{"id":3,"date":"2024-10-04T14:30:22","date_gmt":"2024-10-04T14:30:22","guid":{"rendered":"http:\/\/sonocarphone.com\/?page_id=3"},"modified":"2024-10-15T16:28:22","modified_gmt":"2024-10-15T16:28:22","slug":"politica-privacidad","status":"publish","type":"page","link":"https:\/\/sonocarphone.com\/index.php\/politica-privacidad\/","title":{"rendered":"Pol\u00edtica de privacidad"},"content":{"rendered":"\n

Qui\u00e9nes somos<\/h2>\n\n\n\n

Texto sugerido: <\/strong>La direcci\u00f3n de nuestra web es: https:\/\/sonocarphone.com.<\/p>\n\n\n\n

Comentarios<\/h2>\n\n\n\n

Texto sugerido: <\/strong>Cuando los visitantes dejan comentarios en la web, recopilamos los datos que se muestran en el formulario de comentarios, as\u00ed como la direcci\u00f3n IP del visitante y la cadena de agentes de usuario del navegador para ayudar a la detecci\u00f3n de spam.<\/p>\n\n\n\n

Una cadena an\u00f3nima creada a partir de tu direcci\u00f3n de correo electr\u00f3nico (tambi\u00e9n llamada hash) puede ser proporcionada al servicio de Gravatar para ver si la est\u00e1s usando. La pol\u00edtica de privacidad del servicio Gravatar est\u00e1 disponible aqu\u00ed: https:\/\/automattic.com\/privacy\/. Despu\u00e9s de la aprobaci\u00f3n de tu comentario, la imagen de tu perfil es visible para el p\u00fablico en el contexto de tu comentario.<\/p>\n\n\n\n

Medios<\/h2>\n\n\n\n

Texto sugerido: <\/strong>Si subes im\u00e1genes a la web, deber\u00edas evitar subir im\u00e1genes con datos de ubicaci\u00f3n (GPS EXIF) incluidos. Los visitantes de la web pueden descargar y extraer cualquier dato de ubicaci\u00f3n de las im\u00e1genes de la web.<\/p>\n\n\n\n

Cookies<\/h2>\n\n\n\n

Texto sugerido: <\/strong>Si dejas un comentario en nuestro sitio puedes elegir guardar tu nombre, direcci\u00f3n de correo electr\u00f3nico y web en cookies. Esto es para tu comodidad, para que no tengas que volver a rellenar tus datos cuando dejes otro comentario. Estas cookies tendr\u00e1n una duraci\u00f3n de un a\u00f1o.<\/p>\n\n\n\n

Si tienes una cuenta y te conectas a este sitio, instalaremos una cookie temporal para determinar si tu navegador acepta cookies. Esta cookie no contiene datos personales y se elimina al cerrar el navegador.<\/p>\n\n\n\n

Cuando accedas, tambi\u00e9n instalaremos varias cookies para guardar tu informaci\u00f3n de acceso y tus opciones de visualizaci\u00f3n de pantalla. Las cookies de acceso duran dos d\u00edas, y las cookies de opciones de pantalla duran un a\u00f1o. Si seleccionas \u00abRecu\u00e9rdarme\u00bb, tu acceso perdurar\u00e1 durante dos semanas. Si sales de tu cuenta, las cookies de acceso se eliminar\u00e1n.<\/p>\n\n\n\n

Si editas o publicas un art\u00edculo se guardar\u00e1 una cookie adicional en tu navegador. Esta cookie no incluye datos personales y simplemente indica el ID del art\u00edculo que acabas de editar. Caduca despu\u00e9s de 1 d\u00eda.<\/p>\n\n\n\n

Contenido incrustado de otros sitios web<\/h2>\n\n\n\n

Texto sugerido: <\/strong>Los art\u00edculos de este sitio pueden incluir contenido incrustado (por ejemplo, v\u00eddeos, im\u00e1genes, art\u00edculos, etc.). El contenido incrustado de otras webs se comporta exactamente de la misma manera que si el visitante hubiera visitado la otra web.<\/p>\n\n\n\n

Estas web pueden recopilar datos sobre ti, utilizar cookies, incrustar un seguimiento adicional de terceros, y supervisar tu interacci\u00f3n con ese contenido incrustado, incluido el seguimiento de tu interacci\u00f3n con el contenido incrustado si tienes una cuenta y est\u00e1s conectado a esa web.<\/p>\n\n\n\n

\u00a0Seguridad<\/h1>\n\n\n\n

Ley Org\u00e1nica 15\/1999 del 13 de diciembre sobre<\/strong><\/p>\n\n\n\n

Protecci\u00f3n de Datos de Car\u00e1cter Personal<\/strong><\/p>\n\n\n\n

Real Decreto 1720\/2007 del 21 de diciembre sobre<\/strong><\/p>\n\n\n\n

Reglamento Desarrollo (RDLOPD)<\/strong><\/p>\n\n\n\n

Responsable Ficheros<\/td>SONOCAR PHONE SL<\/td><\/tr>
CIF<\/td>B82223538<\/td><\/tr>
Direcci\u00f3n<\/td>C\/ESCOSURA, 23<\/td><\/tr>
C.P.\u2013 Poblaci\u00f3n<\/td>28015 – MADRID<\/td><\/tr>
Provincia<\/td>MADRID (COMUNIDAD DE MADRID)<\/td><\/tr>
Pa\u00eds<\/td>ESPA\u00d1A<\/td><\/tr>
Fecha Documento<\/td>14\/05\/2018<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
OBSERVACIONES<\/strong><\/strong><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

El presente documento de seguridad debe mantenerse en todo momento actualizado, bajo la responsabilidad del Responsable de los Ficheros y en coordinaci\u00f3n la persona designada como Responsable de Seguridad.<\/em><\/p>\n\n\n\n

El contenido y normativa del presente Documento de Seguridad estar\u00e1 adecuado en todo momento a las disposiciones vigentes en materia de seguridad de datos de car\u00e1cter personal.<\/em><\/p>\n\n\n\n

Este documento no supone un pronunciamiento expl\u00edcito o impl\u00edcito sobre caracter\u00edsticas o situaciones no evidentes y no podr\u00e1 ser usado para una finalidad distinta de la que es objeto.<\/em><\/p>\n\n\n\n

Todas las personas de la empresa que tengan acceso a los datos de los Ficheros contemplados en este Documento, bien a trav\u00e9s del sistema inform\u00e1tico habilitado para acceder al mismo (aplicaciones espec\u00edficas de gesti\u00f3n, programas de  ofim\u00e1tica, \u2026 etc.), o bien a trav\u00e9s de cualquier otro medio de acceso al Fichero, se encuentran obligadas por ley a cumplir lo establecido en este documento, y sujetas a las consecuencias que pudieran incurrir en caso de incumplimiento.<\/em><\/p>\n\n\n\n

Una copia de este documento con la parte que le afecte ser\u00e1 entregada, para su conocimiento  a cada persona autorizada a acceder a los datos del Fichero, siendo requisito obligatorio para poder acceder a esos datos el haber firmado la recepci\u00f3n del mismo. <\/em><\/em><\/p>\n\n\n\n

INDICE GENERAL DE CONTENIDOS<\/em><\/strong><\/p>\n\n\n\n

DOCUMENTO DE SEGURIDAD<\/u><\/em><\/strong><\/p>\n\n\n\n

01 – INTRODUCCION<\/em><\/strong><\/p>\n\n\n\n

02 – AMBITO, RECURSOS Y MEDIDAS DE SEGURIDAD<\/em><\/strong><\/p>\n\n\n\n

03 – IDENTIFICACION DEL RESPONSABLE DEL FICHERO<\/em><\/strong><\/p>\n\n\n\n

04 – ACTUALIZACION Y COMUNICACI\u00d3N DEL PLAN<\/em><\/strong><\/p>\n\n\n\n

05 – PROCEDIMIENTO DE REVISION Y CONTROL<\/em><\/strong><\/p>\n\n\n\n

06 – PROCEDIMIENTO DE DERECHOS A.R.C.O.
07 – NORMAS<\/em><\/strong><\/p>\n\n\n\n

08 – PROCEDIMIENTOS<\/em><\/strong><\/p>\n\n\n\n

09 \u2013 FUNCIONES Y OBLIGACIONES DEL PERSONAL<\/em><\/strong><\/p>\n\n\n\n

10 \u2013 INCUMPLIMIENTO  DEL DOCUMENTO DE SEGURIDAD<\/em><\/strong><\/p>\n\n\n\n

11.- APROBACION<\/em><\/strong><\/p>\n\n\n\n

ANEXO AL DOCUMENTO DE SEGURIDAD<\/u><\/em><\/strong><\/p>\n\n\n\n

ANEXO DE FICHEROS<\/em><\/strong><\/p>\n\n\n\n

ANEXO DE RESUMEN GENERAL<\/em><\/strong><\/p>\n\n\n\n

01<\/strong><\/a><\/strong><\/td> <\/strong>INTRODUCCI\u00d3N<\/strong><\/a><\/strong><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Los ficheros a los que se aplica este documento son aquellos que contienen datos de car\u00e1cter personal y que se almacenan por medios inform\u00e1ticos y\/o papel<\/strong>, en las instalaciones de la empresa y de los encargados de tratamiento. Dichos ficheros se indican en el ANEXO <\/strong>del presente documento. Por otra parte, y para comodidad del Responsable de los Ficheros, se cubren todos los niveles de seguridad, es decir, nivel b\u00e1sico, nivel medio, y nivel alto, haciendo menci\u00f3n expl\u00edcita en este documento de las normas, medidas y procedimientos de cada nivel.<\/p>\n\n\n\n

El presente documento establece la normativa a seguir por todo el personal que tiene acceso a los datos de car\u00e1cter personal y a los sistemas de informaci\u00f3n rese\u00f1ados en el presente documento y sus anexos. Siendo de obligado cumplimiento.<\/p>\n\n\n\n

El Responsable de los ficheros, asume la responsabilidad de los ficheros notificados a la A.E.P.D. (Agencia Espa\u00f1ola de Protecci\u00f3n de Datos) y relacionados en el ANEXO<\/strong> de este documento, as\u00ed como la notificaci\u00f3n de futuros ficheros que se creen en el seno de la entidad.<\/p>\n\n\n\n

El responsable de los ficheros ha supervisado el presente Documento y ha dado las instrucciones precisas para implantar la normativa de seguridad en \u00e9l rese\u00f1ada e instruido en su conocimiento, a todo el personal afectado.<\/p>\n\n\n\n

Los ficheros de datos personales, usuarios, aplicaciones de acceso a datos, soportes y equipos inform\u00e1ticos afectados por el presente plan de seguridad, se registran en el ANEXO al presente documento.<\/p>\n\n\n\n

Salvo en aquellos casos en los que se asegure el nivel de seguridad correspondiente al tipo de fichero tratado, las pruebas anteriores a la implantaci\u00f3n o modificaci\u00f3n de los sistemas de informaci\u00f3n que tratan los ficheros con datos de car\u00e1cter personal, de nivel medio y alto, no se han realizado, ni se realizar\u00e1n con datos reales.<\/p>\n\n\n\n

02<\/strong><\/a><\/strong><\/td>AMBITO,  RECURSOS y MEDIDAS DE SEGURIDAD<\/strong><\/a><\/strong><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

\u00c1mbito de aplicaci\u00f3n<\/strong><\/p>\n\n\n\n

El \u00e1mbito de aplicaci\u00f3n del presente Documento de Seguridad<\/strong> y su Anexo<\/strong> son todos los ficheros que contengan datos de car\u00e1cter personal, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento automatizado de los datos de car\u00e1cter personal sujetos al r\u00e9gimen de la Ley Org\u00e1nica<\/strong> 15\/1999, de 13 de diciembre<\/strong>, de Protecci\u00f3n de los Datos de Car\u00e1cter Personal (L.O.P.D.)<\/p>\n\n\n\n

En el ANEXO,<\/strong> se describen detalladamente cada uno de los ficheros que trata la empresa, los sistemas de tratamiento, el nivel de seguridad y cuantos aspectos les afectan de manera particular. Se realiza tambi\u00e9n especificaci\u00f3n detallada de cada uno de los recursos protegidos. As\u00ed mismo, se especifican las medidas y normas internas adoptadas encaminadas a garantizar el nivel de seguridad exigido en este Reglamento.<\/p>\n\n\n\n

Todas las personas que tengan acceso a los datos de los Ficheros, relacionados en el presente documento, bien a trav\u00e9s de los sistemas inform\u00e1ticos, o bien a trav\u00e9s de cualquier otro medio de acceso a los mismos, se encuentran obligadas por Ley a cumplir lo establecido en este documento y sujetas a las consecuencias que pudieran incurrir en caso de incumplimiento.<\/p>\n\n\n\n

Una copia de este documento, con la parte que le afecte, ser\u00e1 entregada para su conocimiento a cada persona autorizada a acceder a los datos de los Ficheros, siendo requisito obligatorio para poder acceder a los datos el haber firmado la recepci\u00f3n del mismo.<\/p>\n\n\n\n

La relaci\u00f3n de las personas, debidamente autorizadas, para acceder a los ficheros o sistemas de tratamiento, figura en el anexo correspondiente.<\/p>\n\n\n\n

La protecci\u00f3n de los datos de los ficheros frente a accesos no autorizados se deber\u00e1 realizar mediante el control de todas las v\u00edas por las que se pueda tener acceso a dicha informaci\u00f3n.<\/p>\n\n\n\n

Recursos protegidos<\/strong><\/p>\n\n\n\n

Los recursos que, por servir de medio directo o indirecto para acceder al Fichero, deber\u00e1n ser controlados por esta normativa son:<\/p>\n\n\n\n

    \n
  1. Los centros de tratamiento y locales donde se encuentren ubicados los ficheros o se almacenen los soportes que los contengan.<\/li>\n\n\n\n
  2. Los puestos de usuario, bien locales o remotos, desde los que se pueda tener acceso al Fichero.<\/li>\n\n\n\n
  3. Los servidores, si los hubiese, y el entorno de sistema operativo y de comunicaciones en el que se encuentra ubicado el Fichero.<\/li>\n\n\n\n
  4. Los sistemas inform\u00e1ticos, o aplicaciones establecidos para acceder a los datos.<\/li>\n\n\n\n
  5. Los Medios de Archivo y soportes, bien de copias de seguridad o de ficheros en papel.<\/li>\n<\/ol>\n\n\n\n

    (En el anexo correspondiente, figura la lista concreta de todos los recursos de la empresa.)<\/em><\/p>\n\n\n\n

    Medidas de Seguridad<\/strong><\/p>\n\n\n\n

    Las medidas de seguridad se clasifican en tres niveles acumulativos (b\u00e1sico, medio y alto) atendiendo a la naturaleza de la informaci\u00f3n tratada, en relaci\u00f3n con la menor o mayor necesidad de garantizar la confidencialidad y la integridad de la informaci\u00f3n.<\/p>\n\n\n\n

    Nivel BASICO<\/strong><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

    Se aplicar\u00e1n a cualquier otro fichero que contenga datos de car\u00e1cter personal, incluyendo aquellos ficheros que contengan datos de ideolog\u00eda, afiliaci\u00f3n sindical, religi\u00f3n, creencias, salud, origen racial o vida sexual, cuando:<\/p>\n\n\n\n

    – los datos se utilicen con la \u00fanica finalidad de realizar una transferencia dineraria a entidades de las que los afectados sean asociados o miembros.<\/p>\n\n\n\n

    – se trate de ficheros o tratamientos no automatizados o sean tratamientos manuales de estos tipos de datos de forma incidental o accesoria, que no guarden relaci\u00f3n con la finalidad del fichero.<\/p>\n\n\n\n

    – en los ficheros o tratamientos que contengan datos de salud, que se refieran exclusivamente al grado o condici\u00f3n de discapacidad o la simple declaraci\u00f3n de invalidez, con motivo del cumplimiento de deberes p\u00fablicos.<\/p>\n\n\n\n

    Nivel MEDIO<\/strong><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

    Se aplicar\u00e1n a los ficheros o tratamientos de datos:<\/p>\n\n\n\n

    – relativos a la comisi\u00f3n de infracciones administrativas o penales;<\/p>\n\n\n\n

    – que se rijan por el art\u00edculo 29 de la LOPD (prestaci\u00f3n de servicios de solvencia patrimonial y cr\u00e9dito);<\/p>\n\n\n\n

    – de Administraciones tributarias, y que se relacionen con el ejercicio de sus potestades tributarias;<\/p>\n\n\n\n

    – de entidades financieras para las finalidades relacionadas con la prestaci\u00f3n de servicios financieros;<\/p>\n\n\n\n

    – de Entidades Gestoras y Servicios Comunes de Seguridad Social, que se relacionen con el ejercicio de sus competencias;<\/p>\n\n\n\n

    – de mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social;<\/p>\n\n\n\n

    – que ofrezcan una definici\u00f3n de la personalidad y permitan evaluar determinados aspectos de la misma o del comportamiento de las personas;<\/p>\n\n\n\n

    – y de los operadores de comunicaciones electr\u00f3nicas, respecto de los datos de tr\u00e1fico y localizaci\u00f3n<\/p>\n\n\n\n

    Nivel ALTO<\/strong><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

    Se aplicar\u00e1n a los ficheros o tratamientos de datos: de ideolog\u00eda, afiliaci\u00f3n sindical, religi\u00f3n, creencias, origen racial, salud o vida sexual y respecto de los que no se prevea la posibilidad de adoptar el nivel b\u00e1sico, recabados con fines policiales sin consentimiento de las personas afectadas, derivados de actos de violencia de g\u00e9nero.
    <\/strong><\/p>\n\n\n\n

    03<\/strong><\/a><\/strong><\/td>IDENTIFICACION DEL RESPONSABLE DE FICHERO<\/strong><\/a><\/strong><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

     <\/h2>\n\n\n\n

    El presente documento ser\u00e1 de aplicaci\u00f3n a los ficheros que contienen datos de car\u00e1cter personal que se hallan bajo la responsabilidad de la empresa, incluyendo los sistemas de informaci\u00f3n, soportes y equipos empleados para el tratamiento de datos de car\u00e1cter personal, que deban ser protegidos de acuerdo a lo dispuesto en normativa vigente, las personas que intervienen en el tratamiento y los locales en los que se ubican. En el Anexo correspondiente se describen detalladamente cada uno de los ficheros o tratamientos, junto con los aspectos que les afecten de manera particular.<\/p>\n\n\n\n

    Responsable<\/td>SONOCAR PHONE SL<\/td><\/tr>
    CIF<\/td>B82223538<\/td><\/tr>
    Direcci\u00f3n<\/td>C\/ESCOSURA, 23<\/td><\/tr>
    C.P. \u2013 Poblaci\u00f3n<\/td>28015 – MADRID<\/td><\/tr>
    Provincia<\/td>MADRID (COMUNIDAD DE MADRID)<\/td><\/tr>
    Pa\u00eds<\/td>ESPA\u00d1A<\/td><\/tr>
    Ultima actualizaci\u00f3n<\/td>14\/05\/2024<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
    04<\/strong><\/a><\/strong><\/td>ACTUALIZACI\u00d3N Y COMUNICACI\u00d3N DEL PLAN<\/strong><\/a><\/strong><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

    Con el fin de mantener actualizado el presente Documento de Seguridad, el Responsable de los Ficheros podr\u00e1 llevar a cabo la modificaciones y adaptaciones que considere oportunas con el fin de atender los nuevos requerimientos legales, que puedan producirse ante el registro de nuevos datos o ficheros, cambios relevantes en el sistema de informaci\u00f3n o en la organizaci\u00f3n del mismo, as\u00ed como las actualizaciones, adaptaciones o mejoras necesarias, de acuerdo con la propia evoluci\u00f3n del estado de la t\u00e9cnica en materia inform\u00e1tica y de seguridad.<\/p>\n\n\n\n

    Es responsabilidad del titular de los ficheros emitir los correspondientes informes, realizando su validaci\u00f3n mediante impresi\u00f3n y firma manuscrita o aplicaci\u00f3n de firma electr\u00f3nica avanzada con sello de tiempo sobre las versiones electr\u00f3nicas de los informes.<\/p>\n\n\n\n

    Por ello se pondr\u00e1 a disposici\u00f3n general de todos los usuarios copia de este Documento de Seguridad, instruy\u00e9ndoles sobre la necesidad de que procedan a su estudio y facilitando las consultas que puedan tener.<\/p>\n\n\n\n

    En caso de modificaci\u00f3n, se emitir\u00e1 circular informativa de inter\u00e9s general, y se pondr\u00e1 a disposici\u00f3n de los usuarios autorizados a acceder a los sistemas de informaci\u00f3n, un ejemplar actualizado del Documento de Seguridad.<\/p>\n\n\n\n

    05<\/strong><\/a><\/strong><\/td>PROCEDIMIENTO DE REVISION y CONTROL<\/strong><\/a><\/strong><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

    El Documento de Seguridad deber\u00e1 mantenerse en todo momento actualizado y deber\u00e1 ser revisado siempre que se produzcan cambios relevantes en el sistema de informaci\u00f3n, en el contenido de la informaci\u00f3n incluida en los ficheros o como consecuencia de los controles peri\u00f3dicos realizados.<\/p>\n\n\n\n

    En todo caso se entender\u00e1 como cambio relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas. Tambi\u00e9n deber\u00e1 incluir en el mismo, todo cambio que se produzca en los procedimientos incluidos en el mismo (gesti\u00f3n de incidencias, copias de seguridad, derechos ARCO,\u2026 etc.).<\/p>\n\n\n\n

    Asimismo, deber\u00e1 adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de car\u00e1cter personal.<\/p>\n\n\n\n

    En concreto, el Documento de Seguridad, ser\u00e1 revisado por:<\/p>\n\n\n\n

    Cambios en los datos incluidos en el Documento.<\/strong><\/p>\n\n\n\n

    La creaci\u00f3n o supresi\u00f3n de ficheros, cambios en los sistemas inform\u00e1ticos y\/o tratamientos de ficheros, cambio en locales y ubicaci\u00f3n de archivos,  cambios en usuarios y funciones, etc.<\/p>\n\n\n\n

    Aplicaci\u00f3n de Niveles de Seguridad de los Ficheros<\/strong><\/p>\n\n\n\n

    En el caso de que se incluyera o eliminara alg\u00fan campo, por lo que pudiera variar las medidas de seguridad a adoptar.<\/p>\n\n\n\n

    Control de Acceso a trav\u00e9s de Redes de Telecomunicaciones<\/strong><\/p>\n\n\n\n

    Cualquier cambio que se produzca en la topolog\u00eda o arquitectura de las redes de telecomunicaciones podr\u00eda alterar la seguridad de los ficheros.<\/p>\n\n\n\n

    R\u00e9gimen de trabajo fuera de los locales de la ubicaci\u00f3n de los ficheros.<\/strong><\/p>\n\n\n\n

    Si se produce una alteraci\u00f3n de la pol\u00edtica de definici\u00f3n de usuarios de los sistemas inform\u00e1ticos que trabajen fuera de los locales donde se encuentren ubicados los ficheros.<\/p>\n\n\n\n

    Copias de Respaldo y Recuperaci\u00f3n.<\/strong><\/p>\n\n\n\n

    Cualquier modificaci\u00f3n que se produzca en le procedimiento de copias de respaldo y recuperaci\u00f3n de datos<\/p>\n\n\n\n

    Actualizaciones de Disposiciones Legales Vigentes<\/strong><\/p>\n\n\n\n

    Cualquier modificaci\u00f3n legal, instrucci\u00f3n o resoluci\u00f3n de la Agencia Espa\u00f1ola de Protecci\u00f3n de Datos.<\/p>\n\n\n\n

    Adaptaci\u00f3n a Nuevas Pol\u00edticas de Actuaci\u00f3n<\/strong><\/p>\n\n\n\n

    Cambios en cualquier procedimiento definido en el Documento (control de incidencias, inventario de soportes, entradas y salidas, etc.).<\/p>\n\n\n\n

    <\/a><\/a><\/a><\/a><\/a><\/a>Auditoria (Nivel medio y Alto)<\/a><\/h2>\n\n\n\n

    Siempre que se posean datos de nivel medio y\/o alto, al menos cada dos a\u00f1os, se realizar\u00e1 una auditor\u00eda, externa o interna que dictamine el correcto cumplimiento y la adecuaci\u00f3n de las medidas del presente documento de seguridad o las exigencias del RDLOPD de seguridad, identificando las deficiencias y proponiendo las medidas correctoras necesarias.<\/p>\n\n\n\n

    Con car\u00e1cter extraordinario, tambi\u00e9n deber\u00e1 realizarse auditor\u00eda, cuando se lleven a cabo modificaciones sustanciales en el sistema de informaci\u00f3n que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas, con el  objeto de verificar la adaptaci\u00f3n, adecuaci\u00f3n y eficacia de las mismas.<\/p>\n\n\n\n

    Los informes de auditor\u00eda ser\u00e1n analizados por el Responsable de Seguridad, quien propondr\u00e1 al Responsable del Fichero las medidas correctoras correspondientes, debiendo quedar a disposici\u00f3n  de la Agencia de Protecci\u00f3n de Datos.<\/p>\n\n\n\n

    <\/a><\/a><\/a><\/a><\/a><\/a>Informe mensual sobre el Registro de accesos (Nivel alto)<\/a><\/h2>\n\n\n\n

    Dentro de las funciones del Responsable de Seguridad, en la medida que se posean ficheros de nivel alto, est\u00e1 la de realizar un informe de control sobre el Registro de Accesos. Este informe, se realizar\u00e1 dentro del grupo de controles a realizar de forma peri\u00f3dica.<\/p>\n\n\n\n

    06<\/strong><\/a><\/strong><\/td>PROCEDIMIENTO DE DERECHOS ARCO<\/strong><\/a><\/strong><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

    El Responsable del Fichero debe en todo momento asegurar los derechos que los afectados tienen respecto a sus datos personales. En el momento que cualquier usuario tenga noticia de una solicitud de derechos por parte de un afectado, se lo comunicar\u00e1 de forma inmediata al Responsable de Seguridad.<\/p>\n\n\n\n

    Una vez recabada toda la informaci\u00f3n, por parte del Responsable de Seguridad, se la comunicar\u00e1 al Responsable del Fichero con el fin de que \u00e9ste pueda resolverla en los plazos previstos en el RDLOPD (un mes en el caso de derecho de acceso y de diez d\u00edas para rectificaci\u00f3n, oposici\u00f3n  y cancelaci\u00f3n<\/em><\/strong>).<\/p>\n\n\n\n

    Reclamaci\u00f3n del afectado<\/strong><\/p>\n\n\n\n

    Los afectados podr\u00e1n realizar su reclamaci\u00f3n de derechos de cualquier forma, siempre y cuando su solicitud re\u00fana los requisitos m\u00ednimos:<\/p>\n\n\n\n

    – Derecho que reclama (Acceso, Rectificaci\u00f3n, Cancelaci\u00f3n y Oposici\u00f3n).<\/p>\n\n\n\n

    – Identificaci\u00f3n. Deber\u00e1 estar perfectamente identificado adjuntando fotocopia del DNI.<\/p>\n\n\n\n

    – Identificaci\u00f3n del Representante. En caso de que la solicitud la realice un representante del afectado, \u00e9ste deber\u00e1 estar perfectamente identificado, aportando tanto su DNI, como el documento que le acredite como representante.<\/p>\n\n\n\n

    – En el caso de que la solicitud sea de modificaci\u00f3n de datos, deber\u00e1 adjuntar documentos que acrediten tales cambios.<\/p>\n\n\n\n

    Con este fin, se dispone de una serie de documentos, que en el caso de que la solicitud se realice en las propias oficinas del Responsable deber\u00e1n ser utilizados.<\/p>\n\n\n\n

    En el caso de que la solicitud presente alg\u00fan defecto, el Responsable del Fichero, est\u00e1 obligado a solicitar la subsanaci\u00f3n del mismo al afectado, ya que si no lo hiciera la solicitud deber\u00e1 ser denegada.<\/p>\n\n\n\n

    La solicitud de derechos, por parte del afectado debe ser mediante m\u00e9todos gratuitos para el afectado, o por lo menos que no suponga ning\u00fan beneficio para el Responsable del Fichero.
    <\/strong><\/p>\n\n\n\n

    Comunicaci\u00f3n al afectado<\/strong><\/p>\n\n\n\n

    La comunicaci\u00f3n al afectado deber\u00e1 realizarse de la manera m\u00e1s segura posible, debido al contenido de la informaci\u00f3n, por lo que se utilizar\u00e1, en cada caso, el m\u00e9todo m\u00e1s adecuado que lo garantice.<\/p>\n\n\n\n

    En el caso de denegaci\u00f3n de las solicitudes, se deber\u00e1 comunicar al afectado los motivos.<\/p>\n\n\n\n

    En el caso de una solicitud de Derecho de Acceso, es necesario tener en cuenta que no puede ser ejercida, por parte del afectado en periodos inferiores a doce meses<\/em><\/strong>.<\/p>\n\n\n\n

    El Responsable del Fichero, contestar\u00e1 a la solicitud, tanto si en el fichero figuran datos del afectado como si no figura ninguno.<\/p>\n\n\n\n

    En el caso de una solicitud de Derecho de Acceso, al afectado se le podr\u00e1 ofrecer uno de los siguientes sistemas de consulta:<\/p>\n\n\n\n

    a) Visualizaci\u00f3n en pantalla.<\/p>\n\n\n\n

    b) Escrito, copia o fotocopia remitido por correo.<\/p>\n\n\n\n

    c) Remisi\u00f3n por fax.<\/p>\n\n\n\n

    07<\/strong><\/a><\/strong><\/td>NORMAS <\/strong><\/a><\/strong><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

    1.- LOCALES Y CENTROS DE TRATAMIENTO<\/strong><\/a><\/strong><\/p>\n\n\n\n

    Los locales y centros de tratamiento de datos, donde se ubiquen los servidores u ordenadores y archivos en papel que contienen los ficheros deben ser objeto de especial protecci\u00f3n que garantice la disponibilidad y confidencialidad de los datos protegidos, especialmente en el caso de que el fichero est\u00e9 ubicado en un servidor u ordenador personal accedido a trav\u00e9s de una red.<\/p>\n\n\n\n

    Norma l. (Nivel B\u00e1sico):<\/strong> Los locales deber\u00e1n contar con los medios m\u00ednimos de seguridad que eviten los riesgos de indisponibilidad del Fichero que pudieran producirse como consecuencia de incidencias fortuitas o intencionadas. Las medidas aconsejadas de seguridad deben ser: sistema de alarma conectada a la polic\u00eda, sistema de prevenci\u00f3n y extinci\u00f3n de incendios, acceso de personas externas controlado por el personal interno, bien en la recepci\u00f3n o bien acompa\u00f1ado durante una visita a las instalaciones.<\/em><\/p>\n\n\n\n

    Norma 2. (Nivel Medio)<\/strong>: El acceso al local por parte de personas ajenas a la empresa, siempre se realizar\u00e1 con el acompa\u00f1amiento de personal interno. Ninguna persona no autorizada tiene acceso al local sin presencia de personal autorizado, qui\u00e9n supervisar\u00e1 su comportamiento.<\/em><\/p>\n\n\n\n

    Norma 3. (Nivel Medio):<\/strong>  El acceso a los locales donde se encuentran los ficheros estar\u00e1 restringido exclusivamente a los administradores del sistema que deban realizar labores de mantenimiento para las que sea imprescindible el acceso f\u00edsico as\u00ed como al  personal autorizado.<\/em><\/p>\n\n\n\n

    2.- PUESTOS DE TRABAJO<\/strong><\/a><\/strong><\/p>\n\n\n\n

    Son todos aquellos dispositivos inform\u00e1ticos desde los cuales se puede acceder a los datos del Fichero, como por ejemplo, terminales u ordenadores personales. Se consideran tambi\u00e9n puestos de usuario aquellos terminales de administraci\u00f3n del sistema, como por ejemplo, las consolas de operaci\u00f3n, donde en algunos casos tambi\u00e9n pueden aparecer los datos protegidos del Fichero.<\/p>\n\n\n\n

    Norma 4. (Nivel B\u00e1sico)<\/strong>: Cada puesto de usuario estar\u00e1 bajo la responsabilidad de una persona de las autorizadas. El responsable de un puesto de usuario garantizar\u00e1 que la informaci\u00f3n a la que accede o que muestra no pueda ser vista por personas no autorizadas. Esta precauci\u00f3n se extremar\u00e1 cuando existan visitas ajenas departamento al que pertenece el fichero.  As\u00ed mismo, tanto las pantallas como las impresoras u otro tipo de dispositivos conectados al puesto de usuario deber\u00e1n estar f\u00edsicamente ubicados en lugares que garanticen esa confidencialidad.<\/em><\/p>\n\n\n\n

    Norma 5. (Nivel B\u00e1sico):<\/strong> Todos los datos personales ser\u00e1n almacenados en el equipo para la funci\u00f3n que fue designado, dando los permisos de acceso s\u00f3lo a los usuarios autorizados de manera acorde a su nivel de acceso.  La revocaci\u00f3n de esta prohibici\u00f3n ser\u00e1 autorizada por el responsable del fichero, quedando constancia de esta modificaci\u00f3n en el Libro de incidencias. En cualquier caso se garantizar\u00e1 el cumplimiento de las medidas de seguridad correspondientes en el PC de usuario, especialmente medidas de control de acceso (como por ejemplo establecimiento de contrase\u00f1as, etc.)<\/em><\/p>\n\n\n\n

    Norma 6 (Nivel B\u00e1sico):<\/strong> Cuando el responsable de un puesto de usuario lo abandone, bien temporalmente o bien al finalizar su turno de trabajo, deber\u00e1 dejarlo en un estado que impida la visualizaci\u00f3n de los datos protegidos. Esto podr\u00e1 realizarse a trav\u00e9s de un protector de pantalla que impida la visualizaci\u00f3n de los datos, o bien mediante el apagado f\u00edsico del ordenador. La reanudaci\u00f3n del trabajo implicar\u00e1 la desactivaci\u00f3n de la pantalla protectora con la introducci\u00f3n de la contrase\u00f1a correspondiente, o bien su encendido debiendo introducir la clave de usuario correspondiente para acceder al puesto de trabajo (ordenador).<\/em><\/p>\n\n\n\n

    Norma 7. (Nivel B\u00e1sico):<\/strong> En el caso de las impresoras deber\u00e1 asegurarse de que no quedan documentos impresos en la bandeja de salida que contengan datos protegidos. Si las impresoras son compartidas con otros usuarios no autorizados para acceder a los datos de Fichero, los responsables de cada puesto deber\u00e1n retirar los documentos conforme vayan siendo impresos.<\/em><\/p>\n\n\n\n

    Norma 8. (Nivel B\u00e1sico):<\/em><\/strong> Queda expresamente prohibida la conexi\u00f3n a redes o sistemas exteriores de los puestos de usuario desde los que se realiza el acceso al fichero. La revocaci\u00f3n de esta prohibici\u00f3n ser\u00e1 autorizada por el responsable del fichero, quedando constancia de esta modificaci\u00f3n en el Libro de incidencias<\/strong>.<\/em><\/p>\n\n\n\n

    Norma 9. (Nivel B\u00e1sico):<\/strong> Los puestos de usuario desde los que se tiene acceso al fichero tendr\u00e1n una configuraci\u00f3n determinada en sus aplicaciones y sistemas operativos que s\u00f3lo podr\u00e1 ser cambiada bajo la autorizaci\u00f3n del responsable de seguridad por los administradores autorizados.<\/em><\/p>\n\n\n\n

    3.- ENTORNO DEL SISTEMA OPERATIVO<\/strong><\/a><\/strong><\/p>\n\n\n\n

    Aunque el m\u00e9todo establecido para acceder a los datos protegidos de los Ficheros es el sistema inform\u00e1tico, al estar el fichero ubicado en un ordenador  con un sistema operativo determinado y poder contar con unas conexiones que le comunican con otros ordenadores, es posible, para las personas que conozcan estos entornos, acceder a los datos protegidos sin pasar por los procedimientos de control de acceso con los que pueda contar la aplicaci\u00f3n.<\/p>\n\n\n\n

    Esta normativa debe, por tanto, regular el uso y acceso de las partes del sistema operativo, herramientas o programas de utilidad, o del entorno de comunicaciones, de forma que se impida el acceso no autorizado a los datos de Fichero.<\/p>\n\n\n\n

    Norma 10. (Nivel B\u00e1sico):<\/strong> El sistema operativo y de comunicaciones de los Ficheros deber\u00e1 tener al menos un responsable. En el caso m\u00e1s simple, como es que el Fichero se encuentre ubicado en un ordenador personal y accedido mediante una aplicaci\u00f3n local monopuesto, el administrador del sistema operativo podr\u00e1 ser el mismo usuario que accede usualmente al Fichero.<\/em><\/p>\n\n\n\n

    Norma 11. (Nivel B\u00e1sico):<\/strong> Ninguna herramienta o programa de utilidad que permita el acceso a un Fichero deber\u00e1 ser accesible a ning\u00fan usuario o administrador no autorizado. <\/strong>Se incluye cualquier medio de acceso en bruto, es decir no elaborado o editado, a los datos del Fichero, como los llamados editores universales, analizadores de ficheros, herramientas de acceso de bajo nivel al disco duro, etc., que deber\u00e1n estar bajo el control de los administradores autorizados.<\/em><\/p>\n\n\n\n

    Norma 12. (Nivel B\u00e1sico):<\/strong> El administrador deber\u00e1 responsabilizarse de guardar en lugar protegido las copias de seguridad y respaldo de los Ficheros, de forma que ninguna persona no autorizada tenga acceso a las mismas.<\/em><\/p>\n\n\n\n

    Norma 13. (Nivel B\u00e1sico):<\/strong> Si la aplicaci\u00f3n o sistema de acceso al Fichero utilizase usualmente ficheros temporales, ficheros de \u00ablogging\u00bb, o cualquier otro medio en el que pudiesen ser grabados copias de los datos protegidos, el administrador deber\u00e1 asegurarse de que esos datos no son accesibles posteriormente por personal no autorizado.<\/em><\/p>\n\n\n\n

    Norma 14. (Nivel B\u00e1sico):<\/strong> Los usuarios deber\u00e1n  eliminar los ficheros intermedios que pudieran haber creado para desarrollar su trabajo, una vez no sean necesarios. En ning\u00fan caso se conservar\u00e1n estos ficheros durante largos periodos de tiempo. En el caso de los puestos de usuario de tipo PC, con sistema operativo Windows, se eliminar\u00e1n al finalizar cada jornada laboral los ficheros del directorio temporal del sistema (com\u00fanmente C:\\WINDOWS\\TEMP\\) en el caso de que dicho directorio sea utilizado.<\/em><\/p>\n\n\n\n

    Norma 15. (Nivel B\u00e1sico):<\/strong> Si el ordenador en el que est\u00e1 ubicado el fichero est\u00e1 integrado en una red de comunicaciones de forma que desde otros ordenadores conectados a la misma sea posible el acceso al Fichero, el administrador responsable del sistema deber\u00e1 asegurarse de que este acceso no se permite a personas no autorizadas. En cualquier caso, deber\u00e1 identificarse de manera \u00fanica a las personas que hacen el acceso remoto.<\/em><\/p>\n\n\n\n

    Norma 16. (Nivel B\u00e1sico):<\/strong> En el caso de puestos con Sistema Operativo Windows, en ning\u00fan caso se compartir\u00e1 con el resto de puestos, el directorio del sistema, com\u00fanmente C:\\WINDOWS. Este directorio, entre otras cosas, almacena las contrase\u00f1as y el directorio para ficheros temporales. La revocaci\u00f3n de esta prohibici\u00f3n ser\u00e1 autorizada por el responsable del fichero, quedando constancia de esta modificaci\u00f3n en el Libro de Incidencias<\/strong>.<\/em><\/p>\n\n\n\n

    4.- APLICACIONES<\/strong><\/a><\/p>\n\n\n\n

    Son todos aquellos programas de software con los que se puede acceder a los datos de un Fichero, y que son usualmente utilizados por los usuarios para acceder a ellos. Estos programas pueden ser aplicaciones inform\u00e1ticas  expresamente dise\u00f1adas para acceder a los Ficheros (llamadas aplicaciones espec\u00edficas o a medida) y\/o aplicaciones est\u00e1ndares de uso general como aplicaciones o paquetes disponibles en el mercado inform\u00e1tico.<\/p>\n\n\n\n

    Norma 17. (Nivel B\u00e1sico):<\/strong> Los sistemas inform\u00e1ticos de acceso al Fichero deber\u00e1n tener su acceso restringido mediante un c\u00f3digo de usuario y una contrase\u00f1a.<\/em><\/p>\n\n\n\n

    Norma 18. (Nivel B\u00e1sico):<\/strong> Todos los usuarios autorizados para acceder a los Ficheros, deber\u00e1n tener un c\u00f3digo de usuario que ser\u00e1 \u00fanico, y que estar\u00e1 asociado a la contrase\u00f1a correspondiente, que s\u00f3lo ser\u00e1 conocida por el propio usuario. Si la aplicaci\u00f3n inform\u00e1tica que permite el acceso al Fichero no cuenta con un control de acceso, deber\u00e1 ser el sistema operativo, donde se ejecuta esa aplicaci\u00f3n, el que impida el acceso no autorizado, mediante el control de los citados c\u00f3digos de usuario y contrase\u00f1as.<\/em><\/p>\n\n\n\n

    Norma 19. (Nivel B\u00e1sico):<\/strong> En funci\u00f3n de las posibilidades t\u00e9cnicas, se limitar\u00e1 el acceso de cada usuario al m\u00ednimo conjunto de recursos que necesite para desempe\u00f1ar su trabajo, configurando de manera adecuada la aplicaci\u00f3n y\/o el sistema operativo.<\/em><\/p>\n\n\n\n

    Norma 20. (Nivel Medio):<\/strong> Se controlar\u00e1n los intentos de acceso fraudulento al Fichero, limitando el n\u00famero m\u00e1ximo de intentos fallidos, y cuando sea t\u00e9cnicamente posible, guardando en un fichero auxiliar la fecha, hora, c\u00f3digo y clave err\u00f3neas que se han introducido, as\u00ed como otros datos relevantes que ayuden a descubrir la autor\u00eda de esos intentos de acceso fraudulentos.<\/em><\/p>\n\n\n\n

    Norma 21. (Nivel Medio):<\/strong> Si fuera necesario durante las pruebas anteriores a la implantaci\u00f3n o modificaci\u00f3n de la aplicaci\u00f3n de acceso a los Ficheros la utilizaci\u00f3n de datos reales, se deber\u00e1 aplicar a esos ficheros de prueba el mismo tratamiento de seguridad que se aplica al mismo Fichero.<\/em><\/p>\n\n\n\n

    Norma 22. (Nivel Alto):<\/strong> En los ficheros de nivel alto, se guardar\u00e1 en un Registro de accesos la identificaci\u00f3n del usuario, fecha y hora en la que se realiz\u00f3 el acceso, el fichero accedido, el tipo de acceso y si \u00e9ste ha sido autorizado o denegado. En caso de haber sido autorizado se guardar\u00e1 informaci\u00f3n que permita identificar el registro accedido. Los datos de este registro deber\u00e1n conservarse al menos durante dos a\u00f1os<\/strong>. Los mecanismos de registro de estos datos de acceso no podr\u00e1n ser desactivados en ning\u00fan caso, y estar\u00e1n siempre bajo control del responsable de seguridad competente.<\/em><\/p>\n\n\n\n

    5.- CUSTODIA DE CONTRASE\u00d1AS DE ACCESO<\/strong><\/strong><\/p>\n\n\n\n

    Las contrase\u00f1as personales constituyen uno de los componentes b\u00e1sicos de la seguridad de los datos, y deben por tanto estar especialmente protegidas. Como llaves de acceso al sistema, las contrase\u00f1as deber\u00e1n ser estrictamente confidenciales y personales, y cualquier incidencia que comprometa su confidencialidad deber\u00e1 ser inmediatamente comunicada al administrador y subsanada en el menor plazo de tiempo posible.<\/p>\n\n\n\n

    Norma 23. (Nivel B\u00e1sico):<\/strong>  Se llevar\u00e1 a cabo la activaci\u00f3n de las medidas de control de acceso proporcionadas por el propio Sistema Operativo y por las aplicaciones inform\u00e1ticas empleadas en la organizaci\u00f3n, asignando a cada usuario autorizado,<\/strong> un nombre de usuario y clave.<\/em><\/p>\n\n\n\n

    Norma 24. (Nivel B\u00e1sico):<\/strong> S\u00f3lo los usuarios autorizados podr\u00e1n tener acceso a los datos del Fichero, utilizando para ello el Usuario y Contrase\u00f1a asignado a tal efecto. Esto se aplica tambi\u00e9n a los administradores del sistema, incluyendo el personal t\u00e9cnico externo que de manera habitual pudiera colaborar en la administraci\u00f3n de los sistemas.<\/em><\/p>\n\n\n\n

    Norma 25. (Nivel B\u00e1sico):<\/strong> Cada usuario ser\u00e1 responsable de la confidencialidad de su contrase\u00f1a y, en caso de que la misma sea conocida fortuita o fraudulentamente por personas no autorizadas, deber\u00e1 registrarlo como incidencia<\/strong> y proceder a su cambio inmediatamente, mediante notificaci\u00f3n al responsable del fichero.<\/em><\/p>\n\n\n\n

    Norma 26. (Nivel B\u00e1sico):<\/strong> Los identificadores de usuario y las contrase\u00f1as se asignar\u00e1n y se cambiar\u00e1n mediante un mecanismo y una periodicidad establecidos, asegurando que se mantiene la confidencialidad de ambos. El archivo donde se almacenen las contrase\u00f1as deber\u00e1 estar protegido y cifrado, y bajo la responsabilidad del administrador del sistema.<\/em><\/p>\n\n\n\n

    Norma 27. (Nivel Medio y Alto):<\/strong> Si el responsable de seguridad lo considera necesario, en aquellos equipos con informaci\u00f3n altamente sensible, optar\u00e1 por la instalaci\u00f3n del sistema de blindaje TID en los equipos inform\u00e1ticos que realizan el tratamiento de los datos de car\u00e1cter personal, como sistema  avanzado de blindaje de ordenadores. Esta tecnolog\u00eda conocida como Sistema de Seguridad TID, est\u00e1 basada en el empleo de tarjetas microprocesadas de alta seguridad. Cada tarjeta incorporar\u00e1 la identidad de su titular y el nivel de acceso autorizado, as\u00ed como los recursos inform\u00e1ticos que puede utilizar. As\u00ed mismo, los equipos tendr\u00e1n activado el proceso de cifrado autom\u00e1tico, de tal forma que el sistema discrimina el acceso a los datos seg\u00fan los derechos de cada usuario, el cual al introducir su SmartCard procede a descifrar la zona de memoria que le es autorizada, y al extraerla, se cifran autom\u00e1ticamente los datos. Los equipos inform\u00e1ticos, si as\u00ed lo determina el responsable de seguridad, tendr\u00e1n activado el blindaje de protecci\u00f3n de tal forma que solo personal autorizado puede acceder, siempre identific\u00e1ndose mediante la Tarjeta de Identificaci\u00f3n Digital.<\/em><\/p>\n\n\n\n

    Norma 28. (Nivel Medio y Alto):<\/strong> Para los ficheros de nivel medio o alto, se limitar\u00e1 la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informaci\u00f3n. Los sistemas inform\u00e1ticos deber\u00e1n hallarse configurados para no permitir la introducci\u00f3n de forma reiterada de contrase\u00f1as falsas (m\u00e1ximo 3 intentos). Superados estos intentos, el sistema quedar\u00e1 bloqueado y solo se activar\u00e1 mediante clave de desbloqueo conocida por el Responsable de Seguridad. Se solicitar\u00e1 a los proveedores de aplicaciones inform\u00e1ticas informaci\u00f3n detallada sobre estas capacidades por escrito para su activaci\u00f3n, si procede, por el nivel de seguridad de los ficheros procesados desde cada aplicaci\u00f3n.<\/em><\/em><\/p>\n\n\n\n

    Norma 29. (Nivel Medio y Alto):<\/strong> Exclusivamente el personal autorizado en el documento de seguridad podr\u00e1 tener acceso a los locales donde se encuentren ubicados los sistemas de informaci\u00f3n con datos de car\u00e1cter personal.<\/em><\/p>\n\n\n\n

    6.- INCIDENCIAS<\/strong><\/em><\/p>\n\n\n\n

    Norma 30. (Nivel B\u00e1sico):<\/strong> El responsable de seguridad habilitar\u00e1 un Libro de Incidencias<\/strong>  con el fin de que se registren en \u00e9l cualquier incidencia que pueda suponer un peligro para la seguridad del fichero\/s.<\/em><\/p>\n\n\n\n

    Norma 31. (Nivel B\u00e1sico):<\/strong> Cualquier usuario que tenga conocimiento de una incidencia es responsable del registro de la misma en el Libro de Incidencias del Fichero, entreg\u00e1ndola por escrito al responsable de seguridad o al responsable del Fichero, que ser\u00e1n los encargados de incorporarla al Libro.<\/em><\/p>\n\n\n\n

    Norma 32. (Nivel B\u00e1sico):<\/strong> El conocimiento de una incidencia y la falta de notificaci\u00f3n o registro de la misma por parte de un usuario ser\u00e1 considerado como una falta contra la seguridad del Fichero por parte de ese usuario.<\/em><\/p>\n\n\n\n

    Norma 33. (Nivel B\u00e1sico):<\/strong> La notificaci\u00f3n o registro de una incidencia deber\u00e1 constar al menos de los siguientes datos: tipo de incidencia, fecha y hora en que se produjo, persona que realiza la notificaci\u00f3n, persona a quien se comunica, efectos que puede producir y una descripci\u00f3n detallada de la misma.<\/em><\/p>\n\n\n\n

    Norma 34. (Nivel B\u00e1sico):<\/strong> El responsable de seguridad se ocupar\u00e1 de gestionar cada incidencia para resolver los problemas que plantee de la mejor manera posible, en colaboraci\u00f3n con el responsable del fichero.<\/em><\/p>\n\n\n\n

    Norma 35. (Nivel Medio – Alto):<\/strong> para los ficheros con nivel de seguridad medio y alto, y en relaci\u00f3n a los Procedimientos de Recuperaci\u00f3n de los datos, deber\u00e1 consignarse adem\u00e1s en el Libro de Incidencias: la persona que ejecut\u00f3 el proceso de recuperaci\u00f3n, los datos restaurados, y en su caso qu\u00e9 datos han sido necesarios grabarlos manualmente. En cualquier caso, ser\u00e1 necesaria la autorizaci\u00f3n por escrito del responsable del fichero para llevar a cabo el procedimiento de recuperaci\u00f3n de datos.<\/em><\/p>\n\n\n\n

    7.- FICHEROS<\/strong><\/p>\n\n\n\n

    El Responsable del Fichero ha creado un Registro General de Ficheros<\/strong> y ha vinculado \u00e9stos al presente plan. Este registro se encuentra bajo la responsabilidad directa del Responsable de Seguridad, el cual en el marco de sus funciones debe de mantenerlo actualizado.<\/p>\n\n\n\n

    Norma 36. (Todos):<\/strong> La creaci\u00f3n de un nuevo fichero o la modificaci\u00f3n o supresi\u00f3n de los existentes por parte de los usuarios autorizados debe de contar con la autorizaci\u00f3n del Responsable del Fichero y deber\u00e1 ser comunicado este hecho a la A.P.D., antes de la creaci\u00f3n efectiva del mismo.<\/em><\/p>\n\n\n\n

    Norma 37. (Todos):<\/strong> El Responsable de los Ficheros, proh\u00edbe expresamente a todos los usuarios autorizados de este Sistema de Informaci\u00f3n a crear ficheros que tengan como finalidad exclusiva almacenar datos de car\u00e1cter personal que revelen la ideolog\u00eda, afiliaci\u00f3n sindical, religi\u00f3n, creencias, origen racial o \u00e9tnico, o vida sexual. Esta prohibici\u00f3n no se hace extensiva a los ficheros que justifiquen la inclusi\u00f3n de este tipo de datos en base a su finalidad, el consentimiento de los afectados y la garant\u00eda de cumplimiento de todas medidas de seguridad de obligado cumplimiento para los ficheros de nivel alto.<\/em><\/p>\n\n\n\n

    Norma 38. (Todos):<\/strong> Queda igualmente prohibida cualquier tipo de prueba t\u00e9cnica sobre estos ficheros. Las pruebas se realizar\u00e1n siempre con ficheros temporales creados a tal efecto y con datos simulaci\u00f3n.<\/em><\/p>\n\n\n\n

    8.- ORIGEN DE LOS DATOS<\/strong><\/p>\n\n\n\n

    Norma 39 (Todos): <\/strong>Los datos ser\u00e1n recogidos exclusivamente de las fuentes informativas y bajo la modalidad establecida por el Responsable del Fichero en su comunicaci\u00f3n oficial al Registro General de Protecci\u00f3n de Datos.<\/em><\/p>\n\n\n\n

    Norma 40. (Todos): <\/strong>Los interesados a los que se soliciten datos personales deber\u00e1n ser previamente informados de modo expreso, preciso e inequ\u00edvoco:<\/em><\/p>\n\n\n\n

    a) De la existencia de un fichero o tratamiento de datos de car\u00e1cter personal, de la finalidad de la recogida de \u00e9stos y de los destinatarios de la informaci\u00f3n.<\/em><\/p>\n\n\n\n

    b) Del car\u00e1cter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.<\/em><\/p>\n\n\n\n

    c) De las consecuencias de la obtenci\u00f3n de los datos o de la negativa a suministrarlos.<\/em><\/p>\n\n\n\n

    d) De la posibilidad de ejercitar los derechos de acceso, rectificaci\u00f3n, cancelaci\u00f3n y oposici\u00f3n.<\/em><\/p>\n\n\n\n

    e) De la identidad y direcci\u00f3n del responsable del tratamiento o, en su caso, de su representante.<\/em><\/p>\n\n\n\n

    Norma 41 (Todos): <\/strong>Se proh\u00edbe la recogida de datos por medios fraudulentos, desleales o il\u00edcitos. Queda prohibida toda recogida de datos que est\u00e9 al margen de lo establecido por el Responsable del Fichero.<\/em><\/p>\n\n\n\n

    Norma 42 (Todos):<\/strong> Los usuarios autorizados prestar\u00e1n la mayor diligencia posible en informar de sus derechos a los interesados, en especial en la solicitud de consentimiento de recogida de datos; llamando su atenci\u00f3n y recomendando que lean las cl\u00e1usulas informativas que a tal efecto se incluyen en los cuestionarios y\/o formularios. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurar\u00e1n en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior. Los usuarios autorizados a trabajar con este sistema de informaci\u00f3n velar\u00e1n por utilizar exclusivamente impresos que atiendan este requerimiento legal.<\/em><\/p>\n\n\n\n

    Norma 43 (Todos):<\/strong> Cuando la recogida de datos se realice telem\u00e1ticamente y a trav\u00e9s de un formulario informatizado, se deber\u00e1 incluir en el mismo las advertencias legales anteriormente rese\u00f1adas.<\/em><\/p>\n\n\n\n

    9.- CALIDAD DE LOS DATOS<\/strong><\/p>\n\n\n\n

    Norma 44 (Todos):<\/strong> El personal encargado de la recogida de los datos debe de prestar m\u00e1xima atenci\u00f3n, de que los datos incorporados a los ficheros automatizados correspondan a la realidad del interesado, y comunicar para proceder a su actualizaci\u00f3n, de aquellas variaciones informativas que presupongan un cambio en la situaci\u00f3n actual del interesado o cualquier inexactitud existente en los mismos. (Art\u00edculo 4.3 de la LOPD).<\/em><\/p>\n\n\n\n

    Norma 45 (Todos):<\/strong> Los datos de car\u00e1cter personal ser\u00e1n exactos y puestos al d\u00eda de forma que respondan con veracidad a la situaci\u00f3n actual del afectado. As\u00ed mismo informar\u00e1n de aquellos datos almacenados que consideren que ya no sean necesarios, a fin de que el Responsable del Fichero pueda evaluar su posible cancelaci\u00f3n. (Art\u00edculo 4.5 de la LOPD)<\/em><\/p>\n\n\n\n

    Norma 46 (Todos):<\/strong> Los datos de car\u00e1cter personal ser\u00e1n cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.<\/em><\/p>\n\n\n\n

    10.- FICHEROS TEMPORALES<\/strong><\/p>\n\n\n\n

    Norma 47. (Todos): <\/strong>Los<\/em> ficheros temporales deber\u00e1n cumplir el nivel de seguridad que les corresponda con arreglo a los criterios establecidos en el presente Reglamento.  Todo fichero temporal ser\u00e1 borrado una vez que haya dejado de ser necesario para los fines que motivaron su creaci\u00f3n. Bien los procesos inform\u00e1ticos de forma autom\u00e1tica e invisible para el operador, o bien los usuarios autorizados a acceder a los Sistemas de Informaci\u00f3n para llevar a cabo labores de mantenimiento, an\u00e1lisis, sometimiento a pruebas de los sistemas inform\u00e1ticos o cualquier otra labor necesaria para el buen funcionamiento de los trabajos que le son encomendados, pueden generar ficheros temporales. Estos ficheros deben de ser borrados una vez que se hayan cumplido los objetivos para los cuales fueron creados. En ning\u00fan caso se pueden mantener de forma indefinida.<\/em><\/p>\n\n\n\n

    Norma 48. (Todos): <\/strong>La<\/em> destrucci\u00f3n de estos ficheros se tiene que llevar acabo de forma que imposibilite cualquier posterior recuperaci\u00f3n. Debe prestarse especial atenci\u00f3n al hecho de no almacenar documentos en la Papelera de Reciclaje.<\/em>
    <\/em><\/p>\n\n\n\n

    11.- GESTION DE <\/strong>SOPORTES<\/strong><\/p>\n\n\n\n

    Norma 49. (B\u00e1sico): <\/strong>S<\/em>e establece que todos los soportes inform\u00e1ticos que contengan datos de car\u00e1cter personal ser\u00e1n identificados de forma inequ\u00edvoca, mediante un identificador num\u00e9rico o nombre formado por fechas o letras que permitan crear una estructura de localizaci\u00f3n.<\/em><\/p>\n\n\n\n

    Norma 50. (B\u00e1sico):<\/strong> <\/strong>Los<\/em> <\/em>soportes empleados ser\u00e1n inventariados mediante un identificador \u00fanico. As\u00ed mismo se determinar\u00e1 el lugar donde se encuentra almacenado y el tipo de soporte. El Registro de Inventario de soportes <\/strong> se realizar\u00e1 mediante el registro anexo a este documento, que permite vincular los sistemas inform\u00e1ticos a las aplicaciones instaladas y \u00e9stas a los ficheros sobre los que act\u00faan.<\/em><\/p>\n\n\n\n

    Norma 51. (B\u00e1sico):<\/strong> <\/em>La<\/em> <\/em>salida de soportes inform\u00e1ticos que contengan datos de car\u00e1cter personal, fuera de la oficina donde se encuentra ubicado el fichero, \u00fanicamente podr\u00e1 ser autorizada por el responsable del fichero.<\/em><\/p>\n\n\n\n

    Norma 52. (Todos):<\/strong> <\/strong>Se crear\u00e1 un Registro de Entradas de Soportes <\/strong> donde los responsables especificar\u00e1n todas las entradas de soportes que se produzcan y realizar\u00e1n la identificaci\u00f3n de los soportes.  Los responsables registrar\u00e1n las bajas de soportes, manteniendo el Registro constantemente actualizado, las bajas deber\u00e1n contar con la ratificaci\u00f3n del Responsable de Seguridad que revisar\u00e1 estos registros con una periodicidad no superior a los seis meses.<\/em><\/p>\n\n\n\n

    Norma 52. (B\u00e1sico):<\/strong>  <\/strong>La detecci\u00f3n de soportes con identificador duplicado se registrar\u00e1 como Incidencia<\/strong> en el Libro correspondiente indicando como descripci\u00f3n \u201cDuplicaci\u00f3n en la identificaci\u00f3n de soportes<\/strong>\u201d, procediendo a la subsanaci\u00f3n del error y a efectuar la correspondiente actualizaci\u00f3n en el Registro Inventario, de tal forma que permita la trazabilidad original del soporte.<\/em><\/p>\n\n\n\n

    Norma 53. (B\u00e1sico):<\/strong> <\/strong>La falta de material puntual para poder realizar la normal labor de etiquetado de los soportes, ser\u00e1 descrita en el Registro de Incidencias<\/strong> como \u201cFalta puntual de etiquetas<\/strong>\u201d.<\/em><\/p>\n\n\n\n

    Norma 54. (B\u00e1sico):<\/strong>  <\/strong>En caso de p\u00e9rdida o destrucci\u00f3n de un soporte enviado por transporte, se describir\u00e1 como \u201cSalida P\u00e9rdida<\/strong>\u201d, confirmado el proceso de cifrado de los contenidos, se notificar\u00e1 inmediatamente al <\/em>Responsable de Seguridad<\/em>, con el fin de que autorice la baja del soporte en el Registro de Inventario. Si no se confirma el proceso de cifrado de los contenidos, deber\u00e1 ser descrito como \u201cPerdida Sancionable<\/strong>\u201d, y deber\u00e1 ser notificado inmediatamente al <\/em>Responsable de Seguridad y al Responsable del Fichero<\/em>, con el fin de que adopte las medidas disciplinarias oportunas.<\/em><\/p>\n\n\n\n

    Norma 55. (B\u00e1sico):<\/strong> <\/strong>En caso de p\u00e9rdida, robo o sustracci\u00f3n de un soporte, se describir\u00e1n los incidentes como \u201cP\u00e9rdida\u201d, \u201cRobo\u201d, \u201cSustracci\u00f3n\u201d<\/strong>, (seg\u00fan corresponda) y se notificar\u00e1 inmediatamente <\/em>al Responsable de Seguridad y al Responsable del Fichero, con el fin de que autorice la baja del soporte en el Registro de Inventario<\/em> y proceda a efectuar la correspondiente denuncia judicial en los supuestos de robo o sustracci\u00f3n, y a adoptar las medidas disciplinarias correspondientes en caso de p\u00e9rdida.<\/em><\/p>\n\n\n\n

    Norma 56. (B\u00e1sico):<\/strong> <\/strong>Las medidas de seguridad aplicadas para las ubicaciones de los soportes deber\u00e1n contemplan el almacenamiento de \u00e9stos en un compartimiento bajo llave a cargo del Responsable del Fichero. A ser posible, dicho lugar ser\u00e1 protegido contra incendios.<\/em><\/p>\n\n\n\n

     <\/em>Norma 57. (Alto):<\/strong> <\/strong>Para los ficheros de nivel alto, se conservar\u00e1 una copia del procedimiento de restauraci\u00f3n y la copia de seguridad, es decir, los soportes donde se realice la copia, en un lugar diferente a aqu\u00e9l donde se encuentren los sistemas inform\u00e1tico, por ejemplo, en la caja de seguridad de un banco o entidad financiera.<\/em><\/p>\n\n\n\n

    Norma 58. (Todos):<\/strong>  <\/strong>Cuando sea necesaria la salida de los soportes inform\u00e1ticos que contengan datos personales, fuera de los locales en los que est\u00e9 ubicado el fichero, deber\u00e1 solicitarse previamente la autorizaci\u00f3n del Responsable del Fichero, el cual es el \u00fanico que puede autorizar  su salida.<\/em><\/p>\n\n\n\n

    Norma 59. (Medio):<\/strong> <\/strong>El Responsable del Fichero ha creado un Registro de Salidas de los Soportes<\/strong> inform\u00e1ticos, donde se  detallan los siguientes datos:<\/em><\/p>\n\n\n\n

    – Fecha de Salida.<\/em><\/p>\n\n\n\n

    – Causa de la Salida.<\/em><\/p>\n\n\n\n

    – Identificador del soporte.<\/em><\/p>\n\n\n\n

    – Forma de envio.<\/em><\/p>\n\n\n\n

    – Destinatario.  En el caso de tratarse de un transporte, se verificar\u00e1 que el responsable    de la recepcion esta debidamente autorizado.<\/em><\/p>\n\n\n\n

    – Confirmaci\u00f3n de llegada.<\/em><\/p>\n\n\n\n

    – Fecha de devoluci\u00f3n. (en su caso).<\/em><\/p>\n\n\n\n

    Estos responsables especificar\u00e1n el plazo de devoluci\u00f3n del soporte el registro de salidas caso de que corresponda. Si cumplido el plazo de una salida con fecha de devoluci\u00f3n, \u00e9sta no se verifica, se describir\u00e1 como \u201c<\/em>No Devoluci\u00f3n\u201d, <\/em>y deber\u00e1 ser comunicado inmediatamente al <\/em>Responsable de Seguridad con el fin de que adopte las medidas oportunas.<\/em><\/em><\/p>\n\n\n\n

    Estos responsables adem\u00e1s se responsabilizan de:<\/em><\/p>\n\n\n\n

    a) <\/em>Al igual que la salida de soportes inform\u00e1ticos, se registrar\u00e1 su entrada.<\/em>
    b) <\/em>Adoptar las medidas t\u00e9cnicas o de protocolo interno que garanticen la imposibilidad de reconstruir total o parcialmente los ficheros recibidos una vez se haya realizado la labor necesaria.<\/em><\/em><\/p>\n\n\n\n

    Norma 60. (Medio – Alto):<\/strong> <\/strong>Cuando<\/em> la salida de los ficheros, de nivel medio o alto, venga motivada por consecuencia de operaciones de mantenimiento, \u00e9stos ser\u00e1n cifrados o protegidos con medios equivalentes.<\/em><\/p>\n\n\n\n

    Norma 61. (Medio – Alto):<\/strong> Distribuci\u00f3n de Soportes. <\/strong>La distribuci\u00f3n de soportes que contengan datos de car\u00e1cter personal, se realizar\u00e1 cifrando los datos o bien utilizando cualquier otro mecanismo que garantice que dicha informaci\u00f3n no sea legible ni manipulada durante su transporte.<\/em><\/p>\n\n\n\n

    12.- FICHEROS EN PAPEL<\/strong><\/p>\n\n\n\n

    Norma 62. (B\u00e1sico):<\/strong> Los documentos impresos con datos personales se almacenar\u00e1n de manera que se mantenga la confidencialidad de los mismos en lugares a lo que no tengan acceso personas no autorizadas. En ning\u00fan caso se dejar\u00e1n a la vista, como por ejemplo encima de una mesa, o en la bandeja de salida de las impresoras.<\/em><\/p>\n\n\n\n

    Norma 63. (Todos):<\/strong> Las anteriores normas son de obligado cumplimiento para los documentos soportados en formato papel, quedando pues a tenor de lo dispuesto en referencia al Registro de Entrada y Salida de Soportes.<\/em><\/p>\n\n\n\n

    Norma 64. (Todos):<\/strong> Los documentos impresos con datos personales, una vez que ya no sean necesarios, se destruir\u00e1n f\u00edsicamente de manera que no puedan recuperarse los datos que conten\u00edan (por ejemplo mediante una trituradora de papel).  En ning\u00fan caso se reutilizar\u00e1n este tipo de documentos (por ejemplo, no podr\u00e1n ser utilizados para imprimir por la otra cara, si estuviera en blanco).<\/em><\/em><\/p>\n\n\n\n

    13.- <\/strong>ENTRADA Y SALIDA DE DATOS POR REDES TELEMATICAS<\/strong><\/strong><\/p>\n\n\n\n

    La transmisi\u00f3n de datos por redes telem\u00e1ticas, como por ejemplo Internet, ya sea por medio de correo electr\u00f3nico o mediante sistemas de transferencia de ficheros (como p.ej. FTP), es uno de los medios m\u00e1s utilizados para el env\u00edo de datos, hasta el punto de que est\u00e1 sustituyendo a los soportes f\u00edsicos. Por ello merecen un tratamiento especial ya que, por sus caracter\u00edsticas, pueden ser m\u00e1s vulnerables que los soportes f\u00edsicos tradicionales.<\/p>\n\n\n\n

    Norma 65. (Medio):<\/strong> Todas las entradas y salidas de datos de los Ficheros, que se efect\u00faen mediante correo electr\u00f3nico se realizar\u00e1n desde una \u00fanica cuenta o direcci\u00f3n de correo controlada por un usuario especialmente autorizado por el responsable del Fichero. Igualmente si se realiza la entrada o salida de datos mediante sistemas de transferencia de ficheros por red, \u00fanicamente un usuario o administrador estar\u00e1 autorizado para realizar esas operaciones.<\/em><\/p>\n\n\n\n

    Norma 66. (Medio):<\/strong> Se guardar\u00e1n copias de todos los correos electr\u00f3nicos que involucren entradas o salidas de datos del Fichero, en directorios protegidos y bajo el control del responsable citado. Se mantendr\u00e1n copias de esos correos durante al menos dos a\u00f1os. Tambi\u00e9n se guardar\u00e1 durante un m\u00ednimo de dos a\u00f1os, en directorios protegidos, una copia de los ficheros recibidos o transmitidos por sistemas de transferencia de ficheros por red, junto con un registro de la fecha y hora en que se realiz\u00f3 la operaci\u00f3n y el destino del fichero enviado.<\/em><\/p>\n\n\n\n

    Norma 67. (Medio – Alto):<\/strong> Cuando los datos del Fichero vayan a ser enviados por correo electr\u00f3nico o por sistemas de transferencia de ficheros, a trav\u00e9s de redes p\u00fablicas o no protegidas, se recomienda que sean cifrados de forma que solo puedan ser le\u00eddos e interpretados por el destinatario. Si los datos son de nivel alto el cifrado es obligatorio.<\/em><\/p>\n\n\n\n

    14.- COPIAS DE SEGURIDAD Y RESTAURACION<\/strong><\/p>\n\n\n\n

    La seguridad de los datos personales de los Ficheros no s\u00f3lo supone la  confidencialidad de los mismos sino que tambi\u00e9n  conlleva la integridad y la disponibilidad de esos datos. Para garantizar estos dos aspectos fundamentales de la seguridad es necesario que existan unos procesos de respaldo y de recuperaci\u00f3n que, en caso de fallo del sistema inform\u00e1tico, permitan recuperar y en su caso reconstruir los datos del Fichero.<\/p>\n\n\n\n

    Norma 68. (B\u00e1sico):<\/em><\/strong> <\/em><\/strong>S<\/em>e establece que con el fin de garantizar la reconstrucci\u00f3n de los datos, en caso de p\u00e9rdida o destrucci\u00f3n, se realizar\u00e1n copias de respaldo \u00fanicamente con la autorizaci\u00f3n del responsable de Seguridad. <\/em>Estas copias de seguridad deber\u00e1n realizarse con una periodicidad, al menos semanal<\/strong>, salvo en el caso de que no se haya producido ninguna actualizaci\u00f3n de los datos. Se evitar\u00e1 desgastar en exceso los soportes donde se realizan las copias de seguridad, rot\u00e1ndolos y renov\u00e1ndolos de forma peri\u00f3dica transcurridos un n\u00famero determinado de grabaciones o un per\u00edodo de tiempo largo. Los soportes destinados a copias de seguridad seguir\u00e1n todas las normas definidas para la gesti\u00f3n de soportes (identificaci\u00f3n, reutilizaci\u00f3n y eliminaci\u00f3n, etc.).<\/em><\/p>\n\n\n\n

    Norma 69. (B\u00e1sico):<\/strong> <\/strong>Los Responsables de la realizaci\u00f3n de las Copias de Respaldo llevar\u00e1n un calendario que detalle la labor a realizar en cada momento y efectuar\u00e1n el correspondiente registro en el libro Registro de Copias de Seguridad. Con el fin de que el Responsable del Fichero pueda verificar la correcta aplicaci\u00f3n de los procedimientos establecidos. En caso de imposibilidad de realizaci\u00f3n de las copias de seguridad,  se considerar\u00e1 un incidente \u201cNo Copia\u201d que tiene que ser notificado inmediatamente al Responsable de Seguridad, con el fin de que adopte las medidas oportunas.<\/em><\/p>\n\n\n\n

    Norma 70. (B\u00e1sico):<\/strong> <\/strong>En caso de que las copias de seguridad est\u00e9n corrompidas o hayan desaparecido, el incidente se registrar\u00e1 como \u201cNo Copia\u201d, y deber\u00e1 ser notificado inmediatamente al Responsable de Seguridad y al Responsable del Fichero, con el fin de que adopte las medidas oportunas.<\/em><\/p>\n\n\n\n

    Norma 71. (Medio):<\/strong> <\/strong>Ser\u00e1 necesaria la autorizaci\u00f3n por escrito del responsable del fichero para la ejecuci\u00f3n de los procedimientos de recuperaci\u00f3n<\/em> de los datos. En cumplimiento de la Ley de Firma Electr\u00f3nica, la empresa admitir\u00e1 la autorizaci\u00f3n mediante firma electr\u00f3nica avanzada con sello de tiempo aplicado desde fuente segura, si lo estima oportuno.<\/em><\/p>\n\n\n\n

    Norma 72. (B\u00e1sico):<\/strong> <\/strong>Los Responsables de la Restauraci\u00f3n de las Copias de Respaldo, en caso de tener que efectuar una restauraci\u00f3n de copias, emitir\u00e1n un informe del incidente acaecido, que ha obligado a efectuar esa restauraci\u00f3n, detallando los ficheros afectados y solicitando por escrito al responsable del fichero la correspondiente autorizaci\u00f3n. El proceso de autorizaci\u00f3n podr\u00e1 realizarse digitalmente, autentificando la solicitud y la autorizaci\u00f3n con firma electr\u00f3nica avanzada.<\/em><\/p>\n\n\n\n

    Norma 73. (B\u00e1sico):<\/strong> <\/em>Una vez realizado el proceso, se confeccionar\u00e1 un informe especificando la fecha y hora en que se realiz\u00f3 la restauraci\u00f3n, as\u00ed como la posible p\u00e9rdida de datos en caso de desactualizaci\u00f3n entre la fecha de la \u00faltima copia y \u00faltima actualizaci\u00f3n realizada. El incidente deber\u00e1 ser\u00e1 descrito como \u201cRestauraci\u00f3n\u201d. Este informe, as\u00ed como la autorizaci\u00f3n suscrita, se registrar\u00e1n en el Libro Registro de Incidencias.<\/em><\/p>\n\n\n\n

    Norma 74. (B\u00e1sico):<\/strong> <\/em>En caso de desactualizaci\u00f3n, y con el fin de atender el requerimiento establecido en el art\u00edculo 4.4 de la Ley Org\u00e1nica de Protecci\u00f3n de Datos de Car\u00e1cter Personal, el Responsable de la Restauraci\u00f3n realizar\u00e1 una valoraci\u00f3n de los datos de car\u00e1cter personal registrados que puedan ser inexactos, con el fin de proceder a su cancelaci\u00f3n y rectificaci\u00f3n por nuevos valores exactos y puestos al d\u00eda.  Caso de no ser posible la actualizaci\u00f3n por los medios que obran en poder del Responsable del Fichero, se notificar\u00e1 el suceso a los afectados y solicitar\u00e1 de ellos la informaci\u00f3n necesaria. El incidente tiene que ser notificado inmediatamente al Responsable de Seguridad.<\/em><\/p>\n\n\n\n

    Norma 75. (B\u00e1sico):<\/strong> <\/em>En caso de imposibilidad de restauraci\u00f3n o de que la misma tenga una desactualizaci\u00f3n de evidente importancia, el incidente se registrar\u00e1 como \u201cNo Restauraci\u00f3n\u201d, y deber\u00e1 ser notificado inmediatamente al Responsable de Seguridad y al Responsable del Fichero, con el fin de que adopte las medidas complementarias oportunas.<\/em><\/p>\n\n\n\n

    Norma 76. (Alto):<\/strong> Deber\u00e1 conservarse una copia de respaldo y de los procedimientos de recuperaci\u00f3n de los datos en un lugar diferente de aqu\u00e9l en que se encuentren los equipos inform\u00e1ticos que los tratan cumpliendo en todo caso, las medidas de seguridad exigidas en este Reglamento.<\/em><\/p>\n\n\n\n

    El Responsable de Seguridad se encargar\u00e1 de trasladar una copia de respaldo en un lugar diferente al que se encuentran los equipos inform\u00e1ticos. En aquellos casos en los que la copia de respaldo se realice de forma telem\u00e1tica, el Responsable de Seguridad verificar\u00e1 que el procedimiento de transmisi\u00f3n de datos se realice un protocolo de cifrado de alta seguridad, para los ficheros considerados de nivel alto. \u201cLa transmisi\u00f3n de datos de car\u00e1cter personal a trav\u00e9s de redes de telecomunicaciones se realizar\u00e1 cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informaci\u00f3n no sea inteligible ni manipulada por terceros.\u201d<\/strong><\/em><\/p>\n\n\n\n

    Norma 77. (B\u00e1sico):<\/strong> Al menos con una periodicidad semestral se revisar\u00e1n los procedimientos de copia por parte del Responsable del fichero.<\/em><\/em><\/p>\n\n\n\n

    15.- CONTROLES PERIODICOS<\/strong><\/p>\n\n\n\n

    La veracidad de los datos contenidos en este documento, as\u00ed como el cumplimiento de las normas deber\u00e1n ser peri\u00f3dicamente comprobados, de forma que puedan detectarse y subsanarse anomal\u00edas.<\/p>\n\n\n\n

    Norma 78. (Alto):<\/strong> <\/em>El responsable de seguridad del Fichero comprobar\u00e1, con una periodicidad al menos trimestral, que la lista de usuarios autorizados se corresponde con la lista de los usuarios realmente autorizados en la aplicaci\u00f3n de acceso al Fichero, para lo que recabar\u00e1 la lista de usuarios de la aplicaci\u00f3n y sus identificadores al administrador o administradores del Fichero. De igual manera, comprobar\u00e1 que los niveles de acceso de cada usuario se corresponden con las medidas t\u00e9cnicas habilitadas para limitar este acceso (restricci\u00f3n de funciones de las aplicaciones, configuraci\u00f3n de permisos de carpetas, etc.).  Tambi\u00e9n comprobar\u00e1 que se realizan de manera adecuada los procedimientos de gesti\u00f3n de usuarios y contrase\u00f1as, especialmente la renovaci\u00f3n peri\u00f3dica de las contrase\u00f1as. Adem\u00e1s de estas comprobaciones peri\u00f3dicas, el administrador comunicar\u00e1 al responsable de seguridad, en cuanto se produzca, cualquier alta o baja de usuarios con acceso autorizado al Fichero.<\/em><\/p>\n\n\n\n

    Norma 79. (Alto):<\/strong> <\/em>Se comprobar\u00e1 tambi\u00e9n al menos con periodicidad semestral, la existencia de copias de respaldo correctas que permitan la recuperaci\u00f3n de Fichero, as\u00ed como el procedimiento de copias y restauraci\u00f3n.<\/em><\/p>\n\n\n\n

    Norma 80. (Alto):<\/strong> <\/em>A su vez, y tambi\u00e9n con periodicidad al menos trimestral, los administradores del Fichero comunicar\u00e1n al responsable de seguridad cualquier cambio que se haya realizado en los datos t\u00e9cnicos de los sistemas, como por ejemplo cambios en el software o hardware, base de datos o aplicaci\u00f3n de acceso al Fichero, procediendo igualmente a la actualizaci\u00f3n de dichos datos  y resto de documentos.<\/em><\/p>\n\n\n\n

    Norma 81. (Alto):<\/strong> <\/em>Tambi\u00e9n se comprobar\u00e1, con periodicidad al menos trimestral, que las configuraciones hardware y software de los puestos documentadas se corresponden con las existentes en la realidad, verificando que no se hayan instalado programas sin autorizaci\u00f3n.  Se har\u00e1 hincapi\u00e9 en verificar que no hay instalados programas especiales como herramientas de utilidad que permitan el acceso no controlado a los ficheros de datos.<\/em><\/p>\n\n\n\n

    Norma 82. (Alto):<\/strong> Se comprobar\u00e1 que se eliminan los ficheros temporales, en los PCs de usuarios.<\/em><\/p>\n\n\n\n

    Norma 83. (Alto):<\/strong> <\/em>El responsable de seguridad, verificar\u00e1, con periodicidad al menos trimestral<\/strong>, el cumplimiento de lo previsto en este documento en relaci\u00f3n con las entradas y salidas de datos, sean por red o en soporte magn\u00e9tico.<\/em><\/p>\n\n\n\n

    Norma 84. (Alto):<\/strong> <\/em>El responsable del fichero junto con el responsable de seguridad, analizar\u00e1n con periodicidad al menos trimestral las incidencias registradas en el libro correspondiente para, independientemente de las medidas particulares que se hayan adoptado en el momento que se produjeron, adoptar las medidas correctoras que limiten esas incidencias en el futuro.<\/em><\/p>\n\n\n\n

    Norma 85. (Alto):<\/strong> <\/em>El responsable de seguridad revisar\u00e1 peri\u00f3dicamente la informaci\u00f3n de control registrada en el registro de accesos (log), y elaborar\u00e1 un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes.<\/em><\/p>\n\n\n\n

    Norma 86. (Medio – Alto):<\/strong> <\/em>Auditorias.<\/em><\/strong> <\/em>Los sistemas de informaci\u00f3n e instalaciones de tratamiento de datos se someter\u00e1n a una auditor\u00eda interna o externa, que verifique el cumplimiento del presente Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada dos a\u00f1os<\/strong>.  El informe de auditor\u00eda deber\u00e1 dictaminar sobre la adecuaci\u00f3n de las medidas y controles al presente Reglamento, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deber\u00e1, igualmente, incluir los datos, hechos y observaciones en que se basen los dict\u00e1menes alcanzados y recomendaciones propuestas.  Los informes de auditor\u00eda ser\u00e1n analizados por el responsable de seguridad competente, que elevar\u00e1 las conclusiones al responsable del fichero para que adopte las medidas correctoras adecuadas y quedar\u00e1n a disposici\u00f3n de la Agencia de Protecci\u00f3n de Datos.<\/em><\/p>\n\n\n\n

    08<\/strong><\/strong><\/td>PROCEDIMIENTOS<\/strong><\/strong><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

    <\/a><\/a><\/a><\/a><\/a>1.- Entrada \/ Recogida de datos<\/strong><\/a> personales<\/strong><\/p>\n\n\n\n

    Dependiendo del tipo de interesado el sistema de entrada puede ser diferente: tarjetas de visitas, formularios, documentos comerciales, entrevistas, env\u00edos de correos electr\u00f3nicos, curr\u00edculos,\u2026 etc.<\/p>\n\n\n\n

    Siempre que se le solicite a un interesado alg\u00fan dato de car\u00e1cter personal es imprescindible informarle, tal y como marca el RDLOPD, sobre:<\/p>\n\n\n\n

    a) La inclusi\u00f3n de sus datos en un fichero, propiedad del responsable y debidamente registrado en la Agencia de Protecci\u00f3n de Datos.<\/p>\n\n\n\n

    b) La finalidad del mismo.<\/p>\n\n\n\n

    c) Las posibles cesiones a terceros.<\/p>\n\n\n\n

    d) Sus derechos ARCO (Acceso, Rectificaci\u00f3n, Cancelaci\u00f3n y Oposici\u00f3n)<\/p>\n\n\n\n

    Esta informaci\u00f3n se realizar\u00e1 mediante un documento o la inclusi\u00f3n de una cl\u00e1usula en los formularios de recogida, que deber\u00e1 ser firmada por el interesado. En el caso de que el interesado no firmara, sus datos no podr\u00e1n ser recogidos en los ficheros.<\/p>\n\n\n\n

    Si adem\u00e1s, de la finalidad principal de la recogida de datos existieran otras como por ejemplo el env\u00edo de publicidad, deber\u00e1 ser, de la misma forma admitida de forma expresa por el interesado.<\/p>\n\n\n\n

    En el caso de que la Informaci\u00f3n nos la hubiera remitido el interesado por cualquier medio que no hubiera sido posible proceder a informarle de forma adecuada de lo comentado con anterioridad, ser\u00e1 imprescindible realizarlo de forma inmediata, remiti\u00e9ndole un documento a tal efecto con el fin de que en el plazo m\u00e1ximo de tres meses, nos lo remita debidamente, firmado, autorizando el tratamiento de sus datos.<\/p>\n\n\n\n

    <\/a><\/a><\/a><\/a><\/a>2.- Gesti\u00f3n de Usuarios.<\/strong><\/a><\/strong><\/p>\n\n\n\n

    El RLOPD establece que se debe disponer de una relaci\u00f3n de Usuarios, totalmente actualizada  donde figuren los permisos de accesos a los ficheros y sistemas inform\u00e1ticos.<\/p>\n\n\n\n

    Para ello, cada vez que se deba crear un nuevo usuario en el sistema, se deba dar de baja o modificar sus premisos, ser\u00e1 necesario seguir los siguientes procedimientos que se detallan a continuaci\u00f3n.<\/p>\n\n\n\n

    3.- Creaci\u00f3n de Usuarios<\/strong><\/p>\n\n\n\n

    El Responsable del Departamento donde vaya a trabajar el nuevo usuario, debe notificar al Responsable de Seguridad las altas de usuarios. En el mismo indicar\u00e1 con claridad los datos b\u00e1sicos del usuario, los ficheros f\u00edsicos a los que se les debe permitir el acceso y el perfil de usuario.<\/p>\n\n\n\n

    En funci\u00f3n de los permisos que se le concedan y las funciones que vaya a desempe\u00f1ar, el Responsable de Seguridad le entregar\u00e1 las funciones y obligaciones que figuran en el Documento de Seguridad, teniendo que firmar el usuario el impreso donde afirma haber recibido dicha documentaci\u00f3n y se compromete a cumplirlas y a guardar total confidencialidad sobre los datos a los que, por su trabajo, vaya a tener acceso.<\/p>\n\n\n\n

    El Responsable de Seguridad, bien directamente o a trav\u00e9s del Administrador de Sistemas, proceder\u00e1 a configurar los sistemas inform\u00e1ticos (ordenador donde vaya a trabajar, escritorio de trabajo con accesos permitidos a aplicaciones y ficheros y entorno de red), se le asignar\u00e1 una identificaci\u00f3n exclusiva (\u201cusuario\u201d) y una contrase\u00f1a que solo podr\u00e1 conocer \u00e9l. El Responsable de Seguridad, incluir\u00e1 al nuevo Usuario en el Registro de Usuarios con Acceso a datos.<\/p>\n\n\n\n

    4.- Baja de usuarios<\/strong><\/p>\n\n\n\n

    El Responsable del Departamento donde trabaja el usuario que se va a dar de baja, debe notificar al Responsable de Seguridad las bajas de usuarios.<\/p>\n\n\n\n

    Esta comunicaci\u00f3n deber\u00e1 producirse cuando el cese de la relaci\u00f3n laboral o un cambio de departamento hagan innecesario su acceso a los datos. En la notificaci\u00f3n se indicar\u00e1n con claridad los datos b\u00e1sicos del usuario y los ficheros f\u00edsicos a los que se les debe cancelar el acceso.<\/p>\n\n\n\n

    El Responsable de Seguridad, bien directamente o a trav\u00e9s del Administrador de Sistema, proceder\u00e1 a anular ellos permisos de acceso y el usuario del sistema.<\/p>\n\n\n\n

    El Responsable de Seguridad, o en su caso el Administrador del Sistema se asegurar\u00e1 que los datos que el usuario haya tratado y que pudieran estar en el puesto de trabajo donde haya trabajado o en carpetas propias en otra ubicaci\u00f3n (p.ej. servidor) sean reubicados o borrados, en el caso de que se trataran de ficheros temporales.<\/p>\n\n\n\n

    Este trabajo ser\u00e1 imprescindible realizarlo antes de que el propio ordenador pueda ser reutilizado para otro usuario o vaya a ser destruido.<\/p>\n\n\n\n

    Una vez realizado todo esto, el Responsable de Seguridad, proceder\u00e1 a indicar la baja del usuario en el registro existente a tal efecto.<\/p>\n\n\n\n

    5.- Modificaci\u00f3n de un usuario<\/strong><\/p>\n\n\n\n

    En el caso de que se tuvieran que realizar modificaciones sobre los permisos de acceso a sistemas inform\u00e1ticos y\/o ficheros, el Responsable del Departamento donde trabaje el Usuario, proceder\u00e1 a notificar dichos cambios al Responsable de Seguridad.<\/p>\n\n\n\n

    El Responsable de Seguridad, bien directamente o bien a trav\u00e9s del Administrador de Sistemas, proceder\u00e1n a realizar las modificaciones en los sistemas inform\u00e1ticos.<\/p>\n\n\n\n

    En la medida que estos cambios pudieran suponer un cambio de funciones y\/o obligaciones, a nivel de lo que figura en el Documento de Seguridad,  el Responsable de Seguridad proceder\u00e1 a notific\u00e1rselo al usuario.<\/p>\n\n\n\n

    6.- Identificaci\u00f3n y Autenticaci\u00f3n<\/strong><\/a> de usuarios<\/strong><\/p>\n\n\n\n

    El RLOPD establece que toda persona que tenga acceso concedido a ficheros con datos personales, a trav\u00e9s de sistemas inform\u00e1ticos, debe estar perfectamente identificada de forma inequ\u00edvoca.<\/p>\n\n\n\n

    Los sistemas inform\u00e1ticos de acceso a los ficheros con datos de car\u00e1cter personal deber\u00e1n tener su acceso restringido mediante un c\u00f3digo de usuario y una contrase\u00f1a. El c\u00f3digo de usuario ser\u00e1 asignado por el responsable de seguridad, siguiendo los criterios del responsable del fichero.<\/p>\n\n\n\n

    En cada sistema de informaci\u00f3n, la identidad de cada persona autorizada como usuario est\u00e1 asociada al c\u00f3digo de usuario que se le ha asignado.<\/p>\n\n\n\n

    Todos los usuarios autorizados, deber\u00e1n tener un c\u00f3digo de usuario que ser\u00e1 \u00fanico, y que estar\u00e1 asociado a la contrase\u00f1a correspondiente, que s\u00f3lo ser\u00e1 conocida por el propio usuario.<\/p>\n\n\n\n

    La contrase\u00f1a tendr\u00e1 car\u00e1cter secreto y estar\u00e1 formada por una cadena alfanum\u00e9rica introducida por el usuario. S\u00f3lo la podr\u00e1 conocer \u00e9l y en todo caso, el Responsable de Seguridad.<\/p>\n\n\n\n

    Tras este proceso, la identificaci\u00f3n de la persona a trav\u00e9s de \u201cusuario\u201d y \u201ccontrase\u00f1a\u201d, ser\u00e1 obligatoria en:<\/p>\n\n\n\n

    a) Inicio de sesi\u00f3n en su puesto de trabajo<\/p>\n\n\n\n

    b) Acceso a redes locales<\/p>\n\n\n\n

    c) Anulaci\u00f3n de protectores de pantalla.<\/p>\n\n\n\n

    La pol\u00edtica de asignaci\u00f3n de contrase\u00f1as, dependiendo de que el Sistema Operativo lo permita,  ser\u00e1 la siguiente:<\/p>\n\n\n\n

    Se asignar\u00e1 una contrase\u00f1a de forma transitoria hasta que el usuario se conecte por primera vez. Momento \u00e9ste en que el sistema proceder\u00e1 a solicitar una nueva.<\/p>\n\n\n\n

    Si el sistema no lo permite, ser\u00e1 el Responsable de Seguridad quien la cree y comunique al usuario.<\/p>\n\n\n\n

    Al menos con periodicidad anual, el sistema propondr\u00e1 de forma autom\u00e1tica al usuario el cambio de contrase\u00f1a, obligando a que la nueva sea diferente a la \u00faltima. Tambi\u00e9n se cambiar\u00e1n las contrase\u00f1as cuando lo solicite el interesado, cuando haya una incidencia que comprometa la seguridad. Se cancelar\u00e1 la contrase\u00f1a cuando haya un cambio de funciones o se produzca un cese en el cargo.<\/p>\n\n\n\n

    En el caso de que el sistema no lo permita, el Responsable de Seguridad, cambiar\u00e1 las palabras de paso de todos los usuarios, comunic\u00e1ndoselas personalmente.<\/p>\n\n\n\n

    Las contrase\u00f1as deben tener al menos seis caracteres. Estar\u00e1n formadas por letras may\u00fasculas y min\u00fasculas, no todas iguales, o por cadenas que contengan conjuntamente caracteres alfab\u00e9ticos y n\u00fameros. No se dejar\u00e1 la contrase\u00f1a en blanco. No se usar\u00e1 como contrase\u00f1a el c\u00f3digo de usuario<\/p>\n\n\n\n

    No se guardar\u00e1 la contrase\u00f1a por escrito en ning\u00fan documento, ni en papel, ni en documentos electr\u00f3nicos legibles.<\/p>\n\n\n\n

    No se proporcionar\u00e1 la contrase\u00f1a a otro usuario. Cuando por razones de fuerza mayor, un usuario deba facilitar su contrase\u00f1a a otro, comunicar\u00e1 el hecho al responsable de seguridad, que lo reflejar\u00e1 en el registro de incidencias y asignar\u00e1 una nueva contrase\u00f1a a la cuenta en cuanto finalicen las circunstancias que motivaron el hecho.<\/p>\n\n\n\n

    De la misma forma se proceder\u00e1 en el caso de que ocurra cualquier otra incidencia que pudiera afectar al secreto de la contrase\u00f1a.<\/p>\n\n\n\n

    Los sistemas de informaci\u00f3n mantendr\u00e1n internamente cada contrase\u00f1a en formato cifrado y asociada al c\u00f3digo de usuario correspondiente. \u00danicamente el responsable de seguridad tendr\u00e1 acceso a esta asociaci\u00f3n.<\/p>\n\n\n\n

    Para ficheros de nivel medio-alto las cuentas de acceso a los sistemas de informaci\u00f3n no podr\u00e1n ser compartidas, con el fin de que todo aquel usuario que intente acceder al sistema pueda ser identificado de forma inequ\u00edvoca y personalizada y el sistema pueda verificar que est\u00e1 autorizado.<\/p>\n\n\n\n

    El responsable de seguridad habilitar\u00e1 los medios t\u00e9cnicos disponibles para que el usuario no pueda eludir las normas de identificaci\u00f3n y autenticaci\u00f3n. En los casos en los que esto no sea posible, ser\u00e1 responsabilidad del usuario su observaci\u00f3n y cumplimiento.<\/p>\n\n\n\n

    En la medida de que se disponga de ficheros de nivel medio,  el sistema controlar\u00e1 el n\u00famero de intentos de acceso, limit\u00e1ndolo a 3.<\/p>\n\n\n\n

    Si el usuario supera el n\u00famero de intentos, el sistema bloquear\u00e1 el puesto de trabajo, teniendo que ser el Responsable de Seguridad, o el Administrador de Sistemas, quien lo desbloquee. En este caso, el Responsable de Seguridad, tras analizar las causas, anotar\u00e1 el hecho en el registro de Incidencias.<\/p>\n\n\n\n

    Cuando un usuario tenga que abandonar su puesto de trabajo, cerrar\u00e1 o bloquear\u00e1 su sesi\u00f3n en el ordenador personal. Adem\u00e1s, todos los ordenadores personales tendr\u00e1n activado un protector de pantalla o cualquier otro sistema que impida la utilizaci\u00f3n del sistema si transcurrieran quince minutos sin que se realice ninguna operaci\u00f3n. Una vez activado este sistema, ser\u00e1 necesaria la introducci\u00f3n de una contrase\u00f1a para desactivarlo.<\/p>\n\n\n\n

    Todo ordenador personal que se utilice fuera de las dependencias, adem\u00e1s de las normas de bloqueo de sesi\u00f3n relacionadas en el punto anterior, tendr\u00e1 activada una protecci\u00f3n por contrase\u00f1a previa a la carga en memoria del sistema operativo (en el set-up). Este punto ser\u00e1 especialmente observado en los ordenadores port\u00e1tiles que salen fuera de la oficina y almacenan datos personales.<\/p>\n\n\n\n

    <\/a><\/a><\/a><\/a><\/a>7.- Control de Acceso<\/strong><\/a><\/strong><\/p>\n\n\n\n

    El personal s\u00f3lo acceder\u00e1 a aquellos datos y recursos que precise para el desarrollo de sus funciones. El Responsable del fichero establecer\u00e1 mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.<\/p>\n\n\n\n

    A la hora de crear un nuevo usuario, o si con posterioridad se realizara alg\u00fan cambio autorizado de nivel, el Responsable del Fichero, junto con el Responsable de Seguridad, definir\u00e1 los accesos permitidos.<\/p>\n\n\n\n

    Una vez definidos sus accesos, a trav\u00e9s de la configuraci\u00f3n de los puestos de trabajo (sistemas operativos, escritorio, entorno de red y acceso a aplicaciones), se establecen los permisos y limitaciones.<\/p>\n\n\n\n

    Es por este sistema, por el que para acceder al puesto de trabajo y por tanto a los sistemas inform\u00e1ticos de la empresa por lo que siempre se obliga a la identificaci\u00f3n y autenticaci\u00f3n de la persona que accede.<\/p>\n\n\n\n

    Exclusivamente el Responsable de Seguridad est\u00e1 autorizado para conceder, alterar o anular el acceso autorizado sobre los datos y los recursos, conforme a los criterios establecidos por el Responsable del fichero.<\/p>\n\n\n\n

    En el documento de seguridad figura el procedimiento de alta, modificaci\u00f3n y\/o baja de usuarios.<\/p>\n\n\n\n

    El responsable de seguridad mantendr\u00e1 una relaci\u00f3n de usuarios de los sistemas de informaci\u00f3n con especificaci\u00f3n de los accesos autorizados para cada uno de ellos. Esta relaci\u00f3n estar\u00e1 siempre actualizada. En el ANEXO correspondiente, se incluye la relaci\u00f3n de usuarios actualizada con acceso autorizado a cada sistema de informaci\u00f3n.<\/p>\n\n\n\n

    El Responsable de Seguridad comprobar\u00e1, con una periodicidad al menos trimestral, que la lista de usuarios autorizados del documento de seguridad se corresponde con la lista de los usuarios realmente autorizados en la aplicaci\u00f3n de acceso al Fichero.<\/p>\n\n\n\n

    En relaci\u00f3n a ficheros no automatizados, el Responsable de Seguridad adoptar\u00e1 las medidas necesarias para impedir que personas sin la debida autorizaci\u00f3n tengan acceso a la misma.<\/p>\n\n\n\n

    En el caso de que personal ajeno a la empresa, tuviera que tener acceso a ficheros que contengan datos de car\u00e1cter personal, se le deber\u00e1 exigir el cumplimiento de las mismas medidas de seguridad, que el personal propio.<\/p>\n\n\n\n

    <\/a><\/a><\/a><\/a><\/a>8.- Control de Acceso f\u00edsico  (nivel medio)<\/strong><\/a><\/strong><\/p>\n\n\n\n

    Los locales donde se ubiquen los ordenadores que contienen los ficheros con datos de car\u00e1cter personal, deber\u00e1n ser objeto de especial protecci\u00f3n que garantice la disponibilidad y confidencialidad de los datos protegidos frente a riesgos que pudieran producirse como consecuencia de incidencias fortuitas o intencionadas. <\/p>\n\n\n\n

    Exclusivamente el personal con acceso permitido y que as\u00ed figura en el ANEXO  podr\u00e1 tener acceso a los locales, dependencias o despachos, donde se encuentren ubicados los ficheros de nivel medio (o alto) y\/o los sistemas de informaci\u00f3n con los que se tratan. (Sala de Servidores, armarios con documentaci\u00f3n en papel).<\/p>\n\n\n\n

    Se permitir\u00e1 el acceso f\u00edsico a las dependencias donde se ubican los ordenadores a:<\/p>\n\n\n\n

    a) Todo el personal de la empresa<\/p>\n\n\n\n

    b) El personal de las empresas de servicios, mantenimiento, limpieza o cualquier otro contratado siempre que sea para la prestaci\u00f3n de servicio y tengan firmado un contrato de confidencialidad de protecci\u00f3n de datos.<\/p>\n\n\n\n

    Se considera espacio de acceso restringido la sala del servidor. Solo est\u00e1n autorizados para acceder al citado espacio, las personas que figuran en el anexo correspondiente y las empresas de mantenimiento inform\u00e1tico que tengan firmado un contrato de protecci\u00f3n de datos.<\/p>\n\n\n\n

    En la puerta de la sala de acceso restringido se colocar\u00e1n carteles advirtiendo del car\u00e1cter restringido del acceso.<\/p>\n\n\n\n

    Todos los accesos excepcionales a la sala de acceso restringido, ser\u00e1n comunicados por la persona que realiz\u00f3 el acceso, al responsable de seguridad, que los anotar\u00e1 en el registro de incidencias.<\/p>\n\n\n\n

    En el caso de que fuera imprescindible que personal no autorizado tenga acceso a dichos locales, donde se encuentren ubicados ficheros, se realizar\u00e1 en presencia del Responsable de Seguridad o de quien \u00e9l delegue.<\/p>\n\n\n\n

    En la medida de que esto no sea posible (personal de limpieza), el Responsable del Departamento, ser\u00e1 responsable de mantener los ficheros debidamente archivados en armarios y\/o cajones cerrados con llave y de no dejar ninguna carpeta o fichero fuera de su armario correspondiente.<\/p>\n\n\n\n

    <\/a><\/a><\/a><\/a><\/a>9. – Registro de Accesos (nivel alto)<\/strong><\/a><\/strong><\/p>\n\n\n\n

    Los sistemas inform\u00e1ticos con los que se traten ficheros automatizados de nivel alto, deber\u00e1n permitir llevar el control de: intentos de acceso (aceptados o no), guardando usuario, fecha, hora, fichero al que se prend\u00eda acceder y resultado de la acci\u00f3n. En el caso de que el acceso sea permitido (es decir, el usuario tiene acceso concedido), se deber\u00e1 guardar la informaci\u00f3n suficiente para poder determinar el registro al que se haya accedido, as\u00ed como el tipo de acceso. Estos registros, se archivar\u00e1n durante 2 a\u00f1os y estar\u00e1n bajo la supervisi\u00f3n del Responsable de Seguridad.<\/p>\n\n\n\n

    El Responsable de Seguridad revisar\u00e1 al menos una vez al mes la informaci\u00f3n de control registrada.<\/p>\n\n\n\n

    Dado que este registro de accesos es exigido, de forma obligatoria por el RDLOPD, en el caso de que la actual aplicaci\u00f3n inform\u00e1tica con la que se traten ficheros de nivel alto no lo permita, se solicitar\u00e1 la actualizaci\u00f3n de la versi\u00f3n a la empresa suministradora del mismo.<\/p>\n\n\n\n

    En el caso de ficheros de papel de nivel alto<\/strong>, solamente personal debidamente autorizado, tendr\u00e1 acceso a los armarios y archivadores donde se encuentren ubicados dichos ficheros. Como medida de seguridad adicional y con el fin de cumplir la exigencia de control que marca el RDLOPD, se dispone de un Libro Registro de accesos, donde el usuario autorizado anotar\u00e1 la fecha y hora del acceso y la carpeta a al que accede (este registro solo ser\u00e1 obligatorio en el caso de que 2 o m\u00e1s personas tengan acceso a los ficheros de nivel alto<\/em>.)<\/p>\n\n\n\n

    No ser\u00e1 necesario el registro de accesos definido en este apartado, en caso de que concurran las siguientes circunstancias:<\/p>\n\n\n\n

    a) Que el responsable del fichero o del tratamiento sea una persona f\u00edsica.<\/p>\n\n\n\n

    b) Que el responsable del fichero garantice que \u00fanicamente \u00e9l tiene acceso y trata los datos personales.<\/p>\n\n\n\n

    En el caso de que esta circunstancia se diera, el Responsable de Seguridad lo indicar\u00e1 en el presente Documento de Seguridad.<\/p>\n\n\n\n

    <\/a><\/a><\/a><\/a><\/a>10.- Gesti\u00f3n de Soportes y Documentos<\/strong><\/a><\/strong><\/p>\n\n\n\n

    Un soporte es un objeto f\u00edsico que almacena o contiene datos o documentos, u objeto susceptible de ser tratado en un sistema de informaci\u00f3n.<\/p>\n\n\n\n

    Soportes inform\u00e1ticos son todos aquellos medios de grabaci\u00f3n y recuperaci\u00f3n de datos que se utilizan para almacenar datos o realizar copias o pasos intermedios en los procesos de la aplicaci\u00f3n que gestiona el Fichero.<\/p>\n\n\n\n

    Los soportes inform\u00e1ticos que contienen datos de car\u00e1cter personal se identificar\u00e1n mediante etiquetas que permitan identificar el tipo de informaci\u00f3n que contienen.<\/p>\n\n\n\n

    Se mantendr\u00e1 un inventario de los soportes inform\u00e1ticos que contengan datos de car\u00e1cter personal. Para cada soporte se especificar\u00e1 al menos: c\u00f3digo del soporte, fecha de copia, tipo de soporte y responsable. El inventario podr\u00e1 gestionarse por medios inform\u00e1ticos.<\/p>\n\n\n\n

    Todo soporte que contenga informaci\u00f3n especialmente sensible, estar\u00e1 codificado con  criterios de etiquetado que ser\u00e1n comprensibles y con significado para los usuarios autorizados, permiti\u00e9ndoles identificar su contenido, y que sin embargo dificultan la identificaci\u00f3n para el resto de personas.<\/p>\n\n\n\n

    Para la codificaci\u00f3n de soportes, se seguir\u00e1 el procedimiento que el Responsable de Seguridad defina, que por razones de seguridad y para evitar que personal no autorizado pueda llegar a conocerlo, solo ser\u00e1 conocido por \u00e9l y el personal encargado del control de soportes.<\/p>\n\n\n\n

    Los soportes ser\u00e1n almacenados en lugar donde nadie, no autorizado, pueda tener acceso. En el anexo al documento de seguridad figuran las personas con acceso a los soportes.<\/p>\n\n\n\n

    En el caso de soportes tipo disquetes, cd\u2019s, dvd\u2019s, cintas, discos duros externos, llaves USB,\u2026 etc., ser\u00e1n almacenados en armarios cerrados, con llave y en la medida que sea posible, ign\u00edfugos. De esta forma, adem\u00e1s de garantizar que nadie pueda acceder a ellos, garantiza su seguridad ante incendios.<\/p>\n\n\n\n

    Todos los ficheros con datos de car\u00e1cter personal se alojar\u00e1n de forma centralizada en el servidor. El personal no podr\u00e1 almacenar en el disco de su ordenador ning\u00fan fichero con datos personales sin autorizaci\u00f3n del responsable del fichero.<\/p>\n\n\n\n

    Las entradas y salidas de ficheros con datos de car\u00e1cter personal que se realicen a trav\u00e9s de sistemas de telecomunicaci\u00f3n (correo electr\u00f3nico, ftp, o cualquier otro) deber\u00e1n cumplir la normativa de entrada \/ salida de soportes de informaci\u00f3n, incluir\u00e1n el cifrado de datos si el fichero est\u00e1 afectado por las medidas de nivel alto.<\/p>\n\n\n\n

    11.- Salidas de Soportes y Documentos<\/strong><\/p>\n\n\n\n

    La salida de soportes y documentos que contengan datos de car\u00e1cter personal, incluidos  los  comprendidos  en  correos  electr\u00f3nicos,  fuera  de  los  locales bajo el control del responsable del tratamiento, deber\u00e1 ser autorizada por el Responsable del Fichero o por el Responsable de Seguridad.<\/p>\n\n\n\n

    Para ello, se solicitar\u00e1 autorizaci\u00f3n al Responsable de Seguridad, rellenando el impreso habilitado a tal efecto.<\/p>\n\n\n\n

    Se distinguen tres tipos de autorizaciones:<\/p>\n\n\n\n

    a) Peri\u00f3dicas Continuas: Salidas de datos que se producen con una periodicidad concreta (Mensual, anual, etc.). Solo se requerir\u00e1 una autorizaci\u00f3n.<\/p>\n\n\n\n

    b) Ordinarias: Salidas de informaci\u00f3n que se realizan de forma repetitiva, pero sin periodo de tiempo definido. Como en el caso anterior, bastar\u00e1 con una sola autorizaci\u00f3n para cada tipo de salida.<\/p>\n\n\n\n

    c) Extraordinarias: Salida de datos puntual. Se necesita una autorizaci\u00f3n para cada salida.<\/p>\n\n\n\n

    En cada escrito de autorizaci\u00f3n deber\u00e1 constar, al menos, el tipo de autorizaci\u00f3n, el sistema del que procede el fichero, el responsable de realizar el env\u00edo, el destino, el tipo de soporte, la forma de env\u00edo y el motivo de la salida. En todo caso se guardar\u00e1 anexada a este documento de seguridad una relaci\u00f3n actualizada de las autorizaciones concedidas<\/p>\n\n\n\n

    La persona responsable de la recepci\u00f3n de soportes que contengan datos de car\u00e1cter personal deber\u00e1 estar autorizada por el responsable de los ficheros<\/p>\n\n\n\n

    En el caso de tratarse de ficheros de nivel medio y\/o alto, adem\u00e1s de la autorizaci\u00f3n del Responsable de Seguridad, se proceder\u00e1 a registrar la salida en el registro habilitado a tal efecto, independientemente del tipo de salida que sea.<\/p>\n\n\n\n

    12.- Entradas de Soportes y Documentos<\/strong><\/p>\n\n\n\n

    Toda entrada de soporte y documentos, antes de ser introducido en el sistema de informaci\u00f3n de la empresa,  deber\u00e1 ser autorizada por el Responsable de Seguridad para lo que se deber\u00e1 cumplimentar el documento correspondiente.<\/p>\n\n\n\n

    Las entradas pueden ser de los mismos 3 tipos que los indicados en el apartado anterior (peri\u00f3dicas, ordinarias o extraordinarias), por lo que se seguir\u00e1 el mismo procedimiento ya descrito.<\/p>\n\n\n\n

    En el caso de tratarse de ficheros de nivel medio y\/o alto, adem\u00e1s de la autorizaci\u00f3n del Responsable de Seguridad, se proceder\u00e1 a registrar la entrada en el registro habilitado a tal efecto.<\/p>\n\n\n\n

    13.- Cifrado en la distribuci\u00f3n de Soportes<\/strong><\/p>\n\n\n\n

    Aquellos ficheros que deben salir de la empresa, por email, o sea de la forma que fuere, que contengan datos de car\u00e1cter personal de nivel alto<\/strong>, ser\u00e1n previamente cifrados para garantizar que dicha informaci\u00f3n no pueda ser accesible o manipulada durante el transporte.<\/p>\n\n\n\n

    Para el cifrado de ficheros, se utilizar\u00e1 un software que permita introducir una palabra que mediante un algoritmo matem\u00e1tico, impida que nadie que no la conozca, pueda tener acceso al contenido del mismo.<\/p>\n\n\n\n

    La salida de ficheros automatizados de este tipo puede ser de 2 tipos:<\/p>\n\n\n\n

    a) Trasladado por el propio personal autorizado de la Empresa. En este caso, la contrase\u00f1a solo ser\u00e1 conocida por la persona que traslada el fichero<\/p>\n\n\n\n

    b) Enviado a un destinatario: En este caso, la palabra necesaria para desencriptar el fichero, solo podr\u00e1 darse al destinatario de forma personal, con el fin de asegurar de que solo \u00e9l sea que pueda tener acceso a su contenido.<\/p>\n\n\n\n

    14.- Dispositivos Port\u00e1tiles<\/strong><\/p>\n\n\n\n

    Los datos de nivel alto que est\u00e9n contenidos en los dispositivos port\u00e1tiles, ser\u00e1n cifrados mientras se encuentren fuera de las instalaciones de la que est\u00e9n bajo el control del Responsable del Fichero.<\/p>\n\n\n\n

    Como norma general, deber\u00e1 evitarse el tratamiento de datos de car\u00e1cter personal en dispositivos port\u00e1tiles que no permitan su cifrado. En caso de que sea estrictamente necesario se har\u00e1 constar motivadamente en el documento de seguridad y se adoptar\u00e1n medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos.<\/p>\n\n\n\n

    En el caso de que as\u00ed se decidiera por parte del Responsable de Seguridad, se anotar\u00e1 lo indicado en el anexo correspondiente.<\/p>\n\n\n\n

    15.- Destrucci\u00f3n de Soportes y Documentos<\/strong><\/p>\n\n\n\n

    Nunca se utilizar\u00e1 como mecanismo de eliminaci\u00f3n de papeles o soportes inform\u00e1ticos con datos, los sistemas de papeleras y residuos, ya que \u00e9stos tienen que ser destruidos de forma que queden totalmente ininteligibles previamente.<\/p>\n\n\n\n

    Solamente el Responsable de de Seguridad puede eliminar y\/o autorizar la destrucci\u00f3n de soportes, equipos inform\u00e1ticos, carpetas o cualquier otro tipo de soporte.<\/p>\n\n\n\n

    Cuando un usuario vea la necesidad de que un soporte que almacene informaci\u00f3n, deja de ser \u00fatil y operativo, se proceder\u00e1 a su sustituci\u00f3n y\/o eliminaci\u00f3n y se efectuaran los siguientes pasos:<\/p>\n\n\n\n

    El usuario lo comunicar\u00e1 al encargado de seguridad y ser\u00e1 incluido al registro de incidencias.<\/p>\n\n\n\n

    El encargado de seguridad autorizar\u00e1 la destrucci\u00f3n y se asegurar\u00e1 de eliminar la informaci\u00f3n y\/o destrucci\u00f3n del soporte\/equipo. Incluir\u00e1 la acci\u00f3n y las medidas de seguridad adoptadas en el registro de incidencias y en el informe peri\u00f3dico. Adem\u00e1s, dar\u00e1 de baja el soporte del inventario correspondiente.<\/p>\n\n\n\n

    16.- Reutilizaci\u00f3n de soportes inform\u00e1ticos<\/strong><\/p>\n\n\n\n

    El procedimiento a seguir, por parte del Responsable, en los casos de destrucci\u00f3n o reutilizaci\u00f3n de soportes ser\u00e1 el siguiente:<\/p>\n\n\n\n

    La reutilizaci\u00f3n de un soporte inform\u00e1tico, que en su d\u00eda fue utilizado para almacenar una copia de seguridad de ficheros con datos de car\u00e1cter personal, no es aconsejable.<\/p>\n\n\n\n

    La simple grabaci\u00f3n de datos sobre los datos antiguos, no garantiza el borrado real de los mismos ni la imposibilidad de su recuperaci\u00f3n.<\/p>\n\n\n\n

    Para poder aprovechar un soporte (Cinta, CD-DVD regrabable, disco duro,  memoria USB,\u2026 etc.) y garantizar el borrado total de los datos almacenados en su d\u00eda, es obligatorio la realizaci\u00f3n de un formateo \u00aba bajo nivel\u00bb, con las herramientas que as\u00ed lo permitan. De esta forma, el borrado se realizar\u00e1 de forma completa y no existir\u00e1 ninguna forma de recuperaci\u00f3n total o parcial de los datos contenidos en el mismo.<\/p>\n\n\n\n

    17.- Destrucci\u00f3n de soportes inform\u00e1ticos<\/strong><\/p>\n\n\n\n

    En el caso de que un soporte inform\u00e1tico vaya a ser desechado (tirado a la basura), tambi\u00e9n deber\u00e1 realizarse el formateo a bajo nivel, asegurando de esta manera el borrado total de los datos.<\/p>\n\n\n\n

    Hay que tener en cuenta que el hecho de desechar o reutilizar un soporte, debe ser reflejado en el inventario correspondiente, que lleve el Responsable de Seguridad.<\/p>\n\n\n\n

    En el caso de desechar CD\u00b4s y\/o DVD’s no regrabables, deber\u00e1n ser destruidos f\u00edsicamente con alg\u00fan sistema similar al de una destructora de CD’s.<\/p>\n\n\n\n

    18.- Destrucci\u00f3n de soportes no inform\u00e1ticos (papel)<\/strong><\/p>\n\n\n\n

    En el caso de destrucci\u00f3n de carpetas conteniendo informaci\u00f3n en papel, con datos de car\u00e1cter personal, deber\u00e1n ser destruidas mediante destructoras de documentos, con el fin de impedir cualquier recuperaci\u00f3n parcial o total de su contenido.<\/p>\n\n\n\n

    En el caso de destrucci\u00f3n masiva de documentos, por haber vencido el plazo legal de archivo, podr\u00e1 emplearse empresas especializadas, con su correspondiente certificaci\u00f3n, que garantizan la destrucci\u00f3n total y segura de los documentos que se les entrega.<\/p>\n\n\n\n

    <\/a><\/a><\/a><\/a><\/a>19.- Criterios de archivo de documentos manuales<\/strong><\/a><\/strong><\/p>\n\n\n\n

    El archivo de los soportes o documentos se realizar\u00e1 de forma que se cumplan los siguientes criterios:<\/p>\n\n\n\n

    Ejercicio de Derechos ARCO.<\/p>\n\n\n\n

    El sistema de archivo debe permitir, de forma sencilla, poder responder en los plazos previstos, a todos los datos de una persona, en el momento que solicite ejercitar sus derechos de acceso, rectificaci\u00f3n, cancelaci\u00f3n y\/o oposici\u00f3n. Para ello, la documentaci\u00f3n deber\u00e1 archivarse de forma alfab\u00e9tica.<\/p>\n\n\n\n

    Eliminaci\u00f3n<\/p>\n\n\n\n

    Dado que la ley obliga a la eliminaci\u00f3n de la documentaci\u00f3n, una vez hayan  concluido  los  plazos  legales  para  su  mantenimiento,  ser\u00e1 imprescindible que la documentaci\u00f3n se encuentre archivada de una forma que permita cumplir esta obligaci\u00f3n. Para cumplir este criterio, la documentaci\u00f3n deber\u00e1 archivarse por fechas.<\/p>\n\n\n\n

    Dado que estos criterios pueden verse incompatibles, en funci\u00f3n del contenido de cada fichero, prevalecer\u00e1 uno sobre otro o al rev\u00e9s.<\/p>\n\n\n\n

    De todas formas, como norma general, se seguir\u00e1 el siguiente criterio: Se archivar\u00e1n las carpetas o el contenido de los ficheros de forma alfab\u00e9tica.<\/p>\n\n\n\n

    En el caso de que el documento tenga fecha y por lo tanto deba ser eliminado, una vez transcurrido el plazo legal, se marcar\u00e1 con un color que identifique el a\u00f1o. De esta forma, el criterio de eliminaci\u00f3n se podr\u00e1 cumplir de forma sencilla (se eliminar\u00e1n todos los documentos del archivo de un color.<\/p>\n\n\n\n

    20.- Almacenamiento de ficheros manuales<\/strong><\/strong><\/p>\n\n\n\n

    Todos los ficheros conteniendo datos de car\u00e1cter personal, estar\u00e1n archivados en armarios, cajoneras o cualquier otro soporte, dotado de medidas de seguridad que impidan el acceso a los mismos al personal no autorizado.<\/p>\n\n\n\n

    La utilizaci\u00f3n de llaves en los soportes, despachos o almacenes con llave, o cualquier otro medio que impida el acceso de forma libre, podr\u00e1n ser medios v\u00e1lidos.<\/p>\n\n\n\n

    Las llaves de acceso a estos lugares de almacenamiento, solo estar\u00e1 en poder de las personas debidamente autorizadas y que figuran en el ANEXO.<\/p>\n\n\n\n

    En el caso de ficheros conteniendo datos de nivel alto, los armarios, archivadores u otros elementos adem\u00e1s de deber permanecer cerrados de forma permanente, es conveniente que se encuentren en \u00e1reas dotadas con puertas dotadas con sistemas de apertura mediante llave y solo ser\u00e1n abiertos para sacar o almacenar el fichero correspondiente.<\/p>\n\n\n\n

    En cualquier caso, se deber\u00e1n arbitrar las medidas organizativas correspondientes para evitar que en ning\u00fan caso, personal sin la debida autorizaci\u00f3n (p.ej. personal de limpieza) pueda tener acceso a los locales o despachos en el que se encuentren los armarios o archivadores conteniendo ficheros con datos de nivel alto, sin la presencia de una persona debidamente autorizada y que pueda garantizar la seguridad de los mismos.<\/p>\n\n\n\n

    En el caso de ser esto imposible, las personas autorizadas para el tratamiento de dichos ficheros, que figuran en los anexos correspondientes, antes de salir del local o despacho, se asegurar\u00e1n de que ning\u00fan fichero pueda quedar fuera de los archivadores habilitados a tal efecto.<\/p>\n\n\n\n

    <\/a><\/a><\/a><\/a><\/a>21.- Custodia de Soportes<\/strong><\/a><\/strong><\/p>\n\n\n\n

    Mientras la documentaci\u00f3n extra\u00edda de los sistemas de almacenamiento permanezca fuera de los mismos, se mantendr\u00e1 bajo la supervisi\u00f3n del responsable de la misma, impidiendo que cualquier persona no autorizada pueda tener acceso a la misma.<\/p>\n\n\n\n

    Por lo tanto, es responsabilidad de la persona autorizada al tratamiento del fichero, no dejar el contenido del mismo en mesas o cualquier otro lugar de libre acceso a personas no autorizadas.<\/p>\n\n\n\n

    22.- Copia o reproducci\u00f3n de ficheros manuales<\/strong><\/strong><\/p>\n\n\n\n

    Como norma general, no est\u00e1 permitida la copia o reproducci\u00f3n de ficheros manuales. Es el Responsable del Fichero a trav\u00e9s del Responsable de seguridad el que, analizando la necesidad, autorizar\u00e1 de forma temporal o continua a ciertas personas para su realizaci\u00f3n.<\/p>\n\n\n\n

    Sobre dicha copia o reproducci\u00f3n, se aplicar\u00e1n las mismas medidas de seguridad que sobre el documento original. Una vez que ya no sea \u00fatil, deber\u00e1 procederse a su destrucci\u00f3n de forma que se evite el acceso a la informaci\u00f3n que conten\u00eda, siguiendo los procedimientos definidos a tal efecto.<\/p>\n\n\n\n

    23.- Traslado de documentaci\u00f3n<\/strong><\/a><\/strong><\/p>\n\n\n\n

    Cualquier traslado de documentaci\u00f3n que se realice, sea del nivel que sea, deber\u00e1 garantizar que nadie sin la debida autorizaci\u00f3n, pueda tener acceso a su contenido, as\u00ed como la sustracci\u00f3n o p\u00e9rdida. En la medida que sea posible, y una vez recibida la autorizaci\u00f3n para la salida de informaci\u00f3n, el traslado se realizar\u00e1 de forma personal.<\/p>\n\n\n\n

    En el caso de no ser posible, se seguir\u00e1 el siguiente procedimiento:<\/p>\n\n\n\n

      \n
    1. Deber\u00e1 realizarse en sobre, caja o soporte, cerrado, que impida el acceso a su contenido.<\/li>\n\n\n\n
    2. Deber\u00e1 ir dirigida de forma concreta a la persona destinataria y debidamente identificada en el Registro de Salida.<\/li>\n\n\n\n
    3. En el caso de no poder ser entregada en propia mano por la persona autorizada de la empresa,\u00a0 se enviar\u00e1 por un medio de transporte que garantice la seguridad en el traslado.<\/li>\n<\/ol>\n\n\n\n

      24.- Acceso a datos a trav\u00e9s de redes de comunicaciones<\/strong><\/strong><\/p>\n\n\n\n

      Solo el Responsable de seguridad podr\u00e1 autorizar el acceso a datos a trav\u00e9s de redes de comunicaciones. En el caso de que sea necesario, se deber\u00e1 solicitar la autorizaci\u00f3n correspondiente, y tras el an\u00e1lisis de la necesidad del mismo y de las medidas de seguridad que en cada caso se tengan que establecer, ser\u00e1 autorizado o no.<\/p>\n\n\n\n

      En el caso de que el acceso autorizado sea sobre datos de nivel alto y por lo tanto exista una transmisi\u00f3n de los mismos a trav\u00e9s de redes de comunicaciones, deber\u00e1n utilizarse, redes seguras.<\/p>\n\n\n\n

      En el caso de que eso no sea posible, se deber\u00e1n adoptar medidas para que la transmisi\u00f3n del fichero sea codificada, garantizando de esta forma, que la informaci\u00f3n sea ininteligible ni manipulada por terceros.<\/p>\n\n\n\n

      Esto supone que salvo que la red de comunicaciones sea de tipo seguro, no se realizar\u00e1n tratamientos de datos de nivel alto, mediante sistemas que no puedan garantizar el tr\u00e1nsito.<\/p>\n\n\n\n

      Por lo tanto, en estos casos, en vez de tratar los datos a trav\u00e9s de la red, se proceder\u00e1 a enviar el fichero codificado o encriptado, contando con la debida autorizaci\u00f3n del Responsable de Seguridad, para ser tratado en el destino del mismo.<\/p>\n\n\n\n

      De esta forma, se garantizar\u00e1, tanto el acceso como el tr\u00e1nsito, a trav\u00e9s de la red, de los ficheros conteniendo datos de nivel alto.<\/p>\n\n\n\n

      <\/a><\/a><\/a><\/a><\/a>25.- R\u00e9gimen de trabajo fuera de los locales<\/strong><\/a><\/strong><\/p>\n\n\n\n

      Solo el Responsable de Seguridad puede autorizar el tratamiento de ficheros, conteniendo datos de car\u00e1cter personal, fuera de los locales de la empresa, tanto en soportes port\u00e1tiles como en otro tipo de sistemas.<\/p>\n\n\n\n

      Por lo tanto, en el caso de que forma temporal o de forma continua, se tenga que autorizar a una persona de la empresa este tipo de trabajo  o tratamiento, deber\u00e1 contar con la autorizaci\u00f3n del responsable de Seguridad y ser anotado en el impreso correspondiente.<\/p>\n\n\n\n

      <\/a><\/a><\/a><\/a><\/a>26.- Ficheros temporales<\/strong><\/a><\/strong><\/p>\n\n\n\n

      Los ficheros temporales o copias de documentos creados exclusivamente para trabajos temporales o auxiliares (p.ej. listados o fotocopias para punteo), deber\u00e1n cumplir el nivel de seguridad que les corresponda en funci\u00f3n de su contenido.  Es decir, aun trat\u00e1ndose de ficheros o documentos temporales, se aplicar\u00e1n las mismas medidas de seguridad que las que se aplican a los ficheros de los que se extraen, tanto para el control de accesos como para su destrucci\u00f3n. Una vez hayan dejado de ser \u00fatiles, se proceder\u00e1 a su inmediata destrucci\u00f3n.<\/p>\n\n\n\n

      En el caso de que, por cualquier raz\u00f3n, se tuviera que crear un fichero temporal con una finalidad diferente a la del fichero origen, deber\u00e1 ser autorizada expresamente por el Responsable del Fichero.<\/p>\n\n\n\n

      En este caso, el Responsable del Fichero, previa a su creaci\u00f3n, deber\u00e1 analizar si existe autorizaci\u00f3n de los interesados para tal finalidad y la modificaci\u00f3n de la declaraci\u00f3n del fichero, tanto a la Agencia como en el Documento de Seguridad.<\/p>\n\n\n\n

      <\/a><\/a><\/a><\/a><\/a>27.- Copias de Seguridad<\/strong><\/a><\/strong><\/p>\n\n\n\n

      El Responsable de seguridad o la persona(s) encargada(s) a tal efecto, realizar\u00e1n las copias de seguridad de los ficheros de la empresa que contengan datos de car\u00e1cter personal. En el ANEXO se indica el procedimiento de copias de seguridad. Las Copias se deben realizar al menos semanalmente, excepto cuando no existan cambios en los datos. As\u00ed mismo, y con una periodicidad semestral se revisar\u00e1n los procedimientos de copia de seguridad.<\/p>\n\n\n\n

      <\/a><\/a><\/a><\/a><\/a>28.- Designaci\u00f3n del Responsable de Seguridad (nivel medio)<\/strong><\/a><\/strong><\/p>\n\n\n\n

      El Responsable de Seguridad es el encargado de coordinar y controlar las medidas definidas para salvaguardar los datos de car\u00e1cter personal, contenidos en los ficheros tratados, y definidas en el Documento de Seguridad.<\/p>\n\n\n\n

      Por esta raz\u00f3n, aunque el RDLOPD establece su existencia siempre que se posean datos de car\u00e1cter personal de nivel medio, se designar\u00e1, al menos, un Responsable de Seguridad, cooperando con el Responsable del Fichero.<\/p>\n\n\n\n

      En ning\u00fan caso, la designaci\u00f3n supone una exoneraci\u00f3n de la responsabilidad que corresponde al Responsable del Fichero, de acuerdo con el RDLOPD.<\/p>\n\n\n\n

      El Responsable de Seguridad, desempe\u00f1ar\u00e1 las funciones encomendadas, en tanto en cuanto no se designe a otra persona.<\/p>\n\n\n\n

      En los anexos correspondientes, figuran el nombramiento del Responsable de Seguridad, por parte del Responsable del Fichero as\u00ed como las funciones que, por su cargo, tiene asignadas.<\/p>\n\n\n\n

      29.- Gesti\u00f3n de incidencias<\/strong><\/p>\n\n\n\n

      El presente Documento de Seguridad y la documentaci\u00f3n vinculada a \u00e9ste contienen las especificaciones correspondientes en materia operativa: procedimiento de notificaci\u00f3n y de gesti\u00f3n de las incidencias. En cualquier caso y ante una incidencia que o bien no est\u00e9 especificada o bien la interpretaci\u00f3n del procedimiento a seguir no le sea entendible para el usuario, \u00e9ste elevar\u00e1 la consulta al Responsable de Seguridad.<\/p>\n\n\n\n

      El Responsable del Fichero anotar\u00e1 las distintas incidencias que se produzcan en el tratamiento de los ficheros o en el \u00e1mbito organizativo o de seguridad empleando para ello un Libro Registro de Incidencias. En dicho libro se registra el identificador de la incidencia, el momento en que se ha producido, la persona que realiza la notificaci\u00f3n, a qui\u00e9n se la comunica, atenci\u00f3n que ha recibido la incidencia y los efectos que se hubieran derivado de la misma (detallando informe en caso de necesidad).<\/p>\n\n\n\n

      Una incidencia es cualquier evento que pueda producirse espor\u00e1dicamente y que pueda suponer un peligro para la seguridad del Fichero, entendida bajo sus tres vertientes de confidencialidad, integridad y disponibilidad de los datos.  El mantenimiento de un registro de las incidencias que comprometan la seguridad de un Fichero es una herramienta imprescindible para la prevenci\u00f3n de posibles ataques a esa  seguridad, as\u00ed como para persecuci\u00f3n de los responsables de los mismos.<\/p>\n\n\n\n

      Tendr\u00e1 la consideraci\u00f3n de incidencia respecto a los sistemas de informaci\u00f3n referidos a los ficheros de cualquier nivel<\/strong> de seguridad:<\/p>\n\n\n\n

      – P\u00e9rdida de Informaci\u00f3n.<\/p>\n\n\n\n

      – Modificaciones y accesos no autorizados a los datos.<\/p>\n\n\n\n

      – La no revisi\u00f3n o modificaci\u00f3n del Documento de Seguridad cuando ello fuera preciso.<\/p>\n\n\n\n

      – El desconocimiento de cualquier persona que trabaje en la empresa  de las medidas de seguridad que le sean exigibles, seg\u00fan las funciones que tenga asignadas.<\/p>\n\n\n\n

      – La falta de notificaci\u00f3n o de inscripci\u00f3n de incidencias.<\/p>\n\n\n\n

      – La inexistencia de relaci\u00f3n actualizada de los usuarios de los sistemas de informaci\u00f3n.<\/p>\n\n\n\n

      – El incumplimiento de los procedimientos previstos para la autenticaci\u00f3n.<\/p>\n\n\n\n

      – El incumplimiento de las medidas establecidas para la asignaci\u00f3n, distribuci\u00f3n y almacenamiento de contrase\u00f1as.<\/p>\n\n\n\n

      – El almacenamiento de forma inteligible de contrase\u00f1as.<\/p>\n\n\n\n

      – El acceso no autorizado a datos o recursos.<\/p>\n\n\n\n

      – El acceso a datos o recursos fuera de los horarios laborables.<\/p>\n\n\n\n

      – La falta de ejecuci\u00f3n de los mecanismos que impidan al usuario el acceso a datos no autorizados.<\/p>\n\n\n\n

      – La modificaci\u00f3n no autorizada de datos.<\/p>\n\n\n\n

      – El borrado no autorizado de datos.<\/p>\n\n\n\n

      – La salida no autorizada de soportes inform\u00e1ticos.<\/p>\n\n\n\n

      – El almacenaje de soportes inform\u00e1ticos que contengan datos en lugares de acceso p\u00fablico.<\/p>\n\n\n\n

      – La no realizaci\u00f3n de las copias de respaldo preceptivas en el tiempo que se fija en el presente Documento.<\/p>\n\n\n\n

      Tendr\u00e1 la consideraci\u00f3n de incidencia respecto a los sistemas de informaci\u00f3n referidos a los ficheros de nivel medio<\/strong> de seguridad:<\/p>\n\n\n\n

      – La carencia de los controles peri\u00f3dicos que deben ser efectuados.<\/p>\n\n\n\n

      – La omisi\u00f3n de registro en la entrada o salida de los soportes, o bien la falta de constancia de los datos que deban ser registrados.<\/p>\n\n\n\n

      – El incumplimiento de las medidas establecidas para el desecho o reutilizaci\u00f3n de los soportes.<\/p>\n\n\n\n

      – El incumplimiento de las medidas de seguridad que persiguen salvaguardar la recuperaci\u00f3n indebida de la informaci\u00f3n que se contenga en los soportes.<\/p>\n\n\n\n

      – La falta de autorizaci\u00f3n por escrito del responsable del fichero, para poder ejecutar la recuperaci\u00f3n de los datos.<\/p>\n\n\n\n

      Tendr\u00e1 la consideraci\u00f3n de incidencia respecto a los ficheros de nivel alto<\/strong> de seguridad:<\/p>\n\n\n\n

      – La distribuci\u00f3n en soportes, o transmisi\u00f3n por redes de telecomunicaci\u00f3n, de informaci\u00f3n legible o susceptible de ser manipulada.<\/p>\n\n\n\n

      – La omisi\u00f3n de alguno o todos los datos que deben figurar en el registro de acceso.<\/p>\n\n\n\n

      – La desactivaci\u00f3n de los mecanismos de registro.<\/p>\n\n\n\n

      – El acceso por personal no autorizado a la sala de servidores o a un espacio de acceso restringido.<\/p>\n\n\n\n

      – Las aver\u00edas que se produzcan en espacios de acceso restringido.<\/p>\n\n\n\n

      – La eliminaci\u00f3n de los datos del registro de acceso antes del periodo de dos a\u00f1os.<\/p>\n\n\n\n

      – La omisi\u00f3n de comprobaciones peri\u00f3dicas en el tiempo establecido en el Documento de Seguridad.<\/p>\n\n\n\n

      – La recuperaci\u00f3n de datos de nivel alto.<\/p>\n\n\n\n

      0<\/strong><\/a>9<\/strong><\/strong><\/td>FUNCIONES Y OBLIGACIONES DEL PERSONAL<\/strong><\/a><\/strong><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

      1. \u2013 El Responsable de Fichero\/s.<\/strong><\/a><\/strong><\/p>\n\n\n\n

      El Responsable de los Ficheros es la persona f\u00edsica o jur\u00eddica, encargada jur\u00eddicamente de la seguridad de los ficheros, por lo que decide sobre la finalidad, su contenido y el  tratamiento de los mismos. La obligaci\u00f3n principal es implantar las medidas de seguridad establecidas en este documento y asimismo deber\u00e1 garantizar la difusi\u00f3n de este Documento entre todo el personal que vaya a utilizar los ficheros. Deber\u00e1 mantenerlo actualizado siempre que se produzcan cambios relevantes en el sistema de informaci\u00f3n o en la organizaci\u00f3n del mismo. Deber\u00e1 adecuar en todo momento el contenido del mismo a las disposiciones vigentes en materia de seguridad de datos. Deber\u00e1 designar uno o varios responsables de seguridad.<\/p>\n\n\n\n

      Sus funciones principales ser\u00e1n:<\/p>\n\n\n\n

        \n
      1. Elaborar e implantar la normativa de seguridad que garanticen la seguridad e integridad de los datos contenidos en los ficheros, de los que es responsable y establecer un documento de seguridad donde est\u00e9n contenidas, siguiendo, en todo momento, la normativa vigente. Para llevar a cabo esta funci\u00f3n, el Responsable del Fichero ha de ser asesorado por el responsable de seguridad, por el administrador del sistema y por otras personas con responsabilidades o experiencia en el \u00e1mbito de la seguridad (sean internos o externos de la empresa). \u00c9stos dotar\u00e1n al responsable del fichero de las herramientas necesarias para la elaboraci\u00f3n del documento.<\/li>\n<\/ol>\n\n\n\n