Gestion de Control Des Datos de Caracter Persoal

7/25/2019 Gestion de Control Des Datos de Caracter Persoal

1/18


2/18

PROCEDIMIENTO GENERAL

GESTINY CONTROL DE DATOS DE CARCTER PERSONALRAZN SOCIAL DE LA

EMPRESACdigo PG-13 Edicin 0

FECHA DE ENTRADA EN VIGOR:

Realizado: Revisado y aprobado:1

ndice:

1. TABLA RESUMEN..................................................................................... 2

2. OBJETO................................................................................................... 2

3. ALCANCE................................................................................................. 2

4. RESPONSABILIDADES ............................................................................ 3

5. ENTRADAS .............................................................................................. 4

6. SALIDAS ................................................................................................. 4

7. PROCESOS RELACIONADOS .................................................................... 4

8. DIAGRAMA DE FLUJO.............................................................................. 5

9. DESARROLLO.......................................................................................... 6

9.1. GESTIN Y CONTROL DE LOS DATOS................................................ 6

10. ARCHIVO ............................................................................................ 13

11. DEFINICIONES ................................................................................... 13

12. FORMATOS Y REFERENCIAS................................................................ 14


3/18




2

1. TABLA RESUMENSECTORES TODOS, EN GENERAL

TIPOLOGA DEL PROCESO GENERAL

PROCESOGESTIN Y CONTROL DE DATOS DECARCTER PERSONAL

RESPONSABLE PROCESO GERENCIA

PROCESOS RELACIONADOS TODOS LOS PROCESOS

ENTRADAS: NECESIDAD DEADAPTARSE A REQUISITOS LEGALESDE PROTECCIN DE DATOSPERSONALES

RESPONSABLE: GERENCIA

SALIDAS: CUMPLIMIENTO DE LALOPD EN TODOS LOS MBITOS DE LAEMPRESA

RESPONSABLE: RESPONSABLE DESEGURIDAD

2. OBJETOEn este procedimiento se describe la sistemtica a seguir para llevar a cabo laadaptacin de una empresa a la normativa sobre proteccin de datos personales,teniendo como resultado final el cumplimiento de dichos requisitos legales.

3. ALCANCE

El proceso empieza con la determinacin de la situacin actual en materia deproteccin de datos de carcter personal, incluyendo la identificacin de aquellosficheros, en soporte informtico o de otro tipo, afectados por la ley orgnica deproteccin de datos de carcter personal.

Actividades a las que afecta este proceso:

Todas las actividades.


4/18




3

4. RESPONSABILIDADES

-Empresa responsable del tratamiento:

Responsable de seguridad:- Inscripcin de los ficheros en el Registro General de la Proteccin de Datos.Artculo 26 LOPD. Artculos 5 y 6 R.D. 1332/1994, de 20 de Junio.

- Redaccin de los contratos, formularios y clusulas necesarias para larecogida de datos, los tratamientos por terceros y las cesiones ocomunicaciones de datos.

- Informar al titular de los datos sobre la existencia y finalidad del fichero,quin es el responsable del mismo y de que forma puede ejercer los

derechos de acceso, rectificacin, oposicin y cancelacin.- Obtener el consentimiento del afectado en los casos en que sea preceptivo.

- Respetar la calidad y exactitud de los datos y su utilizacin exclusivamentepara el fin para el que se recogieron.

-Empresa encargada del tratamiento:

Responsable de seguridad:- Adoptar y hacer cumplir al personal que debido a su trabajo tenga accesoa los ficheros las obligaciones establecidas en el contrato como el deber desecreto y las medidas de seguridad observadas.

- Aplicar y promover el cumplimiento de las medidas de seguridad detalladasen el Documento de Seguridad.

- Formacin del personal usuario de los ficheros de datos de carcterpersonal.

- Destruccin o devolucin de los soportes que contengan datos de carcterpersonal a la empresa responsable del tratamiento al finalizar el servicio.


5/18




4

Personal usuario de datos de carcter personal:- Seguir las prcticas descritas en el Documento de Seguridad en lo queafecte a su trabajo, especialmente en cuanto a sus funciones y obligaciones,el procedimiento de notificacin, gestin y respuestas ante las incidencias ylas instrucciones relativas al registro de soportes (inventario), copias deseguridad, incidencias, autorizaciones firmadas para la salida o recuperacinde datos, etc.

- Deber de guardar secreto sobre los datos que contengan los ficheros.

Gerencia:- Asignar un Responsable de Implantacin de Proteccin de datos, quepuede coincidir o no con el Responsable de seguridad o tratarse de unaempresa externa.

- Nombramiento y/o Visto Bueno a la persona que ejerce como Responsablede Seguridad.

- Gestin de la formacin del Responsable de Seguridad.

5. ENTRADASEl proceso da comienzo con el estudio, evaluacin y clasificacin de los ficheros dedatos personales existentes en la empresa.

6. SALIDAS

El proceso finaliza con la adecuacin de la organizacin a los requisitos de lalegislacin existente sobre la proteccin de datos personales.

7. PROCESOS RELACIONADOS

Todos los procesos de la organizacin.


6/18




5

8. DIAGRAMA DE FLUJO

NOTA: El nmero que aparece en cada etapa indica el punto del apartado 9 delprocedimiento, DESARROLLO al que pertenece.


7/18




6

9. DESARROLLO

9.1. GESTIN Y CONTROL DE LOS DATOSA. ESTUDIO, EVALUACIN Y CLASIFICACIN DE LOS FICHEROS

En primer lugar el Responsable de Implantacin realizar un diagnstico inicialsobre la situacin de partida de la empresa., en cuanto a los datos de carcterpersonal que se manejan.

Inicialmente se estudiarn los ficheros existentes, viendo:

su cantidad (nmero de ficheros existentes). dentificando la titularidad de los ficheros de datos.

Para la identificacin de aquellos ficheros de datos de carcter personal, ha decumplirse que contengan una relacin de datos a partir de la que se puedaidentificar a una persona. As, por ejemplo, un listado de nombres de personas noes un fichero, pero un listado donde se detalle el nombre y el D.N.I., nombre ytelfono, etc., s lo es.

Asimismo se ha de tener en cuenta que la extensin del fichero no es relevante,sino el nmero de ficheros que contengan datos de carcter personal susceptiblesde ser protegidos.

Los ficheros de datos personales pueden encontrarse en soporte informtico o ensoporte papel.

En soporte informtico se pueden encontrar como bases de datos, hojas de excel,archivos de Word, etc. Generalmente los ficheros informticos existentes con datosde carcter personal son aquellos relativos al propio personal de la organizacin, losrelativos a empresas clientes y los relacionados con los proveedores.

En soporte papel es habitual encontrar nminas, presupuestos, albaranes, facturas,contratos, etc. siempre que incluyan datos de carcter personal. En el caso de queeste tipo de archivos estn afectados por la Ley, se separan fsicamente de otrosdocumentos y se guardan bajo llave, de la que slo dispone el personal autorizado.


8/18




7

IDENTIFICACIN DE AQUELLOS FICHEROS PARA LOS QUE EXISTATRATAMIENTO DE DATOS POR TERCEROS

La empresa que gestiona una prestacin de servicios a un cliente, donde seincluyan, entre otros elaboracin de nminas, contratacin, tramitacin dedocumentacin ante la Seguridad Social, etc. estar trabajando con datospersonales, por lo que es considerado como Encargado del Tratamiento de los datossegn la LOPD, mientras que la empresa cliente a la que presta servicio esconsiderada Responsable del Tratamiento.

El tratamiento de datos por terceros deber estar regulado en un contrato quehabr de constar por escrito o en alguna otra forma que permita acreditar sucelebracin y contenido.

En dicho contrato, consensuado entre ambas partes, se ha de hacer mencinexpresa a lo siguiente:

- Descripcin detallada de las prestaciones a realizar.

- Finalidad de la prestacin.

- Indicacin de que la empresa como encargadada del tratamiento,nicamente tratar los datos conforme a las instrucciones de la empresacliente y no los aplicar o utilizar con fin distinto al que figure en dichocontrato, ni los comunicar, ni siquiera para su conservacin, a otraspersonas.

- Indicacin de las medidas de seguridad que la empresa encargada deltratamiento est obligada a implementar. Debe tenerse en cuenta que la Leyestablece unas medidas de seguridad de mnimos, pudiendo pactarsemedidas de seguridad ms estrictas que las contempladas en el Reglamentode Medidas de Seguridad (Real Decreto 994/1999, de 11 de junio). Loaconsejable es que estas medidas se pacten con un nivel aceptable dedetalle intentando alejarse de generalidades, ya que a la hora de dirimirresponsabilidades esta circunstancia ser de gran ayuda.

- Referencia a la obligacin de la empresa de guardar secreto profesionalrespecto a los datos objeto de tratamiento mientras est en curso laprestacin y una vez finalizada sta.

- Referencia a que una vez realizado el servicio o bien en el supuesto de suresolucin, los datos de carcter personal que pudieran permanecer enpoder del Encargado del Tratamiento, debern ser destruidos o devueltos alResponsable del Fichero, al igual que cualquier soporte o documento en queconste algn dato de carcter personal objeto del tratamiento.

El cliente como responsable del fichero, debe promover la realizacin del contrato,aunque la LOPD no determina quin lo debe promover, puesto que es el garante delos datos que posteriormente "presta" al encargado del tratamiento.

En ltimo caso, lo importante es que el contrato tiene que existir, ya que es unaobligacin legal, por lo que el encargado del tratamiento debera preocuparse derealizarlo en el caso de que el responsable del fichero no lo haga, ya que en el


9/18




8

supuesto de un conflicto ante la Agencia Espaola de Proteccin de Datos es posibleque las sanciones se extendieran a las dos figuras.

IDENTIFICACIN DE AQUELLOS FICHEROS PARA LOS QUE EXISTA CESINDE DATOS

En el caso de que exista cesin de ficheros con datos de carcter personal entre dosorganizaciones, no es obligatoria la realizacin de un contrato entre ambas.

En este caso se habrn de redactar y aplicar las clusulas necesarias para recabarel consentimiento de los afectados/interesados, es decir, de los cedentes de datospersonales que les conciernen. La empresa que recibe los datos tambin tendr queregistrar estos ficheros en la Agencia de Proteccin de Datos, al igual que laempresa cedente.

A la hora de registrar el fichero, la empresa cedente de los datos detallar el titulardel fichero, la finalidad de los datos, a quin se ceden y por qu motivo, y en dondepueden los afectados ejercer sus derechos de acceso, cancelacin, oposicin yrectificacin.

No es necesario el consentimiento del afectado para la cesin o comunicacin de losdatos, entre otros, en los siguientes casos:

- Cuando la cesin est autorizada por una Ley.

- Cuando se trate de datos recogidos de fuentes accesibles al pblico.

- Cuando la comunicacin que deba efectuarse tenga por destinatario alDefensor del Pueblo, el Ministerio Fiscal, los Jueces, Tribunales o el Tribunalde Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampocoser preciso el consentimiento cuando la comunicacin tenga comodestinatario a instituciones autonmicas con funciones anlogas al Defensordel Pueblo o al Tribunal de Cuentas.

- Cuando la cesin se produzca entre Administraciones Pblicas y tenga porobjeto el tratamiento posterior de los datos con fines histricos, estadsticoso cientficos.

- Cuando la cesin de datos de carcter personal relativos a la salud seanecesaria para solucionar una urgencia que requiera acceder a un fichero opara realizar los estudios epidemiolgicos en los trminos establecidos en lalegislacin sobre sanidad estatal o autonmica.

OBLIGACIONES DE LA EMPRESA ENCARGADA DEL TRATAMIENTO

La empresa est obligada a tratar los datos conforme a las instrucciones dadas porel cliente responsable del tratamiento, no pudiendo destinar los datos a otrafinalidad distinta a la establecida en el contrato, ni ceder los datos a terceros, nisiquiera para su conservacin. En este caso ser considerada, tambin, responsabledel tratamiento, respondiendo de las infracciones en que hubiera incurrido

personalmente.


10/18




9

En cuanto a la inscripcin de ficheros en el Registro General de Proteccin deDatos, la obligacin de notificar los ficheros para su inscripcin recae sobre laresponsable del fichero.

Asimismo, hay que indicar que la empresa adems de estar obligada a adoptar ycumplir las adecuadas medidas de seguridad, debe comunicar y hacer cumplir entresus trabajadores aquellas obligaciones que se establecen en el contrato, como, porejemplo, las relativas al deber de secreto y las medidas de seguridad que se debenobservar.

Por ltimo, hay que mencionar que la empresa encargada del tratamiento una vezconcluida la prestacin, debe destruir o devolver a la empresa responsable deltratamiento los soportes o documentos en que conste algn dato de carcterpersonal.

OBLIGACIONES QUE RECAEN SOBRE EL CLIENTE COMO RESPONSABLE DELFICHERO:

Entre ellas se encuentra la de presentar la solicitud de inscripcin en el RegistroGeneral de Proteccin de Datos indicando en ella, entre otras cuestiones, laexistencia de una prestacin de servicios, con la necesidad de identificar aencargada do tratamento.

Muchas veces el responsable del tratamiento pone de manifiesto la existencia devarios encargados para un mismo fichero. En estos casos, la Agencia Espaola deProteccin de Datos recomienda especificar como encargado del tratamiento a la

entidad principal que realice dichas funciones.

Un error habitual que se produce en la prctica al cumplimentar el modelo denotificacin consiste en considerar como encargado del tratamiento al personal quetrabaja por cuenta del responsable del fichero. En estos casos, la Agencia Espaolade Proteccin de Datos ha reiterado que una persona que trabaja bajo ladependencia o autoridad directa del responsable (el abogado, el economista, elgraduado social, etc.), debido a una relacin contractual dentro del mbito delderecho laboral, no tiene la consideracin de encargado del tratamiento.

Eso no significa que no se puedan exigir responsabilidades a un miembro de laempresa encargada do tratamento, ya que en el marco de la relacin laboral el

trabajador tiene una serie de obligaciones y responsabilidades en materia deproteccin de datos, como, por ejemplo, el deber de guardar secreto.

NIVEL DE SEGURIDAD ASOCIADO A UN FICHERO

Se establecer el nivel de seguridad aplicable a los ficheros que contengan datos decarcter personal.

En el reglamento de medidas de seguridad de los archivos automatizados quecontengan datos de carcter personal (Real Decreto 994/1999) se detallan losrequisitos mnimos de los niveles bsico, medio o alto y que se han recogido en elAnexo I al presente procedimiento.


11/18




10

Aquellos datos relativos a cuentas bancarias, embargo, morosidad, etc. se puedenclasificar como de nivel medio.

B. VERIFICACIN DE MEDIDAS DE SEGURIDAD FSICAS Y LGICAS

El responsable de implantacin verificar el cumplimiento actual de la LOPD (LeyOrgnica de Proteccin de Datos) en la empresa, y comprobar la adecuacin de losficheros a medidas de seguridad del reglamento, determinando:

- Qu poltica de contraseas se va a adoptar de manera que el personaldesignado pueda acceder a aquellos ficheros a los que tenga acceso.

- Validacin en el servidor (que el servidor reconozca al personal designadoa travs de su contrasea y le d permiso para acceder nicamente a los

archivos que le correspondan).

Asimismo determinar las medidas de seguridad fsicas a adoptar, en el sentido dela forma de segregar dichos ficheros (por ejemplo, en una habitacin cerrada conllave) y tambin verificar que el acceso a los ficheros slo lo puedan realizar laspersonas autorizadas.

Tambin proceder a la verificacin de que se cumple el procedimiento sobre larealizacin de copias de seguridad: ejecucin peridica (como mnimo semanal,aunque se recomienda diaria) y su registro, siguiendo las directrices delprocedimiento "Control de los documentos".

C. REDACCIN DEL DOCUMENTO DE SEGURIDAD

El responsable de implantacin y/o el responsable de seguridad redactar lasmedidas de seguridad a aplicar sobre los ficheros existentes, las cuales seconcretarn en el Documento de Seguridad.

El Documento de Seguridad recoger las medidas adoptadas por parte delencargado del tratamiento en cuanto a la proteccin de los ficheros de datos decarcter personal, que se determinarn en funcin del nivel correspondiente,estando a disposicin de la Agencia de Proteccin de Datos.

Este documento es la pieza clave en la adaptacin de las organizaciones a la LOPD

y sobre la que va a versar la actuacin de la persona que se designe comoresponsable de seguridad.

El contenido principal de este Documento queda estructurado como sigue:

-mbito de aplicacin.

-Medidas, normas, procedimientos, reglas y estndares encaminados agarantizar los niveles de seguridad exigidos.

-Procedimiento general de informacin al personal.

-Funciones y obligaciones del personal.


12/18




11

-Procedimiento de notificacin, gestin y respuestas ante las incidencias.

-Procedimientos de revisin.

-Consecuencias del incumplimiento del Documento de Seguridad.

-Anexo I. Aspectos especficos relativos a los diferentes ficheros.

-Anexo I a. Aspectos relativos al fichero (nombre del fichero a)

-Anexo I b. Aspectos relativos al fichero (nombre del fichero b)

-etc.

-Anexo II. Nombramientos.

-Anexo III. Autorizaciones firmadas para la salida o recuperacin de datos.

-Anexo IV. Inventario de soportes (si se gestiona en papel).

-Anexo V. Registro de Incidencias (si se gestiona en papel).

-Anexo VI. Contratos o clusulas de encargados de tratamiento, si existen,de acuerdo con lo indicado en el artculo 12 de la LOPD.

-Anexo VII: Registro de entrada y salida de soportes.

Para la redaccin de las medidas y procedimientos del documento se seguir elmodelo de la Agencia Espaola de Proteccin de Datos, disponible en la pgina webwww.agpd.es.

El responsable de seguridad deber mantener actualizado el Documento deSeguridad de forma permanente, modificndolo total o parcialmente si se producecualquier modificacin relevante en los sistemas de informacin, automatizados ono, en la organizacin de los mismos, o en las disposiciones vigentes en materia deseguridad de los datos de carcter personal, lo que conllevar la revisin de lanormativa incluida.


13/18




12

D. COMUNICACIN DE LOS FICHEROS DE LA ENTIDAD A LA AGENCIA DEPROTECCIN DE DATOS.

El cliente que contrata los servicios de responsable del tratamiento, est obligadopor la legislacin a notificar a la Agencia de Proteccin de Datos la existencia de losficheros.

La persona designada por la Gerencia llevar a cabo el registro de ficheros,elaborando la documentacin necesaria para la inscripcin/es de los ficherosexistentes en el Registro General de la Agencia de Proteccin de Datos.

Sern objeto de inscripcin en el Registro General de Proteccin de Datos lossiguientes ficheros:

- Los de titularidad privada.

- Las autorizaciones de transferencias internacionales de datos de carcterpersonal con destino a pases que no presten un nivel de proteccinequiparable al que presta la LOPD a que se refiere el art. 33.1 de la LOPD.

- Los cdigos tipo, a que se refiere el artculo 32 de la LOPD.

- Los datos relativos a los ficheros que sean necesarios para el ejercicio delos derechos de los ciudadanos de informacin, acceso, rectificacin,cancelacin y oposicin de los datos.

La notificacin se puede realizar telemticamente o mediante los formulariosnormalizados de notificacin de ficheros en formato papel, cada uno de los que seenviar a la Agencia Espaola de Proteccin de Datos, junto con hoja de solicitudfirmada por persona con representacin suficiente. En ambos casos, para realizar lainscripcin de los ficheros, se recurrir a descargas gratuitas desde la pgina de laAgencia (www.agpd.es), en el primer caso el programa gratuito de ayuda y en elsegundo el formulario, junto con las instrucciones de cumplimentacin.

E. AUDITORA

La legislacin obliga a la realizacin de auditoras, para ficheros informatizados dedatos de carcter personal, de forma peridica, cada 2 aos.

En el caso de ficheros de nivel bsico, aunque no sea exigible legalmente, esrecomendable llevar a cabo, tambin con carcter bianual, auditoras.

La legislacin obliga a las organizaciones a someter los sistemas e instalaciones aauditora y a que los informes de auditora sean analizados por el responsable deseguridad, que elevar las conclusiones al responsable del fichero para que adoptelas medidas correctoras adecuadas y quedarn a disposicin de la Agencia Espaolade Proteccin de Datos. De ello se desprende que, una vez elaborado el informe deauditora, el responsable de seguridad deber comunicar sus resultados alresponsable del fichero, que adoptar las medidas pertinentes.


14/18




13

10. ARCHIVO

Toda la documentacin resultante de la gestin y control de los datos de carcterpersonal ser archivada y controlada de acuerdo a lo dispuesto en la legislacin, ypor el personal autorizado para ello.

11. DEFINICIONES

Proteccin de datos: Derecho de todo ciudadano a que sus datos no seanutilizados sin la autorizacin ni proteccin debida.

Fichero de datos: Conjunto organizado de datos, cualquiera que sea lamanera en que est organizado.

Usuario: Sujeto o proceso autorizado para acceder a los datos.

Datos de Nivel bsico: Ficheros que contengan datos de carcter personal.

Datos de Nivel medio: Ficheros que contengan datos relativos a la comisinde infracciones administrativas o penales, Hacienda Pblica, serviciosfinancieros y los que se rijan por el artculo 29 de la LOPD (prestacin deservicios de solvencia y crdito).

Datos de Nivel alto: Ficheros que contengan datos de ideologa, religin,creencias, origen racial, salud o vida sexual as como los recabados parafines policiales sin consentimiento de las personas afectadas.

Documento de Seguridad: Es el documento mediante el que se elaboran yadoptan las medidas tcnicas y organizativas necesarias para garantizar laseguridad de los datos de carcter personal. Dichas medidas son de obligadocumplimiento para el responsable del archivo, o, en caso de existir, para elencargado del tratamiento.

Responsable del fichero o tratamiento: la empresa que contrata los serviciosexternos. sta es considerada como la responsable del fichero de datos,

siempre y cuando decida sobre la finalidad, contenido y uso del tratamientode los datos. En el caso de que la finalidad, el contenido y el uso deltratamiento de los datos sea determinada no por la empresa, sino por laasesora o gestora, nos encontraramos formalmente ante una cesin ocomunicacin de datos y no ante una prestacin de servicios (la Ley lo llamaacceso a los datos por cuenta de terceros).

Encargado del tratamiento: Encargado del tratamiento es aquella personafsica o jurdica que sola o conjuntamente con otros, trata datos de carcterpersonal por cuenta del responsable del tratamiento, conforme a susinstrucciones.


15/18




14

Agencia de Proteccin de Datos: Ente de Derecho Pblico, que tiene comofin velar por el cumplimiento de la normativa sobre la proteccin de datospersonales informatizados y controlar su aplicacin.

Tambin realiza otras funciones, como:

- Administrar el Registro General de Proteccin de Datos, que es elrgano al que corresponde velar por la publicidad de la existencia dedatos de carcter personal.

- Realiza inspecciones en las empresas a instancia de los afectados ode oficio.

- Dicta instrucciones y recomendaciones.

- Instruye y resuelve los expedientes sancionadores por la comisinde las infracciones previstas en la Ley.

Cdigos tipo: Son cdigos deontolgicos o de buena conducta o prcticaprofesional. Dichos cdigos establecen la poltica concreta que unadeterminada empresa va a seguir en lo que se refiere a la proteccin dedatos (ms informacin en la pgina web de la Agencia, www.agpd.es,donde se publican cdigos inscriptos en el Registro General de Proteccin dedatos, entre ellos de distintas asociaciones profesionales y de Telefnica,S.A.). Su elaboracin es voluntaria, puesto que para cumplir con lospreceptos de la ley slo hace falta respetar lo en ella establecido.

12. FORMATOS Y REFERENCIAS

Resumen de medidas de seguridad.


16/18




15

RESUMEN DE MEDIDAS DE SEGURIDAD

Medidas mnimas de seguridad de los archivos que contengan datos decarcter personal (RD/994/1999)

NIVEL BSICO

CARACTERSTICAS DEL DOCUMENTO DE SEGURIDAD

- mbito de aplicacin.

- Medidas, normas, procedimientos, reglas y estndares de seguridad.

- Funciones y obligaciones del personal.- Estructura y descripcin de archivos y sistemas de informacin.

- Procedimiento de notificacin, gestin y respuesta ante incidencias.

- Proced. realizacin copias de respaldo y recuperacin de datos.

PERSONAL QUE TRABAJA CON DATOS DE NIVEL BSICO

- Funciones y obligaciones claramente definidas y documentadas.

- Difusin entre el personal de las normas que les afecten y de las consecuenciaspor incumplimiento.

INCIDENCIAS QUE SE PRODUZCAN

- Registrar tipo de incidencia, momento en que se producieron, persona que lanotifica, persoa a la que se le comunica y efectos derivados.

MEDIDAS DE IDENTIFICACIN Y AUTENTIFICACIN DEL PERSONAL

- Relacin actualizada de usuarios y accesos autorizados.

- Procedimientos de identificacin y autentificacin.

- Criterios de accesos.

- Procedimientos de asignacin y gestin de contraseales y periodicidad con quese cambian.

- Almacenamiento ininteligible de contraseales activas.CONTROL Y ACCESO A USUARIOS

- Cada usuario acceder unicamente a los datos y recursos precisos para eldesarrollo de sus funciones.

- Mecanismos que eviten el acceso a datos o recursos con derechos distintos de losautorizados.

- Concesin de permisos de acceso slo por el personal autorizado.


17/18




16

GESTIN DE LOS SOPORTES UTILIZADOS

- Identificar el tipo de informacin que contiene.- Inventario.

- almacenamiento con acceso restringido.

- Salida de soportes autorizada por el responsable del archivo.

COPIAS DE RESPALDO/SEGURIDAD

- Verificar la definicin y aplicacin de los procedimientos de copias y recuperacin.

- Garantizar la reconstruccin de los datos en el estado en que se encontraban enel momento de producirse la prdida o destruccin.

- Copia de respaldo, por lo menos semanal.

NIVEL MEDIO

CARACTERSTICAS DEL DOCUMENTO DE SEGURIDAD

- Identificacin del responsable de seguridad.

- Control peridico del cumplimiento del documento.

- Medidas a adoptar en caso de reutilizacin o destruccin de soportes.

INCIDENCIAS QUE SE PRODUZCAN

- Registrar realizacin de procedimientos de recuperacin de los datos, persona quelo ejecuta, datos restaurados y grabados manualmente.

- Autorizacin por escrito del responsable del archivo para su recuperacin.

MEDIDAS DE IDENTIFICACIN Y AUENTIFICACIN DEL PERSONAL

- Se estblecer el mecanismo que permita la identificacin de forma inequvoca ypersonalizada de todo usuario y la verificacin de que est autorizado.

- Lmite de intentos reiterados de acceso no autorizado.

CONTROL DE ACCESO A USUARIOS

- Control de acceso fsico a los locales donde se encuentren situados los sistemasde informacin.


- Registro de entrada y salida de soportes.

- Medidas para impedir la recuperacin posterior de informacin de un soporte queva a ser rechazado o reutilizado.

- Medidas que impidan la recuperacin indebida de la informacin almacenada enun soporte que va a salir como consecuencia de operaciones de mantenimiento.


18/18




17

RESPONSABLE

- Uno o varios nombrados por el responsable del archivo.- Encargado de coordinar y controlar las medidas del documento.

- No supone delegacin de responsabilidad del responsable del archivo.

PRUEBAS

- Slo se realizarn si se asegura el nivel de seguridad correspondiente al tipo dearchivo tratado.

AUDITORA

- Por lo menos cada dos aos, interna o externa.

- Adecuacin de las medidas y controles.

- Deficencias y propuestas correctoras.

- Anlisis del responsable de seguridad y conclusiones al responsable del archivo.

- Adopcin de las medidas correctoras adecuadas.

NIVEL ALTO


- Cifrado de datos en la distribucin de soportes.

COPIA DE RESPALDO/SEGURIDAD

- Copia de respaldo y procedimientos de recuperacin en lugar diferente del que seencuentren los equipos.

REGISTRO DE ACCESOS

- Registrar usuario, hora, archivo, tipo acceso y registro accedido.

- Control del responsable de seguridad. Informe mensual.

- Conservacin 2 aos.

TELECOMUNICACIONES

- Transmisin de datos cifrada.

Los niveles son acumulativos y tienen la condicin de mnimo esigibles. Los accesos a travs de redes de telecomunicacins deben garantizar un nivel de

seguridad equivalente al de los accesos en modo local.

La ejecucin de trabajos fuera de los locales del emplazamiento del archivo debe serexpresamente autorizada por el responsable del archivo a garantizar el nivel deseguridad.

Los archivos temporales debern cumplir el nivel de seguridad correspondiente ysern borrados una vez que dejen de ser necesarios

Los archivos de nivel bsico que contengan datos que permitan obtener unaevaluacin da personalidad del individuo debern garantizar, adems de las medidasde nivel bsico, las de nivel medio relativas a auditora, identificacin y autenticacin,control de acceso fsico y gestin de soportes.

Gestion de Control Des Datos de Caracter Persoal

Documents

Transcript of Gestion de Control Des Datos de Caracter Persoal