DOCUMENTO DE SEGURIDAD DE LAEMPRESA

C.P SAURIN SAAVEDRA FAJARDO

PARA FICHEROS

DE DATOS DE CARÁCTER PERSONAL

Jul/2022

1

La empresa designa como responsable de los ficheros de la compañía a: ALFONSO DE MAZON

RIQUELME con D.N.I.- 74185834R quién ocupa el cargo de Responsable de los Ficheros de Carácter

Personal, de la empresa C.P SAURIN SAAVEDRA FAJARDO con NIF/CIF: E30032288 y domicilio

fiscal en C/ ALEJANDRO SEIQUER 2, CP: 30001 de la población de MURCIA Provincia de Murcia.

La empresa, dispone de los siguientes ficheros.

Denominados:

- PROVEEDORES- VIDEOVIGILANCIA

Con el cual están declarados en el REGISTRO DE LA AGENCIA DE PROTECCIÓN DE DATOS.- Se adjunta a la presente memoria, el justificante de la inscripción en el REGISTRO de la AGENCIA DEPROTECCIÓN DE DATOS.-

2

ÍNDICE

1. Objeto del documento

2. Ámbito de aplicación

3. Recursos protegidos

4. Funciones y obligaciones del responsable

5. Medidas, normas y procedimientos, reglas y estándares

5.1 Autorización del personal que puede acceder al fichero 5.2 Procedimientos de Identificación y Autorización de usuarios 5.3 Centros de tratamiento y locales 5.4 Puestos de trabajo 5.5 Entorno del Sistema Operativo y de Comunicaciones 5.6 Sistema Informático ó aplicaciones de acceso al Fichero 5.7 Bases de datos, ficheros o archivos ofimáticos

6. Gestión de incidencias

7. Gestión de soportes

8. Entrada/salida de datos por red y telecomunicaciones

9. Procedimientos de respaldo y recuperación

10. Controles periódicos de verificación del cumplimiento

3

ÍNDICE DE ANEXOS

Anexo 1 Documentos de Notificación, Disposiciones Generales de declaración de ficheros. Contratos de Encargados del tratamiento

Anexo 2 Descripción de la estructura del Fichero o Bases de Datos

Anexo 3 Descripción de los sistemas de información que tratan los ficheros

Anexo 4 Entorno del Sistema Operativo y Comunicaciones de los Ficheros

Anexo 5 Locales y Equipamiento

Anexo 6 Nombramientos y autorizaciones

Anexo 7 Procedimientos de control y seguridad

7.1 Procedimiento para dar de altas, baja o modificación de acceso a usuarios 7.2 Procedimiento de control de identificación y autenticación 7.3 Procedimiento de respaldo y recuperación 7.4 Procedimiento de gestión de soportes 7.5 Procedimiento de gestión de salidas de soportes 7.6 Procedimiento de gestión de entrada de soportes 7.7 Procedimiento para la destrucción de soportes 7.8 Autorización para el uso de PC portátiles y trabajo fuera de los locales 7.9 Sistemas de cifrado de datos Anexo 8 Funciones y obligaciones del personalAnexo 9 Procedimiento de Notificación y gestión de incidencias

Anexo 10 Controles periódicos y auditorías

4

Anexo 11 Modificaciones introducidas en las revisiones de este documento.

Anexo 12 Modelos de contratos orientativos

12.1 Empleados 12.2 Texto mailings 12.3 "Contratos con proveedores" Gestoría 12.4 Agencia transportes 12.5 Agencias publicitarias 12.6 Compañías de software 12.7 Modelo, Derechos "ARCO" Anexo 13 Libro de registros

13.1.- Inventarios y registros generales 13.2.- Incidencias Clientes 13.3.- Incidencias Empleados 13.4.- Incidencias proveedores 13.5.- Incidencias Internas 13.6.- Incidencias Web-Internet 13.7.- Copias seguridad 13.8.- Entrada-Salida soportes 13.9.- Inventarios de soportes 13.10.- Nombramientos de personal 13.11.- Registro de contraseñas

5

1. Objeto del documento El presente documento responde a la obligación establecida en el artículo 88 del Real Decreto 1720/2007,de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/19999, de 13de diciembre, de protección de datos de carácter personal. (en adelante RMS)

Los ficheros que se refiere este documento, descritos en el documento de Notificación a la AgenciaEspañola de Protección de Datos, que se adjunta a este documento, se encuentran legalmente clasificadoscomo de nivel de seguridad Comunidad de propietarios atendiendo a las condiciones descritas en el artículo81 del Real Decreto citado, siendo por tanto aplicables todas las medidas de seguridad de nivel Comunidadde propietarios que se establecen en el Capítulo III del Título VIII, del citado Reglamento.

En este documento se recogen las medidas de índole técnica y organizativa necesarias para garantizar laseguridad, protección, confidencialidad, integridad y disponibilidad de los ficheros que contienen datos decarácter personal correspondientes a C.P SAURIN SAAVEDRA FAJARDO (En adelante la ORGANIZACIÓN) que se enumerarán en los apartados siguientes, y los centros detratamiento, equipos, sistemas y programas de esta compañía que intervienen en el tratamiento de talesdatos sujetos a la normativa de protección de datos.

Al conjunto de los citados elementos o recursos se aludirá de forma indistinta como sistema de informacióno entorno informático de la empresa.

Así mismo, y dado que las normas que se exponen en el presente Documento de Seguridad afectan a todaslas estructuras, deberán ser acatadas por todos los usuarios de los sistemas informáticos de laORGANIZACIÓN tanto los internos como los externos.

En el RMS se establecen tres niveles de medidas de seguridad mínimas de carácter acumulativas ysegmentadas en función de la naturaleza de los datos que contenga cada uno de los ficheros:

• Nivel básico, respecto a todos los ficheros que puedan contener datos de carácter personal como puedenser: nombres y direcciones, etc.

• Nivel medio, para ficheros con datos relativos a infracciones administrativas y/o penales, HaciendaPública, servicios financieros y ficheros de solvencia patrimonial y crédito, así como a los ficheros quecontengan un conjunto de datos de carácter personal que permitan obtener una evaluación de lapersonalidad del individuo.

• Nivel alto, aplicable a todos los ficheros que contengan datos personales sobre ideología, religión,creencias, origen racial, salud o vida sexual, así como los recabados con fines policiales sin consentimientode las personas afectadas.

6

2. Ámbito de aplicación

El presente Documento de Seguridad, tiene un ámbito de aplicación que se circunscribe actualmente o enun futuro a los ficheros prioritarios de:

FICHERO NIVEL SEG. APLICACIÓN

Proveedores Medio

Proveedores, todas las personas físicas y jurídicas a las que les

hemos comprado productos o servicios, o que nos suministran

servicios.

Videovigilancia Medio

Sistema de seguridad basado en la captación y grabación de

imágenes se declarará cuando graba imágenes de personas a través

de cualquier sistema de video

En virtud del Artículo 88.2 del Real Decreto se confecciona un único documento de seguridad con los ficheros a

proteger, las medidas de seguridad serán las correspondientes al nivel más alto de seguridad aplicado a los ficheros

inscritos, garantizando en todo caso la máxima protección. Siempre le aplicará el nivel de seguridad correspondiente a

cada fichero reflejado en el cuadro anterior.

Los ficheros relacionados con Recursos Humanos (Personal, Nóminas, o similar naturaleza) podrán ser gestionados

desde la misma empresa o desde un departamento externo como encargado de tratamiento, como Gestoría, Asesoría,

etc. en este caso son gestionados por:

[X] La propia empresa.

[ ] Por gestoría externa.

Con todas las empresas relacionadas a las que se les puede ceder datos temporalmente o puedantener acceso a nuestros ficheros, se mantendrá vigente el correspondiente contrato de prestación deservicios y las clausulas de confidencialidad en cada caso.

El presente documento ha sido ratificado, tratado y elaborado bajo la responsabilidad de la personadescrita anteriormente como Responsable del Fichero o como Encargado del tratamiento, el cualse compromete a implantar y actualizar ésta Normativa de Seguridad de obligado cumplimientopara todo el personal con acceso a los datos protegidos o a los sistemas de información quepermiten al acceso a los mismos.

Todas las personas que tengan acceso a los datos del Fichero, bien a través del Sistema deinformación habilitado para acceder al mismo, o bien a través de cualquier otro medioautomatizado de acceso al Fichero, se encuentran obligadas por ley a cumplir lo establecido eneste documento, y sujetas a las consecuencias que pudieran incurrir en caso de incumplimiento.

Una copia de este documento, con la parte que le afecte, será entregada, para su conocimiento, a

7

cada persona autorizada a acceder a los datos del Fichero, siendo requisito obligatorio para poderacceder a esos datos el haber firmado la recepción del mismo.

Este Documento deberá mantenerse permanentemente actualizado. Cualquier modificaciónrelevante conllevará la revisión de la normativa incluida y, si procede, su modificación total oparcial.

8

3. Recursos protegidos

La protección de los datos del Fichero frente a accesos no autorizados se deberá realizar mediante elcontrol, a su vez, de todas las vías por las que se pueda tener acceso a dicha información.

Los recursos que, por servir de medio directo o indirecto para acceder al Fichero, deberán ser controladospor esta normativa los cuales son:

1-Las bases de datos o ficheros que contengan datos de carácter personal, descritos en el Anexo 2.

2-Las aplicaciones o sistemas informáticos, para acceder a los datos, descritos en el Anexo 3.

3-Los centros de tratamiento y locales donde se encuentren ubicados los ficheros o se almacenen lossoportes que los contengan, su descripción figura en el Anexo 5.

4-Los puestos de trabajo, (locales o remotos), que se pueda tener acceso al Fichero. La relación de estosestá descrita en el Anexo 5.

5-Los servidores, si los hubiese, el entorno del sistema operativo y de comunicaciones en el que seencuentra ubicado el Fichero, descripción en el Anexo 4.

9

4. Funciones y obligaciones del responsable

Resumiendo, dichas obligaciones por parte del personal de la organización serán:

A ) Impedir el acceso no autorizado a los ficheros a proteger B ) Velar por la corrección y calidad de los datos incluidos en el mismo.C ) Realizar las copias de respaldo y la seguridad de las mismas.E ) Informar y formar al personal sobre las medidas de seguridad a adoptar.F ) Establecer una relación de los usuarios que tengan acceso autorizado al sistema, y establecer un procedimiento de identificación para dicho acceso.G ) Aplicar las medidas de seguridad reflejadas en el presente documento.

Además del Responsable del fichero, el personal afectado por esta normativa se podría clasificar en algunasde las categorías siguientes:

1.Administradores del sistema, encargados de administrar o mantener el entorno operativo del Fichero.Este personal deberá estar explícitamente relacionado en el Anexo 6, ya que por sus funciones puedenutilizar herramientas de administración que permitan el acceso a los datos protegidos saltándose las barrerasde acceso de las aplicaciones o sistemas de información.

2.Encargado del tratamiento, es la persona física o jurídica, pública o privada, u órgano administrativo, quesolo o conjuntamente con otros, trata datos personales por cuenta del Responsable del fichero, comoconsecuencia de una relación jurídica descrita en el Anexo 1, y cuyo ámbito se delimita en este documento.El tratamiento de los datos del fichero por un Encargado externo estará sometido en todo caso a las mismasmedidas de seguridad contempladas en el Reglamento.

3.Usuarios del Fichero, o personal que usualmente utiliza el sistema informático de acceso al Fichero, yque también deben estar explícitamente relacionados en el Anexo 6.

4.Otras personas de empresas ajenas que por motivo de su desempeño profesional, puedan potencialmentetener acceso a la información de carácter personal.

Además del personal anteriormente citado existirán uno o varios Responsables de Seguridad cuyasfunciones serán las de coordinar y controlar las medidas definidas en el documento, sirviendo al mismotiempo de enlace con el Responsable del Fichero, sin que esto suponga en ningún caso una delegación de laresponsabilidad que corresponde a éste último, de acuerdo con el R.D.1720/2007, de 21 de diciembre. Encaso de no nombrar ningún responsable de seguridad, esta figura recaerá en el responsable del fichero.

Este documento es de obligado cumplimiento para todos ellos. Las funciones y obligaciones del personalestán descritas en el cuerpo de este documento y en el Anexo 8. Sin embargo, los administradores delsistema deberán además atenerse a aquellas normas, más extensas y estrictas, que se referencian en elAnexo 7, y que atañen, entre otras, al tratamiento de los respaldos de seguridad, normas para el alta deusuarios y contraseñas, así como otras normas de obligado cumplimiento en la unidad administrativa a la

10

que pertenece el Fichero.

Respecto a aquellas personas de la propia organización o de empresas ajenas, que por motivo deldesempeño de sus trabajos puedan tener acceso a los datos del Fichero, aunque esos trabajos no impliquenel tratamiento de los datos, como pueden ser trabajadores de la limpieza, administración, vigilancia, etc.., elresponsable del Fichero o del tratamiento deberá adoptar las medidas oportunas para limitar el acceso a losdatos personales, así como notificarles la prohibición de acceso a los mismos y la obligación de secretorespecto a los datos que hubiesen podido conocer con motivo de la prestación del servicio.

El responsable del Fichero o del tratamiento podrá delegar sus funciones en otras personas designadas alefecto, pero esta delegación deberá constar expresamente en el Anexo 6 de este Documento de Seguridad,en donde se anotará el nombre de estas personas así como las funciones delegadas. En ningún caso estadesignación supondrá una delegación de la responsabilidad que corresponde al responsable del Fichero odel tratamiento.

Cuando los datos personales del fichero se traten de modo exclusivo en los sistemas de un encargado detratamiento, el responsable del fichero deberá incorporar esa autorización expresa o el contratocorrespondiente en el Anexo 1 y podrá encargarse la confección y responsabilidad del documento deseguridad al encargado del tratamiento. En caso de un tratamiento parcial de los datos el encargado detratamiento podrá asumir la llevanza de un documento de seguridad que afecte a esos datos, quedando acargo del responsable Fichero la confección del documento para el resto de los datos, debiendo quedardebidamente concretado en el contrato.

11

5. Medidas, normas, procedimientos, reglas y estándares

El acceso a los datos del Fichero se realizará ateniéndose a las medidas, normas, procedimientos, reglas yestándares que se describen en este capítulo, y que serán de obligado cumplimientos para todo el personalque esté relacionado con el fichero, usuarios, técnicos y administradores.La descripción detallada de algunos de los procedimientos y estándares se encuentra en los Anexos que secitan en cada apartado. Se establecen procedimientos para: creación, modificación y supresión de ficherosPara la creación, modificación y supresión de ficheros con datos de carácter personal por los empleados dela ORGANIZACIÓN se requerirá el cumplimiento de determinados requisitos que se recogen en elprocedimiento descrito a continuación.Será necesario que de forma previa, con una antelación mínima de 5 días, el usuario comunique alResponsable del Fichero por cualquier medio del que quede constancia, detalle de las características básicasdel fichero tales como nombre, finalidad, ubicación, campos del mismo y demás extremos que se fijencomo obligatorios.

Una vez recibida esta comunicación, el Responsable del Fichero deberá realizar las siguientes funciones:• Selección de la carpeta de red en la que deberá almacenarse el nuevo fichero encargándose de controlar ylimitar los accesos y/o proporcionar las medidas de seguridad adecuadas.• Inscripción en el Registro de la Agencia de Protección de Datos del fichero y/o de sus modificaciones.• Actualización del presente Documento de Seguridad en orden a modificar alguno de los procedimientosestablecidos que se vean afectados.• Así mismo será necesaria la adopción de ciertas medidas de carácter jurídico como la redacción delcontrato, aviso legal, norma o política correspondiente en los casos que sea necesario.

5.1. Autorización del personal que puede acceder al fichero

El personal sea propio o ajeno solo accederá a aquellos datos y recursos que precise para el desarrollo desus funciones. Sólo el personal expresamente autorizado por el responsable del Fichero mediante losprocedimientos que se citan a continuación podrá tener acceso a los datos del Fichero.

5.1.1. En el Anexo 6 se incluirá la relación de usuarios actualizada con acceso autorizado a cada sistema deinformación que tenga acceso a los datos del Fichero, ó se referenciará la herramienta para poder obtenerlopuntual y/o periódicamente. Asimismo se incluirá el perfil o tipo de acceso autorizado para cada uno deellos.

5.1.2. Exclusivamente el responsable del Fichero o la persona autorizada por él, podrá conceder, alterar oanular el acceso autorizado sobre datos o los recursos.

5.1.3. A partir del momento mismo del cese o cambio en el puesto de trabajo, se procederá a dar de baja elcódigo de usuario correspondiente de forma que no sea posible acceder con el mismo a los datos delfichero.

12

5.1.4. El procedimiento para dar de alta, modificar o anular una autorización de acceso se especificará en elAnexo 7.

13

5.2 Procedimientos de Identificación y Autenticación de usuarios

El responsable del Fichero establecerá un mecanismo que permita la identificación de forma inequívoca ypersonalizada de cualquier usuario. Aunque ya existen procedimientos de identificación basados encertificado electrónico o incluso en datos biométricos como huellas dactilares, las contraseñas personalesconstituyen todavía hoy en día uno de los métodos más usados para proteger el acceso a los datos, y debenpor tanto estar especialmente protegidas. Como llaves de acceso al sistema, las contraseñas deberán serestrictamente confidenciales y personales, y cualquier incidencia que comprometa su confidencialidaddeberá ser inmediatamente comunicada al administrador y subsanada en el menor plazo de tiempo posible. 5.2.1. El procedimiento de asignación distribución y almacenamiento de contraseñas se encuentra descritoen el Anexo 7.

5.2.2. Cada usuario será responsable de la confidencialidad de su contraseña y, en caso de que la mismasea conocida fortuita o fraudulentamente por personas no autorizadas, deberá registrarlo como incidencia yproceder inmediatamente a su cambio.

5.2.3. Las contraseñas se asignarán y se cambiarán mediante el mecanismo y periodicidad que se determinaen el Anexo 7, y que en ningún caso deberá ser de más de un año. Este mecanismo de asignación ydistribución de las contraseñas deberá garantizar la confidencialidad de las mismas, y será responsabilidaddel administrador del sistema. Cada usuario deberá cambiar la contraseña inicial que se le asigne cuandohaya sido necesaria la intervención de una tercera persona en dicho proceso. Las contraseñas deberán sersuficientemente complejas y difícilmente adivinables por terceros, evitando el uso del propio identificadorcomo contraseña o palabras sencillas como "casa", el nombre propio, etc. Para ello se seguirán lassiguientes pautas en la construcción de las contraseñas:

• deberán tener una longitud mínima de 8 caracteres alfanuméricos.

• no deberán coincidir con el código de usuario.

• no deberán estar basadas en cadenas de caracteres que sean fácilmente asociadas al usuario (Nombre,apellidos, ciudad y fecha de nacimiento, nombres de familiares, matrícula del coche, etc.).

• el usuario deberá aplicar reglas nemotécnicas para poder construir una contraseña lo suficientementecomplejas como para que puedan ser adivinadas por terceros y que a la vez sean muy fáciles de recordar porél.

5.2.4. El archivo donde se almacenen las contraseñas deberá estar protegido y bajo la responsabilidad deladministrador del sistema.

5.2.5. El sistema informático de acceso al Fichero deberá estar programado para tratar los accesosmediante código y contraseña como se indica en el apartado 5.6

14

5.2.6. Si es posible se habilitarán controles de acceso basados en certificados digitales electrónicosemitidos por la propia organización o por un organismo certificador oficial como la FNMT, o controlesbasados en el reconocimiento biométrico como huellas digitales. Aunque estos procedimientos suponen unamayor complejidad tecnológica, cada vez están más extendidos, y acabarán por sustituir a los controles deacceso por contraseña en los próximos años, dada su mayor seguridad. En caso de existir, estos controlesse describirán en el Anexo 3.

5.3 Centros de tratamiento y locales

Los locales donde se ubiquen los ordenadores que contienen el Fichero deben ser objeto de especialprotección que garantice la disponibilidad y confidencialidad de los datos protegidos, especialmente en elcaso de que el Fichero esté ubicado en un servidor accedido a través de una red.

5.3.1. Los locales deberán contar con los medios mínimos de seguridad que eviten los riesgos deindisponibilidad del Fichero que pudieran producirse como consecuencia de incidencias fortuitas ointencionadas. La descripción de esos medios se encuentra en el Anexo 5.

5.3.2. Si el tratamiento de los datos el fichero se realizase en locales ajenos, debido a un contrato con unEncargado del tratamiento (al que se le encarga mediante contrato el procesamiento total o parcial de losdatos protegidos), el Encargado de tratamiento deberá elaborar un documento de seguridad en que sedescriban las medidas de seguridad adoptadas para proteger el fichero, o en su defecto completar estedocumento de seguridad con las medidas adoptadas. En todo caso el acceso a los datos por el encargado deltratamiento estará sometido a las medidas de seguridad contempladas en el Reglamento.5.4 Puestos de trabajo

Son todos aquellos dispositivos desde los cuales se puede acceder a los datos del Fichero, como, porejemplo, terminales u ordenadores personales.

Se consideran también puestos de trabajo aquellos terminales de administración del sistema, como, porejemplo, las consolas de operación, donde en algunos casos también pueden aparecer los datos protegidosdel Fichero.

5.4.1. Cada puesto de trabajo estará bajo la responsabilidad de una persona de las autorizadas en el Anexo6, que garantizará que la información que muestra no pueda ser vista por personas no autorizadas.

5.4.2. Esto implica que tanto las pantallas como las impresoras u otro tipo de dispositivos conectados alpuesto de trabajo deberán estar físicamente ubicados en lugares que garanticen esa confidencialidad.

5.4.3. Cuando el responsable de un puesto de trabajo lo abandone, bien temporalmente o bien al finalizarsu turno de trabajo, deberá dejarlo en un estado que impida la visualización de los datos protegidos. Estopodrá realizarse a través de un protector de pantalla que impida la visualización de los datos. La

15

reanudación del trabajo implicará la desactivación de la pantalla protectora con la introducción de lacontraseña correspondiente.

5.4.4. En el caso de las impresoras deberá asegurarse de que no quedan documentos impresos en la bandejade salida que contengan datos protegidos. Si las impresoras son compartidas con otros usuarios noautorizados para acceder a los datos de Fichero, los responsables de cada puesto deberán retirar losdocumentos conforme vayan siendo impresos. 5.4.5. Queda expresamente prohibido cualquier cambio de la configuración de la conexión de los puestosde trabajo a redes o sistemas exteriores, que no esté autorizado expresamente por el Responsable delFichero o el Director del Centro o departamento al que pertenezca cada usuario. La revocación de estaprohibición deberá ser autorizada expresamente.

5.4.6. Los puestos de trabajo desde los que se tiene acceso al fichero tendrán una configuración fija en susaplicaciones, sistemas operativos que solo podrá ser cambiada bajo al autorización del responsable deseguridad o por administradores autorizados del Anexo 6. 5.4.7. Trabajo fuera de los locales de ubicación del Fichero. No se deberá copiar ni transportar informaciónde los sistemas centrales en portátiles o estaciones de trabajo que se encuentren fuera de las oficinas sin lacorrespondiente autorización del Responsable del Fichero. Especial consideración deberán tener los puestosde trabajo portátiles, como los ordenadores personales portátiles. Estos dispositivos portátiles, cuandopuedan almacenar datos personales, deberán contar con una autorización especial por parte del responsablede Fichero o tratamiento, debiendo estar explícitamente autorizados en el Anexo 5 (como puestos de trabajoportátiles), y en Anexo 7 (procedimiento de autorización), especificando su usuario, tipo de datos que podrátratar y periodo de autorización. En cualquier caso estos dispositivos deberán contar como mínimo con lasmismas medidas de seguridad de los puestos de trabajo fijos, con una especial atención a los controles deacceso, que impidan acceder a los datos por parte de terceros en caso de pérdida o robo.

5.5 Entorno de Sistema Operativo y de Comunicaciones

Aunque el método establecido para acceder a los datos protegidos del Fichero es el sistema informáticoreferenciado en el Anexo 3, al estar el fichero ubicado en un ordenador con un sistema operativodeterminado y poder contar con unas conexiones que le comunican con otro ordenadores, es posible, paralas personas que conozcan estos entornos, acceder a los datos protegidos sin pasar por los procedimientosde control de acceso con los que pueda contar la aplicación.

Esta normativa debe, por tanto, regular el uso y acceso de las partes del sistema operativo, herramientas oprogramas de utilidad, o del entorno de comunicaciones sean o no públicas, para impedir que personas noautorizadas con los conocimientos tecnológicos avanzados en esos entornos puedan saltarse las barreras deseguridad de la aplicación o sistema de acceso al fichero.

5.5.1. El sistema operativo y de comunicaciones del Fichero deberá tener al menos un responsable, que,

16

como administrador deberá estar relacionado en el Anexo 6.

5.5.2. En el caso más simple, como es que el Fichero se encuentre ubicado en un ordenador personal yaccedido mediante una aplicación local monopuesto, el administrador del sistema operativo podrá ser elmismo usuario que accede usualmente al Fichero.

5.5.3. El sistema operativo donde se ejecuta esa aplicación, deberá tener su acceso restringido mediante uncódigo de usuario y una contraseña. Ninguna herramienta o programa de utilidad que permita el acceso alFichero deberá ser accesible a ningún usuario o administrador no autorizado en el Anexo 6.5.5.4. En la norma anterior se incluye cualquier medio de acceso en bruto, es decir no elaborado o editado,a los datos del Fichero, como los llamados "queries", editores universales, analizadores de ficheros, etc.,que deberán estar bajo el control de los administradores autorizados que se relacionan en el Anexo 6.

5.5.5. El administrador deberá responsabilizarse de guardar en lugar protegido las copias de seguridad yrespaldo del Fichero, de forma que ninguna persona no autorizada tenga acceso a las mismas.

5.5.6. Si la aplicación o sistema de acceso al Fichero utilizase usualmente ficheros temporales, o cualquierotro medio en el que pudiesen ser grabados copias de los datos protegidos, el administrador deberáasegurarse de que esos datos no son accesibles posteriormente por personal no autorizado.

5.5.7. Si el ordenador en el que está ubicado el fichero está integrado en una red de comunicaciones deforma que desde otros ordenadores conectados a la misma sea posible acceso al Fichero, el administradorresponsable del sistema deberá asegurarse de que este acceso no se permite a personas no autorizadas.

5.6 Sistema Informático o aplicaciones de acceso al Fichero

Son todos aquellos sistemas informáticos, programas o aplicaciones con las que se puede acceder a losdatos del Fichero, y que son usualmente utilizados por los usuarios para acceder a ellos.Estos sistemas pueden ser aplicaciones informáticas expresamente diseñadas para acceder al Fichero, osistemas pre-programados de uso general como aplicaciones o paquetes disponibles en el mercadoinformático.

5.6.1. Los sistemas informáticos de acceso al Fichero deberán tener su acceso restringido mediante uncódigo de usuario y una contraseña o bien mediante otros sistemas como firma electrónica o controlesbiométricos. En el caso de acceso por contraseña todos los usuarios autorizados para acceder al Fichero,relacionados en el Anexo 6, deberán tener un código de usuario que será único, y que estará asociado a lacontraseña correspondiente, que sólo será conocida por el propio usuario. El procedimiento para la gestiónde códigos de usuario y contraseñas se describe en el Anexo 7.

5.6.2. Si la aplicación informática que permite el acceso al Fichero no cuenta con un control de acceso,deberá ser el sistema operativo, donde se ejecuta esa aplicación, el que impida el acceso no autorizado,mediante el control de los citados códigos de usuario y contraseñas.

17

5.7 Bases de datos, ficheros o archivos ofimáticos

Los datos personales están ubicados físicamente en ficheros o en bases de datos, que deben ser protegidos,y estarán descritos en el Anexo 2.

Por otra parte en la operativa diaria de tratamiento de los datos del Fichero pueden producirse copias de losdatos protegidos sobre otros ficheros o archivos ofimáticos para tratamientos especiales. En estos casosdeberá prestarse la adecuada protección a esos ficheros mientras existan.

5.7.1. Queda expresamente prohibido el tratamiento datos de nivel alto extraídos del Fichero, conprogramas ofimáticos, como procesadores de texto u hojas de cálculo, sin comunicarlo para su aprobaciónal Responsable del Seguridad para que se proceda a implantar las medidas de seguridad adecuadas. 5.7.2. Ficheros Temporales. Se deberá evitar el guardar copias de los datos personales del Fichero enarchivos intermedios o temporales. En el caso de que sea imprescindible realizar esas copias temporales porexigencias del tratamiento, se deberán adoptar las siguientes precauciones:

• Realizar siempre esas copias sobre un mismo directorio de nombre TEMP o similar, de forma que noqueden dispersas por todo el disco del ordenador y siempre se pueda conocer donde están los datostemporales.• Tras realizar el tratamiento para los que han sido necesarios esos datos temporales, proceder al borradoo destrucción de los mismos.• Los ficheros temporales creados exclusivamente para la realización de trabajos temporales o auxiliares,deberán cumplir el nivel de seguridad que les corresponda con arreglo a los criterios expresados en elReglamento de Medidas de Seguridad.

6. Gestión de incidencias

Una incidencia es cualquier evento que pueda producirse esporádicamente y que pueda suponer un peligropara la seguridad del Fichero, entendida bajo sus tres vertientes de confidencialidad, integridad ydisponibilidad de los datos.

El mantener un registro de las incidencias que comprometan la seguridad de un Fichero es una herramientaimprescindible para aplicar las medidas correctoras necesarias, así como posibilitar la prevención deposibles ataques a esa seguridad y la persecución de los responsables de los mismos.

6.1.1. Se habilitará un registro de incidencias con el fin de que se registren en él cualquier incidencia que

18

pueda suponer un peligro para la seguridad del mismo.

6.1.2. Cualquier usuario que tenga conocimiento de una incidencia es responsable del registro de la misma,si el registro de incidencias está automatizado, ó de la notificación por escrito al superior inmediato, si elregistro se realiza manualmente.

6.1.3. El conocimiento y la no notificación o registro de una incidencia por parte de un usuario seráconsiderado como una falta contra la seguridad del Fichero por parte de ese usuario.

6.1.4. La notificación o registro de una incidencia deberá constar al menos de los siguientes datos: tipo deincidencia, fecha y hora en que se produjo, persona que realiza la notificación, persona a quien secomunica, efectos que puede producir, descripción detallada de la misma. El procedimiento está descrito enel Anexo 9.

7. Gestión de soportes

Soportes informáticos son todos aquellos medios de grabación y recuperación de datos que se utilizan pararealizar copias o pasos intermedios en los procesos de la aplicación que gestiona el Fichero.

Dado que la mayor parte de los soportes que hoy en día se utilizan, como disquetes, CD, DVD, cintas omemorias removibles de todo tipo (como memorias flash o "pendrive"), son fácilmente transportables,reproducibles y/o copiables, es evidente la importancia que para la seguridad de los datos del Fichero tieneel control de estos medios.

Los soportes que contengan datos del Fichero, bien como consecuencia de operaciones intermedias propiasde la aplicación que los trata, o bien como consecuencia de procesos periódicos de respaldo o cualquier otraoperación esporádica, deberán estar claramente identificados con una etiqueta externa que indique de quéfichero se trata, o que tipo de datos contiene, proceso que los ha originado y fecha de creación.

En el caso de que la organización lo considerase, podrán utilizarse sistemas de etiquetado en los soportesque contienen información especialmente sensible para la organización, que permitan a los usuariosidentificar los citados soportes y la dificulten para el resto de las personas.

En general, cualquier soporte que vaya a ser desechado, de cualquier tipo, que pueda contener datosprotegidos del Fichero, ya sea papel impreso, soportes magnéticos, ópticos u otros, o los propiosordenadores obsoletos que vayan a desecharse, deberán ser tratados mediante el procedimiento de desechosinformáticos descrito en el Anexo 7, con el fin de impedir la pérdida de confidencialidad de los datospersonales. Aquellos medios que sean reutilizables, y que hayan contenido copias de datos del Fichero,deberán ser borrados físicamente antes de su reutilización, de forma que los datos que contenían no seanrecuperables.

19

Los soportes que contengan datos del Fichero deberán ser almacenados en lugares a lo que no tenganacceso personas no autorizadas para el uso del Fichero que no estén por tanto relacionadas en el Anexo 6.

La salida de soportes que contengan datos del Fichero fuera de los locales donde está ubicado el Ficherodeberá ser expresamente autorizada por el responsable del Fichero, utilizando para ello el documentoadjunto en el Anexo 7.

Cuando soportes vayan a salir fuera de los locales en que se encuentren ubicados los ficheros se adoptaránlas medidas necesarias para impedir la sustracción, pérdida o acceso indebido a la información durante eltransporte.

8. Entrada/salida de datos por red y Telecomunicaciones

La transmisión de datos por red, ya sea por medio de correo electrónico o mediante sistemas detransferencia de ficheros, o mediante aplicaciones Web, se está convirtiendo en uno de los medios másutilizados para el envío de datos, hasta el punto de que está sustituyendo a los soportes físicos. Por ellomerecen un tratamiento especial ya que, por sus características, pueden ser más vulnerables que lossoportes físicos tradicionales.

8.1.1 Todas las entradas y salidas de datos del Fichero que se efectúen mediante correo electrónico serealizarán desde una única cuenta o dirección de correo controlada por un usuario especialmente autorizadopor el responsable del Fichero. Igualmente si se realiza la entrada o salida de datos mediante sistemas detransferencia de ficheros por red, únicamente un usuario o administrador estará autorizado para realizar esasoperaciones.

8.1.2 Se guardarán copias de todos los correos electrónicos que involucren entradas o salidas de datos delFichero, en directorios protegidos y bajo el control del responsable citado. También se guardarán endirectorios protegidos, una copia de los ficheros recibidos o transmitidos por sistemas de transferencia deficheros por red, junto con un registro de la fecha y hora en que se realizó la operación y el destino o elorigen del fichero recibido ó enviado.

9. Procedimientos de respaldo y recuperación

La seguridad de los datos personales del Fichero no sólo supone la confidencialidad de los mismos sino quetambién conlleva la integridad y la disponibilidad de esos datos.

Para garantizar estos dos aspectos fundamentales de la seguridad es necesario que existan unos procesos derespaldo y de recuperación que, en caso de fallo del sistema informático, permitan recuperar y en su casoreconstruir los datos del Fichero.

9.1.1. Existirá una persona, bien sea el administrador, encargado de tratamiento, o bien otro usuario

20

expresamente designado, que será responsable de obtener periódicamente una copia de seguridad delfichero, a efectos de respaldo y posible recuperación en caso de fallo.

9.1.2. Estas copias deberán realizarse con una periodicidad, al menos, semanal, salvo en el caso de que nose haya producido ninguna actualización de los datos.

9.1.3. En caso de fallo del sistema con pérdida total o parcial de los datos del Fichero existirá unprocedimiento, informático o manual, que partiendo de la última copia de respaldo y del registro de lasoperaciones realizadas desde el momento de la copia, reconstruya los datos del Fichero al estado en que seencontraban en el momento del fallo. Ese procedimiento está descrito en el Anexo 7. Al menos cada seismeses el responsable del fichero deberá verificar la correcta definición y funcionamiento de losprocedimientos de respaldo y recuperación.Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheroscon datos de carácter personal no se realizaran con datos reales, salvo que se aplique a esos ficheros deprueba el mismo tratamiento de seguridad que se aplica al mismo Fichero, y se deberán relacionar esosficheros de prueba en el Anexo 2. Si se van a realizar pruebas con datos reales, deberá realizarsepreviamente una copia de seguridad.

10. Controles periódicos de verificación del cumplimiento

La veracidad de los datos contenidos en los Anexos de este documento, así como el cumplimiento de lasnormas que contiene deberá ser periódicamente comprobado, de forma que puedan detectarse y subsanarseanomalías.

10.1.1. El responsable del Fichero comprobará, con una periodicidad al menos trimestral, que la lista deusuarios autorizados del Anexo 6 se corresponde con la lista de los usuarios realmente autorizados en laaplicación de acceso al Fichero y perfiles, para lo que recabará la lista de usuarios y sus códigos de accesoal administrador o administradores del Fichero. Además de estas comprobaciones periódicas, eladministrador comunicará al responsable del Fichero, en cuanto se produzca, cualquier alta o baja deusuarios con acceso autorizado al Fichero.

10.1.2. Se comprobará al menos con periodicidad semestral, por los encargados del tratamiento oadministradores, la existencia de copias de respaldo que permitan la recuperación de Fichero según loestipulado en el apartado 9 de este documento, enviando evidencias de esta comprobación al responsabledel fichero.

10.1.3. A su vez, y también con periodicidad al menos semestral, los administradores del Ficherocomunicaran al responsable del Fichero cualquier cambio que se haya realizado en los datos técnicos de losAnexos, como por ejemplo cambios en el software o hardware, base de datos o aplicación de acceso alFichero, procediendo igualmente a la actualización de dichos Anexos.

10.1.4. El responsable del Fichero o la persona autorizada, analizara la información registrada en el registro

21

de incidencias, tomando las medidas oportunas.

22

PROCEDIMIENTOS PARA LA CREACIÓN, MODIFICACIÓN YSUPRESIÓN DE FICHEROS

Para la creación, modificación y supresión de ficheros con datos de carácter personal por los empleados dela ORGANIZACIÓN se requerirá el cumplimiento de determinados requisitos que se recogen en elprocedimiento descrito a continuación.

Será necesario que de forma previa, con una antelación mínima de 5 días, el usuario comunique alResponsable del Fichero por cualquier medio del que quede constancia, detalle de las características básicasdel fichero tales como nombre, finalidad, ubicación, campos del mismo y demás extremos que se fijencomo obligatorios.

Una vez recibida esta comunicación, el Responsable del Fichero deberá realizar las siguientes funciones:

• Selección de la carpeta de red en la que deberá almacenarse el nuevo fichero encargándose de controlar ylimitar los accesos y/o proporcionar las medidas de seguridad adecuadas.

• Inscripción en el Registro de la Agencia de Protección de Datos del fichero y/o de sus modificaciones.

• Actualización del presente Documento de Seguridad en orden a modificar alguno de los procedimientosestablecidos que se vean afectados.

• Así mismo será necesaria la adopción de ciertas medidas de carácter jurídico como la redacción delcontrato, aviso legal, norma o política correspondiente en los casos que sea necesario.

23

Anexo 1.

Documentos de Notificación, Disposiciones Generales de declaración de

ficheros y Contratos de Encargados del Tratamiento

NOMBRE Y DESCRIPCIÓN DEL FICHERONombre del fichero: PROVEEDORES

Descripción de la finalidad: Este fichero contiene datos relativos al control, evolución yadministración de nuestros PROVEEDORES.

UBICACIÓN PRINCIPAL DEL FICHERO

Ubicación En la propia empresa

ENCARGADO DEL TRATAMIENTO

Encargado En la propia empresa

24

NOMBRE Y DESCRIPCIÓN DEL FICHERONombre del fichero: VIDEOVIGILANCIA

Descripción de la finalidad: Sistema de seguridad basado en la captación y grabación de imágenes sedeclarará cuando graba imágenes de personas a través de cualquiersistema de video.

UBICACIÓN PRINCIPAL DEL FICHERO

Ubicación En la propia empresa

ENCARGADO DEL TRATAMIENTO

Encargado En la propia empresa

25

Anexo 2.

DESCRIPCIÓN DETALLADA DE LA ESTRUCTURA FÍSICA DELFICHERO O LA BASE DE DATOS

El tipo de fichero ha sido reseñado en el impreso presentado en la AGENCIA DE PROTECCIÓN DEDATOS, y que se adjunta a este documento de seguridad. Anexo 1.

En cuanto a los equipos informáticos, los ficheros se hallan instalados en los siguientes equipos:ORDENADORES 0SERVIDORES 0Alojados en

1.- VIDEOVIGILANCIA

Las imágenes captadas serán tratadas únicamente para el control de seguridad de nuestros bienes y cedidasen el caso de petición judicial. Es posible que se realicen copias de seguridad, pero tanto las imágenesincluidas en el soporte como las de las copias de seguridad, se mantendrán durante 30 días como máximo yposteriormente serán borradas, la captación de imágenes que tratamos son las mínimas para garantizar sufinalidad.Nuestras instalaciones cuentan con 1 ordenador o soporte, donde se almacenan las imágenes, Siempre quea dichas imágenes se pueda acceder remotamente por una empresa externa de seguridad, se tendrá uncontrato de prestación de servicios así como de confidencialidad. Este ordenador está protegido con clavede acceso "contraseña" alfanumérica con las mismas normas de seguridad que el resto de soportesinformáticos. El pertinente aviso legal a los afectados de las grabaciones se encuentra ubicado antes deentrar en la Zona Video-vigilada, y se dispone del informe "CLAUSULA INFORMATIVA" pertinente yderechos ARCO, a disposición del solicitante, mencionados y recogidos más adelante al final de esteDocumento de Seguridad.

Ubicación del grabador

Acceso remoto a imágenes por parte de la empresa Seguridad

Control y notasLa grabación es para controlar los deberes y obligaciones de los empleadosLa grabación es para proteger sus bienesLas cámaras están ubicadas en un acceso públicoLas cámaras están en lugar privadoLas cámaras aún estando en zona privada graban parte de una zona públicaLa captación de imágenes es para utilizarla para selección de personalLa captación de imágenes es para utilizarla en el ámbito clínico / hospitalario para verificar la respuesta adeterminados estímulos en psicología o medicina

26

La captación de imágenes es para la autorización de "pase de entrada" a las instalaciones Realiza copias de seguridad periódicamenteEn el caso de realizar copias de seguridad estas serán guardadas en La periodicidad de las copias de seguridad es: Tenemos contraseñas individuales para evitar intrusiones de personal no autorizadoLa cantidad de dígitos de las contraseñas de acceso a las imágenes NO es superior o igual a 8 dígitos

Los ordenadores y servidores en su caso contarán con las medidas de seguridad correspondientes paraevitar alteraciones o intrusiones no autorizadas, lo puestos de trabajo y los usuarios están debidamenterelacionados al final de este documento. Los puestos de trabajo, los cuales tienen el acceso limitado segúnla función específica de cada uno y usuario autorizado. Los datos de carácter personal que pueden contenercada uno de ellos, están lógicamente almacenados Proveedores, Videovigilancia, Copropietarios, , segúncorresponda.

____________________________________________________________________________________

No se realizan pruebas con datos reales, pero si en un futuro. "Si" se realizaran pruebas con datos reales, serelacionaran estos ficheros de prueba, indicando el nombre y descripción de los mismos y procedimientoprevisto para el borrado físico de estos datosEn el caso de que se realicen pruebas con datos reales, realizaremos previamente una copia de seguridad.

Recuperación de datosEn el caso de error del sistema con pérdida total o parcial de datos de los ficheros se realizará un procedimiento

manual de recuperación de datos, partiendo de la última copia de respaldo y reconstruyéndose los datos de los ficheros

al estado en que se encontraban en el momento del error.

Los responsables de estas funciones llevarán a cabo un registro de los procesos de recuperación de datos efectuados

tanto en formato digital como en papel.

En estos casos, ante la pérdida de datos, el usuario afectado estará obligado a comunicar esta circunstancia al personal

encargado de realizar estas funciones en la ORGANIZACIÓN que procederá a la recuperación de la información

destruida de forma manual partiendo de la copia de respaldo más reciente.

En los supuestos en los que se produzca una incidencia que genere la destrucción de información se seguirá el

procedimiento de notificación, tratamiento y registro de incidencias.

Control de acceso lógicoLos usuarios de los sistemas de información de la ORGANIZACIÓN tendrán acceso autorizado sólo aaquellos datos y recursos que precisan para el desarrollo de sus funciones, siguiendo el principio de mínimoprivilegio, esto es, el acceso mínimo posible.

27

Anexo 3.

DESCRIPCIÓN DE SISTEMAS DE INFORMACIÓN QUE TRATANFICHEROS.

EL SISTEMA OPERATIVO ES: .

EL PROGRAMA DE GESTIÓN ES: .

Los responsables de mantenimiento de las aplicaciones son los responsables del departamento informáticoy en su defecto el responsable de los ficheros.

A estos tipos de datos "ficheros" únicamente tendrán acceso las personas autorizadas, previa introducción alsistema de una contraseña alfanumérica de 8 caracteres. Limitando a 10 intentos desde el local y 5 desdefuera de las instalaciones.

28

Anexo 4.

Entorno de Sistema Operativo y Comunicaciones de losFicheros

Los equipos informáticos usan el mismo sistema operativo y de acceso a los ficheros. en elsupuesto que en un futuro cambiara esta circunstancia, se realizaría una distinción entre losmismos, al igual que lo anteriormente descrito.

Los equipos informáticos están dotados con conexiones remotas, tales como internet, con suscorrespondientes cortafuegos y antivirus. se ha entregado copia de las obligaciones del personal atodos los usuarios "empleados" donde se indica todo el marco legal pertinente.

29

Anexo 5.

LOCALES Y EQUIPAMIENTO

Nuestras instalaciones, con dirección postal anteriormente descrita al principio de este documento, cuentacon acceso normal, controlado por el mismo personal y las cerraduras correspondientes para el acceso acualquier área y especialmente al departamento informático o ubicación física de los ficheros a proteger, yla documentación o ficheros donde almacenamos datos de carácter personal, tienen acceso restringido ycerraduras para garantizar su seguridad. Entendiendo así que solo las personas autorizadas poseerán dichallave.

Los equipos informáticos portátiles no salen de nuestras instalaciones y en el supuesto que fuera necesario,no contendrán datos de carácter personal, evitando así el mal uso, pérdida, etc.

El responsable de los ficheros redactara una autorización expresa para la salida de datos de carácterpersonal, en el caso de ser necesario, tomando las medidas pertinentes para garantizar su seguridad, talescomo encriptación, etc.

Los puestos de trabajo locales, cuentan con un total de 0 ordenadores y 0 servidor, evitándose el accesoremoto, sin consentimiento o autorización pertinente.

Con el fin de garantizar el nivel de seguridad exigido en el Reglamento, se han tomado lassiguientes medidas de seguridad:

• El despacho de administración tiene cerradura de seguridad. Dicho despacho permanece siemprecerrado en ausencia de los responsables del despacho.

• EL ORDENADOR PRINCIPAL se halla conectado a la línea telefónica con lo que ha sidonecesario protegerlo de posibles accesos no autorizados por dicho medio, creando clave deseguridad de 8 dígitos.

• Se ha creado una lista de personas autorizadas a acceder a este fichero, y se les ha asignado unasclaves de acceso e identificación. estas contraseñas se cambiarán mínimo cada año.

• El responsable del fichero será el encargado de asignar estas contraseñas.

• Sólo el responsable podrá a anular o conceder el derecho de acceso al fichero.

• No se permitirá la salida fuera del local de negocio de soportes que contengan el fichero aproteger.

30

• Anualmente, los sistemas de información e instalaciones de tratamiento de datos, se someterán auna Pre-Auditoría interna que verifique el cumplimiento del Reglamento.

31

Anexo 6

Nombramientos y autorizaciones (Ejemplo)

En este anexo "6" deberán adjuntar las hojas donde indiquen sus nombramientos y autorizaciones de laspersonas nombradas por el responsable, indicando la autorización o responsabilidad y la fecha de dichonombramiento o el cese de este. Se incluirán estas autorizaciones o bien se referenciará la herramienta orecurso que permita obtenerlas puntual y/o periódicamente. Los cargos de autorización serán: - Responsables que puedan autorizar consultas, altas, bajas, modificaciones del fichero.- Responsables de Salida Soportes.- Responsables de Salida por Red.- Responsable de autorizar el trabajo fuera de los locales.

Ejemplo: Estos son ejemplos, donde intentamos facilitarles dicha labor, pueden usar estos mismos o diseñarotros similares, tantos como nombramientos o autorizaciones existan, en el caso de no tener personal ousuarios con dichas autorizaciones, no tendrán que adjuntar ni cumplimentar nada.

Nombramientos de personal, autorizados y responsables (EJEMPLO)

Nombre de la persona autorizada.

Marcos Garcia López

Fecha de alta

21/10/2009

Tipo de autorización o responsabilidad

Autorizado para consultar y modificar los ficheros

La fecha de baja en su caso.

En curso

Autorizaciones "ACCESOS A USUARIOS (EJEMPLO)"

Nombre del Usuario

María Garcia López

Perfil

Comercial

Tipo de privilegio de acceso

Restringido, con acceso al Outlook y datos de contacto

Fecha de alta

21/10/2009

Fecha de baja, o modificación

En curso

32

Nombre y cargo de la persona que realiza la autorización

Juan Pérez López (administrador)

33

Anexo 7

Procedimientos de control y seguridad

7.1. Procedimiento para dar altas, baja o modificación de acceso a usuarios esta función recaerá en elresponsable del fichero quien será el encargado de estas funciones, asignando una contraseña de acceso yguardando dicho "registro" para su posterior seguimiento.

7.2. Mensualmente dicho encargado procederá a la identificación y autenticación de los accesos, limitandola posibilidad de intentar reiteradamente el acceso no autorizado (en los niveles medio y alto sicorresponden), al sistema informático gracias a las contraseñas anteriormente asignadas las cuales secambiaran por seguridad mínimo cada año, si antes no se ha detectado amenaza alguna, en cuyo caso seabrirá el registro de incidencias y se modificarán las contraseñas de inmediato.

Estas contraseñas de acceso a diferentes niveles soncada usuario tiene su contraseña de acceso a los ordenadoresEstas contraseñas de acceso a los ordenadores sonse modifican las contraseñasEl cambio e contraseña se comunica al usuario

7.3. se realizan copias de seguridad "respaldo". Estas son guardadas . Garantizando de tal modo su fácilrecuperación en caso de pérdida o alteración involuntaria. Procediendo manualmente a la recuperación.

El método utilizado en creación y recuperación es a través: El Soporte utilizado es: El tipo de copia utilizado es:

Copia incrementalAYUDA: La copia incremental (o diferencial incremental) es más avanzada (o "inteligente") ya quesólo copia los ficheros creados o modificados desde el último backup, ya sea completo o incremental,reduciendo la cantidad de información a copiar en cada proceso. En el caso anterior de tener unacopia completa el domingo, el lunes se copiarán las novedades respecto al domingo, y el martes lasnovedades respecto a la copia del lunes, con la consiguiente reducción de tamaño de copia

En nuestros ordenadores tenemos los siguientes sistemas de protección:[ ] Antivirus[ ] Antispyware[ ] Cortafuegos[ ] Antispam

34

7.4. Procedimiento de gestión de salida de soportes.

No se permite la salida fuera del local de trabajo, de soportes que contengan el fichero a proteger.

En el supuesto que en el futuro fuera necesario, no contendrán datos de carácter personal, evitando así elmal uso, pérdida, etc.

El responsable de los ficheros redactaría una autorización expresa para la salida de datos de carácterpersonal, en el caso de ser necesario, tomando las medidas pertinentes para garantizar su seguridad.Además del informe pertinente.

7.5. Por el poco volumen de material desechado en nuestra organización, se destruye en trituradora depapel o minuciosamente a mano, y se formatean los soportes informáticos, desechándose en loscontenedores pertinentes.

7.6. El responsable de los ficheros redactaría una autorización expresa para la salida de soportesinformáticos donde se almacenen datos de carácter personal, "en el caso de ser necesario". Tomando lasmedidas pertinentes para garantizar su seguridad, tales como contraseñas para acceder al fichero encuestión, la encriptación, Verificar el conocimiento de responsabilidad por parte del autorizado, etc. Por elmomento no existe dicha autorización pero se adjunta el ejemplo a seguir en el caso de necesidad.EJEMPLO:

AUTORIZACIÓN

El responsable de seguridad Sr. XXXXXXXXXX XXXXXX Autoriza al Sr. XXXXXX XXXXXXX a utilizar fuera de las instalaciones habituales el ordenadorportátil, al cual se le asigno el código de identificación XXX-X. Dicho portátil tiene almacenado losdatos de contacto de nuestros clientes, este fichero está protegido por clave de seguridad, así mismo elautorizado conoce sus obligaciones y responsabilidades.

35

Anexo 8

FUNCIONES Y OBLIGACIONES DEL PERSONAL

Lo establecido en este apartado resultará de aplicación tanto al personal propio de laORGANIZACIÓN como al personal externo que preste sus servicios en sus instalaciones y que tantoen uno como en otro caso tengan acceso a datos de carácter personal de titularidad de laORGANIZACIÓN. Para la correcta aplicación a este respecto todos ellos deberán firmar indicandonombre y DNI al final de este anexo en la hoja en blanco a tal efecto.

8.1 Obligaciones generales para todo el Personal

• Guardar secreto profesional y confidencialidad de la información tratada. Quienes intervengan encualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesionalrespecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aún después de finalizar susrelaciones con el titular del fichero o, en su caso, con el responsable del mismo.

• La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficherosque contengan datos personales será considerado como una falta leve, grave o muy grave de conformidadcon lo previsto en el artículo 44 de la LOPD, lo cual dará lugar a iniciación de actuaciones disciplinarias, siprocediesen.

• Utilizar los sistemas de información, recursos técnicos así como la información personal a la que seaccede, únicamente para el desarrollo y desempeño profesional que el usuario tiene asignado.

• Facilitar el derecho de acceso, rectificación , cancelación y oposición a los titulares de los datos. Paraello se informará inmediatamente al Responsable del Fichero Responsable de Seguridad o Encargado deltratamiento y se recogerá siempre en solicitud escrita.

8.2 Funciones y obligaciones del Responsable del Fichero

El responsable es la persona física o jurídica que tenga atribuida la competencia a la que sirvainstrumentalmente los datos contenidos en el fichero. Decide sobre la finalidad, uso y contenido de losmismos.

• Elaborará el documento de seguridad. En caso de que exista un encargado de tratamiento, y se realice eltratamiento del fichero fuera de los locales del responsable del fichero, la elaboración del mismo podríacorresponder al encargado de tratamiento

• Implantará y hará cumplir las medidas de seguridad establecidas en este documento.

• Deberá garantizar la difusión del cuerpo y de los Anexos de este Documento que les afecten, entre todo

36

el personal que vaya a utilizar el fichero.

• Deberá mantener actualizado este documento siempre que se produzcan cambios relevantes en laorganización o entorno del fichero, y deberá adecuar en todo momento el contenido del mismo a lasdisposiciones vigentes en materia de protección de datos personales.

• Podrá nombrar uno o varios responsables delegados, cuyo nombramiento deberá adjuntar al Anexo 6,que, sin menoscabo de la propia responsabilidad y obligaciones del responsable del fichero, podrán asumirpor él las obligaciones sobre el cumplimiento de las normas que designe especificadas en el presentedocumento.

No existe cargo de Responsable de Seguridad que es la persona que debe designar el Responsable delFichero para que lleve a cabo la coordinación y el control de las medidas definidas, verificando elcumplimiento de las mismas porque, como a continuación se expone, todos los ficheros de la empresa seencuadran en el nivel de seguridad Comunidad de propietarios, con lo que estas funciones y obligacionesrecaen en el responsable legal.

Teniendo en cuenta la posibilidad de que en un futuro puedan darse cambios en los sistemas de informaciónmanejados por la ORGANIZACIÓN, el Documento de Seguridad ofrecerá un marco estable, pero a la vezflexible y se mantendrá actualizado revisándose cada vez que se produzcan cambios en los sistemas deinformación o en la ORGANIZACIÓN misma.Así mismo, el Documento de Seguridad deberá adecuarse en cada momento a la normativa vigente enProtección de Datos de Carácter Personal practicándose las oportunas actualizaciones.Tanto este Documento como sus anexos se encuentran bajo la custodia del Responsable del Fichero de laORGANIZACIÓN.

8.3 Funciones y obligaciones que el Responsable del fichero podrá delegar en otras personas

Los responsables delegados que el responsable del fichero pueda nombrar opcionalmente, o en sudefecto el propio responsable del fichero, deberán asumir además las siguientes funciones yresponsabilidades.

Autorización del personal que puede acceder al fichero • Encargarse de que exista una relación actualizada de usuarios con acceso autorizado para acceder a losdatos del fichero.

• Conceder, alterar o anular el acceso autorizado sobre datos o los recursos.

• Velar porque se cumpla el procedimiento para dar de alta, modificar o anular una autorización de accesoque está especificado en el Anexo 7.

Procedimientos de Identificación y Autenticación de usuarios

37

• Velar por que se cumpla el procedimiento de asignación distribución y almacenamiento de contraseñasque se encuentra descrito en el Anexo 7.

• Velar por que las contraseñas se asignen y se cambien mediante el mecanismo y periodicidad que sedetermina en el Anexo 7.

• Si es posible, habilitará controles de acceso basados en certificados digitales electrónicos o datosbiométricos.

Entorno de Sistema Operativo y de Comunicaciones• Aprobar y designar al administrador que se responsabilizará del sistema operativo y de comunicacionesque deberá estar relacionado en el Anexo 6.

Sistema Informático o aplicaciones de acceso al Fichero• Velar porque los sistemas informáticos de acceso al Fichero tengan su acceso restringido mediante uncódigo de usuario y una contraseña.• Asimismo cuidará que todos los usuarios autorizados para acceder al Fichero, relacionados en el Anexo6, tengan un código de usuario que sea único, y que esté asociado a la contraseña correspondiente, que sóloserá conocida por el propio usuario.

Trabajo fuera de los locales de ubicación del Fichero

• Habilitar los controles necesarios para que no se copie ni transporte información del fichero enordenadores portátiles o estaciones de trabajo que se encuentren fuera de las oficinas sin la correspondienteautorización.• Autorizar el trabajo con datos personales fuera de los locales En el Anexo 7 se referencia unprocedimiento para el tratamiento de ficheros fuera de su ubicación, como es el caso de los ordenadoresportátiles.

Gestión de soportes

• Autorizar la salida de soportes informáticos que contengan datos del fichero fuera de los localesindicados en el Anexo 5.

• En cualquier caso deberá especificarse en el Anexo 7, el procedimiento para la destrucción o almacenajede esos soportes.

Entrada y salida de datos por red

• Autorizar al usuario que podrá realizar desde una única cuenta o dirección de correo las salidas de datospor correo electrónico ó trasferencias

38

Procedimientos de respaldo y recuperación

• Se encargará de verificar la definición y correcta aplicación de las normas y periodicidad de larealización de copias de respaldo, al menos semestralmente.

Controles periódicos de verificación del cumplimiento

• Junto con el responsable de seguridad, analizaran con periodicidad al menos trimestral las incidenciasregistradas, para independientemente de las medidas particulares que se hayan adoptado en el momento quese produjeron, poner las medidas correctoras que limiten esas incidencias en el futuro.

8.4 Funciones y obligaciones del Encargado de tratamiento

El encargado del tratamiento es la persona física o jurídica que trata datos personales por cuenta delresponsable del fichero, como consecuencia de una relación jurídica que le vincula con el mismo y delimitasu actuación, y deberá acreditarse mediante la documentación que se adjuntará en el Anexo 1.• En el caso de existir encargado del tratamiento le corresponderá elaborar el documento de seguridad delos ficheros y tratamientos prestados en sus propios locales que figuran en el Anexo E.

• En el caso de prestar los servicios en los locales del responsable del fichero, él mismo y su personaldeberán cumplir normas del documento de seguridad elaborado por el responsable.

• Cuando el acceso sea remoto y se hubiese prohibido utilizar al encargado incorporar datos a sistemas osoportes distintos a los del responsable, se hará constar esta circunstancia en el documento del responsable.

• Cuando los ficheros se procesen en locales de uno y otro, el encargado facilitara al responsable ladocumentación necesaria para completar el documento de seguridad del responsable.

• El encargado de tratamiento deberá asumir todas las obligaciones del responsable del fichero excepto enlas autorizaciones de acceso de usuarios o nombramientos de los responsable de legados.

• Especialmente deberá cumplir todas las normas relacionadas con el entorno físico, sistema operativo ycomunicaciones, sistemas informáticos o aplicaciones de acceso al Fichero, trabajo fuera de los locales deubicación del fichero, gestión de soportes, entrada y salida de datos por red, procedimientos de respaldo yrecuperación, y en general todas aquellas referenciadas en el cuerpo de este documento que esténrelacionadas con el entorno que es de su responsabilidad donde se va a tratar el fichero.

8.5 Funciones y obligaciones del Responsable de seguridad

• Es el encargado de coordinar y controlar las medidas definidas en el presente documento

39

• El responsable de seguridad coordinará la puesta en marcha de las medidas de seguridad, colaborará conel responsable del fichero en la difusión del Documento de seguridad y cooperará con el responsable delfichero controlando el cumplimiento de las mismas.

• Analizara las incidencias registradas, tomando las medidas oportunas en colaboración con el responsabledel Fichero.

8.6 Funciones y obligaciones de los Usuarios

El personal autorizado a acceder a la información de carácter personal del Fichero, realizará las funcionespropias de su puesto de trabajo, que se encuentran previstas en las relaciones de puestos de trabajo delCentro o Unidad Administrativa a la que pertenezca, a la correspondiente definición de funciones que seaplique a dicho personal.

Además de dichas funciones relativas al desempeño profesional asociado a su puesto laboral, todo elpersonal colaborará con el Responsable del Fichero y Responsable/s de Seguridad en pro de velar por elcumplimiento de la legislación y reglamentación vigente sobre Protección de Datos de Carácter Personal.

• Cada usuario será responsable de la confidencialidad de su contraseña y, en caso de que la misma seaconocida fortuita o fraudulentamente por personas no autorizadas, deberá registrarlo como incidencia yproceder inmediatamente a su cambio.

• Cada usuario deberá cambiar la contraseña inicial que se le asigne, en el primer acceso que realice alsistema o tras el desbloqueo de su contraseña cuando haya sido necesaria la intervención de una tercerapersona en dicho proceso. Las contraseñas deberán ser suficientemente complejas y difícilmenteadivinables por terceros, evitando el uso del propio identificador como contraseña o palabras sencillas, elnombre propio, fecha de nacimiento etc.

• Para ello se seguirán las siguientes pautas en la elección de las contraseñas:

odeberán tener una longitud mínima de 8 caracteres alfanuméricos.ono deberán coincidir con el código de usuario.ono deberán estar basadas en cadenas de caracteres que sean fácilmente asociadas al usuario (Nombre,apellidos, ciudad y fecha de nacimiento, nombres de familiares, matrícula del coche, etc.).oel usuario deberá aplicar reglas nemotécnicas para poder construir una contraseña lo suficientementedifícil de adivinar por terceros y que a la vez sea muy fácil de recordar por él.

• Los puestos de trabajo estarán bajo la responsabilidad de algún usuario autorizado que garantizará que lainformación que muestran no pueda ser visible por personas no autorizadas.

40

• Tanto las pantallas como las impresoras u otro tipo de dispositivos conectados al puesto de trabajodeberán estar físicamente ubicados en lugares que garanticen esa confidencialidad.

• Cuando el responsable de un puesto de trabajo lo abandone, bien temporalmente o bien al finalizar suturno de trabajo, deberá dejarlo en un estado que impida la visualización de los datos protegidos, como porejemplo un protector de pantalla con contraseña. La reanudación del trabajo implicará la desactivación de lapantalla protectora con la introducción de la contraseña correspondiente.

• En el caso de las impresoras deberá asegurarse de que no quedan documentos impresos en la bandeja desalida que contengan datos protegidos. Si las impresoras son compartidas con otros usuarios no autorizadospara acceder a los datos de Fichero, los responsables de cada puesto deberán retirar los documentosconforme vayan siendo impresos.

• Queda expresamente prohibido cualquier cambio de la configuración de la conexión de los puestos detrabajo a redes o sistemas exteriores, que no esté autorizado expresamente por el Responsable del Fichero oel Director del Centro o departamento al que pertenezca cada usuario. La revocación de esta prohibicióndeberá ser autorizada expresamente

• Los puestos de trabajo desde los que se tiene acceso al fichero tendrán una configuración fija en susaplicaciones, sistemas operativos que solo podrá ser cambiada bajo al autorización del responsable deseguridad o por administradores autorizados del Anexo 6.

• Queda expresamente prohibido el tratamiento datos extraídos del Fichero, con programas ofimáticos,como procesadores de texto u hojas de cálculo, sin comunicarlo para su aprobación al Responsable delSeguridad para que se proceda a implantar las medidas de seguridad adecuadas. La utilización de dichosprogramas para el tratamiento de datos personales sin comunicarlo al responsable de Seguridad seráconsiderado como una falta contra la seguridad del fichero por parte de ese usuario.

• Se deberá evitar el guardar copias de los datos personales del Fichero en archivos intermedios otemporales. En el caso de que sea imprescindible realizar esas copias temporales por exigencias deltratamiento, se deberán adoptar las siguientes precauciones:

o Realizar siempre esas copias sobre un mismo directorio de nombre TEMP o similar, de forma que noqueden dispersas por todo el disco del ordenador y siempre se pueda conocer donde están los datostemporales.

o Tras realizar el tratamiento para los que han sido necesarios esos datos temporales, proceder al borrado odestrucción de los mismos.

o Los ficheros temporales creados exclusivamente para la realización de trabajos temporales o auxiliares,deberán cumplir el nivel de seguridad que les corresponda con arreglo a los criterios expresados en el

41

Reglamento de Medidas de Seguridad.

• Trabajo fuera de los locales de ubicación del fichero. No se deberá copiar ni transportarinformación delos sistemas centrales en portátiles o estaciones de trabajo que se encuentren fuera de las oficinas sin lacorrespondiente autorización del Responsable del Fichero. En el Anexo 7 se referencia un procedimientopara el tratamiento de ficheros fuera de su ubicación, como es el caso de los ordenadores portátiles.

• Cualquier usuario que tenga conocimiento de una incidencia es responsable de la comunicación de lamisma al Responsable del Fichero o a la persona encargada de registrarla. En el caso de que elprocedimiento de Incidencias estuviese automatizado, deberá proceder a su registro en el sistema habilitadopara ello. El modelo de notificación de incidencias figura en el Anexo 9.

• El conocimiento y la no notificación de una incidencia por parte de un usuario será considerado comouna falta contra la seguridad del Fichero por parte de ese usuario.

• Cuando un usuario gestione o produzca soportes que contengan datos del Fichero, bien comoconsecuencia de operaciones intermedias propias de la aplicación que los trata, o bien como consecuenciade procesos periódicos de respaldo o cualquier otra operación esporádica, estos deberán estar claramenteidentificados con una etiqueta externa que indique de qué fichero se trata, qué tipo de datos contiene,proceso que los ha originado y fecha de creación.

• Cuando se reciclen medios que sean reutilizables, y que hayan contenido copias de datos del Fichero,deberán ser borrados físicamente antes de su reutilización, de forma que los datos que contenían no seanrecuperables. Aquellos que no vayan a ser reutilizados deberán ser destruidos mediante un procedimientoespecificado en el Anexo 7.

• Los soportes que contengan datos del Fichero deberán ser almacenados en lugares a lo que no tenganacceso personas no autorizadas para el uso del Fichero.

• La salida de soportes informáticos que contengan datos del Fichero fuera de los locales donde estáubicado el Fichero deberá ser expresamente autorizada por el responsable del Fichero. mediante elprocedimiento descrito en el Anexo 7.

• Solo se podrán realizar envíos del Fichero, por correo electrónico o transferencias electrónicas, desdeuna única cuenta o dirección de correo controlado por un usuario especialmente autorizado por elResponsable o persona autorizada tal como se describe en el Anexo 7.

8.7 Funciones y obligaciones de los Administradores o Personal Informático

Es el personal que administra los sistemas informáticos del fichero. Se puede clasificar en varias categorías,

42

que no necesariamente deberán estar presentes en todos los casos, siendo en algunas ocasiones asumidaspor una misma persona o personas.

• Administradores (Red, Sistemas operativos y Bases de Datos). Serán los responsables de los máximosprivilegios y por tanto de máximo riesgo de que una actuación errónea pueda afectar al sistema. Tendránacceso al software (programas y datos) del sistema, a las herramientas necesarias para su trabajo y a losficheros o bases de datos necesarios para resolver los problemas que surjan.

• Operadores (Red, Sistemas operativos, Bases de Datos y Aplicación). Sus actuaciones están limitadas ala operación de los equipos y redes utilizando las herramientas de gestión disponibles. No deben, enprincipio, tener acceso directo a los datos del Fichero, ya que su actuación no precisa de dicho acceso.

• Mantenimiento de los sistemas y aplicaciones. Personal responsable de la resolución de incidencias quepuedan surgir en el entono hardware/software de los sistemas informáticos o de la propia aplicación deacceso al Fichero.

• Cualquier otro que la organización establezca.

• Los administradores deberán garantizar que el sistema operativo donde se ejecuta el sistema de acceso alfichero tenga su acceso restringido mediante un código de usuario y una contraseña. Ninguna herramienta oprograma de utilidad que permita el acceso al Fichero deberá ser accesible a ningún usuario o administradorno autorizado en el Anexo 6.

• En la norma anterior se incluye cualquier medio de acceso en bruto, es decir no elaborado o editado, alos datos del Fichero, como los llamados "queries", editores universales, analizadores de ficheros, etc., quedeberán estar bajo el control de los administradores autorizados relacionados en el Anexo 6.

• Si la aplicación o sistema de acceso al Fichero utilizase usualmente ficheros temporales, ficheros de"logging", o cualquier otro medio en el que pudiesen ser grabados copias de los datos protegidos, losadministradores deberá asegurarse de que esos datos no son accesibles posteriormente por personal noautorizado.

• Si el ordenador en el que está ubicado el fichero está integrado en una red de comunicaciones de formaque desde otros ordenadores conectados a la misma sea posible el acceso al Fichero, los administradoresdeberán asegurarse de que este acceso no se permite a personas no autorizadas.

• Deberá garantizar la obtención periódica de una copia de seguridad del fichero, a efectos de respaldo yposible recuperación en caso de fallo.

• Estas copias deberán realizarse con una periodicidad, al menos, semanal, salvo en el caso de que no sehaya producido ninguna actualización de los datos.

43

• En caso de fallo del sistema con pérdida total o parcial de los datos del Fichero existirá unprocedimiento, informático o manual, que partiendo de la última copia de respaldo y del registro de lasoperaciones realizadas desde el momento de la copia, reconstruya los datos del Fichero al estado en que seencontraban en el momento del fallo. Ese procedimiento está descrito en el Anexo 7.

• Las pruebas anteriores a la implantación o modificación de los sistemas de información que tratenficheros con datos de carácter personal no se realizaran con datos reales, salvo que se aplique a esosficheros de prueba el mismo tratamiento de seguridad que se aplica al mismo Fichero, y se deberánrelacionar esos ficheros de prueba en el Anexo 2. Si se realizan pruebas con datos reales será necesariarealizar previamente una copia de seguridad.

• Los administradores deberán responsabilizarse de guardar en lugar protegido las copias de seguridad yrespaldo del Fichero, de forma que ninguna persona no autorizada tenga acceso a las mismas.

• Los administradores facilitarán al responsable del Fichero para su comprobación la lista de usuarios y suscódigos de acceso que extraerá de la aplicación o sistemas de acceso, al menos trimestralmente, además deestas comprobaciones periódicas, enviará estas listas actualizadas en cuanto se produzca un cambio en losaccesos.

• Comprobarán al menos con periodicidad semestral, la existencia de copias de respaldo que permitan larecuperación de Fichero según lo estipulado en el apartado 9 de este documento, enviando evidencias deesta comprobación al responsable del Fichero.

• A su vez, y también con periodicidad al menos trimestral, los administradores del fichero comunicarán alresponsable del Fichero cualquier cambio que se haya realizado en los datos técnicos de los Anexos, comopor ejemplo cambios en el software o hardware, base de datos o aplicación de acceso al Fichero,procediendo igualmente a la actualización de dichos Anexos.

44

DNI y firma DNI y firma DNI y firma DNI y firma

DNI y firma DNI y firma DNI y firma DNI y firma

DNI y firma DNI y firma DNI y firma DNI y firma

DNI y firma DNI y firma DNI y firma DNI y firma

45

Anexo 9

Notificación y Gestión de incidencias

AL FINAL DE ESTE DOCUMETO SE INCLUYE "LIBRO DE REGISTROS" ANEXO 13

46

Anexo 10

Controles periódicos y auditorías

APARTADO PARA INCLUIR LOS CONTROLES E INFORMES DE AUDITORIAS

47

Anexo 11

Modificaciones introducidas en las revisiones de estedocumento

Versión Fecha Actualizaciones

48

Anexo 12

MODELOS DE CONTRATOS ORIENTATIVOS

49

ÍNDICE

DOCUMENTOS

• Textos a añadir en los contratos laborales con los trabajadores de su empresa

• Textos a añadir en los mailing que su empresa realice y en los cuales recabe o no, datos de destinarios

• Contrato que ha de firmar con los distintos proveedores:

• Gestoría

• Agencia de transportes

• Empresa de manipulado de mailing

• Comunidad con Administrador

• Compañías de mantenimiento de software

• Modelo, Derechos "ARCO"

50

TEXTOS A AÑADIR EN LOS CONTRATOS LABORALES CON LOSTRABAJADORES DE LA EMPRESA:

(Una copia para el usuario y otra firmada por el empleado como recibido para usted)

Deberá usted añadir este texto en el contrato de los trabajadores, tanto en el caso de los nuevos,como en el caso de los antiguos. NO pueden negarse a ello, ya que es una adecuación a la Ley deProtección de datos de Carácter Personal, y la Ley de Servicios para la Sociedad de laInformación. Adaptarse no es preceptivo, es obligatorio.

En el caso de que los trabajadores no tengan acceso a ordenadores (personal de fábrica, almacénetc.…) puede simplificar el texto, eliminando los conceptos que no procedan, pero le aconsejamosque no lo modifique, ya que es mejor que queden cubiertos por exceso que por defecto.

Tarde o temprano un trabajador, de forma directa o indirecta, tiene acceso a los ordenadores.Además las cláusulas reflejan otras obligaciones como la confidencialidad, que debe darse entodos los casos.

En desarrollo de la relación laboral del trabajador con la empresa, el trabajador tendrá acceso adatos de carácter personal cuyo tratamiento está sometido a las condiciones y requisitosestablecidos en la Ley 15/1999 de 13 de Diciembre, (Ley orgánica de protección de Datos deCarácter Personal).

El trabajador se compromete a guardar secreto sobre los datos de carácter personal y cualesquierainformaciones o circunstancias relativas a los clientes, usuarios y cualesquiera otras personascuyos datos conozca y a los que haya tenido acceso en el ejercicio de las funciones que le hayansido asignadas por la empresa. Las anteriores obligaciones se extienden a cualquier fase deltratamiento de los citados datos, y subsistirán aún después de concluidas las funciones en el marcode las cuales ha tenido acceso a los datos, o concluida su relación laboral con la empresa.

51

TEXTO A AÑADIR :

"Se informa al trabajador de la existencia de un fichero de datos personales, cuya finalidad es la elaboraciónde nóminas y seguros sociales, así como los usos típicos de un departamento de Personal. La respuesta acualquier cuestionario facilitado por el departamento de recursos Humanos, es opcional. La negativa asuministrar determinados datos, que impidan a la empresa realizar las funciones obligatorias (segurossociales. nóminas etc...) implicará una sanción, y un posible despido disciplinario. El trabajador tienederecho de acceso, rectificación anulación y oposición que deberá ejercer mediante escrito a la empresa. Laempresa es el responsable de dicho fichero.

El trabajador se compromete a cumplir de forma continuada y efectiva, la política de seguridad de laempresa, y especialmente los siguientes puntos de la misma. (Anexo. 8.6)

USO DE INTERNET

• Los usuarios son responsables de las sesiones iniciadas de Internet desde sus terminales de trabajo. En elámbito de la organización el uso de Internet deberá hacerse de acuerdo a las instrucciones impartidas por laorganización. Internet tiene carácter laboral, y no puede ni debe usarse con otros fines.

• En ningún caso se pueden modificar las configuraciones de los navegadores del equipo, ni la activaciónde servidores o puertos sin autorización del coordinador de seguridad, o en su caso del responsable deseguridad.

• Debe evitarse la utilización de imágenes y sonidos distintos e incompatibles a la actividad laboral de laempresa.

• Se prohíbe expresamente el acceso y/o la descarga y/o el almacenamiento en cualquier soporte depáginas y contenidos ilegales, inadecuados o que atenten contra la moral y las buenas costumbres; de losformatos de imágenes, sonido o vídeo; de virus y códigos maliciosos y en general, todo tipo de programassin la expresa autorización del coordinador de seguridad.

• Queda vetada toda utilización ajena a las actividades de la empresa de los servicios de chat, foros u otrossitios similares. Tampoco se permite el acceso a páginas de juego en línea, o la descarga de cualquierdispositivo similar.

52

USO DEL SISTEMA INFORMÁTICO

• Se prohíbe la instalación de cualquier programa o producto informático en el sistema de información, sinla correspondiente autorización del responsable de seguridad.

• Las aplicaciones necesarias para el desempleo de su trabajo, serán instaladas exclusivamente por losAdministradores del Sistema.

• No se permite la utilización de recursos del sistema informático puesto a disposición por la empresa confines privados con cualquier otro fin diferente a los estrictamente laborales.

• Se prohíbe revelar a persona alguna ajena a la empresa, información a la que haya tenido acceso en eldesempeño de sus funciones, sin la debida autorización.

• Se prohíbe facilitar a persona cualquiera ningún soporte conteniendo datos a los que hayan tenido accesoen el desempeño de sus funciones sin la debida autorización.

• La información referida en el párrafo anterior únicamente en la forma exigida para el desempeño de susfunciones. No deberá disponerse de ella de ninguna otra forma o para ninguna finalidad diferente.

• Se prohíbe utilizar cualquier información que hubiese podido ser obtenida por su condición de empleadode la compañía, con cualquier otro fin que no sea el estrictamente necesario para el desempeño de susfunciones en la propia empresa.

• Es obligación de los usuarios cumplir la normativa vigente y lo dispuesto en el documento de seguridaden relación a la protección de datos de carácter personal.

• Los usuarios deberán cumplir con los compromisos anteriores, incluso después de extinguida la relaciónlaboral con la empresa.

• El trabajador será responsable frente a la empresa y frente a terceros de cualquier daño que pudieraderivarse parea uno u otros del incumplimiento de los compromisos anteriores y resarcirá a la empresa porlas indemnizaciones, sanciones o reclamaciones que ésta se vea obligada a satisfacer como consecuencia dedicho incumplimiento.

53

USO DEL CORREO ELECTRONICO • Los usuarios son responsables de todas las actividades realizadas con las cuentas de acceso y surespectivo buzón de correos provistos por la empresa.

• Los usuarios no deberán permitir la utilización de la cuenta y/o el correspondiente buzón a personas noautorizadas.

• Los usuarios deben ser conscientes de los riesgos que acarrea el uso indebido de las direcciones decorreo electrónico facilitadas por la empresa.

• Los servicios de correo electrónico suministrados deben destinarse a uso estrictamente laboral.

• Está prohibida la utilización, en los equipos provistos por la empresa, de buzones de correo electrónicode otros proveedores de Internet.

• No es legal enviar correo a personas que no desean recibirlo. Si le solicitan detener esta práctica deberáhacerlo. Si la empresa recibe reclamaciones sobre esta práctica, se tomarán las medidas sancionadorasadecuadas.

Se prohíbe realizar cualquiera de las siguientes actividades:

• Utilizar el correo electrónico para cualquier propósito ajeno a las actividades laborales autorizadas por laempresa.

• Participar en la propagación de cartas encadenadas, esquemas piramidales o similares.

• Distribuir de forma masiva grandes cantidades de mensajes con contenidos inapropiados para laempresa.

• Falsificar las cabeceras de correo electrónico.

• Recoger correo de buzones de otro proveedor de Internet.

• Difundir contenido ilegal o contrario a la moral y las buenas costumbres.

• Enviar correo propio a través de cuentas ajenas sin consentimiento de su titular.

• Efectuar ataques con objeto de imposibilitar u obstruir sistemas informáticos, dirigidos a un usuario o alpropio sistema de correo, así como le envío de un número alto de mensajes por segundo, o cualquiervariante que tenga por objeto la paralización del servicio por saturación de las líneas, de la capacidad de laCPU a del servidor, del espacio en disco de servidores, o terminales o cualquier otra práctica similar.

• Enviar a foros de discusión, listas de distribución o grupos de noticias, mensajes que comprometan la

54

reputación de la compañía.

55

PROPIEDAD INTELECTUAL E INDUSTRIAL

• Queda estrictamente prohibido el uso de programas informáticos sin la correspondiente licencia así comoel uso reproducción, cesión o transformación, o comunicación pública de cualquier tipo de programainformático protegido por los derechos de propiedad intelectual o industrial.

• Se sancionará severamente a los usuarios que lleven a cabo la instalación de tales programas, debido aque su acción podría ocasionar serias responsabilidades civiles y /o penales a la empresa.

56

TEXTOS A AÑADIR EN LOS MAILINGS QUE SU EMPRESAREALICE, Y EN LOS CUALES RECABE DATOS DE LOSDESTINATARIOS (cupones, cuestionarios, videovigilancia, etc.…)

En cualquier sistema que las empresas utilicen para recabar datos ya sean cuestionarios, cupones,formularios, videovigilancia, etc. Obligatoriamente deberán incluir en una zona visible y lo más cercaposible de la zona donde firma el cliente, los siguientes apartados: (ya sea en soporte papel o informático)Ya que los afectados deberán ser informados de modo expreso, preciso e inequívoco)

1. Razón social de la empresa responsable y NIF.

2. Dirección exacta de la empresa.

3. Que los datos aportados estarán incluidos en un fichero denominado "clientes".

4. Que dicho fichero pertenece a la empresa XXXXXX y que está debidamente inscrito en la APD,con las medidas de seguridad pertinentes.

5. El motivo o tratamiento o finalidad de recabar estos datos.

6. Las consecuencias de facilitar estos datos y de no facilitarlos.

7. El compromiso que estos datos no van a ser cedidos, o por el contrario a las empresas que van aser cedidos (razón social exacta).

8. Del carácter obligatorio de respuesta a las preguntas planteadas por el cliente.

9. De la posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición.

57

Con lo que se desprendería el siguiente texto:

Le informamos que los datos que nos facilita no serán cedidos bajo ningún concepto sin si expresa autorización. Y serán tratados dentro de la normativa vigente en materia de protección de datos, Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal. (LOPD) Serán incluidos en un fichero informático denominado clientes, La función de recabar estos datos es poder elaborar un presupuesto, informarles de nuestros servicios y productos de nuestra empresa.

Y al firmar este formulario están aceptando expresamente la recepción de los mismos, por cualquier medio de comunicación. La consecuencia de no cumplimentar debidamente este formulario seria que no tendría acceso a nuestros servicios ni promociones. El responsable de dicho fichero es C.P SAURIN SAAVEDRA FAJARDO con CIF: E30032288, con domicilio a efectos de notificaciones en C/ ALEJANDRO SEIQUER 2 de MURCIA. (C.P: 30001) de Murcia.

Le informamos que sus datos no serán cedidos a ninguna otra compañía (ó si procede) (Dejar uno de los dos textos)

Le informamos que sus datos serán cedidos a compañías del grupo (especificar Razón Social y N.I.F)

Usted tiene derecho a recibir respuesta de cualquier pregunta, consulta o aclaración que le surja derivada deeste formulario. Usted tiene derecho al acceso, oposición, rectificación, cancelación, de sus datos decarácter personal, mediante escrito, a la dirección antes indicada o por correo electrónico aantonio.oliva@aomasesores.es.Todos sus datos serán dados de baja definitivamente de nuestra base de datos por los siguientes motivos: 1º-a petición suya. 2º- cuando hayan dejado de ser necesarios para los fines que motivaron su recogida.

58

La coletilla legal que deberíamos usar cuando mandamos un correo electrónico seriacomo ejemplo lo que sigue: Les recuerdo que es necesaria la autorización del afectado o ya sea cliente.

1.- Si no desea recibir más información de nuestros "productos, servicios, etc." de nuestra empresa, "haga clic aquí"

ó

2.- Si no desea recibir más información de nuestros servicios, por favor remítanos un e-mail con la palabra "BAJA"

en el apartado asunto.

Para ser más exhaustivos en este apartado cuando se envíe un e-mail publicitario quedaría del siguiente modo:

La obtención de sus datos que nos facilitó, están incluidos en un fichero de tratamiento automatizado, propiedad de

C.P SAURIN SAAVEDRA FAJARDO con CIF: E30032288 con domicilio a efectos de notificaciones en C/

ALEJANDRO SEIQUER 2 de MURCIA. (CP: 30001) de Murcia. Usted tiene derecho al acceso, oposición,

rectificación, cancelación, de sus datos de carácter personal, mediante escrito, a la dirección antes indicada o por

correo electrónico a antonio.oliva@aomasesores.es. Si no desea recibir más información de nuestros servicios, por

favor remítanos un e-mail con la palabra "BAJA" en el apartado asunto. Al correo antes indicado.

Si en este e-mail además de la publicidad, incluye un cuestionario donde recabe datos deberán incluirtodo lo anterior (los 9 puntos)

59

CLAUSULA INFORMATIVA VIDEOVIGILANCIA

Art. 3, apartado B. Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de

datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.

FICHERO PRIVADO

De conformidad con lo dispuesto en el art. 5.1 LO 15/1999, de 13 de diciembre, de Protección de Datos, se informa:

1. Que sus datos personales se incorporarán al fichero denominado videovigilancia

y/o serán tratados con la finalidad de seguridad a través de un sistema de videovigilancia.

2. Que el destinatario de sus datos personales es: C.P SAURIN SAAVEDRA FAJARDO

3. Que puede ejercitar sus derechos de acceso, rectificación, cancelación y oposición ante el responsable del fichero.

4. Que el responsable del fichero tratamiento es C.P SAURIN SAAVEDRA FAJARDO ubicado en: C/ ALEJANDRO SEIQUER 2

(30001) MURCIA.

CLAUSULA INFORMATIVA VIDEOVIGILANCIA PARA EL AFECTADO

Art. 3, apartado B. Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de

datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.

De conformidad con lo dispuesto en el art. 5.1 LO 15/1999, de 13 de diciembre, de Protección de Datos, se informa:

Que los datos que obtenemos a través de la videovigilancia no serán cedidos bajo ningún concepto. Y serán tratados dentro de la

normativa vigente en materia de protección de datos, Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter

personal. (LOPD) Estos datos serán incluidos en un fichero informático denominado videovigilancia, La función de recabar estos

datos es proteger los nuestros bienes. El responsable de dicho fichero es C.P SAURIN SAAVEDRA FAJARDO Con CIF:

E30032288, con domicilio a efectos de notificaciones en C/ ALEJANDRO SEIQUER 2 de MURCIA. (CP: 30001) Murcia. Usted

tiene derecho a recibir respuesta de cualquier pregunta, consulta o aclaración que le surja derivada de esta acción. Usted tiene

derecho al acceso, oposición, rectificación, cancelación, de sus datos de carácter personal, mediante escrito, a la dirección antes

indicada o por correo electrónico a antonio.oliva@aomasesores.es Todos sus datos serán dados de baja definitivamente de nuestra

base de datos por los siguientes motivos: 1º- cada 30 días como máximo, 2º- cuando hayan dejado de ser necesarios para los fines

que motivaron su recogida.

_________________________________________________________________________________Cortar por la línea, parte superior para el afectado, parte inferior para archivar.

NOMBRE:DNI:FECHA:FIRMA:Le informamos que los datos que obtenemos a través de la videovigilancia no serán cedidos bajo ningún concepto. Y serán tratados dentro

de la normativa vigente en materia de protección de datos, Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter

personal. (LOPD) Estos datos serán incluidos en un fichero informático denominado videovigilancia, La función de recabar estos datos es

proteger los nuestros bienes. El responsable de dicho fichero es C.P SAURIN SAAVEDRA FAJARDO Con CIF: E30032288, con domicilio

a efectos de notificaciones en C/ ALEJANDRO SEIQUER 2 de MURCIA. (CP: 30001) Murcia. Usted tiene derecho a recibir respuesta de

cualquier pregunta, consulta o aclaración que le surja derivada de esta acción. Usted tiene derecho al acceso, oposición, rectificación,

cancelación, de sus datos de carácter personal, mediante escrito, a la dirección antes indicada o por correo electrónico a

antonio.oliva@aomasesores.es Todos sus datos serán dados de baja definitivamente de nuestra base de datos por los siguientes motivos: 1º-

60

cada 30 días como máximo, 2º- cuando hayan dejado de ser necesarios para los fines que motivaron su recogida.

61

CONTRATOS QUE HA DE FIRMAR CON LOSDISTINTOS PROVEEDORES A LOS QUE CEDA

TEMPORALMENTE DATOS DE CARÁCTERPERSONAL

En la práctica diaria de su empresa, sin darse cuenta, Usted está cediendo datos de carácter personal a muchas

empresas: la gestoría que hace las nóminas y los seguros sociales, la agencia de transporte que entrega los pedidos a

los clientes, o la agencia de marketing que envía el mailing publicitario. Con todos ellos debe establecer un contrato,

cuyo texto le reflejamos a continuación.

62

CONTRATO CON GESTORÍA

En..............................................a............................de................................de................................

REUNIDOS

De una parte D. .................................................................................................................................................

en representación de...........................................................................................................................................

con domicilio en.............................................................de..............................provincia de.............................,

con número de identificación fiscal................................................................en adelante LA GESTORÍA.

Y de otra D. ALFONSO DE MAZON RIQUELME en representación de C.P SAURIN SAAVEDRA

FAJARDO con domicilio en C/ ALEJANDRO SEIQUER 2 de MURCIA, provincia de Murcia, con

número de identificación fiscal E30032288 en adelante EL CLIENTE.

Ambas partes se reconocen capacidad legal suficiente para suscribir el presente contrato de prestación deservicios, y

MANIFIESTAN

Primero.- EL CLIENTE utiliza los servicios de LA GESTORÍA para la confección de hojas de salario,seguros sociales, retenciones IRPF, recursos laborales etc...

Segundo.- para dicha labor el CLIENTE facilita todos los meses la información sobre sus empleados a LAGESTORÍA así como los datos necesarios para la confección de dichos documentos.

Tercero.- que a tenor de la Ley 15/1999 de 13 de Diciembre, sobre Protección de Datos de CarácterPersonal, ambas partes establecen los siguientes

PACTOS

1.- LA GESTORÍA se compromete a no utilizar los datos facilitados por EL CLIENTE, más que para el fincon el que son recabados, es decir, la confección de hojas de salario, seguros sociales, retenciones de IRPF,y otros documentos afines.

2.- LA GESTORÍA se compromete a destruir dicha documentación en el momento en que el CLIENTEdeje de colaborar con la GESTORÍA, o a requerimiento del CLIENTE entregar toda la documentación yficheros con esta información de que disponga.

3.- LA GESTORÍA se compromete a que todo su personal, haya firmado una cláusula de confidencialidaden esta materia, garantizando así que estas informaciones no trascenderán fuera del ámbito de laGESTORÍA.

Y para que conste a los efectos oportunos, lo firman por duplicado y a un solo efecto en la fecha y lugarseñalados ut supra.

LA GESTORÍA EL CLIENTE

63

CONTRATO CON EMPRESA DE TRANSPORTE/MENSAJERÍA

En..............................................a............................de................................de................................

REUNIDOS

De una parte D. .................................................................................................................................................

en representación de...........................................................................................................................................

con domicilio en.............................................................de..............................provincia de.............................,

con número de identificación fiscal.....................................en adelante LA EMPRESA DE

TRANSPORTE/MENSAJERÍA.

Y de otra D. ALFONSO DE MAZON RIQUELME en representación de C.P SAURIN SAAVEDRA FAJARDO con

domicilio en C/ ALEJANDRO SEIQUER 2 de MURCIA, provincia de Murcia, con número de identificación fiscal

E30032288 en adelante EL CLIENTE.

Ambas partes se reconocen capacidad legal suficiente para suscribir el presente contrato de prestación de servicios, y

MANIFIESTAN

Primero.- EL CLIENTE utiliza los servicios de LA EMPRESA DE TRANSPORTE/MENSAJERÍA para envíos

diversos.

Segundo.- para dicha labor el CLIENTE facilita periódicamente la información sobre sus clientes a LA EMPRESA

DE TRANSPORTE/MENSAJERÍA así como otros datos necesarios para la entrega de la mercancía a los mismos.

Tercero.- que a tenor de la Ley 15/1999 de 13 de Diciembre, sobre Protección de Datos de Carácter Personal, ambas

partes establecen los siguientes

PACTOS

1.- LA EMPRESA DE TRANSPORTE/MENSAJERÍA se compromete a no utilizar los datos facilitados por EL

CLIENTE, más que para el fin con el que son recabados.

2.- LA EMPRESA DE TRANSPORTE/MENSAJERÍA se compromete a destruir dicha documentación en el momento

en que el CLIENTE deje de colaborar con LA EMPRESA DE TRANSPORTE/MENSAJERÍA o a requerimiento del

CLIENTE entregar toda la documentación y ficheros con esta información de que disponga.

3.- LA EMPRESA DE TRANSPORTE/MENSAJERÍA se compromete a que todo su personal, haya firmado una

cláusula de confidencialidad en esta materia, garantizando así que estas informaciones no trascenderán fuera del

ámbito de LA EMPRESA DE TRANSPORTE/MENSAJERÍA

Y para que conste a los efectos oportunos, lo firman por duplicado y a un solo efecto en la fecha y lugar señalados ut

supra.

LA EMPRESA DE TRANSPORTE/MENSAJERÍA EL CLIENTE

64

CONTRATO CON AGENCIA DE PUBLICIDAD

En..............................................a............................de................................de................................

REUNIDOS

De una parte D. .................................................................................................................................................

en representación de...........................................................................................................................................

con domicilio en.............................................................de..............................provincia de.............................,

con número de identificación fiscal.......................................en adelante LA AGENCIA DE PUBLICIDAD.

Y de otra D. ALFONSO DE MAZON RIQUELME en representación de C.P SAURIN SAAVEDRA

FAJARDO con domicilio en C/ ALEJANDRO SEIQUER 2 de MURCIA, provincia de Murcia, con

número de identificación fiscal E30032288 en adelante EL CLIENTE.

Ambas partes se reconocen capacidad legal suficiente para suscribir el presente contrato de prestación deservicios, y

MANIFIESTAN

Primero.- EL CLIENTE utiliza los servicios de LA AGENCIA DE PUBLICIDAD para servicios diversos.

Segundo.- para dicha labor el CLIENTE facilita periódicamente la información sobre sus clientes aAGENCIA DE PUBLICIDAD.

Tercero.- que a tenor de la Ley 15/1999 de 13 de Diciembre, sobre Protección de Datos de CarácterPersonal, ambas partes establecen los siguientes

PACTOS

1.- AGENCIA DE PUBLICIDAD se compromete a no utilizar los datos facilitados por EL CLIENTE, másque para el fin con el que son recabados.

2.- AGENCIA DE PUBLICIDAD se compromete a destruir dicha documentación en el momento en que elCLIENTE deje de colaborar con AGENCIA DE PUBLICIDAD o a requerimiento del CLIENTE entregartoda la documentación y ficheros con esta información de que disponga.

3.- AGENCIA DE PUBLICIDAD se compromete a que todo su personal, haya firmado una cláusula deconfidencialidad en esta materia, garantizando así que estas informaciones no trascenderán fuera del ámbitode LA AGENCIA DE PUBLICIDAD

Y para que conste a los efectos oportunos, lo firman por duplicado y a un solo efecto en la fecha y lugarseñalados ut supra.

AGENCIA DE PUBLICIDAD EL CLIENTE

65

CONTRATO CON EMPRESA DE SOFTWARE O REPARACIÓN DE HARDWARE

En..............................................a............................de................................de................................

REUNIDOS

De una parte D. .................................................................................................................................................

en representación de...........................................................................................................................................

con domicilio en.............................................................de..............................provincia de.............................,

con número de identificación fiscal.......................................en adelante la COMPAÑÍA DE

INFORMÁTICA.

Y de otra D. ALFONSO DE MAZON RIQUELME en representación de C.P SAURIN SAAVEDRA

FAJARDO con domicilio en C/ ALEJANDRO SEIQUER 2 de MURCIA, provincia de Murcia, con

número de identificación fiscal E30032288 en adelante EL CLIENTE.

Ambas partes se reconocen capacidad legal suficiente para suscribir el presente contrato de prestación deservicios, y

MANIFIESTAN

Primero.- EL CLIENTE utiliza los servicios de la COMPAÑÍA DE INFORMÁTICA para lareparación/mantenimiento de nuestros sistemas informáticos.

Segundo.- para dicha labor el CLIENTE facilita periódicamente el acceso o entrega material/soportesinformáticos, donde es posible se almacenen datos de carácter personal de los clientes, proveedores oempleados del CLIENTE a LA COMPAÑÍA DE INFORMÁTICA.

Tercero.- que a tenor de, Ley 15/1999 de 13 de Diciembre, sobre Protección de Datos de Carácter Personal,ambas partes establecen los siguientes

PACTOS

1.- COMPAÑÍA DE INFORMÁTICA se compromete a no utilizar los datos QUE CONTENGACUALQUIER TIPO DE SOPORTE facilitados por EL CLIENTE.

2.- COMPAÑÍA DE INFORMÁTICA se compromete a DEVOLVER todo lo entregado por el cliente sinabrir ningún documento y si por fuerza mayor fuera imprescindible, no realizara copia alguna y deberámantener secreto de los contenidos.

3.- COMPAÑÍA DE INFORMÁTICA se compromete a que todo su personal, haya firmado una cláusula deconfidencialidad en esta materia, garantizando así que estas informaciones no trascenderán fuera del ámbitode la COMPAÑÍA DE INFORMÁTICA

Y para que conste a los efectos oportunos, lo firman por duplicado y a un solo efecto en la fecha y lugarseñalados ut supra.

COMPAÑÍA DE SOFTWARE EL CLIENTE

66

CONTRATO CON EMPRESA DE COPIAS DE SEGURIDAD "BACKUP"

En..............................................a............................de................................de................................

REUNIDOS

De una parte D. .................................................................................................................................................

en representación de...........................................................................................................................................

con domicilio en.............................................................de..............................provincia de.............................,

con número de identificación fiscal.......................................en adelante LA COMPAÑÍA DE BACKUP.

Y de otra D. ALFONSO DE MAZON RIQUELME en representación de C.P SAURIN SAAVEDRA FAJARDO con

domicilio en C/ ALEJANDRO SEIQUER 2 de MURCIA, provincia de Murcia, con número de identificación fiscal

E30032288 en adelante EL CLIENTE.

Ambas partes se reconocen capacidad legal suficiente para suscribir el presente contrato de prestación de servicios, y

MANIFIESTAN

Primero.- EL CLIENTE utiliza los servicios de la COMPAÑÍA DE BACKUP para garantizar el proceso de copias de

seguridad, reparación, mantenimiento de nuestros sistemas informáticos y recuperación de las mismos en caso de

necesidad

Segundo.- para dicha labor el CLIENTE facilita periódicamente el acceso o entrega material/soportes informáticos,

donde es posible se almacenen datos de carácter personal de los clientes, proveedores o empleados del CLIENTE a

LA COMPAÑÍA DE BACKUP.

Tercero.- que a tenor de, Ley 15/1999 de 13 de Diciembre, sobre Protección de Datos de Carácter Personal, ambas

partes establecen los siguientes

PACTOS

1.- COMPAÑÍA DE BACKUP se compromete a no utilizar los datos QUE CONTENGA CUALQUIER TIPO DE

SOPORTE facilitados por EL CLIENTE, ni por su acceso a las copias de seguridad.

2.- COMPAÑÍA DE BACKUP se compromete a DEVOLVER todo lo entregado por el cliente sin abrir ningún

documento y si por fuerza mayor fuera imprescindible, no realizara copia alguna y deberá mantener secreto de los

contenidos.

3.- COMPAÑÍA DE BACKUP se compromete a que todo su personal, haya firmado una cláusula de confidencialidad

en esta materia, garantizando así que estas informaciones no trascenderán fuera del ámbito de la COMPAÑÍA DE

BACKUP

1.- LA COMPAÑÍA DE BACKUP, Se compromete y garantiza que en ningún caso tiene acceso al contenido de las

copias de seguridad.

Y para que conste a los efectos oportunos, lo firman por duplicado y a un solo efecto en la fecha y lugar señalados ut

supra.

COMPAÑÍA DE BACKUP EL CLIENTE

67

CONTRATO CON PROVEEDOR

En..............................................a............................de................................de................................

REUNIDOS

De una parte D. .................................................................................................................................................

en representación

de...........................................................................................................................................

con domicilio en.............................................................de..............................provincia

de.............................,

con número de identificación fiscal..............................................................en adelante EL PROVEEDOR.

Y de otra D. ALFONSO DE MAZON RIQUELME en representación de C.P SAURIN SAAVEDRA

FAJARDO con domicilio en C/ ALEJANDRO SEIQUER 2 de MURCIA, provincia de Murcia, con

número de identificación fiscal E30032288 en adelante EL CLIENTE.

Ambas partes se reconocen capacidad legal suficiente para suscribir el presente contrato de prestación deservicios, y

MANIFIESTAN

Primero.- EL CLIENTE utiliza los servicios del PROVEEDOR.

Segundo.- para dicha labor el CLIENTE facilita periódicamente la información sobre sus clientes alPROVEEDOR.

Tercero.- que a tenor de la Ley 15/1999 de 13 de Diciembre, sobre Protección de Datos de CarácterPersonal, ambas partes establecen los siguientes

PACTOS

1.- EL PROVEEDOR se compromete a no utilizar los datos facilitados por EL CLIENTE, más que para elfin .

2.- EL PROVEEDOR se compromete a destruir dicha documentación en el momento en que el CLIENTEdeje de colaborar con EL PROVEEDOR o a requerimiento del CLIENTE entregar toda la documentación yficheros con esta información de que disponga.

3.- EL PROVEEDOR se compromete a que todo su personal, haya firmado una cláusula deconfidencialidad en esta materia, garantizando así que estas informaciones no trascenderán fuera del ámbitodel PROVEEDOR

Y para que conste a los efectos oportunos, lo firman por duplicado y a un solo efecto en la fecha y lugarseñalados ut supra.

68

EL PROVEEDOR EL CLIENTE

69

EJERCICIO DE LOS DERECHOS DE: ACCESO-1, RECTIFICACIÓN-2, CANCELACIÓN-3 YOPOSICIÓN-4 SEGÚN LA LEY ORGÁNICA 15/1999 DE PROTECCIÓN DE DATOS DECARÁCTER PERSONAL (LOPD)

Datos del Responsable del FicheroRazón Social: C.P SAURIN SAAVEDRA FAJARDO CIF: E30032288

Dirección: C/ ALEJANDRO SEIQUER 2

(30001) Población: MURCIA Provincia: Murcia

Datos del Interesado o Representante LegalD. / Dª. ............................................................................, mayor de edad, con domicilio en c/ (plaza, avenida)

..................................................., nº ............., localidad ......................., C.........................,

provincia.................................... y con DNI / NIF / NIE nº ....................

(Del que acompaña fotocopia), por medio del presente escrito ejerce el (márquese lo que proceda):

[ ] Derecho de Acceso, de conformidad con lo previsto en el artículo 15 de la LOPD y en los artículos

27 y 28 del Real Decreto 1720/2007, de 21 de diciembre, por el que se desarrolla la misma, y en consecuencia,

SOLICITA:

• Que se le facilite gratuitamente el derecho de acceso a sus ficheros en el plazo máximo de un mes a contar desde

la recepción de esta solicitud, y que se remita por correo la información a la dirección arriba indicada en el plazo de

diez días a contar desde la resolución estimatoria de la solicitud de acceso.

• Asimismo, se solicita que dicha información comprenda, de modo legible e inteligible, los datos de base que

sobre mi persona están incluidos en sus ficheros, los resultantes de cualquier elaboración, proceso o tratamiento, así

como el origen de los mismos, los cesionarios y la especificación de los concretos usos y finalidades para los que se

almacenaron.

[ ] Derecho de Rectificación sobre los datos anexos, aportando los correspondientes justificantes, de conformidad

con lo previsto en el artículo 16 de la LOPD y en los artículos 31 y 32 del Real Decreto

1720/2007, de 21 de diciembre, por el que se desarrolla la misma, y en consecuencia, SOLICITA:

• Que se proceda a acordar la rectificación de los datos personales sobre los cuales se ejercita el derecho, que se

realice en el plazo de diez días a contar desde la recogida de esta solicitud, y que se me notifique de forma escrita el

resultado de la rectificación practicada.

• Que en caso de que se acuerde, dentro del plazo de diez días hábiles, que no procede acceder a practicar total o

parcialmente las rectificaciones propuestas, se me comunique motivadamente a fin de, en su caso, solicitar la tutela de

la Agencia Española de Protección de Datos, al amparo del artículo 18 de la LOPD.

• Que si los datos rectificados hubieran sido comunicados previamente se notifique al Responsable del Fichero la

rectificación practicada, con el fin de que también éste proceda a hacer las correcciones oportunas para que se respete

el deber de calidad de los datos a que se refiere el artículo 4 de la LOPD.

[ ] Derecho de Cancelación, de conformidad con lo previsto en el artículo 16 de la LOPD y en los artículos 31 y 32

del Real Decreto 1720/2007, de 21 de diciembre, por el que se desarrolla la misma, y en consecuencia, SOLICITA:

• Que se proceda a acordar la cancelación de los datos personales sobre los cuales se ejercita el derecho, que se

realice en el plazo de diez días a contar desde la recogida de esta solicitud, y que se me notifique de forma escrita el

resultado de la cancelación practicada.

• Que en caso de que se acuerde, dentro del plazo de diez días hábiles, que no procede acceder a practicar total o

70

parcialmente las cancelaciones propuestas, se me comunique motivadamente a fin de, en su caso, solicitar la tutela de

la Agencia Española de Protección de Datos, al amparo del artículo 18 de la LOPD.

• Que si los datos cancelados hubieran sido comunicados previamente se notifique al Responsable del Fichero la

rectificación practicada, con el fin de que también éste proceda a hacer las correcciones oportunas para que se respete

el deber de calidad de los datos a que se refiere el artículo 4 de la LOPD.

71

[ ] Derecho de Oposición, de conformidad con lo previsto en los artículos 6.4, 17 y 30.4 de la LOPD y en los

artículos 34 y 35 del Real Decreto 1720/2007, de 21 de diciembre, por el que se desarrolla la misma, y en

consecuencia, EXPONE:

(Describir la situación en la que se produce el tratamiento de sus datos personales y enumerar los motivos por los que se opone almismo).

• Para acreditar la situación descrita, acompaña una copia de los siguientes documentos:(Enumerar los documentos que adjunta con esta solicitud para acreditar la situación que ha descrito)

• Y en consecuencia, SOLICITA que sea atendido mi ejercicio del derecho de ..............................................en los términos anteriormente expuestos.

En......................., a..................... de ...................... de 20...............

1 Se trata de la petición de información sobre los datos personales incluidos en un fichero. Este derecho se ejerce anteel Responsable del Fichero, que es quien dispone de los datos.2 Consiste en la petición dirigida al Responsable del Fichero con el fin de que los datos personales respondan converacidad a la situación actual del afectado. Este derecho se ejerce ante el Responsable del Fichero, que es quiendispone de los datos.3 Consiste en la petición de cancelación de un dato que resulte innecesario o no pertinente para la finalidad con la quefue recabado. Este derecho se ejerce ante el Responsable del Fichero, que es quien dispone de los datos.4 Se trata de la solicitud de oposición al tratamiento de los datos personales incluidos en un fichero. Este derecho seejerce ante el Responsable del Fichero, que es quien dispone de los datos.5 También podrá ejercerse a través de representación legal, en cuyo caso, además del DNI/NIF/NIE del interesado,habrá de aportarse DNI/NIF/NIE y documento acreditativo auténtico de la representación del tercero.

72

EJEMPLO DE COLETILLA LEGAL EN SUS E-MAILS

AVISO SOBRE CONFIDENCIALIDAD: Este documento se dirige exclusivamente a la personadestinataria. Puede contener información confidencial sometida a secreto profesional y su divulgación estáprohibida en virtud de la legislación vigente, se informa que si no es usted la persona destinataria oautorizada por la misma, que la información contenida en este mensaje es reservada y su utilización odivulgación con cualquier fin está prohibida. Si ha recibido este documento por error, le rogamos que nos locomunique por teléfono o e-mail y proceda a su destrucción. En el envío de e-mail no se puede garantizar laseguridad ya que esta información puede ser modificada, interceptada o incompleta por lo que la empresaremitente no acepta responsabilidad por los errores u omisiones en el contenido o anexos de este e-mail. C.P SAURIN SAAVEDRA FAJARDO, con C.I.F: E30032288 y domicilio en C/ ALEJANDRO SEIQUER2, (30001) MURCIA de Murcia le informa que es responsable de un fichero de datos de carácter personal,cuya finalidad es la relación comercial, y el envío de documentación. Le informamos que podrá ejercer losderechos de acceso, rectificación, cancelación u oposición en la dirección indicada mediante escrito,concretando su solicitud y al que acompañe fotocopia de su Documento Nacional de Identidad. El envío deeste e-mail responde con la totalidad de la legislación vigente, Ley Orgánica de Protección de Datos y Leyde Servicios de la Sociedad de la Información, igualmente si no desea recibir más información de nuestraempresa, mándenos un e-mail con la palabra “baja” en el apartado asunto.

EJEMPLO MINIMO DE AVISO LEGAL EN FACTURAS O ALBARANES

Sus datos personales expuestos en este documento y facilitados por usted, solo serán utilizados para el control administrativo,

facturación y contacto promocional, estando debidamente protegidos y registrados. Podrá corregir, anular, acceder o cancelarlos

dirigiéndose a la dirección arriba indicada mediante escrito y al que acompañe fotocopia de su Documento Nacional de Identidad

73

DOCUMENTO A ENTREGAR AL AFECTADO QUE QUIERE SABER Y SOLICITAINFORMACIÓN DE QUE VAN A HACER CON SUS DATOS

CLAUSULA INFORMATIVA DE PROTECCION DE DATOS

Le informamos que los datos que nos facilita no serán cedidos bajo ningún concepto sin si expresa autorización. Y

serán tratados dentro de la normativa vigente en materia de protección de datos, Ley Orgánica 15/1999, de 13 de

diciembre, de Protección de Datos de carácter personal. (LOPD) Estos datos serán incluidos en un fichero informático

denominado clientes, La función de recabar estos datos es poder elaborar un presupuesto, informarles de nuestros

servicios y actividades de nuestra empresa. Y al firmar nuestros formularios están aceptando expresamente la

recepción de los mismos, por cualquier medio de comunicación. La consecuencia de no cumplimentar debidamente

los formularios seria que no tendría acceso a nuestros servicios ni promociones. El responsable de dicho fichero es C.P

SAURIN SAAVEDRA FAJARDO, con C.I.F.:E30032288 con domicilio a efectos de notificaciones en C/

ALEJANDRO SEIQUER 2 (30001) MURCIA de Murcia. Usted tiene derecho a recibir respuesta de cualquier

pregunta, consulta o aclaración que le surja derivada de los formularios. Usted tiene derecho al acceso, oposición,

rectificación, cancelación, de sus datos de carácter personal, mediante escrito, a la dirección antes indicada o por

correo electrónico a antonio.oliva@aomasesores.es. Todos sus datos serán dados de baja definitivamente de nuestra

base de datos por los siguientes motivos: 1º- a petición suya. 2º- cuando hayan dejado de ser necesarios para los fines

que motivaron su recogida.

______________________________________________________________________________________Cortar por la línea, parte superior para el afectado, parte inferior para archivar.

NOMBRE:

DNI:

FECHA:

FIRMA:

Le informamos que los datos que nos facilita no serán cedidos bajo ningún concepto sin si expresaautorización. Y serán tratados dentro de la normativa vigente en materia de protección de datos, LeyOrgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal. (LOPD) Estos datosserán incluidos en un fichero informático denominado clientes, La función de recabar estos datos es poderelaborar un presupuesto, informarles de nuestros servicios y actividades de nuestra empresa. Y al firmarnuestros formularios están aceptando expresamente la recepción de los mismos, por cualquier medio decomunicación. La consecuencia de no cumplimentar debidamente los formularios seria que no tendríaacceso a nuestros servicios ni promociones. El responsable de dicho fichero es C.P SAURIN SAAVEDRAFAJARDO, con C.I.F.:E30032288 con domicilio a efectos de notificaciones en C/ ALEJANDROSEIQUER 2 (30001) MURCIA de Murcia. Usted tiene derecho a recibir respuesta de cualquier pregunta,consulta o aclaración que le surja derivada de los formularios. Usted tiene derecho al acceso, oposición,rectificación, cancelación, de sus datos de carácter personal, mediante escrito, a la dirección antes indicadao por correo electrónico a antonio.oliva@aomasesores.es. Todos sus datos serán dados de bajadefinitivamente de nuestra base de datos por los siguientes motivos: 1º- a petición suya. 2º- cuando hayandejado de ser necesarios para los fines que motivaron su recogida.______________________________________________________________________________________

74

Anexo 13.

LIBRO DE REGISTROSInventarios y registros generales.

1.- Inventarios de soportes informáticos/papelLos soportes que contengan ficheros con datos de carácter personal se identificarán adecuadamenteindicando el fichero de que se trata, el tipo de datos que contiene, el proceso por el que se ha originado, lafecha de su creación y el carácter confidencial de la información, y se procederá a realizar un inventario desoportes que deberá ser constantemente actualizado.

2.- Registro de entrada/salida de soportesToda entrada- salida de soportes deberá estar autorizada por el Responsable del Fichero por escrito y deberáconstar en un Registro de Entrada y Salida de Soportes

3.- Registro de incidencias de proveedores-empleados-clientes-internas- Web/internetLos usuarios que tengan conocimiento de una incidencia deberán comunicarla inmediatamente y por escritoal Responsable del Fichero, que procederá a su Registro y a comunicarlo a los técnicos responsables de laseguridad del sistema. El protocolo de notificación, gestión y respuesta de incidencias constará de las siguientes fases:Detección de la incidencia por parte del usuarioNotificación de la incidencia y su descripción a las personas designadas por cualquier medio que dejeconstancia El Registro de la incidencia que constará de los siguientes campos: entorno en el que se produce, tipo deincidencia y descripción detallada de la misma, momento en el que se produjo, persona que la notifica,persona a quien la comunica, encargado de la resolución, acciones desarrolladas y efectos derivados de lasmismas. La solución deberá registrarse quedando así constancia del problema y de las acciones llevadas acabo para su resolución.

4.- Registro de copias de respaldoLos responsables de estas funciones llevarán a cabo un registro de los procesos de recuperación de datosefectuados tanto en formato digital como en papel. La seguridad de los datos de un fichero abarca tanto laconfidencialidad de los mismos como la salvaguarda de su integridad y su disponibilidad. Se debenimplementar los procedimientos para la realización de copias de respaldo y para la recuperación de losdatos. En los supuestos en los que se produzca una incidencia que genere la destrucción de información se seguiráel procedimiento de notificación, tratamiento y registro de incidencias internas.

NOTA: Se recomienda que cada persona que comunica o recibe firme la misma hoja, indicando la fecha yhora.

75

EJEMPLO Incidencias de Clientes

UBICACIÓN INCIDENCIA Despacho de recepción telefónica

QUIEN RECIBE Secretaria, Patricia López

DIA/HORA xx/xx/2009 a las 17:00h

INCIDENCIA Y DESCRIPCION

Baja de datos // solicita la baja de sus datos por 2ª vez, la

1ª vez ya la realizo por el procedimiento correcto.

COMUNICADO A José Luis López, Responsable de Seguridad o del Fichero

DIA/HORA Xx/xx/2009 a las 17:30h

QUIEN SOLUCIONA

Francisco Pérez "responsable informático, bajo la

supervisión de José Luis López, Responsable de

Seguridad o del Fichero

ACCION

Borrado definitivo en dicho fichero y destrucción de su

ficha en soporte papel por trituradora, y se informa al

afectado.

RESULTADO Ya no tenemos los datos de dicho cliente

SOLUCION SI / NO SI

DIA/HORA Xx/xx/2009 a las 18:30h

Firma Día/Hora Firma Día/Hora Firma Día/Hora Firma Día/Hora del responsable fichero

25/01/09 17:00H 25/01/09 17:30H 25/01/09 18:00H 25/01/09 18:30H

Patricia López José Luis López Francisco Pérez José Luis López

76

INCIDENCIAS DE CLIENTES

UBICACIÓN INCIDENCIA

QUIEN RECIBE

DIA/HORA

INCIDENCIA Y DESCRIPCION

COMUNICADO A

DIA/HORA

QUIEN SOLUCIONA

ACCION

RESULTADO

SOLUCION SI / NO

DIA/HORA

Firma Día/Hora Firma Día/Hora Firma Día/Hora Firma Día/Hora del responsable fichero

77

EJEMPLO Registro de incidencia Empleados

UBICACIÓN INCIDENCIA Despacho de jefe sección

QUIEN RECIBE jefe sección, Sr. Juan Tomas

DIA/HORA xx/xx/2009 a las 17:00h

INCIDENCIA Y DESCRIPCION

Clave incorrecta // Ha utilizado 3 veces una contraseña

incorrecta y el ordenador a quedado bloqueado.

COMUNICADO A Sr. Juan Tomas, Responsable de Seguridad o del Fichero

DIA/HORA Xx/xx/2009 a las 17:30h

QUIEN SOLUCIONA

Francisco Pérez "responsable informático, bajo la

supervisión de Sr. Juan Tomas, Responsable de Seguridad

o del Fichero

ACCION

Se le pide explicación del hecho y la respuesta es

satisfactoria, se procede al desbloqueo del PC y cambio de

contraseña.

RESULTADO El usuario es consciente del uso correcto.

SOLUCION SI / NO SI

DIA/HORA Xx/xx/2009 a las 18:30h

Firma Día/Hora Firma Día/Hora Firma Día/Hora Firma Día/Hora del responsable fichero

78

REGISTRO DE INCIDENCIA EMPLEADOS

UBICACIÓN INCIDENCIA

QUIEN RECIBE

DIA/HORA

INCIDENCIA Y DESCRIPCION

COMUNICADO A

DIA/HORA

QUIEN SOLUCIONA

ACCION

RESULTADO

SOLUCION SI / NO

DIA/HORA

Firma Día/Hora Firma Día/Hora Firma Día/Hora Firma Día/Hora del responsable fichero

79

EJEMPLO Registro de incidencia Proveedores

UBICACIÓN INCIDENCIA Despacho de recepción telefónica

QUIEN RECIBE Secretaria, Patricia López

DIA/HORA xx/xx/2009 a las 17:00h

INCIDENCIA Y DESCRIPCION

Rectificación datos // solicita la corrección de su número

de cuenta bancaria.

COMUNICADO A José Luis López, Responsable de Seguridad o del Fichero

DIA/HORA Xx/xx/2009 a las 17:30h

QUIEN SOLUCIONA

Francisco Pérez "responsable informático, bajo la

supervisión de José Luis López, Responsable de

Seguridad o del Fichero

ACCION

Se corrige el número de cuenta en el fichero general, y se

da aviso al departamento de contabilidad

RESULTADO El actual número ya es el correcto.

SOLUCION SI / NO SI

DIA/HORA Xx/xx/2009 a las 18:30h

Firma Día/Hora Firma Día/Hora Firma Día/Hora Firma Día/Hora del responsable fichero

80

REGISTRO DE INCIDENCIA PROVEEDORES

UBICACIÓN INCIDENCIA

QUIEN RECIBE

DIA/HORA

INCIDENCIA Y DESCRIPCION

COMUNICADO A

DIA/HORA

QUIEN SOLUCIONA

ACCION

RESULTADO

SOLUCION SI / NO

DIA/HORA

Firma Día/Hora Firma Día/Hora Firma Día/Hora Firma Día/Hora del responsable fichero

81

EJEMPLO Registro de incidencia Proveedores

UBICACIÓN INCIDENCIA Departamento comercial

QUIEN RECIBE El mismo comercial "Sr. Juan Marín"

DIA/HORA xx/xx/2009 a las 13:00h

INCIDENCIA Y DESCRIPCION

Borrado de fichero // Accidentalmente a borrado los

ficheros que contenían datos de carácter personal de

varios clientes.

COMUNICADO A José Luis López, Responsable de Seguridad o del Fichero

DIA/HORA xx/xx/2009 a las 13:10h

QUIEN SOLUCIONA xx/xx/2009 a las 13:10h

ACCIONRecuperación de los datos accediendo a la última copia de

respaldo o seguridad.

RESULTADO Volvemos a tener los datos del fichero original

SOLUCION SI / NO SI

DIA/HORA xx/xx/2009 a las 13:40h

Firma Día/Hora Firma Día/Hora Firma Día/Hora Firma Día/Hora del responsable fichero

82

REGISTRO DE INCIDENCIA INTERNAS

UBICACIÓN INCIDENCIA

QUIEN RECIBE

DIA/HORA

INCIDENCIA Y DESCRIPCION

COMUNICADO A

DIA/HORA

QUIEN SOLUCIONA

ACCION

RESULTADO

SOLUCION SI / NO

DIA/HORA

Firma Día/Hora Firma Día/Hora Firma Día/Hora Firma Día/Hora del responsable fichero

83

EJEMPLO REGISTRO DE INCIDENCIA WEB-INTERNET

UBICACIÓN INCIDENCIA Departamento telemarketing

QUIEN RECIBE Responsable telemarketing, Sandra Tobar

DIA/HORA xx/xx/2009 a las 17:00h

INCIDENCIA Y DESCRIPCION

Intento de intrusión // Se detecta varios intentos de acceso

a nuestros PCs a través de la red.

COMUNICADO A José Luis López, Responsable de Seguridad o del Fichero

DIA/HORA Xx/xx/2009 a las 17:30h

QUIEN SOLUCIONA

Francisco Pérez "responsable informático, bajo la

supervisión de José Luis López, Responsable de

Seguridad o del Fichero

ACCIONSe actualizan los sistemas antivirus, cortafuegos etc. y se

implanta esta acción semanalmente.

RESULTADO Nuestro sistema informático vuelve a ser inaccesible.

SOLUCION SI / NO SI

DIA/HORA Xx/xx/2009 a las 18:30h

Firma Día/Hora Firma Día/Hora Firma Día/Hora Firma Día/Hora del responsable fichero

84

REGISTRO DE INCIDENCIA WEB-INTERNET

UBICACIÓN INCIDENCIA

QUIEN RECIBE

DIA/HORA

INCIDENCIA Y DESCRIPCION

COMUNICADO A

DIA/HORA

QUIEN SOLUCIONA

ACCION

RESULTADO

SOLUCION SI / NO

DIA/HORA

Firma Día/Hora Firma Día/Hora Firma Día/Hora Firma Día/Hora del responsable fichero

85

7.- EJEMPLO DE REGISTRO DE COPIAS DE RESPALDO

Recomendamos hacer uso de los sistemas o programas que realizan periódicamente las copias deseguridad de forma automática, este sistema por defecto ya genera un informe de copias derespaldo, donde indica el días y hora, datos copiados, método utilizado etc., pero si por algúnmotivo no dispusieran e este sistema o debieran por una causa diferente realizar una copia derespaldo, para guardarla en un disco duro externo y ponerla a buen recaudo en otra ubicacióndiferente, deberán realizar todas las medidas de seguridad aplicables y cumplimentar este registro

SOPORTE DEL SERVIDOR A DISCO DURO EXTERNO

FECHA/HORA XX/XX/2009 a las 14:00h

TIPO COPIA Copia total del fichero clientes

METODO UTILIZADO Sistema DAT o cualquier otro

PERSONA QUE LA REALIZÓ Responsable del departamento informático Sr. XXXXX

FINALIDAD O DESTINOSalvaguardar los datos y guardarlos en servidor externo al

departamento informático

86

7.- REGISTRO DE COPIAS DE RESPALDO

SOPORTE

FECHA/HORA

TIPO COPIA

METODO UTILIZADO

PERSONA QUE LA REALIZÓ

FINALIDAD O DESTINO

SOPORTE

FECHA/HORA

TIPO COPIA

METODO UTILIZADO

PERSONA QUE LA REALIZÓ

FINALIDAD O DESTINO

SOPORTE

FECHA/HORA

TIPO COPIA

METODO UTILIZADO

PERSONA QUE LA REALIZÓ

FINALIDAD O DESTINO

87

8.- EJEMPLO de registro de entrada ó salida de soportes

"USAR EL QUE PROCEDA"

Imagine que entra en su empresa un disco duro que contiene datos de carácter personal de unos clientes de una

empresa asociada, este soporte informático o de igual modo si fuera en soporte papel, deberá generar una entrada en el

registro de salida o entrada de soportes, a continuación un ejemplo para usar o modificar a su gusto. Además en el

documento de seguridad le informamos de las medidas de seguridad y las obligaciones pertinentes.

SOPORTE Disco duro externo

MARCA/MODELO Xxxxxxxx xxxxx / xxxxxxxxxxxxxxxxxx xxx xxxx

DESTINATARIO Responsable de seguridad o responsable del fichero

INFORMACION CONTIENE Datos de carácter personal de clientes

FINALIDAD Prospección comercial

MODO ENVIO Correo certificado

RECEPTOR Sr. Julián González, responsable de fichero

SOPORTE Memoria USB

MARCA/MODELO Xxxxxxxxx xx / xxxxxxx

DESTINATARIO Responsable de seguridad o responsable del fichero

INFORMACION CONTIENEMantenimiento de servicios contratados y cobros de

recibos

FINALIDADDatos de carácter personal de clientes y números de

cuentas

MODO ENVIOPersonal, por el responsable de seguridad de la empresa

asociada

RECEPTOR Sr. Julián González, responsable de fichero

88

8.- REGISTRO DE ENTRADA Ó SALIDA DE SOPORTES

SOPORTE

MARCA/MODELO

DESTINATARIO

INFORMACION CONTIENE

FINALIDAD

MODO ENVIO

RECEPTOR

SOPORTE

MARCA/MODELO

DESTINATARIO

INFORMACION CONTIENE

FINALIDAD

MODO ENVIO

RECEPTOR

SOPORTE

MARCA/MODELO

DESTINATARIO

INFORMACION CONTIENE

FINALIDAD

MODO ENVIO

RECEPTOR

89

9.- EJEMPLO DE INVENTARIO DE SOPORTES INFORMATICOS O PAPEL Imagine que tiene en su empresa una serie de archivos o soportes donde almacena datos decarácter personal, esa selección de soportes debe incluirlas en un registro o inventario de soportes,aquí encontrara un ejemplo para usar o modificar a su gusto

SOPORTE PAPEL (FICHAS)

MARCA/MODELO NO

NUMERO SERIE NO

SIS. OPERATIVO NO EXISTE

UBICACION DEPARTAMENTO VENTAS

CONEXIONES REMOTAS

NO, SON FICHAS EN FORMATO PAPEL

GUARDADAS EN ARCHIVADOR BAJO LLAVE o en

caso contrario: INTERNET, INTRANET

RESPONSABLE Y DNI MARIA PEREZ SAINZ 52464454K

EMPRESA DEL USUARIO LA MISMA

CARGO QUE OCUPA TELEOPERADORA

PRIVILEGIOS lectura, creación, modificación LECTURA

FECHA ENTRADA XX/XX/2009

FECHA DE BAJA DEFINITIVA

EN PROCESO DE TRATAMIENTO Ó XX/XX/2009

"según proceda"

FICHERO al que accede DE CLIENTES

OTROS USUARIOSNINGUNO Ó Indicar los mismos datos anteriores de las

personas que tiene acceso a este mismo soporte

CONTENIDO GUSTOS Y AFICIONES

¿ORDENADOR PROTEGIDO POR CONTRASEÑA?

NO, SON FICHAS EN FORMATO PAPEL

GUARDADAS EN ARCHIVADOR BAJO LLAVE

¿BASE DE DATOS CON CONTRASEÑAS?

NO, SON FICHAS EN FORMATO PAPEL

GUARDADAS EN ARCHIVADOR BAJO LLAVE

CONTRASEÑAS

Indicar si son numéricas / alfanuméricas / y Nº de dígitos :

ALFANUMERICA DE 10 DÍGITOS

MODO CAPTACION del fichero CUESTIONARIOS

90

SOPORTE DISCO DURO EXTERNO

MARCA/MODELO XXXXXXX "el que sea o proceda"

NUMERO SERIE XXXXXXX

SIS. OPERATIVO WINDOWS 7

UBICACION DEPARTAMENTO VENTAS

CONEXIONES REMOTAS Team-Viewer clave única para el responsable del fichero

RESPONSABLE Y DNI MARIA PEREZ SAINZ 52464454K

EMPRESA DEL USUARIO LA MISMA

PRIVILEGIOS lectura, creación, modificación LECTURA

FECHA ENTRADA XX/XX/2009

FECHA DE BAJA DEFINITIVA IDEM

FICHERO al que accede CLIENTES

OTROS USUARIOS

NINGUNO Ó Indicar los mismos datos anteriores de las

personas que tiene acceso a este mismo soporte

CONTENIDO DATOS PERSONALES Y Nº CUENTAS BANCARIAS

¿ORDENADOR PROTEGIDO POR CONTRASEÑA? SI

¿BASE DE DATOS CON CONTRASEÑAS? SI

CONTRASEÑAS

Indicar si son numéricas / alfanuméricas / y Nº de dígitos :

ALFANUMERICA DE 10 DÍGITOS

MODO CAPTACION del fichero EL PROPIO AFECTADO

91

Nombramientos de personal, autorizados y responsables (EJEMPLO)

Nombre de la persona autorizada y DNI

Marcos Garcia López, 52464454H

Fecha de alta

21/10/2009

Tipo de autorización o responsabilidad

Autorizado para consultar y modificar ficheros y responsable del documento de seguridad

La fecha de baja en su caso

En curso

Autorizaciones "ACCESOS A USUARIOS" (EJEMPLO)

Nombre del Usuario

María Garcia López

Razón social y CIF de su empresa

La misma, (((o es un agente externo de otra empresa diferente que viene a hacer una prospección comercial,puntualmente, "por lo que deberán indicar la Razón social y CIF la empresa a la que pertenece.

Departamento y cargo

Comercial / Responsable comercial de Andalucía

Tipo de privilegio de acceso

Restringido, con acceso al Outlook y datos de contacto

Autorización de Accesos al:

X: Acceso Total C: Creación, M: Modificación, B: Borrado, L: Lectura, N: No tiene acceso

Servidor[ ][ ], Sistema Operativo[ ][ ], Internet[ ][ ], Correo Electrónico[ ][ ], Clientes[ ][ ], Empleados[ ][ ], Proveedores[ ][ ].

Fecha de alta

21/10/2009

Fecha de baja, o modificación

En curso

Nombre y cargo de la persona que realiza la autorización

Juan Pérez López (administrador)

92

[ ] UTILIZACIÓN DE LOS EQUIPOS DE ACCESO AL FICHERO PARA SU TRABAJO HABITUAL

[ ] ENCARGADO DE ASIGNACIÓN Y DISTRIBUCIÑON DE CONTRASEÑAS

[ ] ENCARGADO DE ASIGNACIÓN DE ACCESOS A FICHEROS

[ ] ENCARGADO DE ELABORAR EL LISTADO DE USUARIOS

[ ] ENCARGADO DE GESTIONAR EL REGISTRO DE INCIDENCIAS

[ ] ENCARGADO DE DAR PERMISO DE ACCESO AL ALMACÉN DE COPIAS DE SEGURIDAD

[ ] ENCARGADO DE REALIZA COPIAS DE SEGURIDAD

[ ] ENCARGADO DE REALIZAR RECUPERACIÓN DE COPIAS DE SEGURIDAD

[ ] ENCARGADO DE REGISTRO DE SALIDAS DE COPIAS

[ ] PERMISO PARA ACCESO AL ALMACÉN DE COPIAS

93

Nombramientos de personal, autorizados y responsables

Nombre de la persona autorizada y DNI

Fecha de alta

Tipo de autorización o responsabilidad

La fecha de baja en su caso

Nombre de la persona autorizada y DNI

Fecha de alta

Tipo de autorización o responsabilidad

La fecha de baja en su caso

Nombre de la persona autorizada y DNI

Fecha de alta

Tipo de autorización o responsabilidad

La fecha de baja en su caso

Nombre de la persona autorizada y DNI

Fecha de alta

Tipo de autorización o responsabilidad

La fecha de baja en su caso

Nombre de la persona autorizada y DNI

Fecha de alta

Tipo de autorización o responsabilidad

94

La fecha de baja en su caso

95

MUY IMPORTANTE

ESTE APARTADO "CONTRASEÑAS" DEBE ESTAR DE FORMA ININTELEGIBLE OCON ACCESO LIMITADO POR CONTRASEÑA QUE SOLO DEBE CONOCER EL

ENCARGADO O RESPONSABLE DE LOS FICHEROS.

11.- EJEMPLO DE REGISTRO DE CONTRASEÑAS UN REGISTRO POR CADA CONTRASEÑA Y USUARIO

Nombre del Usuario

JUAN RAMIREZ LOPEZ

Perfil

COMERCIAL

Tipo de privilegio de acceso

CONTACTOS DE CLIENTES

Fecha de alta

22/10/08

Fecha de baja, o modificación

ACTUALMENTE EN CURSO

Nombre y cargo de la persona que realiza la autorización

SAMUEL GARRIDO SANZ

Contraseña asignada

RAMIREZLOPEZ

Nueva contraseña por el usuario (se modifica cada 30 días)

Aj21JRAMI

96

11.- REGISTRO DE CONTRASEÑAS

Nombre del Usuario

Perfil

Tipo de privilegio de acceso

Fecha de alta

Fecha de baja, o modificación

Nombre y cargo de la persona que realiza la autorización

Contraseña asignada

Nueva contraseña por el usuario (se modifica cada 30 días)

Nombre del Usuario

Perfil

Tipo de privilegio de acceso

Fecha de alta

Fecha de baja, o modificación

Nombre y cargo de la persona que realiza la autorización

Contraseña asignada

97

Nueva contraseña por el usuario (se modifica cada 30 días)

98

99

ZONA VIDEOVIGILADA

LEY ORGÁNICA 15/1999, DE PROTECCIÓN DE DATOS

PUEDE EJERCITAR SUS DERECHOS ANTE:

C.P SAURIN SAAVEDRA FAJARDO

C/ ALEJANDRO SEIQUER 2 30001 MURCIA

Le informamos que los datos que obtenemos a través de la videovigilancia no serán cedidos bajo ningún concepto. Y serán tratados

dentro de la normativa vigente en materia de protección de datos, Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de

carácter personal. (LOPD) Estos datos serán incluidos en un fichero informático denominado videovigilancia, La función de recabar

estos datos es proteger los nuestros bienes. El responsable de dicho fichero es C.P SAURIN SAAVEDRA FAJARDO Con CIF:

E30032288, con domicilio a efectos de notificaciones en C/ ALEJANDRO SEIQUER 2 (30001) MURCIA. Usted tiene derecho a recibir

respuesta de cualquier pregunta, consulta o aclaración que le surja derivada de esta acción. Usted tiene derecho al acceso, oposición,

rectificación, cancelación, de sus datos de carácter personal, mediante escrito, a la dirección antes indicada. Todos sus datos serán dados

de baja definitivamente de nuestra base de datos por los siguientes motivos: 1º- cada 30 días máximo, 2º- cuando hayan dejado de ser

necesarios para los fines que motivaron su recogida.

100

CLAUSULA INFORMATIVA VIDEOVIGILANCIA PARA EL AFECTADOArt. 3, apartado B. Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el

tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.

De conformidad con lo dispuesto en el art. 5.1 LO 15/1999, de 13 de diciembre, de Protección de Datos, se informa:

Que los datos que obtenemos a través de la videovigilancia no serán cedidos bajo ningún concepto. Y serán tratados

dentro de la normativa vigente en materia de protección de datos, Ley Orgánica 15/1999, de 13 de diciembre, de

Protección de Datos de carácter personal. (LOPD) Estos datos serán incluidos en un fichero informático denominado

videovigilancia, La función de recabar estos datos es proteger los nuestros bienes. El responsable de dicho fichero es

C.P SAURIN SAAVEDRA FAJARDO Con CIF: E30032288, con domicilio a efectos de notificaciones en C/

ALEJANDRO SEIQUER 2 (30001) MURCIA. Usted tiene derecho a recibir respuesta de cualquier pregunta, consulta

o aclaración que le surja derivada de esta acción. Usted tiene derecho al acceso, oposición, rectificación, cancelación,

de sus datos de carácter personal, mediante escrito, a la dirección antes indicada o por correo electrónico a

antonio.oliva@aomasesores.es Todos sus datos serán dados de baja definitivamente de nuestra base de datos por los

siguientes motivos: 1º- cada 30 días como máximo, 2º- cuando hayan dejado de ser necesarios para los fines que

motivaron su recogida.

Cortar por la línea, parte superior para el afectado, parte inferior para archivar.

NOMBRE:DNI:FECHA:FIRMA:

Le informamos que los datos que obtenemos a través de la videovigilancia no serán cedidos bajo ningún concepto. Y serán tratados dentro de la normativa vigente en materia de protección de datos,

Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal. (LOPD) Estos datos serán incluidos en un fichero informático denominado videovigilancia, La función de

recabar estos datos es proteger los nuestros bienes. El responsable de dicho fichero es C.P SAURIN SAAVEDRA FAJARDO Con CIF: E30032288, con domicilio a efectos de notificaciones en C/

ALEJANDRO SEIQUER 2 (30001) MURCIA. Usted tiene derecho a recibir respuesta de cualquier pregunta, consulta o aclaración que le surja derivada de esta acción. Usted tiene derecho al acceso,

oposición, rectificación, cancelación, de sus datos de carácter personal, mediante escrito, a la dirección antes indicada o por correo electrónico a antonio.oliva@aomasesores.es Todos sus datos serán

dados de baja definitivamente de nuestra base de datos por los siguientes motivos: 1º- cada 30 días como máximo, 2º- cuando hayan dejado de ser necesarios para los fines que motivaron su recogida.

101