1 / 16

DOCUMENTO DE SEGURIDAD Encargo del tratamiento

Rev. 05 / Mar 2019

2 / 16

HISTORIAL DE MODIFICACIONES

Rev. Descripción

00 / Ene 2007 Edición inicial

01 / Oct 2009 Corrección tras auditoría LOPD

02 / Dic 2012 Corrección de cargos

03 / Oct 2015 Correcciones tras auditoría LOPD: Se incluye información sobre soportes automatizados y/o no automatizados; Se incluye historial de modificaciones; Se modifica la descripción del fichero “datos personales y de puestos de trabajo”. Se elimina el Anexo y se incorpora la información en el documento de Seguridad.

04 / Oct 2017 Se incorpora la comunicación de incidencias al Responsable de Fichero

05/ Mar 2019 Revisión y Adecuación RGPD y nueva norma LOPD 2018

Encargado del tratamiento Osarten Kooperatiba Elkartea NIF / CIF: F-20757779 Código de Actividad principal: 720 Dirección: PASEO JOSÉ MARÍA ARIZMENDIARRIETA, nº 1. Localidad: 20500 - MONDRAGÓN. GUIPUZCOA (ES) Teléfono: 943.79.00.90 Delegada de Protección de Datos : Esther Blázquez dpo@osarten.com Web: www.osarten.com

3 / 16

ÍNDICE 1. INTRODUCCIÓN ....................................................................................................................................... 4

2. OBJETO DEL DOCUMENTO .................................................................................................................... 5

3. ÁMBITO DE APLICACIÓN......................................................................................................................... 6

4. FUNCIONES Y OBLIGACIONES DEL PERSONAL ................................................................................. 8

4.1. Funciones y obligaciones del Responsable del Tratamiento ............................................................ 8

4.2. Funciones y obligaciones del Encargado del Tratamiento. .............................................................. 9

4.3. Funciones y obligaciones del Delegado de Protección de Datos ( DPD) ...................................... 10

4.4. Funciones y obligaciones de los Usuarios. ..................................................................................... 11

5. NORMAS Y PROCEDIMIENTOS DE SEGURIDAD ............................................................................... 11

5.1. Relación actualizada de usuarios con acceso autorizado .............................................................. 12

5.1.1. Notificación de altas y bajas de usuarios ................................................................................ 12

5.1.2. Notificación de variaciones del personal ................................................................................. 12

5.2. Procedimientos de control de acceso e identificación .................................................................... 12

5.2.1. Descripción de la asignación, distribución y almacenamiento de las mismas ........................ 12

5.2.2. Recomendaciones elaboradas para la configuración de contraseñas por los usuarios ......... 13

5.2.3. Bloqueos y desbloqueos de usuarios ..................................................................................... 13

5.3. Registro de incidencias ................................................................................................................... 13

5.4. Violaciones de seguridad ................................................................................................................ 14

5.5. Copias de respaldo y recuperación ................................................................................................. 14

5.6. Telecomunicaciones ........................................................................................................................ 15

6. AUDITORÍA .............................................................................................................................................. 16

7. ACTUALIZACIÓN DEL MANUAL DE SEGURIDAD ................................................................................ 16

7.1. Verificación ...................................................................................................................................... 16

7.2. Responsable de la actualización. .................................................................................................... 16

7.3. Introducción de los cambios en el Documento de Seguridad. ........................................................ 16

7.4. Aprobación del Responsable del Tratamiento ................................................................................ 16

4 / 16

1. INTRODUCCIÓN

El presente documento, han sido redactados en cumplimiento de lo dispuesto en el

Reglamento (UE) 2016/679 de Protección de Datos de carácter personal y la nueva LOPD 2018

y recoge la política de protección de datos de la empresa así como las medidas de índole

técnica y organizativa necesarias para garantizar la protección de las personas físicas en lo

que respecta al tratamiento de los datos de carácter personal.

El presente manual de protección de datos responde a la necesidad de la empresa como

responsable del tratamiento de cumplir con las obligaciones derivadas del Reglamento (UE)

2016/679 de protección de datos de carácter personal, teniendo en cuenta la infraestructura y

las circunstancias particulares de la organización.

El Responsable del Tratamiento, según el Reglamento (UE) 2016/679 de Protección de datos,

es la persona física y/o jurídica, privada o pública, que decide sobre el tratamiento de los

datos. Esta responsabilidad debe desarrollarla durante toda la "vida" del dato, es decir, desde

que este entra a formar parte del sistema de información hasta la eliminación del mismo.

Su condición de Responsable hace que está sujeto a los requerimientos establecidos en la

normativa y que, en consecuencia, tenga que observar cuantas obligaciones disponga el

Reglamento General de Protección de Datos (RGPD).

Para el cumplimiento de las obligaciones como encargado del tratamiento, al tratarse de

datos por cuenta de terceros y en virtud del art. 28 del Reglamento (UE) 2016/679 se estará a

lo dispuesto por la cláusulas contractuales que se recogen en contrato de encargo de

tratamiento.

5 / 16

2. OBJETO DEL DOCUMENTO Osarten presta diferentes servicios y pone a disposición de sus empresas asociadas y de empresas asociadas a Lagun Aro EPSV aplicaciones informáticas que incluyen datos de carácter personal. Osarten, con cada una de las empresas, de forma previa, ha firmado un contrato de encargo de tratamiento en el que se establece que la empresa es el Responsable de los ficheros y Osarten el Encargado del Tratamiento de los mismos. El presente Documento tiene por objeto recopilar la normativa y procedimientos vigentes en la Entidad, en todo lo relacionado con las medidas de seguridad y dar cumplimiento a los requerimientos exigidos por el RGPD, con el fin de informar sobre los mismos a las empresas Responsables del Tratamiento. El Documento, así como toda la documentación anexa, se encuentra bajo la custodia de la Delegada de Protección de Datos y será puesta a disposición de la Agencia Española de Protección de Datos, si fuera requerida. El documento de Seguridad estará a disposición de las empresas a través de la página web de Osarten www.osarten.com apartado Protección de Datos. El presente Manual de Seguridad responde a la obligación establecida en RGPD para garantizar la seguridad de los ficheros que contienen datos de carácter personal, los centros de tratamiento, equipos, sistemas, programas de esta Entidad y las personas que intervienen en el tratamiento de tales datos, sujetos a la normativa de Protección de Datos Personales. Al conjunto de los citados elementos o recursos se aludirá de forma indistinta como sistema de información o entorno informático de la Entidad. En el presente Manual de Seguridad se utilizará la siguiente terminología:

Fichero: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.

Sistema de información: conjunto de ficheros, tratamientos, programas, soportes y en su caso, equipos empleados para el tratamiento de datos de carácter personal.

Sistema de tratamiento: modo en que se organiza o utiliza un sistema de información. Atendiendo

al sistema de tratamiento, los sistemas de información podrán ser automatizados, no automatizados

o parcialmente automatizados

Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

Usuarios que intervienen en el tratamiento de datos personales: todos los usuarios -empleados

o colaboradores- que, en el desarrollo de sus funciones tengan acceso a la información con datos

de carácter personal y tienen que cumplir con las medidas de seguridad en materia de protección

de datos.

6 / 16

3. ÁMBITO DE APLICACIÓN Los recursos comprendidos en el ámbito de aplicación son los ficheros y las aplicaciones que tienen las empresas Responsables de los tratamientos, los equipos informáticos que las soportan y los locales donde están ubicados. En este sentido, el concepto de fichero es todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.

A continuación, se relacionan los ficheros con datos personales que se mantienen en la Entidad, con descripción del contenido, el nivel de seguridad que corresponde a cada fichero (de forma que se pueda discernir qué medidas de las contenidas en el presente Documento le son aplicables), junto con la razón de su clasificación.

Nombre fichero

Datos personales de trabajadores y puestos de trabajo

Datos de prevención y salud

Descripción del fichero

Almacena los datos personales de identificación de los trabajadores de la empresa y los datos relativos a los puestos de trabajo. (Estos datos habitualmente están incluidos en los Ficheros de Personal o RRHH)

Datos de prevención y de salud relativos a los historiales médicos de los empleados de la cooperativa, incluyendo accidentes laborales, enfermedades laborales, análisis clínicos, reconocimientos médicos, medicina asistencial, etc..

Nivel

Básico Alto

Razón de su clasificación

Contiene datos de carácter personal Contiene, entre otros, datos relativos a la salud de las personas.

Finalidad

Identificación de trabajadores y los puestos de trabajo de la empresa Gestión laboral

Vigilancia de la salud

Registro y comunicación de accidentes de trabajo y enfermedades del trabajo

Gestión y control sanitario

Investigación epidemiológica y actividades análogas

Uso

Información básica necesaria para asociar a cada persona su información en el uso en aplicaciones Informáticas. Datos no económicos de nómina

Aplicaciones Informáticas:

Empresas asociadas: Gestión de personas Puesto (WinSehtra), Gestión de la vigilancia de la salud (Historia clínica, WinMedtra), Prestación servicio de Laboratorio (Laboratorio), Gestión de Accidentes laborales (Accidentes), gestión de Enfermedades laborales (Historia clínica).

Empresas EPSV: Prestación servicio de Laboratorio (Laboratorio), Gestión de Accidentes laborales (Accidentes), gestión de Enfermedades laborales (Historia

7 / 16

Nombre fichero

Datos personales de trabajadores y puestos de trabajo

Datos de prevención y salud

clínica).Consentimientos

Datos de carácter identificativo

Nombre y Apellidos

D.N.I. / N.I.F.

N° S.S. / Mutualidad

Nombre y Apellidos

D.N.I. / N.I.F.

N° S.S. / Mutualidad

Datos de características personales

Fecha de nacimiento

Sexo

Fecha de nacimiento

Sexo

Características físicas o antropométricas

Datos especialmente protegidos

Salud

Otros datos Datos de la empresa de afiliación

Datos de la empresa de ubicación

Datos del puesto de trabajo (Solo empresas asociadas a Osarten)

Evaluación de riesgos del puesto de trabajo (Solo empresas asociadas a Osarten)

Soportes Automatizados: Aplicaciones informáticas, ficheros electrónicos

No automatizados: Formatos de comunicación en soporte papel

Automatizados: Aplicaciones informáticas, ficheros electrónicos

No automatizados: Formatos de comunicación en soporte papel

Responsable del tratamiento

Empresa asociada Empresa asociada a Lagun Aro EPSV

Empresa asociada Empresa asociada a Lagun Aro EPSV

Cesiones previstas No hay cesiones previstas en este fichero.

Análisis clínicos: Servicios de prevención ajenos (previo autorización responsable del fichero).

Transferencias internacionales

No hay. No hay

Procedencia de datos El propio interesado. El propio interesado

Personal de administración de las empresas: partes de accidentes de trabajo

Personal sanitario de las empresas: Vigilancia de la salud, medicina asitencial,

Personal sanitario de Osarten: análisis clínicos, reconocimientos de ingreso, vigilancia de la salud, medicina asistencial

Procedimiento de recogida

DNI o formularios Oralmente Formularios

Soportes utilizados para la recogida de datos

Soporte papel Soporte papel Aplicaciones informáticas

8 / 16

4. FUNCIONES Y OBLIGACIONES DEL PERSONAL

De conformidad con lo dispuesto en RGPD, las funciones y obligaciones de cada una de las

personas con acceso a los datos de carácter personal y a los sistemas de información deben

estar claramente definidas y documentadas.

El Responsable del Tratamiento adoptará las medidas necesarias para que el personal conozca

las normas de seguridad que afecten al desarrollo de sus funciones, así como las

consecuencias en que pudiera incurrir en caso de incumplimiento (MANUAL DE USUARIO PARA

LA PROTECCION DE DATOS).

Las figuras definidas para el cumplimiento de esta normativa se clasifican en las siguientes

categorías:

1. Responsable del tratamiento: la persona física o jurídica, autoridad, servicio u otro

organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si

el Derecho de la Unión o de los Estados miembros determina los fines y medios del

tratamiento, el responsable del tratamiento o los criterios específicos para su

nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros.

2. Encargado del tratamiento, que tiene básicamente las funciones de informar,

asesorar, supervisar el cumplimiento del RGPD y cooperar con la autoridad de control

Asimismo, coordina y controla las medidas de seguridad establecidas en el presente

Documento. Su designación no supone, en ningún caso, una delegación de la

responsabilidad que corresponde al Responsable del tratamiento.

3. Delegado de Protección de Datos, que tiene básicamente las funciones de informar,

asesorar, supervisar el cumplimiento del RGPD y cooperar con la autoridad de control.

Asimismo, coordina y controla las medidas de seguridad establecidas en el presente

Documento. Su designación no supone, en ningún caso, una delegación de la

responsabilidad que corresponde al Responsable del tratamiento.

4. Administrador del Sistema, que es el encargado de administrar o mantener el

entorno operativo.

5. Usuarios que intervienen en el tratamiento de datos personales: todos los

usuarios -empleados o colaboradores- que, en el desarrollo de sus funciones tengan

acceso a la información con datos de carácter personal y tienen que cumplir con las

medidas de seguridad en materia de protección de datos.

A continuación se describen las funciones y obligaciones que tienen que cumplir.

4.1. Funciones y obligaciones del Responsable del Tratamiento

El Responsable del Tratamiento, se encargará de adoptar las medidas de índole técnica y

organizativas necesarias que garanticen la seguridad de los datos de carácter personal

establecidos en el Reglamento.

9 / 16

Deberá:

Cuando hay encargo de tratamiento, entregar al ENCARGADO los datos a tratar

Realizar, cuando así proceda, una evaluación del impacto en la protección de datos

personales de las operaciones de tratamiento a realizar por el ENCARGADO.

Realizar las consultas previas que corresponda.

Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por

parte del ENCARGADO.

Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.

Derecho de información en el momento de la recogida de los datos.

Autorizar la cesión de datos

Autorizar la subcontratación del encargo del tratamiento de los datos.

Comunicar a Osarten los casos en los que debe otorgar el derecho de acceso,

rectificación, cancelación y oposición

Mantener actualizados:

o Datos de salud y enfermedades laborales: A través del servicio médico de cada

empresa (Excepto análisis clínicos que se realiza desde el Laboratorio de

Osarten)

o Datos personales y puesto de trabajo (Los datos de puestos solo empresas

asociadas a Osarten).

o Datos de accidentes laborales.

4.2. Funciones y obligaciones del Encargado del Tratamiento.

El Encargado del Tratamiento, bajo la supervisión del Responsable del Fichero, se encargará

de adoptar las medidas de índole técnica y organizativas necesarias que garanticen la

seguridad de los datos de carácter personal establecidos en el Reglamento.

Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión,

sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos

para fines propios.

Tratar los datos de acuerdo con las instrucciones de la EMPRESA. Si OSARTEN

considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición

en materia de protección de datos de la Unión o de los Estados miembros, OSARTEN

informará inmediatamente a la EMPRESA.

Llevar un registro de todas las categorías de actividades de tratamiento efectuadas por

cuenta de la EMPRESA, que contenga:

El nombre y los datos de contacto de cada responsable por cuenta del

cual actúe y, en su caso, del representante del responsable y del

delegado de protección de datos.

Las categorías de tratamientos efectuados por cuenta de cada

responsable.

En su caso, las transferencias de datos personales a un tercer país u

organización internacional, incluida la identificación de dicho tercer país u

organización internacional y, en el caso de las transferencias indicadas

en el artículo 49 apartado 1, párrafo segundo del RGPD, la

documentación de garantías adecuadas.

10 / 16

No comunicar los datos a terceras personas, salvo que cuente con la autorización

expresa de la EMPRESA, en los supuestos legalmente admisibles.

OSARTEN puede comunicar los datos a otros encargados del tratamiento

del mismo responsable, de acuerdo con las instrucciones de la EMPRESA.

En este caso, la EMPRESA identificará, de forma previa y por escrito, la

entidad a la que se deben comunicar los datos, los datos a comunicar y

las medidas de seguridad a aplicar para proceder a la comunicación.

Si OSARTEN debe transferir datos personales a un tercer país o a una

organización internacional, en virtud del Derecho de la Unión o de los

Estados miembros que le sean aplicables, informará a la EMPRESA de esa

exigencia legal de manera previa, salvo que tal Derecho lo prohíba por

razones importantes de interés público.

Mantener el deber de secreto respecto a los datos de carácter personal a los que haya

tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto.

Garantizar que las personas autorizadas para tratar datos personales se comprometan,

de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas

de seguridad correspondientes, de las que hay que informarles convenientemente.

Mantener a disposición de la EMPRESA la documentación acreditativa del cumplimiento

de la obligación establecida en el apartado anterior.

Garantizar la formación necesaria en materia de protección de datos personales de las

personas autorizadas para tratar datos personales. Dar apoyo a la EMPRESA en la

realización de las evaluaciones de impacto relativas a la protección de datos, cuando

proceda.

Dar apoyo a la EMPRESA en la realización de las consultas previas a la autoridad de

control, cuando proceda.

Poner disposición de la EMPRESA toda la información necesaria para demostrar el

cumplimiento de sus obligaciones, así como para la realización de las auditorías o las

inspecciones que realice la EMPRESA u otro auditor autorizado por él.

4.3. Funciones y obligaciones del Delegado de Protección de Datos ( DPD)

El DPD tendrá como mínimo las siguientes funciones (art 39 RGPD):

a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados

que se ocupen del tratamiento de las obligaciones que les incumben en virtud de

Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados

miembros;

b) supervisar el cumplimiento de lo dispuesto en el Reglamento, de otras disposiciones de

protección de datos de la Unión o de los Estados miembros y de las políticas del

responsable o del encargado del tratamiento en materia de protección de datos personales,

incluida la asignación de responsabilidades, la concienciación y formación del personal que

participa en las operaciones de tratamiento, y las auditorías correspondientes;

c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a

la protección de datos y supervisar su aplicación de conformidad con el artículo 35 del

Reglamento;

d) cooperar con la autoridad de control;

e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al

tratamiento, incluida la consulta previa a que se refiere el artículo 36 del Reglamento, y

realizar consultas, en su caso, sobre cualquier otro asunto.

11 / 16

4.4. Funciones y obligaciones de los Usuarios. .

A continuación, se expone de forma resumida, las obligaciones que deben observarse, por

parte de los usuarios, que aparecen recogidas en el Manual de Usuario (ENLACE):

Los puestos de trabajo estarán bajo la responsabilidad del usuario autorizado que

garantizará que la información que muestran no pueda ser visible por personas no

autorizadas.

Cuando se abandone un puesto de trabajo, bien temporalmente o bien al finalizar su

turno de trabajo, deberá dejarlo en un estado que impida la visualización de los datos

protegidos. Esto podrá realizarse a través de un protector de pantalla que impida la

visualización de los datos. La reanudación del trabajo implicará la desactivación de la

pantalla protectora con la introducción de la contraseña correspondiente.

En el caso de las impresoras deberá asegurarse que no quedan documentos impresos

en la bandeja de salida que contengan datos protegidos.

Cada usuario será responsable de la confidencialidad de su contraseña y, en caso de

que la misma sea conocida fortuita o fraudulentamente por personas no autorizadas,

deberá registrarlo como incidencia y proceder a su cambio.

Observar y cumplir el procedimiento de Protección de Datos, las Normas de seguridad

informática y las Funciones y Obligaciones de las personas que acceden a datos de

carácter personal protegidos por la LOPD, entre las que se destacan las siguientes

actuaciones:

o gestión de soportes (automatizados y no automatizados),

o gestión de incidencias

o uso de portátiles y dispositivos removibles

o ficheros temporales.

5. NORMAS Y PROCEDIMIENTOS DE SEGURIDAD

Osarten dispone de un Procedimiento interno para la Gestión de la Protección de Datos(

ENLACE) En dicho procedimiento se establece:

Funciones

Relaciones Responsable y Encargado de tratamiento

Consentimiento para el tratamiento de los datos y deber de información

Manual de seguridad

Autorización de acceso a los datos de carácter personal. Autorización de soportes.

Conservación de los datos

Medidas de seguridad en el tratamiento de los datos (Automatizados y no

automatizados)

Subcontratación de servicios

Procedimiento Salida / Entrada de Datos Personales

Cesión de datos

Ficheros temporales

Ejercicio de los derechos de acceso, rectificación, cancelación, supresión, limitación,

oposición al tratamiento, revocación del consentimiento, solicitud de portabilidad de los

datos.

Registro y gestión de las incidencias

12 / 16

5.1. Relación actualizada de usuarios con acceso autorizado En este apartado se describe la determinación del nivel de acceso para cada usuario, así como el procedimiento para las modificaciones de acceso y las bajas de usuarios:

5.1.1. Notificación de altas y bajas de usuarios Cuando se realiza un alta de un nuevo usuario, el Responsable de prevención de la empresa a la que pertenece rellena el formulario disponible en la web de para el alta de un nuevo usuario en el sistema de información.

a) Formatos de comunicación de recursos del Servicio de Prevención Mancomunado: www.osarten.com – SPM – Formatos de comunicación

Formularios alta Responsable de Prevención

Formulario comunicación Encargado de Prevención

Formulario de comunicación de Técnicos, Médicos o DUEs b) Formato de acceso a aplicaciones informáticas: www.osarten.com - Aplicaciones

Estos formularios debidamente completado se remite por correo electrónico a osarten@osarten.com. En este formulario se indica la persona a la que se debe dar de alta y la función que va a desarrollar. En el caso de los médicos y personal de enfermería, junto al formulario de solicitud de alta se debe incorporar fotocopia de los títulos académicos ya sea ordinario como de facultativo especialista. El Administrativo de Confor de Osarten dará de alta al usuario con el perfil definido. La aplicación lanza un documento en papel con su usuario y su contraseña (de un solo uso) que son remitidas por correo ordinario al interesado. El usuario asignado se configura comenzando siempre con las letras “lm” seguidas del código de la empresa junto con otros códigos adicionales aleatorios que se generan automáticamente. Para el acceso del propio trabajador a sus datos de salud a través de la página web de Osarten, la persona interesada rellena y presenta el formulario correspondiente y lo entrega personalmente al personal de laboratorio que le realiza la extracción de sangre. El personal de Laboratorio de Osarten, da de alta el usuario quien recibe en el correo electrónico que ha comunicado el usuario y contraseña con las indicaciones de que debe cambiar la contraseña. Osarten dispone de información a disposición de los responsables del tratamiento del Fichero del personal que accede a los datos de salud de su empresa.

5.1.2. Notificación de variaciones del personal La empresa notificará las variaciones en el personal (altas, bajas y cambios) que se produzcan, remitiendo esta información rellenando los formatos de comunicación disponibles en la web de Osarten www.osarten.com, para que se proceda a la actualización de la información de usuarios en el sistema.

5.2. Procedimientos de control de acceso e identificación La identificación y autenticación de los usuarios se realiza mediante la utilización de usuario y contraseña.

5.2.1. Descripción de la asignación, distribución y almacenamiento de las mismas La clave de acceso o palabra de paso, otorgada por el Administrativo de Confor de Osarten el momento del alta, será comunicada de manera segura al usuario (contraseña de un solo uso a través de email o se envía al usuario mediante correo ordinario).

13 / 16

Cualquier usuario que desee el cambio de contraseña o que haya olvidado su usuario o contraseña podrá solicitar al Administrativo de Confor o al Departamento de Informática de Osarten, que le genere una nueva de un solo uso. Esta clave se le enviará al correo electrónico que previamente ha aceptado como correo electrónico para el envío de comunicaciones. En el caso de que no tenga el correo electrónico confirmado, Si se ha generado desde Administrativo de Confor o desde el Departamento de Informática la nueva contraseña la recibe el Administrativo de Confor quien la transmite al usuario telefónicamente o a través de correo ordinario. Está expresamente prohibida la divulgación de la clave a otras personas, integrantes de la plantilla o ajenas a la entidad. El usuario será el responsable de todas las actividades realizadas sobre el sistema con su código de identificación, de ahí la importancia de mantener el carácter privado de la clave como forma de garantizar el carácter personal e intransferible del código. Todas las claves de usuario de acceso a los sistemas serán almacenadas cifradas. Los administradores de los sistemas crearán procedimientos, específicos para cada entorno, para la generación y cambio de contraseñas. Estos procedimientos, tras ser autorizados por la Delegada de Protección de Datos, tendrán carácter de norma.

5.2.2. Recomendaciones elaboradas para la configuración de contraseñas por los usuarios

La clave y contraseña de acceso a las aplicaciones es personal e intransferible. Queda prohibida su divulgación y se deberá modificar en el caso que se tengan indicios que la misma pueda ser conocida por terceros.

Ante cualquier problema, olvido o bloqueo de tu cuenta, se debe contactar con Administrativo de Confor o al Departamento de Informática de Osarten.

Política de contraseñas implantada.

Longitud mínima: 8 caracteres, formado por mayúsculas, minúsculas y algún número. Caducidad: 3 meses (pedirá una nueva contraseña).

Histórico: 8 contraseñas (no se podrán repetir las últimas 8).

Bloqueo del usuario: al 5º intento de acceso erróneo. Recomendaciones generales

No escribir la contraseña en ningún sitio.

Que sean fáciles de recordar.

5.2.3. Bloqueos y desbloqueos de usuarios Los bloqueos de códigos de usuarios serán efectuados de forma automática por el software de control de acceso específico de cada entorno, de acuerdo con los parámetros que se establezcan en el subsistema por el administrador del mismo.

El usuario afectado deberá ponerse personalmente en contacto con Administrativo de Confor o al Departamento de Informática de Osarten para solicitar el desbloqueo de su código.

5.3. Registro de incidencias

Una Incidencia es cualquier anomalía que afecte o pudiera afectar a la seguridad de los

datos.

14 / 16

El mantener un registro de las incidencias que comprometen la seguridad de los datos es una

herramienta imprescindible para la prevención de posibles ataques a esa seguridad, así como

la persecución de los responsables de los mismos.

A efectos orientativos, tendrán la consideración de incidencias los siguientes hechos:

Copias indebidas de datos en los puestos de trabajo.

Mal funcionamiento durante la realización de copias de seguridad.

Errores del sistema / transacciones / base de datos.

Caída del sistema.

Intento no autorizado de salida de soportes.

Cambio de ubicación física de los ficheros.

El registro de incidencias es de obligado cumplimiento para todos los que trabajan en

OSARTEN Koop. E. Afecta a la relación de Osarten con:

Sus trabajadores.

Las personas jurídicas (empresas) que demandan sus servicios.

Las personas físicas (particulares) que demandan sus servicios.

Cuando un usuario detecta una incidencia, la comunica a la Delegada de Protección de Datos

5.4. Violaciones de seguridad

Estaremos ante una violación de la seguridad cuando se produzca un evento que ocasione la

destrucción, pérdida o alteración accidental o ilícita de datos personales, cualquiera que sea la

forma de su tratamiento o la comunicación o acceso no autorizados a dichos datos.

Todo el personal de Osarten usuario de los soportes o sistemas automatizados o no, que tenga

conocimiento de hechos que hayan podido suponer una violación de seguridad que afecte a

datos personales, tiene el deber de comunicarlo a la Delegada de Protección de Datos lo antes

posible.

Esta notificación deberá recoger los aspectos más importantes de la brecha producida como son:

número de afectados, tipo de datos, las medidas de seguridad propuestas y/ o adoptadas

La DPD de Osarten debe poner en conocimiento del responsable del tratamiento los casos de violación de seguridad, los motivos y las medidas para subsanar, siendo el responsable de tratamiento quien lo comunicara a la autoridad de control y a los afectados

5.5. Copias de respaldo y recuperación

Con la finalidad de garantizar la integridad y la disponibilidad de los datos se realizan copias

de respaldo y recuperación que, en caso de fallo del sistema informático, permitan recuperar

y, en su caso reconstruir, los datos del fichero.

La política de salvaguardas es la siguiente:

15 / 16

Backups a cinta: se salva sobre el sistema de copias de Laboral Kutxa, para ello se utiliza una

caché de discos y 2 librerías de cintas. El software utilizado es NetBackup.

Base de datos:

Réplica en tiempo real sobre otra base de datos mediante Oracle data Guard. Mantiene

actualizada la BD en un host remoto (Laboral Kutxa) para en caso de desastre poder

switchear la producción a ese host.

Backup de los LOGS de bbdd cada hora con retención 5 días

Backup Full DIARIO de bbdd con retención 3 dias

Backup Full SEMANAL de bbdd con retención 1 mes (4 semanas)

Backup Full MENSUAL de bbdd con retención 3 meses

Backup Full ANUAL de bbdd con retención indefinida, en Diciembre

Ficheros:

Backup DIARIO, sólo ficheros modificados desde último Full, retención 1 semana

Backup Full SEMANAL con retención 1 mes (4 semanas)

Backup Full MENSUAL con retención 1 año

Backup Full ANUAL con retención indefinida, en Diciembre

Exchange:

Backup Full DIARIO con retención 1 semana

Backup Full SEMANAL con retención 1 mes (4 semanas)

Backup Full MENSUAL con retención 1 año

Backup Full ANUAL con retención indefinida, en Diciembre

Servidores virtuales VMware:

Backup DIARIO incremental, retención 1 semana

Backup Full SEMANAL con retención 1 mes (4 semanas)

Backup Full MENSUAL con retención 1 año

Backup Full ANUAL con retención indefinida, en Diciembre

5.6. Telecomunicaciones Como norma general, no se envían datos personales sensibles (nivel alto de seguridad), mediante correo electrónico o cualquier otro medio de transmisión electrónica. No obstante, se autorizan los siguientes envíos:

A los Servicios médicos de las empresas: datos de análisis clínicos, reconocimientos de ingreso, resultados de vigilancia de la salud u otros servicios de salud

A Servicios de prevención ajenos: datos de análisis clínicos. Si, previamente, se dispone de la autorización del Responsable del tratamiento para el envío de dichos datos.

En los casos en los que está autorizado la transmisión de información sensible mediante correo electrónico o cualquier otro medio de transmisión electrónica, esta información se enviará siempre encriptada.

16 / 16

6. AUDITORÍA

Anualmente se realizará una auditoría interna, que dictamine el correcto cumplimiento y la

adecuación de las medidas del presente Manual de Seguridad o las exigencias del RGPD y

LOPD 2018, identificando las deficiencias y proponiendo las medidas correctoras necesarias.

Los informes de auditoría serán conocidos por la Delegada de Protección de Datos, quien

propondrá al Responsable del Tratamiento las medidas correctoras correspondientes a través

de la página web de Osarten www.osarten.com.

7. ACTUALIZACIÓN DEL MANUAL DE SEGURIDAD

7.1. Verificación El Manual de Seguridad debe mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes, por ejemplo, en los sistemas de información o en la Entidad. Asimismo, el contenido del Manual deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal. La Auditoria interna constatará el nivel de cumplimiento del presente Documento, así como la veracidad y exactitud de los términos y datos contenidos y, en su caso, poder detectar anomalías y proponer su corrección. Debe observarse cualquier cambio organizativo, procedimental y/o técnico en los Sistemas de Información de la Entidad, que pudiera afectar a la estructura y/o medidas de seguridad implementadas en los ficheros que se han definido en el presente documento.

7.2. Responsable de la actualización. La Delegada de Protección de Datos será la encargada de coordinar las medidas definidas en el Documento de Seguridad y podrá realizar la actualización del Documento de Seguridad o proponer qué personas deben realizar este trabajo.

7.3. Introducción de los cambios en el Documento de Seguridad. El Manual de Seguridad se modificará siempre que se produzcan cambios significativos en:

La propia la estructura de los Tratamientos (cambio de finalidad, accesos por terceros, creación de nuevos ficheros, cambios significativos en los sistemas de información y en las aplicaciones, etc.).

Las medidas de obligado cumplimiento de la regulación de Protección de Datos.

Los cambios de organización (cambios departamentales, personal responsable, etc.).

7.4. Aprobación del Responsable del Tratamiento La realización de una nueva versión actualizada del Documento de Seguridad, requerirá la aprobación del Responsable del Tratamiento. Se le informará sobre los cambios en la organización, procedimentales y/o técnicos que afectarán a los ficheros, así como la forma en que se ha visto afectada el presente documento a través de la página web de Osarten www.osarten.com.