AYUNTAMIENTO DE SONDIKA Auditoría sobre el … Pertsonaleko... · ISO 17799, ISO Security Plans,...

AYUNTAMIENTO DE SONDIKA

Auditoría sobre el Cumplimiento de la Legislación de

Protección de Datos de Carácter Personal

Ver.2.0 Ref.:060314

INTER-IUS Consulting S.L.

Santurtzi, 06 de Marzo de 2014

Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)

2

CONTROL DOCUMENTAL

Nombre del Documento: AUDITORIA

Organización: Ayuntamiento de Sondika

Cif: P4809800H

Contacto: Inmaculada Sánchez

Auditoría Realizada por: INTER-IUS Consulting S.L.

Fecha de Auditoría: 06/03/2014

Fecha de Publicación de la

Auditoria: 13/03/2014

Referencia del Documento: Audlopd: 060314IIC

Versión del Documento: 2.0

Nº de páginas: 81 ( incluye portada y control

documental)


3

INDICE

0. Objeto

1. Recomendaciones

- En cuanto a la Ley 2/2004, de 25 de Febrero, de Ficheros de Datos de

Carácter Personal de Titularidad Pública

- En cuanto al Decreto 308/2005, de 18 de octubre

- En cuanto a la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal

- En cuanto al Real Decreto 1720/2007, Reglamento de Medidas de Seguridad


4

0. Objeto y Legislación Vigente

El presente informe persigue los siguientes objetivos:

a) Identificar las deficiencias en el cumplimiento de la LOPD y Ley 2/2004 de

Ficheros de datos de Carácter Personal de titularidad Pública en el ámbito de

la Comunidad Autónoma Vasca en el que han sido identificadas en la fase de

entrevistas con los distintos responsables.

b) Proponer una serie de medidas correctoras a tener en cuenta por la entidad

para resolver los incumplimientos detectados.

c) Concienciar a los destinatarios del mismo de la importancia y complejidad

que reviste el cumplimiento de la normativa en materia de protección de datos

de carácter personal.

d) Describir la Situación Actual de la estructura Informática y la estructura de

datos de carácter personal que el citado Ayuntamiento de Sondika, utiliza y

dispone por motivos de su actividad, su nivel de Requerimiento de Protección

de Datos, así como las medidas de protección adoptadas.

La presente evaluación se ha realizado en base a los siguientes metodologías:

Magerit, Consejo Superior de Informática del Ministerio de las

Administraciones Públicas

Common Criteria, sistema internacional desarrollado conjuntamente por

EE.UU. , Canadá, Francia, Reino Unido, Alemania y Holanda

ISACA, Information Systems Audit. and Control Association


5

ISO 17799, ISO

Security Plans, National Institute of Standards and Technology (EE.UU)

A continuación se aporta un breve análisis de la normativa de protección de datos de

carácter personal que se encuentra vigente:

Constitución Española (artículos 18.4 y 105 b).

Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de

Carácter Personal.

Ley 2/2004 de 25 de Febrero de Ficheros de datos de carácter personal de

titularidad pública y de creación de la Agencia Vasca de Protección de Datos

DECRETO 308/2005, de 18 de octubre, por el que se desarrolla la Ley

2/2004, de 25 de febrero, de ficheros de datos de carácter personal de

titularidad pública y de creación de la Agencia Vasca de Protección de Datos.

Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de Octubre,

relativa a la protección de las personas físicas en lo que respecta al tratamiento

de datos personales y a la libre circulación de estos datos.

Real Decreto 1720/2007, de 21 de Diciembre, por el que se aprueba el

Reglamento de Desarrollo de la Ley 15/1999 de Protección de Datos de

Carácter Personal.

Instrucciones de la Agencia Española de Protección de Datos.


6

0.1 Ficheros inscritos en la Agencia de Protección de Datos

Habiendo realizado la consulta al registro general de la Agencia Vasca de Protección

de Datos y habiendo consultado en el Registro General de Protección de Datos

dependiente de la Agencia Española de Protección de Datos con fecha 13 de Marzo

de 2014, los ficheros dependientes del Ayuntamiento de Sondika se llega a la

siguiente conclusión:

SE ENCUENTRAN INSCRITOS LOS SIGUIENTES FICHEROS:

Tipo de administración: AYUNTAMIENTOS

Ayuntamiento: AYUNTAMIENTO DE SONDIKA

Area: AYUNTAMIENTO DE SONDIKA

Servicio: AYUNTAMIENTO DE SONDIKA

Nombre del fichero Descripción del fichero Descripción finalidad

EXPEDIENTES SANCIONADORES

DATOS DE LAS PERSONAS INCLUIDAS EN ALGÚN EXPEDIENTE SANCIONADOR MUNICIPAL

GESTIÓN Y SEGUIMIENTO DE LOS DIFERENTES EXPEDIENTES SANCIONADORES ELABORADOS POR EL AYUNTAMIENTO

ARCHIVO MUNICIPAL

DATOS DE LAS PERSONAS INCLUIDAS EN LOS DIFERENTES EXPEDIENTES ADMINISTRATIVOS MUNICIPALES

GESTIÓN DEL ARCHIVO MUNICIPAL Y LOCALIZACIÓN DE EXPEDIENTES MUNICIPALES.

INSPECCIÓN Y RECAUDACIÓN EJECUTIVA

DATOS DE LAS PERSONAS INCURSAS EN EXPEDIENTES DE RECAUDACIÓN EJECUTIVA DEL MUNICIPIO

GESTIÓN Y TRAMITACIÓN DE LOS EXPEDIENTES DE INSPECCIÓN Y RECAUDACIÓN EJECUTIVA DEL AYUNTAMIENTO.

SEGUROS Y RESP PATRIMONIAL

DATOS DE LAS PERSONAS INVOLUCRADAS EN EXPEDIENTES DE RESPONSABILIDAD PATRIMONIAL

GESTIÓN DE LOS EXPEDIENTES DE RESPONSABILIDAD PATRIMONIAL DEL AYUNTAMIENTO.

CENSO CANINO Y ANIMALES PELIGROSOS

DATOS DE LAS PERSONAS TITULARES DE ANIMALES DOMESTICOS Y PELIGROSOS

GESTION DEL REGISTRO DE ANIMALES DOMESTICOS Y PELIGROSOS DEL MUNICIPIO, CONTROL SANITARIO Y RESPONSABILIDAD CIVIL

DEPORTISTAS

DATOS DE LOS PRACTICANTES DE ACTIVIDADES DEPORTIVAS EN

GESTIÓN DE LA PRESTACIÓN DE SERVICIOS MUNICIPALES RELACIONADOS CON EL DEPORTE Y DE INSTALACIONES


7

INSTALACIONES DEL MUNICIPIO, O SOLICITANTES DE SERVICIOS RELACIONADOS CON EL DEPORTE

DEPORTIVAS MUNICIPALES.

SUBVENCIONES

DATOS DE LOS SOLICITANTES DE AYUDAS Y SUBVENCIONES

GESTION DE SUBVENCIONES

LICENCIAS DE AUTOTAXIS

DATOS DE LOS TITULARES DE LICENCIAS DE AUTOTAXI Y SUS VEHÍCULOS

GESTIÓN DE LAS LICENCIAS DE AUTOTAXIS DEL MUNICIPIO

DECLARACIÓN DE INTERESES CONCEJALES

DATOS ECONÓMICOS DE LOS CONCEJALES DEL AYUNTAMIENTO Y ACTIVIDADES Y OCUPACIONES DE LOS MISMOS.

CONTROL DE LOS BIENES DE LOS CONCEJALES DEL MUNICIPIO

CONTRATACIONES, COMPRAS Y SUMINISTR

DATOS IDENTIFICATIVOS DE LAS PERSONAS FÍSICAS O JURÍDICAS LICITADORAS QUE PRESENTEN OFERTAS, SUMINISTREN O CELEBREN CONTRATOS CON EL AYTO

GESTIÓN DE LOS EXPEDIENTES DE CONTRATACIÓN QUE CELEBRA EL AYUNTAMIENTO, Y EN LAS LICITACIONES VALORAR LAS PROPUESTAS Y ADJUDICAR EL CONTRATO.

ACREEDORES Y DEUDORES

DATOS PERSONALES NECESARIOS DE QUIENES RESULTEN ACREEDORES O DEUDORES DEL AYUNTAMIENTO

CONTENER DATOS PERSONALES NECESARIOS DE QUIENES POR DIVERSAS TRANSACCIONES ECONOMICAS EFECTUADAS POR EL AYUNTAMIENTO RESULTASEN ACREEDORES O DEUDORES DEL MISMO Y SERVIR DE CONTROL SOBRE LAS OPERACIONES ECONOMICAS QUE SE REALIZAN EN EL AYUNTAMIENTO

REGISTRO DE ASOCIACIONES VECINALES

FICHERO EN EL QUE SE RECOGEN LOS DATOS DE LAS ASOCIACIONES Y ENTIDADES DEL MUNICIPIO, DE SUS REPRESENTANTES Y ORGANOS DE ADMINISTRACION

REGISTRO DE LAS ASOCIACIONES Y ENTIDADES DEL MUNICIPIO PARA LA OBTENCION DE SUBVENCIONES Y UTILIZACION DE LOCALES MUNICIPALES

ACTIVIDADES CULTURALES

FICHERO EN EL QUE SE RECOGEN LOS DATOS DE LAS PERSONAS QUE PARTICIPAN EN LOS DISTINTOS ACTOS CULTURALES ORGANIZADOS POR EL AYUNTAMIENTO

REGISTRO DE LAS PERSONAS QUE PARTICIPAN EN LOS DISTINTOS ACTOS CULTURALES QUE ORGANIZA EL AYUNTAMIENTO

UNIONES CIVILES

FICHERO EN EL QUE SE RECOGEN LOS DATOS DE LAS UNIONES CIVILES HASTA QUE DICHA ATRIBUCION FUE ASUMIDA POR EL GOBIERNO VASCO

REGISTRO DE LAS UNIONES CIVILES PRODUCIDAS EN EL MUNICIPIO HASTA QUE LA ATRIBUCION FUE ASUMIDA POR EL GOBIERNO VASCO

CONTRIBUYENTE

GESTION DE LOS TRIBUTOS MUNICIPALES Y CONFECCION DE LOS RESPECTIVOS PADRONES FISCALES

CONTENER LOS DATOS NECESARIOS DE LOS CONTRIBUYENTES PARA LA GESTION DE LOS TRIBUTOS MUNICIPALES Y LA CONFECCION DE LOS RESPECTIVOS


8

PADRONES FISCALES

GESTIÓN DE CULTURA Y DEPORTES

GESTIÓN DE AYUDAS, BECAS, SUBVENCIONES, PREMIOS, CESIONES DE ESPACIOS CULTURALES, ALTAS EN SERVICIOS CULTURALES Y DEPORTIVOS Y CONSULTAS DEL

GESTIÓN DE AYUDAS, BECAS, SUBVENCIONES, PREMIOS, CESIONES DE ESPACIOS CULTURALES, ALTAS EN SERVICIOS CULTURALES Y DEPORTIVOS Y CONSULTAS DEL ARCHIVO MUNICIPAL

BOLSA DE EMPLEO - BISCAYTIK

GESTIÓN DE BOLSA DE EMPLEO

GESTIÓN DE BOLSA DE EMPLEO

GESTIÓN DE CERTIFICADOS - BISCAYTIK

GESTIÓN DE CERTIFICADOS DE BIENES

GESTIÓN DE CERTIFICADOS DE BIENES

SEGURIDAD CIUDADANA - BISCAYTIK

GESTIÓN DE DENUNCIAS, RECLAMACIONES, PERMISOS Y SOLICITUDES DE INFORMES Y ATESTADOS RELACIONADOS CON SEGURIDAD CIUDADANA

GESTION DE DENUNCIAS, RECLAMACIONES, PERMISOS Y SOLICITUDES DE INFORMES Y ATESTADOS RELACIONADOS CON SEGURIDAD CIUDADANA

GESTIÓN DE TASAS Y TRIBUTOS - BISCA

GESTIÓN DE EXACCIONES MUNICIPALES

GESTIÓN DE EXACCIONES MUNICIPALES

RELACIONES CIUDADANAS BISCAYTIK

GESTIÓN DE EXPEDIENTES RELATIVOS A ATENCIÓN DE SOLICITUDES DE CIUDADANOS

GESTIÓN DE EXPEDIENTES RELATIVOS A ATENCIÓN DE SOLICITUDES DE CIUDADANOS

PADRÓN MUNICIPAL DE HABITANTES BISC

GESTIÓN DE PADRÓN GESTIÓN DEL PADRÓN

ADMINISTRACIÓN DE USUARIOS BISCAYTI

GESTIÓN DE USUARIOS DEL SISTEMA

GESTIÓN DE USUARIOS DEL SISTEMA

REGISTRO DE ENTRADA Y SALIDA BISCAY

GESTIÓN DEL REGISTRO DE ENTRADA Y SALIDA DE DOCUMENTOS

GESTIÓN DEL REGISTRO DE ENTRADA Y SALIDA DE DOCUMENTOS

VIDEOVIGILANCIA

GRABACIONES DE IMÁGENES DE LAS PERSONAS QUE TRANSITEN POR LOS LUGARES DONDE ESTA INSTALADA UNA VIDEOCÁMARA DE RESPONSABILIDAD MUNICIPAL.

FUNCIONES DE VIGILANCIA Y SEGURIDAD EN LUGARES PÚBLICOS Y CONTROL DE ACCESOS A EDIFICIOS MUNICIPALES

PADRON MUNICIPAL DE HABITANTES

REALIZAR LA GESTION ADMINISTRATIVA ACTUALIZADA DEL REGISTRO DE LOS RESIDENTES EN EL MUNICIPIO

REALIZAR LA GESTION ADMINISTRATIVA ACTUALIZADA DEL REGISTRO DE LOS RESIDENTES DEL MUNICIPIO Y TRANSEUNTES CONSTANDO LOS DATOS PERSONALES PRECISOS PARA LAS RELACIONES JURIDICAS PUBLICAS

REGISTRO GRAL. ENTRADAS Y SALIDAS

REALIZAR LA GESTION ADMINISTRATIVA PROPIA DEL MUNICIPIO FACILITANDO LA LOCALIZACION DE LAS SOLICITUDES Y RESPUESTAS

FINALIDAD: REALIZAR LA GESTION ADMINISTRATIVA PROPIA DEL MUNICIPIO. USOS: FACILITAR LA LOCALIZACION DE LAS SOLICITUDES, RECURSOS Y ACCIONES DE LAS PERSONAS FISICAS O JURIDICAS QUE SE DIRIGEN AL AYUNTAMIENTO O A ALGUNO DE SUS


9

ORGANOS O SERVICIOS, O BIEN LA RESPUESTA O ACTUACION DADA POR LA ADMINISTRACION A AQUELLOS

DATOS DE PERSONAL AL SERVICIO AYTO.

REALIZAR LA GESTION CENTRALIZADA DE NOMINAS DEL PERSONAL ADSCRITO AL AYUNTAMIENTO

GESTION CENTRALIZADA DE NOMINAS DEL PERSONAL ADSCRITO AL AYUNTAMIENTO PARA LA CONSECUCION DE LA NOMINA Y OTROS PROCESOS DE CARACTER ESTADISTICO

GESTIÓN DE URBANISMO BISCAYTIK

REGISTRO, GESTIÓN Y SEGUIMIENTO DE LOS EXPEDIENTES DE URBANISMO

REGISTRO, GESTIÓN Y SEGUIMIENTO DE LOS EXPEDIENTES DE URBANISMO

REGISTRO DE TERCEROS - BISCAYTIK

SOLICITUD DE APORTACIÓN DE DOCUMENTACIÓN Y/O DATOS DE TERCEROS

SOLICITUD DE APORTACIÓN DE DOCUMENTACIÓN Y/O DATOS DE TERCEROS

CEMENTERIO MUNICIPAL

TITULARES DE DERECHOS SOBRE ESPACIOS EN EL CEMENTERIO MUNICIPAL

GESTIÓN DE LOS SERVICIOS DEL CEMENTERIO MUNICIPAL


10

1. Recomendaciones

En cuanto a la Ley 2/2004, de 25 de Febrero, de Ficheros de Datos de Carácter

Personal de Titularidad Pública:

Artículo Ámbito de aplicación. (Artículo 2.)

Referencia legal.

1.– La presente ley será aplicable a los ficheros de datos de carácter

personal creados o gestionados, para el ejercicio de potestades de derecho

público, por:

a) La Administración General de la Comunidad Autónoma, los órganos

forales de los territorios históricos y las administraciones locales del ámbito

territorial de la Comunidad Autónoma del País Vasco, así como los entes

públicos de cualquier tipo, dependientes o vinculados a las respectivas

administraciones públicas, en tanto que los mismos hayan sido creados para el

ejercicio de potestades de derecho público.

Evidencias del

auditor.

La LEY 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal

de Titularidad Pública es de aplicación en el Ayuntamiento de Sondika


11

Artículo Artículo 4.– Creación, modificación y supresión de ficheros

Referencia legal.

En el caso de ficheros de datos de carácter personal de otras administraciones,

instituciones o corporaciones, el acuerdo o disposición por la que se cree,

modifique o suprima deberá contener todas las menciones exigidas y será

publicada en el Boletín Oficial del País Vasco o del territorio histórico, según

sea el ámbito territorial al que se extienden sus funciones o competencias.

Evidencias del

auditor.

Existen ficheros declarados ante la Agencia de Protección de Datos

Las competencias del Ayuntamiento de Sondika se extienden al ámbito

territorial de Bizkaia.

Propuesta de

medidas

correctoras o

complementarias

- Se realiza correctamente.


12

Artículo Artículo 6.– Información a los interesados

Referencia legal.

Los interesados a los que se soliciten datos de carácter personal serán

previamente informados, de conformidad con la legislación sobre protección

de dichos datos. No obstante, cuando los datos no hayan sido recabados del

propio interesado y la información a éste resulte imposible o exija esfuerzos

desproporcionados, en consideración al número de interesados, a la antigüedad

de los datos y a las posibles medidas compensatorias, el director de la Agencia

Vasca de Protección de Datos, de acuerdo con la susodicha legislación, podrá

dispensar al responsable del fichero de la obligación de informar a los

interesados.

Estrategia de

verificación.

Entrevista con el Personal del Ayuntamiento de Sondika

Revisión página web

Visita a los locales e instalaciones del Ayuntamiento

Revisión de formularios de recogida de datos

Evidencias del

auditor.

En la totalidad de los formularios de recogida de datos tanto en papel como en

la página web corporativa se garantiza correctamente el derecho de

información:

- La cláusula incluida en la instancia general del Ayuntamiento es correcta.

- El cartel ubicado en el tablón de anuncios es correcto

- En los envíos por e-mail se garantiza el derecho de información

- Existe un cartel en servicios generales que trata sobre la confidencialidad

- Se han incluido cláusulas informativas en los modelos de instancias de

Padrón, Perros Peligrosos y Cultura

Propuesta de

medidas

correctoras o

complementarias.

- Se realiza correctamente


13

Artículo Artículo 7.– Aprobación del contenido mínimo del documento de

seguridad

Referencia legal.

En el ejercicio de sus potestades de autoorganización, los órganos de gobierno

de las administraciones públicas, instituciones y corporaciones a que se refiere

el artículo 2.1 de esta ley podrán aprobar, en aplicación de los preceptos

relativos a la seguridad de los datos y para aplicar a todos o parte de los

ficheros de los que son titulares sus respectivas administraciones, instituciones

o corporaciones, el contenido mínimo del documento de seguridad que, en

todo caso, deberán elaborar e implantar los responsables de fichero para

garantizar la seguridad de los datos de carácter personal contenidos en los

citados ficheros.

Evidencias del

auditor. En el Ayuntamiento de Sondika existe documento de Seguridad

Propuesta de

medidas

correctoras o

complementarias.



14

Artículo Artículo 8.– Procedimiento para el ejercicio de los derechos de los

interesados

Referencia legal.

1.– Los interesados podrán ejercitar los derechos de oposición, acceso,

rectificación, cancelación y cualesquiera otros que les reconozca la ley. El

contenido material de los mismos será el determinado en la ley.

2.– Cada administración, institución o corporación regulará

reglamentariamente el procedimiento para el ejercicio de los derechos

señalados en el número anterior, en relación con los ficheros de su

titularidad a los que es de aplicación esta ley. No se exigirá contraprestación

alguna por ello.

Estrategia de

verificación.


Visita a los locales e instalaciones del AYUNTAMIENTO

Revisión de formularios de recogida de datos y página web

www.Sondikakoudala.net

Evidencias del

auditor.

En los formularios de recogida de datos se garantiza correctamente el ejercicio

de los derechos

Existen procedimientos para el ejercicio de derechos en el Ayuntamiento de

Sondika

El personal conoce los principios básicos relativos a los derechos debido a que

se impartió en 2013 una charla informativa

Propuesta de

medidas

correctoras o

complementarias.



15

Artículo

DISPOSICION ADICIONAL

Primera.– Comunicación de ficheros a la Agencia Vasca de Protección de

Datos

Referencia legal.

Las administraciones públicas, instituciones y corporaciones a que se refiere

el artículo 2.1) de esta ley comunicarán a la Agencia Vasca de Protección de

Datos, en el plazo de tres meses a partir de la entrada en vigor de esta ley,

los ficheros de datos de carácter personal señalados en aquel precepto que

sean de su titularidad. Previamente deberán tener aprobada y publicada la

disposición reguladora del correspondiente fichero.

Estrategia de

verificación.

Entrevista con el Personal del AYUNTAMIENTO

Evidencias del

auditor.

En el año 1995 se dieron de alta ciertos ficheros y en el año 2007 se

modificaron, otros ficheros se inscribieron en 2005 y en 2008, 2012, 2013….

Propuesta de

medidas

correctoras o

complementarias.



16

En cuanto al Decreto 308/2005, de 18 de octubre, por el que se

desarrolla la Ley 2/2004, de 25 de febrero, de ficheros de datos de

carácter personal de titularidad pública:

En líneas generales el Decreto 308/2005 simplemente desarrolla la Ley 2/2004, por lo que las

recomendaciones expuestas anteriormente serán de aplicación en este Decreto. No obstante nos

encontramos con las siguientes novedades:

Artículo Artículo 4. Carácter personal de los derechos.

Referencia legal.

1. El derecho de oposición y el de acceso a los ficheros de datos de carácter personal creados o gestionados por la Administración de la CAV y por los Entes públicos, de cualquier tipo, dependientes o vinculados a la misma, así como los derechos de rectificación y cancelación de datos, son personalísimos y serán ejercidos por el afectado frente al responsable del fichero, sin más limitaciones que las expresamente previstas en la Ley Orgánica 15/1999 y demás disposiciones en vigor. No obstante, podrá actuar el representante legal del afectado, cuando éste se encuentre en situación de incapacidad o minoría de edad que le imposibilite el ejercicio personal de los derechos.

2. Para el ejercicio de los derechos a que se refiere este artículo, por medio de representante voluntario, deberá acreditarse la representación, para cada actuación concreta, por cualquier medio válido en derecho que deje constancia fidedigna o mediante declaración en comparecencia personal del interesado ante el responsable del fichero.

Estrategia de

verificación. Entrevista con el Personal del Ayuntamiento de Sondika

Evidencias del

auditor.

En los formularios de recogida de datos se garantiza correctamente el ejercicio de

los derechos


Sondika

El personal conoce los principios básicos relativos a los derechos debido a que se

impartió en 2013 una charla informativa

Propuesta de

medidas

correctoras o

complementarias.



17

Artículo Artículo 5. Derecho de oposición.

Referencia legal.

1. Cuando el tratamiento de datos de carácter personal requiere el

consentimiento inequívoco del afectado, el derecho de oposición se ejerce

tanto mediante la no manifestación de dicho consentimiento como mediante la

manifestación de la negativa a concederlo.

2. En los casos en los que no sea necesario el consentimiento del afectado para

el tratamiento de datos de carácter personal, y siempre que la Ley no disponga

lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos

fundados y legítimos relativos a una concreta situación personal, mediante

escrito dirigido al responsable del fichero. En tal supuesto, éste excluirá del

tratamiento o tratamientos a que se refiera la petición, los datos relativos al

afectado y le notificará a éste, en un plazo no superior a diez días, los términos

en los que se ha efectuado la exclusión.

Estrategia de


Evidencias del

auditor.


de los derechos


Sondika



Propuesta de

medidas

correctoras o

complementarias.



18

Artículo Artículo 6. Derecho de acceso.

Referencia legal.

1. El derecho de acceso, a los ficheros de la Administración de la Comunidad

Autónoma del País Vasco y Entes públicos dependientes o vinculados a la

misma, se ejercerá mediante solicitud dirigida al responsable del fichero. Podrá

formularse por cualquier medio que garantice la identificación del afectado y

la constancia del fichero o ficheros a consultar.

2. El afectado podrá optar por uno o varios de los siguientes sistemas de

consulta del fichero, siempre que la configuración e implantación material del

fichero lo permita:

a. Visualización en pantalla.

b. Escrito, copia o fotocopia remitida por correo.

c. Telecopia.

d. Cualquier otro procedimiento que sea adecuado a la configuración e

implantación material del fichero.

3. El responsable del fichero resolverá sobre la petición de acceso en el plazo

de un mes, a contar desde el día de la recepción de la solicitud. Transcurrido

dicho plazo sin resolución expresa, el interesado podrá interponer la

reclamación prevista en el artículo 9 de la Ley 2/2004.

4. Si la resolución fuera estimatoria, el acceso se hará efectivo en el plazo de

los diez días siguientes al de la notificación

Estrategia de verificación.


Evidencias del

auditor.


de los derechos


Sondika



Propuesta de

medidas - Se realiza correctamente


19

Artículo Artículo 9. Derechos de rectificación y cancelación

Referencia legal.

1. Cuando el interesado considere que sus datos son inexactos o incompletos, inadecuados o excesivos podrá solicitar del responsable del fichero la rectificación o, en su caso, cancelación de los mismos. No obstante, cuando se trate de datos que reflejen hechos constatados en un procedimiento administrativo, aquéllos se considerarán exactos siempre que coincidan con éste.

2. La rectificación o cancelación se hará efectiva, por el responsable del fichero, dentro de los diez días siguientes al de la recepción de la solicitud. Si los datos hubieran sido comunicados a un tercero, el responsable del fichero le notificará, en el mismo plazo, la rectificación o cancelación efectuada, para que, en el caso de que aquél mantenga el tratamiento por cuenta de éste, proceda también a la misma rectificación o cancelación.

3. En el supuesto de que el responsable del fichero considere que no procede acceder a lo solicitado por el afectado, se lo comunicará motivadamente, dentro del plazo señalado en el número anterior, a fin de que éste pueda hacer uso de la reclamación prevista en el artículo 9 de la Ley 2/2004 ante la Agencia Vasca de Protección de Datos.

4. Transcurrido el plazo de diez días sin que se haya notificado expresamente la resolución, el interesado podrá formular la reclamación que corresponda ante la Agencia Vasca de Protección de Datos.

Estrategia de


Evidencias del

auditor.


de los derechos


Sondika



Propuesta de

medidas

correctoras o

complementarias.



20

En cuanto a la Ley Orgánica 15/1999, de Protección de Datos de Carácter

Personal:

Artículo Calidad de los Datos (Artículo 4)

Referencia legal.

1. Los datos de carácter personal sólo se podrán recoger para su

tratamiento, así como someterlos a dicho tratamiento, cuando sean

adecuados, pertinentes y no excesivos en relación con el ámbito y las

finalidades determinadas, explícitas y legítimas para las que se hayan

obtenido.

2. Los datos de carácter personal objeto de tratamiento no podrán usarse

para finalidades incompatibles con aquellas para las que los datos hubieran

sido recogidos.

Estrategia de

verificación. Formularios de recogida de datos

Evidencias del

auditor.

Los formularios examinados recogen datos adecuados, pertinentes y no

excesivos y cumplen con las finalidades para las que se recogieron

Deficiencias. Se realiza correctamente


21

Artículo Calidad de los Datos (Artículo 4)

Referencia legal.

3. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.

4. Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16.

5. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.

Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento integro de determinados datos.

6. Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.

7. Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.

Estrategia de

verificación.

Entrevista con el personal del Ayuntamiento de Sondika


Evidencias del

auditor.

- En general los datos no se destruyen, y una vez que no son necesarios se

envían al Archivo General del AYUNTAMIENTO

- Los usuarios sólo disponen de destructoras para los ficheros en papel en la

sala de fotocopiadora

- El resto de áreas carecen de destructoras para ficheros en papel.

- Veracruz Bidarte procede periódicamente a realizar limpieza de

documentación innecesaria del Archivo General y pese a que el último

expurgo del Archivo se realizó en los años 80, se prevé la realización de un

nuevo expediente de Expurgo de documentación del Archivo

Recomendaciones

del Auditor

- Se recomienda el empleo de sistemas que garanticen la eliminación de los

datos y su imposibilidad de recuperación, por ello, para la eliminación de


22

datos en ficheros automatizados o informáticos se utilizarán borrados físicos

y no lógicos.

- Para eliminación de datos en soporte físico se recomienda que se utilicen

las destructoras existentes en la organización.

- Se recomienda la adquisición de nuevas destructoras (estas serán al menos

de grado de seguridad 2 (lo recomendable es de grado 3) según la normativa

europea DIN 32757-1) de forma que los usuarios las tengan más a mano y se

pueda fomentar su uso

- Se recomienda la realización del expurgo del Archivo prevista.

Artículo Derecho de información en la recogida de datos (Art. 5)

Referencia legal.

1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco: a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.

4. Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a), d) y e) del apartado 1 del presente artículo.



Revisión página web

Visita a los locales e instalaciones del Ayuntamiento



23

Evidencias del auditor.

En la totalidad de los formularios de recogida de datos tanto en papel como en la

página web corporativa se garantiza correctamente el derecho de información:

- La cláusula incluida en la instancia general del Ayuntamiento es correcta.

- El cartel ubicado en el tablón de anuncios es correcto

- En los envíos por e-mail se garantiza el derecho de información

- Existe un cartel en servicios generales que trata sobre la confidencialidad

- Se han incluido cláusulas informativas en los modelos de instancias de Padrón,

Perros Peligrosos y Cultura

Propuesta de

medidas

correctoras o

complementarias



24

Artículo Consentimiento del afectado (Artículo 6)

Referencia legal.

1. El tratamiento de los datos de carácter personal requerirá el consentimiento

inequívoco del afectado, salvo que la ley disponga otra cosa.

2. No será preciso el consentimiento cuando los datos de carácter personal se

recojan para el ejercicio de las funciones propias de las Administraciones

públicas en el ámbito de sus competencias; cuando se refieran a las partes de

un contrato o precontrato de una relación negocial, laboral o administrativa y

sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento

de los datos tenga por finalidad proteger un interés vital del interesado, o

cuando los datos figuren en fuentes accesibles al público y su tratamiento sea

necesario para la satisfacción del interés legítimo perseguido por el

responsable del fichero o por el del tercero a quien se comuniquen los datos,

siempre que no se vulneren los derechos y libertades fundamentales del

interesado.

3. El consentimiento a que se refiere el artículo podrá ser revocado cuando

exista causa justificada para ello y no se le atribuyan efectos retroactivos.

4. En los casos en los que no sea necesario el consentimiento del afectado para

el tratamiento de los datos de carácter personal, y siempre que una ley no

disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan

motivos fundados y legítimos relativos a una concreta situación personal. En

tal supuesto, el responsable del fichero excluirá del tratamiento los datos

relativos al afectado.

Estrategia de

verificación. Entrevista con el personal del AYUNTAMIENTO

Evidencias del

auditor.

- En la mayoría de los casos nos encontramos ante una de las excepciones del

apartado 2 del presente artículo

- El personal del Ayuntamiento de Sondika ha firmado documento de

compromiso de confidencialidad

Propuesta de medidas correctoras o complementarias.

- Recabar el consentimiento de los afectados en los formularios de recogida de datos (es la misma cláusula que en el apartado anterior)


25

Artículo Datos especialmente protegidos (Art. 7)

Referencia legal.

2. Sólo con el consentimiento expreso y por escrito del afectado podrán ser

objeto de tratamiento los datos de carácter personal que revelen la

ideología, afiliación sindical, religión y creencias.

3. Los datos de carácter personal que hagan referencia al origen racial, a la

salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos

cuando, por razones de interés general, así lo disponga una ley o el

afectado consienta expresamente.

6. No obstante lo dispuesto en los apartados anteriores, podrán ser objeto

de tratamiento los datos de carácter personal a que se refieren los apartados

2 y 3 de este artículo, cuando dicho tratamiento resulte necesario para la

prevención o para el diagnóstico médicos, la prestación de asistencia

sanitaria o tratamientos médicos o la gestión de servicios sanitarios,

siempre que dicho tratamiento de datos se realice por un profesional

sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a

una obligación equivalente de secreto.

Estrategia de


Evidencias del

auditor.

No tenemos conocimiento sobre la recogida del consentimiento por escrito

en los casos de los ficheros que contienen este tipo de datos

Propuesta de

medidas correctoras

o complementarias.

Recoger consentimiento en la totalidad de ficheros, especialmente en los de

nivel Alto

Recomendaciones

del Auditor

- Incluir cláusulas de recogida de datos en las que se recabe el

consentimiento expreso y por escrito del interesado en caso de que no se

haya realizado ya en la totalidad de instancias municipales


26

Artículo Seguridad de los Datos (Art 9)

Referencia legal.

1. El responsable del fichero, y, en su caso, el encargado del tratamiento

deberán adoptar las medidas de índole técnica y organizativas necesarias

que garanticen la seguridad de los datos de carácter personal y eviten su

alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del

estado de la tecnología, la naturaleza de los datos almacenados y los

riesgos a que están expuestos, ya provengan de la acción humana o del

medio físico o natural.

2. No se registrarán datos de carácter personal en ficheros que no reúnan

las condiciones que se determinen por vía reglamentaria con respecto a su

integridad y seguridad ya las de los centros de tratamiento, locales,

equipos, sistemas y programas.

Estrategia de

verificación.

Entrevista con personal del Ayuntamiento de Sondika

Visita a los locales e instalaciones del AYUNTAMIENTO

Evidencias del

auditor.

Existen incumplimientos de las medidas recogidas tanto en la LOPD como

en el Reglamento de Medidas de Seguridad

Propuesta de

medidas correctoras

o complementarias.

- Cumplir con lo expuesto en el Reglamento de Medidas de Seguridad ( Se

proponen medidas correctoras en el apartado específico)


27

Artículo Deber de Secreto (Art. 10)

Referencia legal.

El responsable del fichero y quienes intervengan en cualquier fase del

tratamiento de los datos de carácter personal están obligados al secreto

profesional respecto de los mismos y al deber de guardarlos, obligaciones

que subsistirán aun después de finalizar sus relaciones con el titular del

fichero o, en su caso, con el responsable del mismo.

Estrategia de


Evidencias del

auditor.

- Se encuentra firmado por parte de la totalidad del personal y de los cargos

políticos compromiso de confidencialidad

Propuesta de

medidas correctoras

o complementarias.



28

Artículo Comunicación de datos (Art 11)

Referencia legal.

1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

2. El consentimiento exigido en el apartado anterior no será preciso:

a) Cuando la cesión está autorizada en una ley.

b) Cuando se trate de datos recogidos de fuentes accesibles al público.

c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros.

En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.

4. El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable.

5. Aquel a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley.


Reunión con el personal del Ayuntamiento de Sondika

Evidencias del

auditor.

Las mayoría de las cesiones de las que ha tenido consentimiento el equipo

auditor están autorizadas por Ley.

Propuesta de

medidas correctoras

o complementarias.

- En caso de que existan cesiones no previstas en ninguna Ley recogida de

consentimiento de los afectados


29

Artículo Acceso a los datos por cuenta de terceros (Art. 12)

Referencia legal.

1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.

3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.



Evidencias del

auditor.

- Existen acceso a datos por parte de terceras empresas, habiendo

nombrado encargados del tratamiento y con la mayoría se ha firmado

contrato específico de protección de datos, no obstante se encuentran sin

firmar los siguientes:

- Gesmunpal

- Ingesit

- Gestisport

- Javier Arieta Araunabeña

Propuesta de medidas correctoras o complementarias.

- Se recomienda firmar un contrato de encargado de tratamiento con la

totalidad de empresas existentes en el Ayuntamiento que pudieran tener

acceso a la información, así como con posibles nuevos encargados del

tratamiento que puedan surgir


30

- Se recomienda que en los pliegos de condiciones que se realicen en el

futuro se exija a las empresas licitadoras encontrarse adaptadas a la

Normativa de Protección de Datos mediante la presentación de algún

documento que lo certifique


31

Artículo Derecho de Acceso (Art. 15)

Referencia legal.

1. El interesado tendrá derecho a solicitar y obtener gratuitamente

información de sus datos de carácter personal sometidos a tratamiento, el

origen de dichos datos, así como las comunicaciones realizadas o que se

prevén hacer de los mismos.

2. La información podrá obtenerse mediante la mera consulta de los datos

por medio de su visualización, o la indicación de los datos que son objeto

de tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o

no, en forma legible e inteligible, sin utilizar claves o códigos que

requieran el uso de dispositivos mecánicos específicos.

3. El derecho de acceso a que se refiere este artículo sólo podrá ser

ejercitado a intervalos no inferiores a doce meses, salvo que el interesado

acredite un interés legítimo al efecto, en cuyo caso podrán ejercitarlo antes.

Estrategia de


Evidencias del

auditor.

En los formularios de recogida de datos se garantiza correctamente el

ejercicio de los derechos

Existen procedimientos para el ejercicio de derechos en el Ayuntamiento

de Sondika

El personal conoce los principios básicos relativos a los derechos debido a

que se impartió en 2013 una charla informativa

Propuesta de

medidas correctoras

o complementarias.



32

Artículo Derecho de rectificación y cancelación (Art. 16)

Referencia legal.

1. El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días. 2. Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos. 3. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión. 4. Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del tratamiento deberá notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a la cancelación. 5. Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado.


Entrevista con el Personal del AYUNTAMIENTO

Evidencias del

auditor.




de Sondika



En el periodo desde la anterior auditoría hasta la actualidad se ha producido

un derecho de cancelación que ha sido atendido correctamente

Propuesta de

medidas correctoras

o complementarias.



33

Artículo Procedimiento de oposición, acceso, rectificación o cancelación

(Artículo 17)

Referencia legal.

1. Los procedimientos para ejercitar el derecho de oposición, acceso, así

como los de rectificación y cancelación serán establecidos

reglamentariamente.

2. No se exigirá contraprestación alguna por el ejercicio de los derechos de

oposición, acceso, rectificación o cancelación.

Estrategia de


Evidencias del

auditor.




de Sondika



Propuesta de

medidas correctoras

o complementarias.



34

Artículo Artículo 21. Comunicación de datos entre Administraciones públicas.

Referencia legal.

1. Los datos de carácter personal recogidos o elaborados por las

Administraciones públicas para el desempeño de sus atribuciones no serán

comunicados a otras Administraciones públicas para el ejercicio de

competencias diferentes o de competencias que versen sobre materias

distintas, salvo cuando la comunicación hubiere sido prevista por las

disposiciones de creación del fichero o por disposición de superior rango

que regule su uso, o cuando la comunicación tenga por objeto el

tratamiento posterior de los datos con fines históricos, estadísticos o

científicos.

2. Podrán, en todo caso, ser objeto de comunicación los datos de carácter

personal que una Administración pública obtenga o elabore con destino a

otra.

3. No obstante lo establecido en el artículo 11.2.b). la comunicación de

datos recogidos de fuentes accesibles al público no podrá efectuarse a

ficheros de titularidad privada, sino con el consentimiento del interesado o

cuando una ley prevea otra cosa.

4. En los supuestos previstos en los apartados 1 y 2 del presente artículo no

será necesario el consentimiento del afectado a que se refiere el artículo 11

de la presente Ley.



Evidencias del

auditor. No existe recogida del consentimiento en la mayoría de los casos

Propuesta de

medidas correctoras

o complementarias.

- Obtener el consentimiento de los afectados para los casos de cesiones (se

logra incluyendo las cláusulas informativas).

- Informar y Formar al personal del Ayuntamiento de Sondika acerca de

dicho procedimiento


35

Artículo Artículo 23. Excepciones a los derechos de acceso, rectificación y

cancelación

Referencia legal.

2. Los responsables de los ficheros de la Hacienda Pública podrán,

igualmente, denegar el ejercicio de los derechos a que se refiere el apartado

anterior cuando el mismo obstaculice las actuaciones administrativas

tendentes a asegurar el cumplimiento de las obligaciones tributarias y, en

todo caso, cuando el afectado esté siendo objeto de actuaciones

inspectoras.

Estrategia de


Evidencias del

auditor.




de Sondika



Propuesta de

medidas correctoras

o complementarias.



36

Artículo Artículo 24. Otras excepciones a los derechos de los afectados

Referencia legal.

1. Lo dispuesto en los apartados 1 y 2 del artículo 5 no será aplicable a la

recogida de datos cuando la información al afectado impida o dificulte

gravemente el cumplimiento de las funciones de control y verificación de

las Administraciones públicas o cuando afecte a la Defensa Nacional, a la

seguridad pública o a la persecución de infracciones penales o

administrativas.

2. Lo dispuesto en el artículo 15 y en el apartado 1 del artículo 16 no será

de aplicación si, ponderados los intereses en presencia, resultase que los

derechos que dichos preceptos conceden al afectado hubieran de ceder ante

razones de interés público o ante intereses de terceros más dignos de

protección. Si el órgano administrativo responsable del fichero invocase lo

dispuesto en este apartado, dictará resolución motivada e instruirá al

afectado del derecho que le asiste a poner la negativa en conocimiento del

Director de la Agencia de Protección de Datos o, en su caso, del órgano

equivalente de las Comunidades Autónomas.

Estrategia de


Evidencias del

auditor.




de Sondika



Propuesta de

medidas correctoras

o complementarias.



37

Artículo Movimiento internacional de datos (Art. 33 y ss.)

Referencia legal.

1. No podrán realizarse transferencias temporales ni definitivas de datos de

carácter personal que hayan sido objeto de tratamiento o hayan sido

recogidos para someterlos a dicho tratamiento con destino a países que no

proporcionen un nivel de protección equiparable al que presta la presente

Ley, salvo que, además de haberse observado lo dispuesto en ésta, se

obtenga autorización previa del Director de la Agencia de Protección de

Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas.

Estrategia de


Evidencias del

auditor.

No existe constancia de realización de transferencias internacionales de

datos

Se cumple correctamente con el presente artículo de la Ley


38

En cuanto al Real Decreto 1720/2007, Reglamento de Desarrollo de la LOPD:

A continuación, analizamos el debido cumplimiento de cada una de las medidas de seguridad

aplicables a los ficheros y tratamientos del Ayuntamiento de Sondika, según el Real Decreto

1720/2007.

Hemos englobado dichas medidas a analizar en las siguientes áreas temáticas:

1. Documento de Seguridad (Art. 88).

2. Funciones y obligaciones del personal (Art. 82, Art. 83, Art. 89 y Art. 95).

3. Registro de incidencias (Art. 90 y Art. 100).

4. Identificación y autenticación (Art. 93 y Art.98).

5. Control de acceso (Art. 91, Art. 99 y Art. 103).

6. Gestión de soportes (Art. 86, Art. 92, Art. 97 y Art. 101).

7. Copias de respaldo y recuperación (Art. 94 y Art. 102).

8. Telecomunicaciones (Art. 85 y Art. 104).

9. Auditoría (Art. 96)

10. Tratamientos especiales (Art. 87)

11. Ficheros y Tratamientos no automatizados (Art. 105 a 114)

Para cada fichero o tratamiento, se analizarán las áreas aplicables, para identificación de todas las

deficiencias encontradas y propuesta de las medidas correctoras o complementarias

correspondientes, así como de las recomendaciones del auditor.

Posteriormente se acompañan cuadros resúmenes de la totalidad de estas medidas y

recomendaciones.


39

1. Documento de Seguridad (Art. 88).

Artículo Artículo 88 (Todos los ficheros)

Referencia legal.

1. El responsable del fichero o tratamiento elaborará un documento de seguridad que recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información.

2. El documento de seguridad podrá ser único y comprensivo de todos los ficheros o tratamientos, o bien individualizado para cada fichero o tratamiento. También podrán elaborarse distintos documentos de seguridad agrupando ficheros o tratamientos según el sistema de tratamiento utilizado para su organización, o bien atendiendo a criterios organizativos del responsable. En todo caso, tendrá el carácter de documento interno de la organización.

3. El documento deberá contener, como mínimo, los siguientes aspectos:

a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos. b) Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento. c) Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros. d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. e) Procedimiento de notificación, gestión y respuesta ante las incidencias. f) Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados. g) Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.

Estrategia de

verificación.


Evidencias del

auditor.

El Ayuntamiento de Sondika dispone de un documento de seguridad y

dicho documento se encuentra actualizado

Propuesta de

medidas correctoras

o complementarias.



40


Referencia legal.

4. En caso de que fueran de aplicación a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto, previstas en este título, el documento de seguridad deberá contener además: a) La identificación del responsable o responsables de seguridad. b) Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento. 5. Cuando exista un tratamiento de datos por cuenta de terceros, el documento de seguridad deberá contener la identificación de los ficheros o tratamientos que se traten en concepto de encargado con referencia expresa al contrato o documento que regule las condiciones del encargo, así como de la identificación del responsable y del período de vigencia del encargo. 6. En aquellos casos en los que datos personales de un fichero o tratamiento se incorporen y traten de modo exclusivo en los sistemas del encargado, el responsable deberá anotarlo en su documento de seguridad. Cuando tal circunstancia afectase a parte o a la totalidad de los ficheros o tratamientos del responsable, podrá delegarse en el encargado la llevanza del documento de seguridad, salvo en lo relativo a aquellos datos contenidos en recursos propios. Este hecho se indicará de modo expreso en el contrato celebrado al amparo del artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, con especificación de los ficheros o tratamientos afectados. En tal caso, se atenderá al documento de seguridad del encargado al efecto del cumplimiento de lo dispuesto por este reglamento.



Evidencias del

auditor. Existe documento de seguridad y se encuentra actualizado

Propuesta de

medidas correctoras

o complementarias.



41


Referencia legal.

7. El documento de seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados. En todo caso, se entenderá que un cambio es relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas. 8. El contenido del documento de seguridad deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.



Evidencias del

auditor.

Existe Documento de Seguridad que se encuentra acutalizado

correctamente

Propuesta de

medidas correctoras

o complementarias.



42

1. Funciones y obligaciones del personal (Art. 82, 83, 89 y Art. 95).


Referencia legal.

1. Cuando el responsable del fichero o tratamiento facilite el acceso a los datos, a los soportes que los contengan o a los recursos del sistema de información que los trate, a un encargado de tratamiento que preste sus servicios en los locales del primero deberá hacerse constar esta circunstancia en el documento de seguridad de dicho responsable, comprometiéndose el personal del encargado al cumplimiento de las medidas de seguridad previstas en el citado documento. Cuando dicho acceso sea remoto habiéndose prohibido al encargado incorporar tales datos a sistemas o soportes distintos de los del responsable, este último deberá hacer constar esta circunstancia en el documento de seguridad del responsable, comprometiéndose el personal del encargado al cumplimiento de las medidas de seguridad previstas en el citado documento. 2. Si el servicio fuera prestado por el encargado del tratamiento en sus propios locales, ajenos a los del responsable del fichero, deberá elaborar un documento de seguridad en los términos exigidos por el artículo 88 de este reglamento o completar el que ya hubiera elaborado, en su caso, identificando el fichero o tratamiento y el responsable del mismo e incorporando las medidas de seguridad a implantar en relación con dicho tratamiento. 3. En todo caso, el acceso a los datos por el encargado del tratamiento estará sometido a las medidas de seguridad contempladas en este reglamento.

Estrategia de

verificación.


Evidencias del

auditor.

- Existen contratos de encargado del tratamiento con la mayoría de las empresas que prestan servicios al Ayuntamiento de Sondika

Propuesta de

medidas correctoras

o complementarias.

- El AYUNTAMIENTO debería firmar con los encargados del tratamiento

que aún no se haya realizado (Ver recomendaciones Art.12 LOPD) un

contrato específico incluyendo los términos del presente artículo


43


Referencia legal.

El responsable del fichero o tratamiento adoptará las medidas adecuadas

para limitar el acceso del personal a datos personales, a los soportes que los

contengan o a los recursos del sistema de información, para la realización

de trabajos que no impliquen el tratamiento de datos personales.

Cuando se trate de personal ajeno, el contrato de prestación de servicios

recogerá expresamente la prohibición de acceder a los datos personales y la

obligación de secreto respecto a los datos que el personal hubiera podido

conocer con motivo de la prestación del servicio.

Estrategia de

verificación.


Evidencias del

auditor.

- Existen contratos de confidencialidad con la totalidad de las empresas que

prestan este tipo de servicios al Ayuntamiento de Sondika

Propuesta de

medidas correctoras

o complementarias.



44


Referencia legal.

1. Las funciones y obligaciones de cada uno de los usuarios o perfiles de

usuarios con acceso a los datos de carácter personal y a los sistemas de

información estarán claramente definidas y documentadas en el documento

de seguridad.

También se definirán las funciones de control o autorizaciones delegadas

por el responsable del fichero o tratamiento.

2. El responsable del fichero o tratamiento adoptará las medidas necesarias

para que el personal conozca de una forma comprensible las normas de

seguridad que afecten al desarrollo de sus funciones así como las

consecuencias en que pudiera incurrir en caso de incumplimiento.

Estrategia de

verificación.


Evidencias del

auditor.

- Existe documento de seguridad que recoja estas funciones y obligaciones

del personal

- El personal conoce las normas de seguridad y los puntos básicos de la

normativa de protección de datos, debido a que recibió un curso formativo

en el año 2005 y otro en 2013

Propuesta de

medidas correctoras

o complementarias.



45

Artículo Artículo 95 (Ficheros de nivel medio y alto)

Referencia legal.

En el documento de seguridad deberán designarse uno o varios

responsables de seguridad encargados de coordinar y controlar las medidas

definidas en el mismo. Esta designación puede ser única para todos los

ficheros o tratamientos de datos de carácter personal o diferenciada según

los sistemas de tratamiento utilizados, circunstancia que deberá hacerse

constar claramente en el documento de seguridad.

En ningún caso esta designación supone una exoneración de la

responsabilidad que corresponde al responsable del fichero o al encargado

del tratamiento de acuerdo con este reglamento.

Estrategia de

verificación.

Entrevista con el personal del AYUNTAMIENTO

Evidencias del

auditor.

- Existe documento de seguridad y responsable de seguridad

- Existe firmado documento de aceptación del cargo de responsable de

seguridad

Propuesta de

medidas correctoras

o complementarias.



46

3. Registro de incidencias (Art. 90 y Art. 100).


Referencia legal.

Deberá existir un procedimiento de notificación y gestión de las

incidencias que afecten a los datos de carácter personal y establecer un

registro en el que se haga constar el tipo de incidencia, el momento en que

se ha producido, o en su caso, detectado, la persona que realiza la

notificación, a quién se le comunica, los efectos que se hubieran derivado

de la misma y las medidas correctoras aplicadas.

Estrategia de

verificación.


Evidencias del

auditor.

- Existe un modelo de registro de incidencias sin embargo no se emplea

- La empresa de mantenimiento informático junto con las facturas envía un

registro de las incidencias habidas qu incluye el problema ocurrido y las

gestiones llevadas a cabo para solucionarlo

Propuesta de

medidas correctoras

o complementarias.

- El Ayuntamiento de Sondika debería archivar todo este registro de

incidencias junto con el documento de seguridad para su control por el

responsable de seguridad

- Debería informarse a los usuarios sobre la obligatoriedad de comunicar

las incidencias mediante el mecanismo que se articule a la empresa de

mantenimiento informático.


47

Artículo Artículo 100 (Ficheros de Nivel Medio o Alto)

Referencia legal.

1. En el registro regulado en el artículo 90 deberán consignarse, además,

los procedimientos realizados de recuperación de los datos, indicando la

persona que ejecutó el proceso, los datos restaurados y, en su caso, qué

datos ha sido necesario grabar manualmente en el proceso de recuperación.

2. Será necesaria la autorización del responsable del fichero para la

ejecución de los procedimientos de recuperación de los datos.

Estrategia de

verificación. Entrevista con el personal del Ayuntamiento de Sondika

Evidencias del

auditor.

- Existe un modelo de registro de incidencias sin embargo no se emplea

- La empresa de mantenimiento informático junto con las facturas envía un

registro de las incidencias habidas qu incluye el problema ocurrido y las

gestiones llevadas a cabo para solucionarlo

Propuesta de

medidas correctoras

o complementarias.

- El Ayuntamiento de Sondika debería archivar todo este registro de

incidencias junto con el documento de seguridad para su control por el

responsable de seguridad

- Debería informarse a los usuarios sobre la obligatoriedad de comunicar

las incidencias mediante el mecanismo que se articule a la empresa de

mantenimiento informático.


48

4. Identificación y autenticación (Art. 93 y Art.98).

Artículo Artículo 93.1 (Todos los ficheros)

Referencia legal.

1. El responsable del fichero o tratamiento deberá adoptar las medidas que

garanticen la correcta identificación y autenticación de los usuarios.

2. El responsable del fichero o tratamiento establecerá un mecanismo que

permita la identificación de forma inequívoca y personalizada de todo

aquel usuario que intente acceder al sistema de información y la

verificación de que está autorizado.

Estrategia de

verificación.


Visita a los locales del AYUNTAMIENTO

Evidencias del

auditor.

- Existe documento de seguridad

- Existen procedimientos de autenticación de usuarios mediante contraseña

en la totalidad del Ayuntamiento

- En los aspectos referentes a contraseñas y complejidad la totalidad de

usuarios cuentan con su propia clave de usuario a excepción de la policía

municipal que comparte usuario.

- Dichas contraseñas disponen de unos requisitos de complejidad y

longitud mínima de seis caracteres

Propuesta de

medidas correctoras

o complementarias.

- La totalidad de medidas son correctas a excepción del equipo empleado

por la policía, por todo ello se recomienda dotar a cada agente de un código

de usuario y una contraseña individuales.


49


Referencia legal.

2.- Cuando el mecanismo de autenticación se base en la existencia de

contraseñas existirá un procedimiento de asignación, distribución y

almacenamiento que garantice su confidencialidad e integridad.

Estrategia de

verificación.



Evidencias del

auditor.

- Existe documento de seguridad

- Existen procedimientos de autenticación de usuarios mediante contraseña

en la totalidad del Ayuntamiento

- En los aspectos referentes a contraseñas y complejidad la totalidad de

usuarios cuentan con su propia clave de usuario a excepción de la policía

municipal que comparte usuario.

- Dichas contraseñas disponen de unos requisitos de complejidad y

longitud mínima de seis caracteres

Propuesta de

medidas correctoras

o complementarias.

- La totalidad de medidas son correctas a excepción del equipo empleado

por la policía, por todo ello se recomienda dotar a cada agente de un código

de usuario y una contraseña individuales.

- Se recomienda proceder al bloqueo automático de la pantalla tras un

periodo de no uso del ordenador (se recomiendan 10 minutos), periodo tras

el cual será necesario de nuevo que el usuario se autentique para poder

acceder al sistema.


50


Referencia legal.

4. El documento de seguridad establecerá la periodicidad, que en ningún

caso será superior a un año, con la que tienen que ser cambiadas las

contraseñas que, mientras estén vigentes, se almacenarán de forma

ininteligible.

Estrategia de

verificación.



Evidencias del

auditor.

Se procede al cambio periódico de contraseñas cada tres meses, evitando la

repetición de las tres últimas contraseñas.

Propuesta de

medidas correctoras

o complementarias.



51


Referencia legal.

El responsable del fichero o tratamiento establecerá un mecanismo que

limite la posibilidad de intentar reiteradamente el acceso no autorizado al

sistema de información.

Estrategia de

verificación.



Evidencias del

auditor.

- Se bloquean los equipos en caso de errar tres ocasiones al introducir la

contraseña.

Propuesta de

medidas correctoras

o complementarias.

Se realiza correctamente


52

5. Control de acceso (Art. 91, Art. 99 y Art. 103).


Referencia legal.

1. Los usuarios tendrán acceso únicamente a aquellos recursos que precisen

para el desarrollo de sus funciones.

2. El responsable del fichero se encargará de que exista una relación

actualizada de usuarios y perfiles de usuarios, y los accesos autorizados

para cada uno de ellos.

3. El responsable del fichero establecerá mecanismos para evitar que un

usuario pueda acceder a recursos con derechos distintos de los autorizados.

4. Exclusivamente el personal autorizado para ello en el documento de

seguridad podrá conceder, alterar o anular el acceso autorizado sobre los

recursos, conforme a los criterios establecidos por el responsable del

fichero.

5. En caso de que exista personal ajeno al responsable del fichero que tenga

acceso a los recursos deberá estar sometido a las mismas condiciones y

obligaciones de seguridad que el personal propio.

Estrategia de

verificación.



Evidencias del

auditor.

- En los aspectos referentes a control de accesos, la totalidad de usuarios

cuentan con privilegios de acceso a las aplicaciones o a determinados

módulos de las mismas según sus funciones o puesto de trabajo. Las

personas no autorizadas no disponen de acceso a las mismas ni posibilidad

de intentarlo, ya que las mencionadas aplicaciones no se encontrarán

instaladas en sus equipos.

- No obstante, en el apartado de carpetas compartidas existe una unidad de

red en el servidor en la ruta SVR-2008/Datos/Ofimatica/Documentos,

conocida por los usuarios como O:/ donde se conserva un gran número de


53

documentos de la totalidad de áreas municipales accesibles y manipulables

por la totalidad del personal independientemente de su cargo.

Propuesta de

medidas correctoras

o complementarias.

- Se recomienda evitar en la medida de lo posible el uso de carpetas

compartidas, y en el caso de que estas se empleen limitar los accesos a las

mismas según las funciones propias del puesto de trabajo evitando

especialmente accesos de empresas externas

- Para la mencionada unidad de red nuestra recomendación es revisar los

permisos de acceso que sea necesario otorgar a cada usuario, así como los

privilegios de lectura, escritura y modificación de los mencionados

documentos.


54


Referencia legal.

Exclusivamente el personal autorizado en el documento de seguridad podrá

tener acceso a los lugares donde se hallen instalados los equipos físicos que

den soporte a los sistemas de información.


Entrevista con el personal del AYUNTAMIENTO Visita a los locales donde se almacena la información


- Los servidores de la organización, donde se guardan la totalidad de datos

se encuentran en un cuarto destinado en exclusiva para ellos, aunque la

puerta de acceso al mismo suele estar abierta por motivos de refrigeración

de dichos servidores

- Existen usuarios que no guardan los datos en el servidor sino en los

discos duros de sus equipos, por lo que el acceso físico no está garantizado

en las mismas condiciones.

Propuesta de

medidas correctoras

o complementarias.

- Acostumbrarse a mantener bajo llave los despachos que no se estén

empleando en el momento concreto.

- El control de acceso físico se realiza correctamente

- Se recomienda obligar a los usuarios a guardar la totalidad de la

información en el servidor, evitando que exista información que contenga

datos de carácter personal en los equipos de usuarios


55

Artículo Artículo 103 (Ficheros de nivel alto)

Referencia legal.

1.- De cada acceso se guardarán, como mínimo, la identificación del

usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de

acceso y si ha sido autorizado o denegado.

2.- En el caso de que el acceso haya sido autorizado, será preciso guardar la

información que permita identificar el registro accedido.

3.- Los mecanismos que permiten el registro de los datos detallados en los

párrafos anteriores estarán bajo el control directo del responsable de

seguridad sin que se deba permitir, en ningún caso, la desactivación ni

manipulación de los mismos.

Estrategia de

verificación.



Evidencias del

auditor.

- No existe constancia de que se generen dichos registros

- El personal desconoce la existencia de los mismos

Propuesta de

medidas correctoras

o complementarias.

- Activación de un mecanismo que permita generar el registro de accesos

en el servidor (sólo para datos de nivel alto)


56


Referencia legal.

4.- El período mínimo de conservación de los datos registrados será de dos

años.

5.- El responsable de seguridad competente se encargará de revisar

periódicamente la información de control registrada y elaborará un informe

de las revisiones realizadas y los problemas detectados al menos una vez al

mes.

6. No será necesario el registro de accesos definido en este artículo en caso

de que concurran las siguientes circunstancias:

a) Que el responsable del fichero o del tratamiento sea una persona física.

b) Que el responsable del fichero o del tratamiento garantice que

únicamente él tiene acceso y trata los datos personales.

La concurrencia de las dos circunstancias a las que se refiere el apartado

anterior deberá hacerse constar expresamente en el documento de

seguridad

Estrategia de

verificación.



Evidencias del

auditor.

- No existe constancia de que se generen registros de accesos

- No existe constancia de que se conserven los accesos a estos registros

durante dos años

- El responsable no redacta informe mensual sobre las revisiones realizadas

ni problemas detectados

Propuesta de

medidas correctoras

o complementarias.

- Guardado de los datos de acceso al sistema de información registrados

durante dos años

- Revisión y elaboración por parte del responsable de seguridad de un

informe mensual de los registros de accesos


57

6. Gestión de soportes (Art. 86, Art. 92, Art. 97 y Art. 101).


Referencia legal.

1. Cuando los datos personales se almacenen en dispositivos portátiles o se

traten fuera de los locales del responsable de fichero o tratamiento, o del

encargado del tratamiento será preciso que exista una autorización previa

del responsable del fichero o tratamiento, y en todo caso deberá

garantizarse el nivel de seguridad correspondiente al tipo de fichero

tratado.

2. La autorización a la que se refiere el párrafo anterior tendrá que constar

en el documento de seguridad y podrá establecerse para un usuario o para

un perfil de usuarios y determinando un periodo de validez para las

mismas.

Estrategia de

verificación.



Evidencias del

auditor.

- No existe constancia de realización de trabajos con datos de carácter

personal fuera de los locales donde se ubica el fichero a excepción del

portátil empleado por alcaldía.

Propuesta de

medidas correctoras

o complementarias.

- Debido a que no se puede garantizar al completo el cumplimiento del

presente artículo, lo conveniente para evitar que se incumpla es realizar una

eficaz gestión de soportes

- También es conveniente informar a los usuarios acerca del trabajo fuera

de los locales (ejemplo: cada uno en su casa)

- Se recomienda disponer de un formulario para solicitar la autorización

para el tratamiento fuera de los locales


58


Referencia legal.

1. Los soportes y documentos que contengan datos de carácter personal

deberán permitir identificar el tipo de información que contienen, ser

inventariados y solo deberán ser accesibles por el personal autorizado para

ello en el documento de seguridad.

Se exceptúan estas obligaciones cuando las características físicas del soporte

imposibiliten su cumplimiento, quedando constancia motivada de ello en el

documento de seguridad.

2. La salida de soportes y documentos que contengan datos de carácter

personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera

de los locales bajo el control del responsable del fichero o tratamiento deberá

ser autorizada por el responsable del fichero o encontrarse debidamente

autorizada en el documento de seguridad.

3. En el traslado de la documentación se adoptarán las medidas dirigidas a

evitar la sustracción, pérdida o acceso indebido a la información durante su

transporte.

4. Siempre que vaya a desecharse cualquier documento o soporte que

contenga datos de carácter personal deberá procederse a su destrucción o

borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la

información contenida en el mismo o su recuperación posterior.

5. La identificación de los soportes que contengan datos de carácter personal

que la organización considerase especialmente sensibles se podrá realizar

utilizando sistemas de etiquetado comprensibles y con significado que

permitan a los usuarios con acceso autorizado a los citados soportes y

documentos identificar su contenido, y que dificulten la identificación para el

resto de personas.

Estrategia de

verificación.



Evidencias del

auditor.

- Los equipos personales se encuentran inventariados por el responsable de

mantenimiento informático

- La mayoría de los usuarios disponen de grabadora de Cd y DVD


59

- Existen indicios de existencia de disquettes o Cd que contengan datos de

carácter personal que no se encuentran identificados

- En caso de avería y salida fuera de los locales de equipos informáticos no se

firma autorización de salida de los mismos

Propuesta de

medidas correctoras

o complementarias.

- Mantener el inventario de equipos permanentemente actualizado

- Control e inventariado de los DVD , Cds y Pendrives del

AYUNTAMIENTO

- Guardado de la totalidad de la información en el servidor, lo que permitirá

reducir o incluso acabar con las copias en CD o DVD de los usuarios, las

cuales son muy difíciles de controlar por el Ayuntamiento.

- Implantar procedimiento de autorizaciones para las salidas de soportes fuera

de los locales propiedad del AYUNTAMIENTO

- Se recomienda usar la destructora Cederika para aquellos soportes que ya no

vayan a usarse


60


Referencia legal.

1. Deberá establecerse un sistema de registro de entrada de soportes que

permita, directa o indirectamente, conocer el tipo de documento o soporte,

la fecha y hora, el emisor, el número de documentos o soportes incluidos

en el envío, el tipo de información que contienen, la forma de envío y la

persona responsable de la recepción que deberá estar debidamente

autorizada.

2. Igualmente, se dispondrá de un sistema de registro de salida de soportes

que permita, directa o indirectamente, conocer el tipo de documento o

soporte, la fecha y hora, el destinatario, el número de documentos o

soportes incluidos en el envío, el tipo de información que contienen, la

forma de envío y la persona responsable de la entrega que deberá estar

debidamente autorizada.


Entrevista con el personal del AYUNTAMIENTO Visita a los locales del AYUNTAMIENTO

Evidencias del

auditor.

Existe un registro de entrada y salida de soportes que contenga los mínimos

que exige el presente artículo

Dicho registro se encuentra sin completar puesto que en caso de envío o

recepción de soportes se emplea el registro de entrada y salida municipal.

Propuesta de

medidas correctoras

o complementarias.

- Mantener la limitación de uso de soportes externos en los que se puedan

copiar datos de carácter personal a un número limitado de usuarios


61


Referencia legal.

1. La identificación de los soportes se deberá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de personas. 2. La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte. Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero. 3. Deberá evitarse el tratamiento de datos de carácter personal en dispositivos portátiles que no permitan su cifrado. En caso de que sea estrictamente necesario se hará constar motivadamente en el documento de seguridad y se adoptarán medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos.



Evidencias del

auditor.

- Existen soportes que contienen datos de nivel alto sin inventariar o inventariados mediante algún sistema que permite saber que contienen - Los soportes que salen fuera de los locales de la organización no se transportan cifrados - El personal del AYUNTAMIENTO desconoce la obligatoriedad de cifrar los soportes que vayan a salir fuera de los locales del AYUNTAMIENTO - El personal carece de conocimientos informáticos necesarios para cifrar los soportes

Propuesta de

medidas correctoras

o complementarias.

- Establecer un procedimiento sencillo de cifrado de soportes que vayan a

salir fuera de los locales del AYUNTAMIENTO

- Se recomienda proteger los pendrive existentes mediante algún aplicativo

que permita protegerlos mediante contraseña y genere registro de acceso a

los mismos

- Formar e informar a los usuarios afectados acerca de lo contenido en el

presente artículo, así como del mecanismo de cifrado a emplear


62

6. Copias de respaldo y recuperación (Art. 94 y Art. 102).


Referencia legal.

1. Deberán establecerse procedimientos de actuación para la realización

como mínimo semanal de copias de respaldo, salvo que en dicho período

no se hubiera producido ninguna actualización de los datos.

2. Asimismo, se establecerán procedimientos para la recuperación de los

datos que garanticen en todo momento su reconstrucción en el estado en

que se encontraban al tiempo de producirse la pérdida o destrucción.

Únicamente, en el caso de que la pérdida o destrucción afectase a ficheros

o tratamientos parcialmente automatizados, y siempre que la existencia de

documentación permita alcanzar el objetivo al que se refiere el párrafo

anterior, se deberá proceder a grabar manualmente los datos quedando

constancia motivada de este hecho en el documento de seguridad.

3. El responsable del fichero se encargará de verificar cada seis meses la

correcta definición, funcionamiento y aplicación de los procedimientos de

realización de copias de respaldo y de recuperación de los datos.

Estrategia de

verificación.


Visita a los locales del Ayuntamiento de Sondika

Evidencias del

auditor.

- Sólo se realizan copias de seguridad de los datos contenidos en el servidor

- No se realizan copias de seguridad de los equipos personales (en general)

- Existe personal que desconoce este hecho y por eso no emplea el servidor

para el guardado de sus documentos

- Se realiza una réplica diaria del servidor en otro servidor. Además cada

15 días se realiza copia en un disco duro externo que posteriormente se

conserva en una caja ignífuga en el despacho de Koldo.

- La periodicidad de realización de copias de seguridad del servidor es

correcta.

Propuesta de

medidas correctoras

o complementarias.

- Se recomienda informar a los usuarios para que sean conscientes de la

importancia de guardar la totalidad de información en el servidor de datos

- Se recomienda que los usuarios guarden la totalidad de información en el

servidor de datos de forma que sólo sea necesario realizar copia de

seguridad de los datos contenidos en él


63

Artículo Artículo 94 (Todos los Ficheros)

Referencia legal.

4. Las pruebas anteriores a la implantación o modificación de los sistemas

de información que traten ficheros con datos de carácter personal no se

realizarán con datos reales, salvo que se asegure el nivel de seguridad

correspondiente al tratamiento realizado y se anote su realización en el


Si está previsto realizar pruebas con datos reales, previamente deberá

haberse realizado una copia de seguridad

Estrategia de

verificación.



Evidencias del

auditor.

- El personal del AYUNTAMIENTO no realiza pruebas de este tipo

- Empresas de informática externas podrían realizar pruebas de este tipo

Propuesta de

medidas correctoras

o complementarias.

- Firma de contrato de encargado de tratamiento con empresas externas que

vayan a acceder a los datos y puedan realizar operaciones de este tipo

- Solicitud a empresas externas que vayan a realizar pruebas de este tipo de

documento que certifique que cumplen con la normativa de protección de

datos


64


Referencia legal.

Deberá conservarse una copia de respaldo de los datos y de los

procedimientos de recuperación de los mismos en un lugar diferente de

aquel en que se encuentren los equipos informáticos que los tratan, que

deberá cumplir en todo caso las medidas de seguridad exigidas en este

título, o utilizando elementos que garanticen la integridad y recuperación

de la información, de forma que sea posible su recuperación.

Estrategia de

verificación.



Evidencias del

auditor.

- Las copias de seguridad se encuentran en un disco duro externo que se

conserva en una caja ignífuga en un despacho situado a escasos metros del

servidor

Propuesta de

medidas correctoras

o complementarias.

- Se recomienda trasladar las copias de seguridad de la casa consistorial a

otra ubicación física diferente.

- Sobre el resto de departamentos que se encuentran externalizados, es

responsabilidad de la empresa subcontratada el traslado de las copias de

seguridad fuera de los locales en las condiciones exigidas por la Ley.


65

8. Telecomunicaciones (Art. 85 y Art. 104).


Referencia legal.

Las medidas de seguridad exigibles a los accesos a datos de carácter

personal a través de redes de comunicaciones, sean o no públicas, deberán

garantizar un nivel de seguridad equivalente al correspondiente a los

accesos en modo local, conforme a los criterios establecidos en el artículo

80.

Estrategia de

verificación.



Evidencias del

auditor.

- El Acceso a remoto las cámaras de Videovigilancia ubicadas en la Kultur

Etxea y Gaztetxe se realiza mediante contraseña individual exclusivamente

por parte de personal de Cultura y Policía, por lo que es correcto

- El Acceso remoto mediante red privada virtual para la realización de

tareas de mantenimiento informático se realiza únicamente por parte de la

empresa encargada de la realización de las mismas y siempre solicitando

permiso previo, por lo que es correcto.

- Se produce la Recepción de Fax en un número compartido con el Juzgado

de Paz. Posteriormente estos Fax se colocan en una bandeja accesible por

la totalidad del personal.

Propuesta de

medidas correctoras

o complementarias.

- Se recomienda que los informes recibidos en el Fax cuyo destinatario sea

el Juzgado sean introducidos en un buzón controlado exclusivamente por

personal del Juzgado o sean inmediatamente trasladados y conservados en

el interior de las instalaciones cedidas al mencionado Juzgado de Paz


66


Referencia legal.

Cuando, conforme al artículo 81.3 deban implantarse las medidas de

seguridad de nivel alto, la transmisión de datos de carácter personal a

través de redes públicas o redes inalámbricas de comunicaciones

electrónicas se realizará cifrando dichos datos o bien utilizando cualquier

otro mecanismo que garantice que la información no sea inteligible ni

manipulada por terceros.

Estrategia de

verificación.



Evidencias del

auditor.

- Las salidas de datos a través de redes de telecomunicaciones se limitan a

comunicaciones con bancos y cajas de ahorro y a las aplicaciones de

Biscaytik.

- El Acceso remoto mediante red privada virtual para la realización de

tareas de mantenimiento informático se realiza únicamente por parte de la

empresa encargada de la realización de las mismas y siempre solicitando

permiso previo, por lo que es correcto.

- Se produce la Recepción de Fax en un número compartido con el Juzgado

de Paz. Posteriormente estos Fax se colocan en una bandeja accesible por

la totalidad del personal.

Propuesta de

medidas correctoras

o complementarias.

- Se recomienda que los informes recibidos en el Fax cuyo destinatario sea

el Juzgado sean introducidos en un buzón controlado exclusivamente por

personal del Juzgado o sean inmediatamente trasladados y conservados en

el interior de las instalaciones cedidas al mencionado Juzgado de Paz


67

9. Auditoría (Art. 17)


Referencia legal.

1. A partir del nivel medio los sistemas de información e instalaciones de

tratamiento y almacenamiento de datos se someterán, al menos cada dos

años, a una auditoría interna o externa que verifique el cumplimiento del

presente título.

Con carácter extraordinario deberá realizarse dicha auditoría siempre que

se realicen modificaciones sustanciales en el sistema de información que

puedan repercutir en el cumplimiento de las medidas de seguridad

implantadas con el objeto de verificar la adaptación, adecuación y eficacia

de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el

párrafo anterior.

2. El informe de auditoría deberá dictaminar sobre la adecuación de las

medidas y controles a la Ley y su desarrollo reglamentario, identificar sus

deficiencias y proponer las medidas correctoras o complementarias

necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones

en que se basen los dictámenes alcanzados y las recomendaciones

propuestas.

3. Los informes de auditoría serán analizados por el responsable de

seguridad competente, que elevará las conclusiones al responsable del

fichero o tratamiento para que adopte las medidas correctoras adecuadas y

quedarán a disposición de la Agencia Española de Protección de Datos o,

en su caso, de las autoridades de control de las comunidades autónomas.




- Existen informes previos de 2004, 2008 y 2011

Propuesta de

medidas correctoras

o complementarias.

- Realización de auditoría sobre el cumplimiento de la normativa al menos

cada dos años

- Análisis de la misma de cara a subsanar las deficiencias encontradas

- Mantener el presente informe de Auditoría a disposición de la Agencia de

Protección de Datos


68

10. Tratamientos especiales (Art. 87)


Referencia legal.

1. Aquellos ficheros temporales o copias de documentos que se hubiesen

creado exclusivamente para la realización de trabajos temporales o

auxiliares deberán cumplir el nivel de seguridad que les corresponda

conforme a los criterios establecidos en el artículo 81.

2. Todo fichero temporal o copia de trabajo así creado será borrado o

destruido una vez que haya dejado de ser necesario para los fines que

motivaron su creación.




- Existen ficheros temporales de este tipo en las carpetas de los usuarios

Propuesta de

medidas correctoras

o complementarias.

- Revisión y limpieza de los documentos y sobre todo hojas de cálculo y

bases de datos de Access de cara a proceder al borrado de las que hayan

dejado de ser necesarias (Ej: Participantes en actividades culturales ya

realizadas)


69

11. Ficheros y Tratamientos NO automatizados (Art. 105 a 114)


Referencia legal.

1. Además de lo dispuesto en el presente capítulo, a los ficheros no

automatizados les será de aplicación lo dispuesto en los capítulos I y II del

presente título


Visita a los locales del Archivo Municipal

Propuesta de

medidas correctoras

o complementarias.

Se han de aplicar con los datos no automatizados las mismas medidas que

con los automatizados firmando contratos de encargados del tratamiento,

Prestaciones de servicios sin acceso a datos personales, autorizaciones,

régimen de trabajo fuera de los locales, copias de trabajo de documentos,

existencia de documento de seguridad, funciones y obligaciones del

personal, registro de incidencias, control de acceso y gestión de soportes.

Las recomendaciones son las que se han realizado hasta el momento pero

para los ficheros en papel.


70


Referencia legal.

El archivo de los soportes o documentos se realizará de acuerdo con los

criterios previstos en su respectiva legislación. Estos criterios deberán

garantizar la correcta conservación de los documentos, la localización y

consulta de la información y posibilitar el ejercicio de los derechos de

oposición al tratamiento, acceso, rectificación y cancelación.

En aquellos casos en los que no exista norma aplicable, el responsable del

fichero deberá establecer los criterios y procedimientos de actuación que

deban seguirse para el archivo.

Estrategia de

verificación.



Evidencias del

auditor.

El Archivo permiten localizar expedientes y posibilitar el ejercicio de

derechos debido a su fácil localización mediante el software específico de

gestión existente.

La ordenación de los expedientes en el resto de despachos o Archivos no es

adecuada, especialmente en el área de Urbanismo

Propuesta de

medidas correctoras

o complementarias.

Se recomienda proceder a ordenar el resto de lugares de Archivo,

especialmente la zona de Urbanismo.


71


Referencia legal.

Los dispositivos de almacenamiento de los documentos que contengan

datos de carácter personal deberán disponer de mecanismos que

obstaculicen su apertura. Cuando las características físicas de aquéllos no

permitan adoptar esta medida, el responsable del fichero o tratamiento

adoptará medidas que impidan el acceso de personas no autorizadas.

Estrategia de

verificación.



Evidencias del

auditor.

- Intervención: La documentación se conserva en armarios numerados

cerrados bajo llave durante un año, tras el cual se envía al Archivo.

-Urbanismo: Se conserva en un Archivo temporal permanentemente abierto

y en baldas y sobre las mesas de los usuarios.

- Cultura: Se conserva la documentación en baldas, aunque al finalizar la

jornada se procede al cierre bajo llave del despacho.

- Policía: La puerta de acceso al despacho se mantiene permanentemente

abierta y la documentación se conserva en armarios con puerta.

- Secretaría: Se conserva la totalidad de la documentación bajo llave y una

vez finaliza la jornada laboral se retira de encima de la mesa.

- Interior: Se conserva la documentación en Armarios con puerta y

cerradura en los que la llave se mantiene permanentemente en las mismas.

No obstante se cierra el despacho con llave

- El Archivo General se encuentra con la puerta cerrada pero sin llave y

ubicado junto a lugares de tránsito como un vestuario. La puerta de acceso

al Archivo solo se cierra con llave los Lunes

- El resto de documentos son expedientes sin concluir se encuentran en los

despachos de cada usuario

- Las llaves de acceso a la totalidad de despachos son las mismas (llave

maestra)

Propuesta de

medidas correctoras

o complementarias.

- Se recomienda proceder a cerrar bajo llave el Archivo General, así como

el de Urbanismo.

- Se recomienda recordar a los usuarios que no deben conservar


72

documentación sobre las mesas y en la medida de lo posible la obligación

de guardarla bajo llave y cerrar los despachos.

- Se recomienda proceder a reemplazar las cerraduras y que cada usuario o

área disponga de una llave propia para evitar accesos no autorizados a

despachos.


73


Referencia legal.

Mientras la documentación con datos de carácter personal no se encuentre

archivada en los dispositivos de almacenamiento establecidos en el artículo

anterior, por estar en proceso de revisión o tramitación, ya sea previo o

posterior a su archivo, la persona que se encuentre al cargo de la misma

deberá custodiarla e impedir en todo momento que pueda ser accedida por

persona no autorizada.

Estrategia de

verificación.



Evidencias del

auditor.

- Existen multitud de expedientes que se encuentran en los despachos de

cada usuario siendo estos conscientes de que les corresponde la custodia de

los mismos

Propuesta de

medidas correctoras

o complementarias.

- Concienciar al personal de la importancia de mantener permanentemente

vigilados y guardar a ser posible bajo llave los expedientes que salgan

fuera del Archivo

- Concienciar al personal para que no se conserve documentación sobre las

mesas de trabajo o al menos para que las retire al finalizar la jornada

laboral

Artículo Artículo 109 (Ficheros de nivel Medio o Alto)

Referencia legal. Se designará uno o varios responsables de seguridad en los términos y con

las funciones previstas en el artículo 95 de este reglamento

Estrategia de

verificación.



Evidencias del

auditor. Existe responsable de seguridad

Propuesta de

medidas correctoras

o complementarias.

Se realiza correctamente


74

Artículo Artículo 110 (Ficheros de nivel Medio o Alto)

Referencia legal.

Los ficheros comprendidos en la presente sección se someterán, al menos

cada dos años, a una auditoría interna o externa que verifique el

cumplimiento del presente título.

Estrategia de

verificación.



Evidencias del

auditor. La anterior auditoría es del año 2011

Propuesta de

medidas correctoras

o complementarias.

- Realización de auditoría sobre el cumplimiento de la normativa al menos

cada dos años

- Análisis de la misma de cara a subsanar las deficiencias encontradas

- Mantener el presente informe de Auditoría a disposición de la Agencia de

Protección de Datos


75

Artículo Artículo 111 (Ficheros de nivel Alto)

Referencia legal.

1. Los armarios, archivadores u otros elementos en los que se almacenen

los ficheros no automatizados con datos de carácter personal deberán

encontrarse en áreas en las que el acceso esté protegido con puertas de

acceso dotadas de sistemas de apertura mediante llave u otro dispositivo

equivalente. Dichas áreas deberán permanecer cerradas cuando no sea

preciso el acceso a los documentos incluidos en el fichero.

2. Si, atendidas las características de los locales de que dispusiera el

responsable del fichero o tratamiento, no fuera posible cumplir lo

establecido en el apartado anterior, el responsable adoptará medidas

alternativas que, debidamente motivadas, se incluirán en el documento de

seguridad.

Estrategia de

verificación.



Evidencias del

auditor.

- Intervención: La documentación se conserva en armarios numerados

cerrados bajo llave durante un año, tras el cual se envía al Archivo.

-Urbanismo: Se conserva en un Archivo temporal permanentemente abierto

y en baldas y sobre las mesas de los usuarios.

- Cultura: Se conserva la documentación en baldas, aunque al finalizar la

jornada se procede al cierre bajo llave del despacho.

- Policía: La puerta de acceso al despacho se mantiene permanentemente

abierta y la documentación se conserva en armarios con puerta.

- Secretaría: Se conserva la totalidad de la documentación bajo llave y una

vez finaliza la jornada laboral se retira de encima de la mesa.

- Interior: Se conserva la documentación en Armarios con puerta y

cerradura en los que la llave se mantiene permanentemente en las mismas.

No obstante se cierra el despacho con llave

- El Archivo General se encuentra con la puerta cerrada pero sin llave y

ubicado junto a lugares de tránsito como un vestuario. La puerta de acceso


76

al Archivo solo se cierra con llave los Lunes

- El resto de documentos son expedientes sin concluir se encuentran en los

despachos de cada usuario

- Las llaves de acceso a la totalidad de despachos son las mismas (llave

maestra)

Propuesta de

medidas correctoras

o complementarias.

- Concienciar al personal de la importancia de mantener permanentemente

vigilados y guardar a ser posible bajo llave los expedientes que salgan

fuera del Archivo, y proceder al cierre bajo llave del Archivo General y de

Urbanismo, así como el de Policía

- Se recomienda proceder a reemplazar las cerraduras y que cada usuario o

área disponga de una llave propia para evitar accesos no autorizados a

despachos..


77


Referencia legal.

1. La generación de copias o la reproducción de los documentos

únicamente podrá ser realizada bajo el control del personal autorizado en el


2. Deberá procederse a la destrucción de las copias o reproducciones

desechadas de forma que se evite el acceso a la información contenida en

las mismas o su recuperación posterior.

Estrategia de

verificación.


Visita a los locales del Archivo Municipal Temporal y Definitivo

Evidencias del

auditor.

- Sólo el personal autorizado tiene acceso teórico a los expedientes del

Archivo y por tanto realizar copias de los mismos, no obstante en la

práctica el mismo se encuentra abierto y no existe control sobre los

préstamos realizados porque cada usuario accede al mismo y coge

expedientes según necesidad y sin ningún control.

Hay una destructora de documentos situada en la sala de fotocopias y otra

en urbanismo, aunque al parecer se encuentra averiada

Propuesta de

medidas correctoras

o complementarias.

Se recomienda la instalación de destructoras de documentación en cada

piso para evitar traslados incómodos para el personal y facilitar así que

efectivamente se proceda a la destrucción de los datos en papel


78


Referencia legal.

1. El acceso a la documentación se limitará exclusivamente al personal

autorizado.

2. Se establecerán mecanismos que permitan identificar los accesos

realizados en el caso de documentos que puedan ser utilizados por

múltiples usuarios.

3. El acceso de personas no incluidas en el párrafo anterior deberá quedar

adecuadamente registrado de acuerdo con el procedimiento establecido al

efecto en el documento de seguridad.

Estrategia de

verificación.



Evidencias del

auditor.

- Sólo el personal autorizado tiene acceso teórico a los expedientes del

Archivo y por tanto realizar copias de los mismos, no obstante en la

práctica el mismo se encuentra abierto y no existe control sobre los

préstamos realizados porque cada usuario accede al mismo y coge

expedientes según necesidad y sin ningún control por la empresa

subcontratada para la gestión del mismo.

- Pese a que la aplicación de Gestión del Archivo lo permite no se realiza

ningún registro de préstamos del mismo

Propuesta de

medidas correctoras

o complementarias.

- Se recomienda la existencia de al menos una persona encargada de

gestionar los préstamos de documentación del Archivo así como registro de

los mismos en la aplicación de gestión.

- En caso de que no sea posible que una persona se encargue de dicha

gestión y se decida que cada usuario siga accediendo al mismo se

recomienda que al menos se obligue a dichos usuarios a cumplimentar el

registro de préstamos para, así, evitar pérdidas de expedientes.


79


Referencia legal.

Siempre que se proceda al traslado físico de la documentación contenida en

un fichero, deberán adoptarse medidas dirigidas a impedir el acceso o

manipulación de la información objeto de traslado.

Estrategia de

verificación.



Evidencias del

auditor.

No se producen traslados de documentación.

Los usuarios carecen de mecanismos que impidan dichos accesos o

manipulaciones cuando se traslade fuera de los locales la documentación

Propuesta de

medidas correctoras

o complementarias.

Se recomienda dotar a los usuarios de algún maletín o similar que permita

guardar la documentación bajo llave en caso de que esta tenga que salir

fuera de los locales del Ayuntamiento


80

INFORME DE CONCLUSIONES CON OPINIÓN FAVORABLE CON SALVEDADES

En Santurtzi, a 06 de Marzo de 2014

Soluciones Jurídicas para Internet, Inter-Ius Consulting, S.L. hemos realizado una

auditoría voluntaria externa de los sistemas de información e instalaciones de

tratamiento de datos de carácter personal de la entidad Ayuntamiento de Sondika

para verificar el cumplimiento del Real Decreto 1720/2007, por el que se aprueba el

Reglamento de Desarrollo de la Ley Orgánica 15/1999, así como de los

procedimientos e instrucciones vigentes en materia de protección de datos.

En nuestra opinión profesional, las instalaciones y tratamientos de la entidad

Ayuntamiento de Sondika se adecuan a la legislación aplicable en seguridad de

tratamiento de datos de carácter personal, a excepción de las deficiencias observadas

que se detallan en el Apartado Recomendaciones del presente informe, que

además incluye las correspondientes medidas correctoras o complementarias.

Adicionalmente, se han propuesto una serie de recomendaciones que, son de

obligado cumplimiento y recomendamos que sean valoradas. El detalle de estas

medidas se incluye en el Apartado Recomendaciones del presente informe.


81

Por último, se recuerda a la entidad Ayuntamiento de Sondika, que sus

Responsables de Seguridad deben analizar el presente informe de auditoría y elevar

al Ayuntamiento, las conclusiones que resulten para que ésta adopte las medidas

correctoras adecuadas.

Firma

AYUNTAMIENTO DE SONDIKA Auditoría sobre el … Pertsonaleko... · ISO 17799, ISO Security Plans,...

Documents

Transcript of AYUNTAMIENTO DE SONDIKA Auditoría sobre el … Pertsonaleko... · ISO 17799, ISO Security Plans,...