad, personalidad –no siendo de terceras personas- y responden ante ellos.

Dichos datos serán recogidos por la titular de la web, para cuyo tratamiento será convenientemente informado en el momento de recogida de sus datos de carácter personal, solicitando su consentimiento expreso en el caso de necesidad del mismo  de acuerdo al Reglamento General de Protección de Datos (UE 2016/679) y su normativa de desarrollo.

El titular de los datos puede ejercitar sus derechos de acceso, rectificación, supresión, oposición, en los términos establecidos legalmente, así como retirar en cualquier momento los consentimientos otorgados, comunicándolo por escrito a TERESA VÁZQUEZ PALACIOS- ABOGADA con DESPACHO sito en CALLE CABO NOVAL 8, 1º D, 33007- OVIEDO (Asturias). Contacto teresav.palacios@hotmail.es; 985208295.

 

MEDIDAS DE SEGURIDAD. En el supuesto de que se faciliten datos de carácter personal, el usuario garantiza que los datos personales facilitados son veraces y se hace responsable de comunicar cualquier modificación de los mismos.

El titular de los datos puede ejercitar sus derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad en los términos establecidos legalmente, así como retirar en cualquier momento los consentimientos otorgados, comunicándolo por escrito a, TERESA VÁZQUEZ PALACIOS- ABOGADA con DESPACHO sito en CALLE CABO NOVAL 8, 1º D, 33007- OVIEDO (Asturias). Contacto teresav.palacios@hotmail.es; 985208295.

– PROPIEDAD INTELECTUAL E INDUSTRIAL. Ambos derechos, así como cualesquiera elementos que aparecen en la web, son titularidad de TERESA VÁZQUEZ PALACIOS, quedando prohibida su descarga, copia, reproducción o difusión  por cualquier medio.

– JURISDICCION Y LEGISLACION APLICABLE Las presentes condiciones de uso se rigen por la legislación española. Las cuestiones jurídicas relativas al contenido web y sobre la aplicación y cumplimiento de lo aquí recogido se someterán a la jurisdicción de los tribunales y juzgados de Oviedo; cuando por razón de fueros imperativos no quepa sumisión, a los del domicilio de usuario siempre que se halle en territorio  español y, en defecto de esto último, a los juzgados y tribunales de Oviedo.

 

 

 

POLÍTICA DE COOKIES

 

La página web de TERESA VÁZQUEZ PALACIOS puede utilizar cookies propias y de terceros cuando el usuario navega por el sitio web; consisten en ficheros que recopilan las actividades de un usuario anónimo, sobre el que no se obtienen datos de carácter personal, mientras está navegando. Las cookies permiten que el servidor donde se encuentra la web reconozca el navegador web utilizado por el usuario con la finalidad de que la navegación sea más sencilla.

El usuario puede modificar la intervención de las cookies en su navegador.

 

 

Ficheros en Papel

Es obligatorio que se mantengan en condiciones de confidencialidad y acceso único por parte del personal autorizado, todos aquellos expedientes en formato papel en el que figuren datos de carácter personal, siendo así mismo necesarios garantizar al interesado los derechos de acceso, rectificación, cancelación y oposición. En éste sentido, Dª TERESA VÁZQUEZ PALACIOS, se obliga a cumplir las exigencias anteriormente descritas.

Resulta de aplicación a estos tratamientos las bases indicadas en el presente documento, en la medida en que ello sea de aplicación.

El almacenamiento se deber realizar bajo llave y donde sólo pueda acceder el responsable del fichero y el personal autorizado expresamente. Cuando los datos ya no sean necesarios deberá ser destruidos de tal forma que sea imposible recuperar la información contenida en los mismos.

Controles de Verificación

Se deberán efectuar controles para comprobar el cumplimiento del contenido del presente documento de seguridad. Este control deberá ser efectuado por el Responsable de Seguridad al cada 6 meses, recayendo dicho control sobre los siguientes extremos:

  • El listado de usuarios autorizados se corresponde con los usuarios que realmente están accediendo a los ficheros. Es importante que ningún usuario que haya sido de baja se encuentre accediendo a los ficheros.
  • Existencia de copias de respaldo que permitan la recuperación de datos en caso de pérdida.
  • Si existe alguna incidencia registrada para tomar medidas que limiten esas incidencias en el futuro.
  • Que no se ha producido una desactivación de los mecanismos que permiten el registro de accesos.

 

Auditoria.

Es de obligado cumplimiento la realización de una auditoria (bien interna o bien externa) sobre los sistemas de información e instalaciones de tratamiento de datos que verifique el cumplimiento y la adecuación de las normas y medidas del presente documento al Reglamento.

Se identificarán las deficiencias y se propondrán las medidas correctoras o complementarias necesarias.

Los informes de auditoría serán analizados por el responsable de seguridad, el cual informará de sus conclusiones al responsable del fichero que adoptará las medidas correctoras adecuadas. Todas las decisiones y recomendaciones se incluirán en la auditoría.

El informe de auditoría se realizará al menos de manera anual, o previamente, si se producen modificaciones de equipos, software o cualesquiera espacios o medios de obtención de datos, y quedará a disposición de la Agencia de Protección de Datos.

 

 

3.- Conclusión Plan de acción

El nivel de riesgo se considera aceptable y dentro de unos límites razonables, siempre y cuando se apliquen las siguientes premisas: control de acceso a datos material (seguridad, contraseñas y cerraduras) y personal (restricción de la persona-s autorizada para su uso); de otro lado fin y gestión de los datos, mínima intervención/ manipulación de los datos con el exclusivo objeto de llevar a cabo el fin encargado.

Se informa que si no fuese posible el tratamiento no se podría llevar a cabo y sería necesario activar el procedimiento de consulta previa a la Autoridad de Control. Artículo 36 del RGPD “El responsable consultará a la Autoridad de Control antes de proceder al tratamiento cuando una evaluación de impacto relativa a la protección de los datos en virtud del artículo 35 muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para para mitigarlo”.

Cuando exista una variación relevante en el contexto de las actividades de tratamiento que pueda suponer un incremento del riesgo asociado al mismo, deberá realizarse una actualización de la EIPD. Por ejemplo, la inclusión de un nuevo canal en un tratamiento, su automatización, externalización, etc.

 

4. INFORMACIÓN Y OBLIGACIONES DE LOS INTERVINIENTES

 

  1. Información

Para asegurar que todas las personas conocen las normas de seguridad que afectan al desarrollo de sus funciones, así como las consecuencias del incumplimiento de las mismas, serán informadas de acuerdo con el siguiente procedimiento:

  • Se entregará a cada persona un documento en el que se indicarán las normas que en materia de seguridad deben cumplir para acceder a los datos de carácter personal necesarios para el desempeño de sus funciones profesionales.
  • Este documento incluirá las consecuencias que llevarán aparejadas los incumplimientos de dichas normas.
  • Incluir al presente documento de seguridad acuse de recibo de tal información.

 

  1. Funciones y obligaciones

Todo el que acceda a los datos de carácter personal está obligado a conocer y observar las medidas, normas, procedimientos, reglas y estándares que afecten a las funciones que desarrolla.

Constituye una obligación notificar al responsable del fichero las incidencias de seguridad de las que tengan conocimiento respecto a los recursos protegidos, según los procedimientos establecidos en este Documento.

Todas las personas deberán guardar el debido secreto y confidencialidad sobre los datos personales que conozcan en el desarrollo de su trabajo.

Funciones y obligaciones de Dª TERESA VÁZQUEZ PALACIOS:

  • Llevar a cabo registro de actividad de datos personales, pudiendo ser este requerido por la Agencia Española de Protección de Datos.
  • Decidir sobre la finalidad, contenido y usos del fichero.
  • Aplicar la normativa sobre protección de datos.
  • Implantar las medidas de seguridad establecidas en el documento de seguridad.
  • Difundir el presente documento entre todo el personal e informarles de sus obligaciones y consecuencias del incumplimiento del mismo.
  • Verificar la correcta aplicación de los procedimientos para recuperación de datos y realización de copias de respaldo.
  • Registro y conservación de impresos de incidencias entregados por el responsable de seguridad.
  • Autorización de la salida o entrada de soportes informáticos en la organización y conservación de los mismos.
  • Elaboración de la relación de usuarios con acceso autorizado a los ficheros de datos personales.
  • Mantener este documento actualizado y revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo.
  • Asumir todas las responsabilidades y funciones descritas en el presente documento.
  • Especial protección y control de los datos del art. 9 del Reglamento.
  • Designar al administrador del sistema.
  • Atender las solicitudes de los afectados que deseen ejercer alguno de sus derechos.

 

Funciones y obligaciones de Dª TERESA VÁZQUEZ PALACIOS como responsable de seguridad:

  • De conformidad con lo establecido en el art. 95 del RD 1720/2007, el responsable de seguridad deberá de coordinar y controlar las medidas de seguridad contenidas en el presente documento de seguridad.
  • Deberá de encargarse de los mecanismos que permiten el registro de accesos, sin que deban permitir la desactivación ni la manipulación de los mismos.
  • Se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados.
  • Toda actuación deberá ceñirse a lo contenido al presente documento de seguridad y a la normativa aplicable.
  • Adopción de medidas para subsanar las incidencias.
  • Comprobación de la correcta aplicación de los procedimientos de copias de respaldo y de recuperación de los datos. Si se usa personal externos para los procedimientos anteriores, deberá comprobar que su actuación se realiza confidencialmente.
  • Actualización de la relación de usuarios con acceso a los ficheros y asignación de los nuevos códigos y claves a los usuarios.
  • Informar a los nuevos empleados sobre todo lo que tiene que ver con la aplicación de la normativa de protección de datos aplicados en el desarrollo de sus funciones.
  • Inventariar los soportes creados por los usuarios, y crear un lugar para su almacenamiento.
  • Autorizar las entradas o salidas de soportes.
  • Controlar el registro de accesos.
  • Velar por que se cumplan las medidas de seguridad que figuran en el presente documento.

 

Funciones y obligaciones de Dª GEMMA ARBESÚ SÁNCHEZ como usuaria, está tendrá acceso a los datos personales de los soportes, y se compromete a no alterar el contenido del mismo, ni a eliminar o hacer transferencias de los datos sin consentimiento del responsable del fichero.

  • Solo podrá consultar los datos que necesite para el ejercicio de sus funciones.
  • Cumplimiento de la normativa de seguridad.
  • Secreto de la información que obtengan sobre datos de carácter personal.
  • Usar los datos sólo para los fines para los que ha sido obtenidos.
  • Solicitar las autorizaciones necesarias para el tratamiento de los datos cuando se produzcan entradas o salidas de soportes.
  • No divulgar las contraseñas.
  • No utilizar con fines privados los sistemas informáticos de la empresa, salvo autorización de la empresa.
  • En caso de incidencias, informar al responsable de seguridad.

Cada usuario deberá firmar un recibo como prueba de conocimiento del contenido del mismo.

 

 

  1. PROCEDIMIENTOS DE REVISIÓN

El documento deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información, en el contenido de la información incluida en los ficheros o como consecuencia de los controles periódicos realizados; si no se produjera lo anterior, al menos deberá ser revisado con carácter anual. En todo caso se entenderá como cambio relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas. Asimismo, deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.

La persona que debe proponer las revisiones y aprobarlas será el Responsable de Seguridad quien a su vez será el encargado de comunicar, las modificaciones que se hayan producido.

 

 

 

  1. CLÁUSULAS INFORMATIVAS Y CONTRACTUALES

En lo sucesivo y hasta el final del documento se aporta el clausulado obtenido a través de FACILITA, aplicación de la AEPD a excepción del último apartado relativo a la página web.

Como facilita la AEPD: “RECUERDE, aunque se le ofrecen los documentos mínimos indispensables para estar en disposición de cumplir con el Reglamento de Protección de Datos, usted también debe realizar las siguientes acciones:

  1. Incluir las cláusulas informativas en los formularios de solicitud de información, bien si utiliza formularios en papel o a través de su página web.
  2. Implantar las medidas técnicas y organizativas que se le indican en el documento correspondiente.
  3. Revisar los contratos que dispone actualmente e incluir las cláusulas contractuales y firmarlas en la última hoja.
  4. Elaborar aquellos contratos que todavía no tiene e igualmente incluir las cláusulas contractuales y firmarlas en la última hoja.
  5. Custodiar y mantener actualizados todos los documentos.
  6. No olvide que no debe enviar nada a la Agencia Española de Protección de Datos, tan solo debe entregárselos si se los solicita.
  7. Recuerde que la Agencia Española de Protección de Datos no almacena la información que usted haya introducido en esta herramienta”.

 

El siguiente clausulado se obtiene a través del programa FACILITA proporcionado por la AEPD:

“Este documento contiene las cláusulas informativas que debe incluir en los formularios de solicitud de información, el documento a anexar en cada uno de los contratos de prestación de servicios, el registro de actividades de tratamiento y un anexo con recomendaciones sobre medidas de seguridad y tratamientos de datos personales, las cuales debe implantar en su organización.

La presentación de la documentación está asociada a cada uno de los tratamientos que ha seleccionado al cumplimentar el programa”.

 

Dada la especialidad del establecimiento, fuera de la documentación aportada por FACILITA, se añade un apartado individualizado referido a la página web.

El plazo de conservación documental debe coincidir con el de la responsabilidad civil contractual.

 

  1. TRATAMIENTO DE DATOS

7.1 DE CLIENTES

Clausula informativa:

El texto que se muestra a continuación deberá incluirlo en todos aquellos formularios que utilice para recabar datos personales de sus clientes, tanto si se realiza en soporte papel como si los recoge a través de un formulario web:

Responsable: Identidad: TERESA VÁZQUEZ PALACIOS- ABOGADA con DESPACHO sito en CALLE CABO NOVAL 8, 1º D, 33007- OVIEDO (Asturias). Contacto teresav.palacios@hotmail.es; 985208295.

“En nombre del DESPACHO tratamos la información que nos facilita con el fin de prestarles el servicio solicitado, realizar la facturación del mismo. Los datos proporcionados se conservarán mientras se mantenga la relación comercial o durante los años necesarios para cumplir con las obligaciones legales. Los datos no se cederán a terceros salvo en los casos en que exista una obligación legal. Usted tiene derecho a obtener confirmación sobre si por TERESA VÁZQUEZ PALACIOS estamos tratando sus datos personales por tanto tiene derecho a acceder a sus datos personales, rectificar los datos inexactos o solicitar su supresión cuando los datos ya no sean necesarios mediante la comunicación a esta dirección de correo electrónico teresav.palacios@hotmail.es.

Asimismo solicito su autorización para ofrecerle productos y servicios relacionados con los solicitados y fidelizarle como cliente.”

SI

NO

 

AVISO: Debe tener en cuenta que si su cliente marca la opción NO, en ningún caso podrá enviarle publicidad.

El consentimiento debe ser expreso en todos los casos, no cabe aceptación por omisión, dicha solicitud de consentimiento debe aparecer además en la página web y correo electrónico.

Conforme al art. 9 del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 referido al tratamiento de categorías de datos personales  que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física, y, todos aquellos mencionados en los distintos apartados del art. 9, por lo que INTERESAMOS su consentimiento expreso para el tratamiento de los mencionados datos.

CON MI CONSENTIMIENTO EXPRESO,

 FDO.

 

 

Contratos

AVISO: En su contrato con la gestoría que trata los datos personales de sus clientes deberá anexar las siguientes cláusulas contractuales:

  1. Objeto del encargo del tratamiento

Mediante las presentes cláusulas se habilita a _________________________________________________  como encargado del tratamiento para tratar por cuenta de TERESA VÁZQUEZ PALACIOS, en calidad de responsable del tratamiento, los datos de carácter personal necesarios para prestar el servicio que en adelante se especifica.

El tratamiento consistirá en _______________________________

  1. Identificación de la información afectada

Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, la entidad como responsable del tratamiento, pone a disposición de ________________________________, los datos de identificación y bancarios de sus clientes.

  1. Duración

El presente acuerdo tiene una duración de      , siendo renovado automáticamente salvo decisión en contra por alguna de las partes.

Una vez finalice el presente contrato, el encargado del tratamiento debe devolver al responsable o trasmitir a otro encargado que designe el responsable los datos personales, y suprimir cualquier copia que esté en su poder. No obstante, podrá mantener bloqueados los datos para atender posibles responsabilidades administrativas o jurisdiccionales.

  1. Obligaciones del encargado del tratamiento

El encargado del tratamiento y todo su personal se obliga a:

  • Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.
  • Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento.
  • Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga:
  • El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado.
  • Las categorías de tratamientos efectuados por cuenta de cada responsable.
  • Una descripción general de las medidas técnicas y organizativas de seguridad apropiadas que esté aplicando.
  • No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. Si el encargado quiere subcontratar tiene que informar al responsable y solicitar su autorización previa.
  • Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice el contrato.
  • Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.
  • Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.
  • Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
  • Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento y portabilidad de datos ante la gestoría, ésta debe comunicarlo por correo electrónico a la dirección que indique el responsable. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.
  • Notificación de violaciones de la seguridad de los datos

El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida y a través de la dirección de correo electrónico que le indique el responsable, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. El plazo máximo de notificación es de 72 horas desde que ocurre el hecho.

Se facilitará, como mínimo, la información siguiente:

  1. Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
  2. Datos de la persona de contacto para obtener más información.
  3. Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales. Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

________________________________________ a petición del responsable, comunicará en el menor tiempo posible esas  violaciones de la seguridad de los datos a los interesados, cuando sea probable que la violación suponga un alto riesgo para los derechos y las libertades de las personas físicas.

La comunicación debe realizarse en un lenguaje claro y sencillo y deberá incluir los elementos que en cada caso señale el responsable, como mínimo:

  1. La naturaleza de la violación de datos.
  2. Datos del punto de contacto del responsable o del encargado donde se pueda obtener más información.
  3. Describir las posibles consecuencias de la violación de la seguridad de los datos personales.
  4. Describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
  • Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él.
  • Implantar las medidas de seguridad técnicas y organizativas necesarias para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
  • Destino de los datos

Devolver al responsable del tratamiento los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida la prestación.

La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado.

No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

  1. Obligaciones del responsable del tratamiento

Corresponde al responsable del tratamiento:

  1. Entregar al encargado los datos necesarios para que pueda prestar el servicio.
  2. Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del encargado.
  3. Supervisar el tratamiento.

 

7.2  DE PROVEEDORES

Clausula informativa:

El texto que se muestra a continuación deberá incluirlo en todos aquellos formularios que utilice para recabar datos personales de los proveedores como por ejemplo en facturas:

Responsable: Identidad: TERESA VÁZQUEZ PALACIOS

“En nombre de la empresa tratamos la información que nos facilita con el fin de realizar pedido y facturar los servicios. Los datos proporcionados se conservarán mientras se mantenga la relación comercial o durante los años necesarios para cumplir con las obligaciones legales. Los datos no se cederán a terceros salvo en los casos en que exista una obligación legal. Usted tiene derecho a obtener confirmación sobre si en el DESPACHO DE TERESA VÁZQUEZ PALACIOS estamos tratando sus datos personales por tanto tiene derecho a acceder a sus datos personales, rectificar los datos inexactos o solicitar su supresión cuando los datos ya no sean necesarios.”

Si los proveedores aportan sus datos mediante otro sistema, se les pedirá que firmen un formulario fechado en que figure al información antes citada.

Cada uno deberá firmar esta cláusula;

CARLÍN:  c/ Foncalada, 11, bajo, cif: B50527258

 

OFINOR: OFIMÁTICA NORESTE, S.L. C/ Antonio Martínez Vega, 17, 33013 Oviedo. cif: B- 335431900 ( mantenimiento de la impresora)

 

BNP PARIBAS LEASING SOLUTIONS , contrato de renting de la impresora.

BNP RARIBAS LEASE GROUP S.A. SUCURSAL EN ESPAÑA. Sede social: c/ Estrella Denébola 8 3a Planta. 28045 Madrid. NIF W 0013547E

 

TELECABLE DE ASTURIAS: S.A.U. Sede: C/ Marqués de Pidal, 11, bajo, 33004, Oviedo. C.I.F. A33445917

 

 

7.3 EMPRESAS DE SERVICIOS

Contratos:

AVISO: En su contrato con la empresa que le presta el servicio deberá incluir las siguientes cláusulas contractuales:

  1. Objeto del encargo del tratamiento

Mediante las presentes cláusulas se habilita ALBERTO HUERGA MORÁN, informático, C/ Fernando Zuazua, 4, Bajo, 33010 Oviedo. NIF: 71416295-F

, como encargado del tratamiento, para tratar por cuenta de TERESA VÁZQUEZ PALACIOS, en calidad de responsable del tratamiento, los datos de carácter personal necesarios para prestar el servicio que en adelante se especifican.

El tratamiento consistirá en PÁGINA WEB.

  1. Identificación de la información afectada

Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, la entidad TERESA VÁZQUEZ PALACIOS como responsable del tratamiento, pone a disposición de la entidad de ALBERTO HUERGA MORÁN, la información disponible en los equipos informáticos que dan soporte a los tratamientos de datos realizados por el responsable.

  1. Duración

El presente acuerdo tiene una duración de                , renovable.

Una vez finalice el presente contrato, el encargado del tratamiento debe devolver al responsable los datos personales, y suprimir cualquier copia que mantenga en su poder. No obstante, podrá mantener bloqueados los datos para atender posibles responsabilidades administrativas o jurisdiccionales.

  1. Obligaciones del encargado del tratamiento

El encargado del tratamiento y todo su personal se obliga a:

  • Utilizar los datos personales a los que tenga acceso sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.
  • Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento.

Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos, el encargado informará inmediatamente al responsable.

  • No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles.
  • Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice el contrato.
  • Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.
  • Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.
  • Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
  • Notificación de violaciones de la seguridad de los datos

El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida y a través de la dirección de correo electrónico que le indique el responsable, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.

Se facilitará, como mínimo, la información siguiente:

  1. Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
  2. Datos de la persona de contacto para obtener más información.
  3. Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales. Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

  • Poner disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él.
  • Auxiliar al responsable de tratamiento a implantar las medidas de seguridad necesarias para:
  1. a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
  2. b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
  3. c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
  • Destino de los datos

El responsable del tratamiento no conservará datos de carácter personal relativos a los tratamientos del encargado salvo que sea estrictamente necesario para la prestación del servicio, y solo durante el tiempo estrictamente necesario para su prestación.

  1. Obligaciones del responsable del tratamiento

Corresponde al responsable del tratamiento:

  1. Facilitar al encargado el acceso a los equipos a fin de prestar el servicio contratado.
  2. Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del encargado.
  3. Supervisar el tratamiento.

 

AVISO: No olvide firmar la última hoja de cada uno de los contratos que se han obtenido.

7.4 CLÁUSULA PARA AÑADIR AL CORREO ELECTRÓNICO[1]

 

De acuerdo a la LOPD 15/1999 TERESA VÁZQUEZ PALACIOS le informo que sus datos serán utilizados con el exclusivo tratamiento en virtud del servicio que deba ser prestado. Los datos recogidos son almacenados bajo la confidencialidad y las medidas de seguridad legalmente establecidas. Puede ejercer sus derechos ARCO mediante el e-mail teresav.palacios@hotmail.es, o en el DESPACHO sito en CALLE CABO NOVAL 8, 1º D, 33007- OVIEDO (Asturias)

 

  

 

 

  1. REGISTRO DE ACTIVIDADES DE TRATAMIENTO

Con la entrada en vigor del Reglamento se elimina la subida de datos a la AEDP, lo que se sustituirá por el control interno que deberá estar a disposición de la Agencia, conforme al modelo que se otorga y cuyo contenido se deberá anexar conforme se elabore a este documento.

 

Tratamiento: Clientes

Finalidad del tratamiento

Gestión de la relación con los clientes

Descripción de las categorías de clientes y de las categorías de datos personales:

Clientes:

Personas con las que se mantiene una relación comercial como clientes

Categorías de datos personales:

Los necesarios para el mantenimiento de la relación comercial. Facturar, enviar publicidad postal o por correo electrónico, servicio postventa y fidelización

De identificación: nombre y apellidos, NIF, dirección postal, teléfonos, e-mail

Características personales: estado civil, fecha y lugar de nacimiento, edad, sexo, nacionalidad

Datos bancarios: para la domiciliación de pagos

Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales:

Administración tributaria

Bancos y entidades financieras

Gestoría

Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos:

Los previstos por la legislación fiscal respecto a la prescripción de responsabilidades

 

Tratamiento: Proveedores

Finalidad del tratamiento

Gestión de la relación con los proveedores

Descripción de las categorías de proveedores y de las categorías de datos personales:

Proveedores:

Personas con las que se mantiene una relación comercial como proveedores de productos y/o servicios

Categorías de datos personales:

Los necesarios para el mantenimiento de la relación laboral

De identificación: nombre, NIF, dirección postal, teléfonos, e-mail

Datos bancarios: para la domiciliación de pagos

Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos:

Los previstos por la legislación fiscal respecto a la prescripción de responsabilidades

Tratamiento: Colaboradores

Finalidad del tratamiento

Gestión de la relación con los proveedores

Descripción de las categorías de proveedores y de las categorías de datos personales:

Proveedores:

Personas con las que se mantiene una relación comercial como proveedores de productos y/o servicios

Categorías de datos personales:

Los necesarios para el mantenimiento de la relación laboral

De identificación: nombre, NIF, dirección postal, teléfonos, e-mail

Datos bancarios: para la domiciliación de pagos

Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos:

Los previstos por la legislación fiscal respecto a la prescripción de responsabilidades

 

 

Además de lo aportado por FACILITA, se añade, modelo de DESCRIPCIÓN DE FICHEROS;

DESCRIPCIÓN DE FICHEROS

 

Nombre del fichero

 

Unidad con acceso al fichero o tratamiento: Tendrán acceso a los datos del fichero TERESA VÁZQUEZ PALACIOS Y GEMMA ARBESÚ SÁNCHEZ:

 

NOMBRE:

DESCRIPCIÓN:

Nivel de medidas de seguridad a adoptar: Categorías especiales

 

 

INVENTARIO DE SOPORTES 

 

SOPORTE:

ETIQUETA IDENTIFICADORA:

CONTIENE DATOS DE:                    A) PROVEEDORES                B) CLIENTES.

LUGAR DE RESGUARDO:

 

CUENTA CON COPIA DE SEGURIDAD: A) SÍ                     B)NO.

ESTÁ INFORMÁTIZADO:                 A) SÍ                                       B)NO.

EN CASO DE QUE ESTE AUTOMATIZADO, INDICAR RUTA DE ACCESO DEL ARCHIVO QUE CONTIENE.

 

 

 

 

 

 

SOPORTE:

ETIQUETA IDENTIFICADORA:

CONTIENE DATOS DE:                    A) PROVEEDORES                B) CLIENTES.

LUGAR DE RESGUARDO:

 

CUENTA CON COPIA DE SEGURIDAD: A) SÍ                     B)NO.

ESTÁ INFORMÁTIZADO:                 A) SÍ                                       B)NO.

EN CASO DE QUE ESTE AUTOMATIZADO, INDICAR RUTA DE ACCESO DEL ARCHIVO QUE CONTIENE.

 

 

SOPORTE:

ETIQUETA IDENTIFICADORA:

CONTIENE DATOS DE:                    A) PROVEEDORES                B) CLIENTES.

LUGAR DE RESGUARDO:

 

CUENTA CON COPIA DE SEGURIDAD: A) SÍ                     B)NO.

ESTÁ INFORMÁTIZADO:                 A) SÍ                                       B)NO.

EN CASO DE QUE ESTE AUTOMATIZADO, INDICAR RUTA DE ACCESO DEL ARCHIVO QUE CONTIENE.

 

 

 

 

SOPORTE:

ETIQUETA IDENTIFICADORA:

CONTIENE DATOS DE:                    A) PROVEEDORES                B) CLIENTES.

LUGAR DE RESGUARDO:

 

CUENTA CON COPIA DE SEGURIDAD: A) SÍ                     B)NO.

ESTÁ INFORMÁTIZADO:                 A) SÍ                                       B)NO.

EN CASO DE QUE ESTE AUTOMATIZADO, INDICAR RUTA DE ACCESO DEL ARCHIVO QUE CONTIENE.

 

 

 

 

 

 

 

  1. ANEXO MEDIDAS DE SEGURIDAD

9.1 INFORMACIÓN DE INTERÉS GENERAL

Este documento ha sido diseñado para tratamientos de datos personales de bajo riesgo[2] de donde se deduce que el mismo no podrá ser utilizado para tratamientos de datos personales que incluyan datos personales  relativos al origen étnico o racial, ideología política religiosa o filosófica, filiación sindical, datos genéticos y biométricos, datos de salud, y datos de orientación sexual de las personas así como cualquier otro tratamiento de datos que entrañe alto riesgo para los derechos y libertades de las personas.

El artículo 5.1.f del Reglamento General de Protección de Datos (RGPD) determina la necesidad de establecer garantías de seguridad adecuadas contra el tratamiento no autorizado o ilícito, contra la pérdida de los datos personales, la destrucción o el daño accidental. Esto implica el establecimiento de medidas técnicas y organizativas encaminadas a asegurar la integridad y confidencialidad de los datos personales y la posibilidad (artículo 5.2) de demostrar que estas medidas se han llevado a la práctica (responsabilidad proactiva).

A tenor del tipo de tratamiento que ha puesto de manifiesto cuando ha cumplimentado este formulario, las medidas mínimas de seguridad mínimas que debería tener en cuenta son las siguientes:

 

9.2 MEDIDAS ORGANIZATIVAS

INFORMACIÓN QUE DEBERÁ SER CONOCIDA POR TODO EL PERSONAL CON ACCESO A DATOS PERSONALES

Todo el personal con acceso a los datos personales deberá tener conocimiento de sus obligaciones con relación a los tratamientos de datos personales y serán informados acerca de dichas obligaciones. La información mínima que será conocida por todo el personal será la siguiente:

  • DEBER DE CONFIDENCIALIDAD Y SECRETO
    • Se deberá evitar el acceso de personas no autorizadas a los datos personales, a tal fin se evitará: dejar los datos personales expuestos a terceros (pantallas electrónicas desatendidas, documentos en papel en zonas de acceso público, soportes con datos personales, etc.), esta consideración incluye las pantallas que se utilicen para la visualización de imágenes del sistema de videovigilancia. Cuando se ausente del puesto de trabajo, se procederá al bloqueo de la pantalla o al cierre de la sesión.
    • Los documentos en papel y soportes electrónicos se almacenarán en lugar seguro (armarios o estancias de acceso restringido) durante las 24 horas del día.
    • No se desecharán documentos o soportes electrónicos (cd, pen drives, discos duros, etc.) con datos personales sin garantizar su destrucción.
    • No se comunicarán datos personales o cualquier información personal a terceros, se prestará atención especial en no divulgar datos personales protegidos durante las consultas telefónicas, correos electrónicos, etc.
    • El deber de secreto y confidencialidad persiste incluso cuando finalice la relación laboral del trabajador con la empresa.

 

  • DERECHOS DE LOS TITULARES DE LOS DATOS

Se informará a todos los trabajadores acerca del procedimiento para atender los derechos de los interesados, definiendo de forma clara los mecanismos por los que pueden ejercerse los derechos (medios electrónicos, referencia al Delegado de Protección de Datos si lo hubiera, dirección postal, etc.) teniendo en cuenta lo siguiente:

  • Previa presentación de su documento nacional de identidad o pasaporte, los titulares de los datos personales (interesados) podrán ejercer sus derechos de acceso, rectificación, supresión, oposición y portabilidad. El responsable del tratamiento deberá dar respuesta a los interesados sin dilación indebida.

Para el derecho de acceso se facilitará a los interesados la lista de los datos personales de que disponga junto con la finalidad para la que han sido recogidos, la identidad de los destinatarios de los datos, los plazos de conservación, y la identidad del responsable ante el que pueden solicitar la rectificación supresión y oposición al tratamiento de los datos.

Para el derecho de rectificación se procederá a modificar los datos de los interesados que fueran inexactos o incompletos atendiendo a los fines del tratamiento.

Para el derecho de supresión se suprimirán los datos de los interesados cuando los interesados manifiesten su negativa u oposición al consentimiento para el tratamiento de sus datos y no exista deber legal que lo impida.

Para el derecho de portabilidad los interesados deberán comunicar su decisión e informar al responsable, en su caso, sobre la identidad del nuevo responsable al que facilitar sus datos personales.

El responsable del tratamiento deberá informar a todas las personas con acceso a los datos personales acerca de los términos de cumplimiento para atender los derechos de los interesados, la forma y el procedimiento en que se atenderán dichos derechos.

 

  • VIOLACIONES DE SEGURIDAD DE DATOS DE CARÁCTER PERSONAL
    • Cuando se produzcan violaciones de seguridad DE DATOS DE CARÁCTER PERSONAL, como por ejemplo, el robo o acceso indebido a los datos personales se notificará a la Agencia Española de Protección de Datos en término de 72 horas acerca de dichas violaciones de seguridad, incluyendo toda la información necesaria para el esclarecimiento de los hechos que hubieran dado lugar al acceso indebido a los datos personales. La notificación se realizará por medios electrónicos a través de la sede electrónica de la Agencia Española de Protección de Datos en la dirección: https://sedeagpd.gob.es

Además de lo anterior, con carácter interno, se llevará a cabo un registro de incidencias se gestionará en papel, y en él constará el tipo de incidencia, el momento en el que se ha producido, la persona que realiza la notificación, la persona a la que se comunica y los efectos que haya tenido la referida incidencia de seguridad.

REGISTRO DE INCIDENCIAS 

 

  • El responsable de seguridad del fichero habilitará un registro de incidencias a disposición de todos los usuarios y administradores de sistemas con el fin de que se registre en él cualquier incidencia que pueda suponer un peligro para la seguridad del mismo
  • Cualquier usuario que tenga conocimiento de una incidencia es responsable de la comunicación por escrito al Responsable de seguridad o al Responsable del fichero. En caso que no lo haga, será considerado como una falta contra la seguridad del fichero por parte de ese usuario.
  • la notificación de una incidencia deberá constar al menos de los siguientes datos: tipo de incidencia, fecha y hora en que se produjo, persona que realiza la notificación, persona a quien se comunica, efectos que puede producir y descripción detallada de la misma.
  • En el caso de ficheros de nivel medio y alto, cuando se trate de recuperación de datos se incluirá además: autorización del responsable del fichero, procedimientos realizados, persona que realizó el proceso, datos restaurados y datos grabados manualmente.
  • Se mantendrán las incidencias registradas de los doce últimos meses.
  • Modelo de impreso de notificación de incidencias.

 

Registro de incidencias:

 

Incidencia nº: Fecha y hora:
Descripción de la incidencia:
Efectos derivados de la incidencia:
Procedimientos de recuperación de datos:
Datos restaurados: Manualmente: Sí___  No____
Persona que ejecuta el proceso
Persona que notifica: Firma responsable de seguridad:

 

CONTROLES DE SEGURIDAD

 

Dª. TERESA VÁZQUEZ PALACIOS, hace constar que se han verificado los soportes, los medios de almacenamiento, relación de usuarios, así como todas las medidas de seguridad establecidas en el presente documento, en donde se concluye que:

 

  1. No hay incidencias.

 

 

  1. Sí hay incidencias en las medidas de seguridad, las cuales son: ______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

 

 

 

Para que conste en el documento de seguridad, el día _______________________________.

 

 

 

 

 

 

 

 

 

Responsable del fichero.

Responsable de seguridad.

 

 

 

  • Consecuencias del incumplimiento del documento de seguridad

El incumplimiento de las obligaciones y medidas de seguridad establecidas en el presente documento por el personal afectado, se sancionará conforme a lo establecido en los artículos 43 a 49 de la LO 15/1999, y el procedimiento se llevará conforme a los artículos 120 a 129 del RD  1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

A modo informativo, se transcriben las infracciones y sanciones establecidas en la Ley:

«Artículo 44. Tipos de infracciones.

  1. Las infracciones se calificarán como leves, graves o muy graves.
  2. Son infracciones leves:
  3. a) No remitir a la Agencia Española de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo.
  4. b) No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos.
  5. c) El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos sean recabados del propio interesado.
  6. d) La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley.
  7. Son infracciones graves:
  8. a) Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el “Boletín Oficial del Estado” o diario oficial correspondiente.
  9. b) Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo.
  10. c) Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave.
  11. d) La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley.
  12. e) El impedimento o la obstaculización del ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
  13. f) El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos no hayan sido recabados del propio interesado.
  14. g) El incumplimiento de los restantes deberes de notificación o requerimiento al afectado impuestos por esta Ley y sus disposiciones de desarrollo.
  15. h) Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.
  16. i) No atender los requerimientos o apercibimientos de la Agencia Española de Protección de Datos o no proporcionar a aquélla cuantos documentos e informaciones sean solicitados por la misma.
  17. j) La obstrucción al ejercicio de la función inspectora.
  18. k) La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en esta Ley y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave. 4. Son infracciones muy graves:
  19. a) La recogida de datos en forma engañosa o fraudulenta.
  20. b) Tratar o ceder los datos de carácter personal a los que se refieren los apartados 2, 3 y 5 del artículo 7 de esta Ley salvo en los supuestos en que la misma lo autoriza o violentar la prohibición contenida en el apartado 4 del artículo 7.
  21. c) No cesar en el tratamiento ilícito de datos de carácter personal cuando existiese un previo requerimiento del Director de la Agencia Española de Protección de Datos para ello.
  22. d) La transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos salvo en los supuestos en los que conforme a esta Ley y sus disposiciones de desarrollo dicha autorización no resulta necesaria.

Artículo 45. Tipo de sanciones.

  1. Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.
  2. Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros.
  3. Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 euros.
  4. La cuantía de las sanciones se graduará atendiendo a los siguientes criterios:
  5. a) El carácter continuado de la infracción.
  6. b) El volumen de los tratamientos efectuados.
  7. c) La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
  8. d) El volumen de negocio o actividad del infractor.
  9. e) Los beneficios obtenidos como consecuencia de la comisión de la infracción. f) El grado de intencionalidad.
  10. g) La reincidencia por comisión de infracciones de la misma naturaleza.
  11. h) La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.
  12. i) La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de Ios datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.
  13. j) Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.
  14. El órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate, en los siguientes supuestos:
  15. a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el apartado 4 de este artículo.
  16. b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.
  17. c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción.
  18. d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.
  19. e) Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.
  20. Excepcionalmente el órgano sancionador podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, no acordar la apertura del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos:
  21. a) Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta Ley.
  22. b) Que el infractor no hubiese sido sancionado o apercibido con anterioridad. Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera determinado procederá la apertura del correspondiente procedimiento sancionador por dicho incumplimiento.
  23. En ningún caso podrá imponerse una sanción más grave que la fijada en la Ley para la clase de infracción en la que se integre la que se pretenda sancionar.
  24. El Gobierno actualizará periódicamente la cuantía de las sanciones de acuerdo con las variaciones que experimenten los índices de precios».

 

9.3 MEDIDAS TÉCNICAS

IDENTIFICACIÓN

  • Cuando el mismo ordenador o dispositivo se utilice para el tratamiento de datos personales y fines de uso personal se recomienda disponer de varios perfiles o usuarios distintos para cada una de las finalidades. Deben mantenerse separados los usos profesional y personal del ordenador.
  • Se recomienda disponer de perfiles con derechos de administración para la instalación y configuración del sistema y usuarios sin privilegios o derechos de administración para el acceso a los datos personales. Esta medida evitará que en caso de ataque de ciberseguridad puedan obtenerse privilegios de acceso o modificar el sistema operativo.
  • Se garantizará la existencia de contraseñas para el acceso a los datos personales almacenados en sistemas electrónicos. La contraseña tendrá al menos 8 caracteres, mezcla de números y letras.
  • Cuando a los datos personales accedan distintas personas, para cada persona con acceso a los datos personales, se dispondrá de un usuario y contraseña específicos (identificación inequívoca).
  • Se debe garantizar la confidencialidad de las contraseñas, evitando que queden expuestas a terceros. Para la gestión de las contraseñas puede consultar la guía de privacidad y seguridad en internet de la Agencia Española de Protección de Datos y el Instituto Nacional de Ciberseguridad. En ningún caso se compartirán las contraseñas ni se dejarán anotadas en lugar común y el acceso de personas distintas del usuario.

DEBER DE SALVAGUARDA

A continuación se exponen las medidas técnicas mínimas para garantizar la salvaguarda de los datos personales:

  • ACTUALIZACIÓN DE ORDENADORES Y DISPOSITIVOS: Los dispositivos y ordenadores utilizados para el almacenamiento y el tratamiento de los datos personales deberán mantenerse actualizados en la media posible.
  • MALWARE: En los ordenadores y dispositivos donde se realice el tratamiento automatizado de los datos personales se dispondrá de un sistema de antivirus que garantice en la medida posible el robo y destrucción de la información y datos personales. El sistema de antivirus deberá ser actualizado de forma periódica.
  • CORTAFUEGOS O FIREWALL: Para evitar accesos remotos indebidos a los datos personales se velará para garantizar la existencia de un firewall activado en aquellos ordenadores y dispositivos en los que se realice el almacenamiento y/o tratamiento de datos personales.
  • CIFRADO DE DATOS: Cuando se precise realizar la extracción de datos personales fuera del recinto donde se realiza su tratamiento, ya sea por medios físicos o por medios electrónicos, se deberá valorar la posibilidad de utilizar un método de encriptación para garantizar la confidencialidad de los datos personales en caso de acceso indebido a la información.
  • COPIA DE SEGURIDAD: Periódicamente se realizará una copia de seguridad en un segundo soporte distinto del que se utiliza para el trabajo diario. La copia se almacenará en lugar seguro, distinto de aquél en que esté ubicado el ordenador con los ficheros originales, con el fin de permitir la recuperación de los datos personales en caso de pérdida de la información.

 

Las medidas de seguridad serán revisadas de forma periódica, la revisión podrá realizarse por mecanismos automáticos (software o programas informáticos) o de forma manual. Considere que cualquier incidente de seguridad informática que le haya ocurrido a cualquier conocido le puede ocurrir a usted, y prevéngase contra el mismo.

Si desea más información u orientaciones técnicas para garantizar la seguridad de los datos personales y la información que trata su empresa, el Instituto Nacional de Ciberseguridad (INCIBE) en su página web www.incibe.es, pone a su disposición herramientas con enfoque empresarial en su sección «Protege tu empresa»   donde, entre otros servicios, dispone de:

Además INCIBE, a través de la Oficina de Seguridad del Internauta, pone también a su disposición  herramientas informáticas gratuitas e información adicional pueden ser de utilidad para su empresa o su actividad profesional.

[1] Esta no es aportada por FACILITA, debido a su necesidad y oportunidad se añade en este apartado.

[2] Como indicamos se obtiene del programa facilita, debido a la actividad del titular, que implica el tratamiento de categorías especiales, solo nos sirve para la obtención de modelos de contrato, siendo insuficientes las medidas que la herramienta Facilita proporciona para la gestión de dichos datos. Se exceptúan las violaciones de seguridad en materia de protección de datos, cuyo contenido aplicable a este documento de seguridad se encuentra en los apartados siguientes.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *