1. INTRODUCCIÓN

El 13 de diciembre del año 1999 se publicó la Ley Orgánica de Protección de Datos de Carácter Personal, el objeto de la cual es garantizar y proteger todo aquello concerniente al tratamiento de datos personales, las libertades públicas y los derechos fundamentales de las personas físicas y especialmente, su honor e intimidad personal y familiar.

Este Documento de Seguridad ha sido elaborado por la empresa BIKESANDRENTAL SL, dar cumplimiento al Real decreto 1720/2007, de 21 de diciembre, por el cual se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.

Este documento es el desarrollo de la política de seguridad en cuanto al tratamiento de datos personales, es decir, cualquier información que identifique o haga identificable a una persona física, y recoge las medidas de índole técnica, jurídica y organizativas necesarias para garantizar la protección, la confidencialidad, la integridad y la disponibilidad de los recursos afectados por la normativa vigente en materia de protección de datos.

Una vez aprobado este documento por el Comité de Seguridad de la Información y Protección de Datos, se procederá a comunicar y divulgar a todo el personal a través del medio de comunicación interno, porque conozcan su alcance y lo apliquen según la responsabilidad que los corresponda en cumplimiento de la legislación vigente.

El objetivo de este documento es describir las medidas, las normas, los procedimientos, las reglas y los estándares de seguridad que la empresa asume en el tratamiento de datos personales para garantizar la seguridad de estos datos evitando su alteración, la pérdida, el tratamiento o el acceso por parte de personas no autorizadas.

Su propósito es ayudar a mejorar la calidad de nuestros servicios, ofreciendo una mayor seguridad y confianza en la tramitación y garantizando el derecho a la intimidad de las personas que se relacionan con la empresa.

La empresa ha declarado los ficheros de carácter personal ante la AEPD y ha redactado este Documento de Seguridad para establecer las medidas de seguridad que corresponda a cada uno de los ficheros en función de su nivel de seguridad.

El documento de seguridad, así como la aplicación de todos los procedimientos que contiene, tendrá que mantenerse actualizado en todo momento y se tendrá que revisar siempre quién haya cambios relevantes en el tratamiento de datos personales o la normativa vigente aplicable.

2. EL DOCUMENTO DE SEGURIDAD

2.1. Objeto y finalidad.

El Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal, aprobado por el Real decreto 1720/2007, en su artículo 88 establece que el Responsable del Fichero elaborará un Documento de Seguridad que recogerá las medidas de índole técnica y organizativa conforme con la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a datos de carácter personal.

Este Documento de Seguridad recopila las normas y los procedimientos necesarios para aplicar estas medidas de seguridad de obligado cumplimiento para el personal con acceso a datos de carácter personal y a los sistemas e instalaciones que los soportan, y que tienen que servir para garantizar la protección, confidencialidad, integridad y disponibilidad de los recursos afectados de acuerdo con el que establece la LOPD.

Este documento se tiene que mantener permanentemente actualizado. Cualquier modificación relevante en los sistemas de información automatizados o no, en la organización de los mismos, o en las disposiciones vigentes en materia de seguridad de los datos de carácter personal comportará la revisión de la normativa incluida y, si se tercia, la modificación total o parcial.

El documento de seguridad, así como la aplicación de todos los procedimientos que contiene, tendrá que mantenerse actualizado en todo momento y se tendrá que revisar siempre quién haya cambios relevantes en el tratamiento de datos personales o la normativa vigente aplicable.
2.2. Descripción del Documento de Seguridad.

En el Documento de Seguridad quedan definidos los siguientes aspectos:

• El ámbito de aplicación del documento y todos aquellos recursos y personas que se encuentran afectados.
• Las normas, las políticas, los estándares y los procedimientos a seguir para garantizar el cumplimiento del nivel de seguridad especificada en el Real Decreto 1720/2007 que desarrolla la LOPD.
• Funciones y Obligaciones del Personal.
• Inventario de ficheros con datos de carácter personal responsabilidad de la empresa.
• Estructura de seguridad.
• Funciones de la Organización de seguridad.
• Procedimiento para el ejercicio de los derechos del afectado.
• Derechos del afectado.
• Normas y procedimientos de seguridad:
• Notificación, registro y gestión de incidencias.
• Copias de seguridad y restauración de datos.
• Gestión de apoyos.
• Gestión de usuarios y autorizaciones.
• Control del acceso físico a las zonas de tratamiento de datos.

2.3. Otras medidas y procedimientos para cumplir con la LOPD:

• Creación, modificación y supresión de ficheros.
• Deber de de información en recogida de datos.
• Formalización de contratos con terceros.
• Actualización del documento de seguridad.
• Procedimiento de auditoría.

3. ÁMBITO DE APLICACIÓN Y RECURSOS PROTEGIDOS

3.1. Ámbito de aplicación.

Este Documento de Seguridad es aplicable a los ficheros automatizados y no automatizados (documentos papel) que contienen datos de carácter personal de y que se encuentran bajo la responsabilidad del responsable del fichero, incluyendo los sistemas de información, apoyos y equipos utilizados para el tratamiento de datos de carácter personal que tengan que ser protegidos de acuerdo con el que dispone la normativa vigente, las personas que intervienen en el tratamiento y los locales en que se ubican. La mención al término “ficheros” incluye los dos tipos que prevé este párrafo, cuando se pretenda una referencia concreta en uno u otro tipo, se tiene que hacer constar debidamente.

Se entiende por tratamiento de datos (arte 5.t del RD 1720/2007) cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

3.2. Ámbito jurídico.

Este documento es de aplicación a todos los ficheros y a los sistemas de información de los organismos mencionados que contengan datos de carácter personal.

Los ficheros y su estructura están definidos al Anexo: Inventario de ficheros de la empresa.
3.3. Ámbito personal.

Este Documento de Seguridad es de obligado cumplimiento para todo el personal de los organismos descritos como también de aquellos colaboradores externos que de una forma u otra intervengan en el tratamiento de datos personales y de los sistemas de información de la empresa.

Las normas internas contenidas el presente documento se han informado a todo el personal mediante la divulgación del Documento de Seguridad de la empresa, y Funciones y obligaciones del personal dando cumplimiento de esta forma al que dispone el artículo 89 del Real decreto 1720/2007.

Todo el personal de la empresa y personal colaborador que trabaje, utilice, y trate datos personales y los sistemas de información tienen que conocer el contenido de este documento y adoptar las instrucciones establecidas para garantizar la protección adecuada de los datos de los afectados. El objetivo final es extender tanto como sea posible la “cultura de la seguridad”.

3.4. Ámbito material.

Las normas de seguridad contenidas en este documento son de aplicación a cualquier tipo de recurso que forman el conjunto de activos que contienen datos de carácter personal, de los cuales es titular la Empresa, incluyendo: los documentos electrónicos y en papel, el hardware, el software, el software base, las comunicaciones, la electrónica y todos aquellos otros componentes que, directa o indirectamente, están relacionados con el tratamiento de datos personales.

Los ficheros de datos personales se clasifican en diferentes niveles en función de la información que contienen y del tratamiento que se hace de la misma. Así, los artículos 80 y 81 del Real decreto 1720/2007 establecen 3 niveles de seguridad. El cumplimiento de las medidas de seguridad es acumulativo de forma que cualquier fichero tiene que cumplir las medidas de los niveles inferiores:

• Nivel BÁSICO: cualquier fichero con datos personales.

• Nivel MEDIO: ficheros con datos de infracciones administrativas o penales y aquellos que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o comportamiento.

• Nivel ALTO: ficheros que contengan datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual y datos derivados de actas de violencia de género.

3.5. Recursos protegidos.

La protección de los datos ante accesos no autorizados se tendrá que realizar mediante el control de todas las vías por las cuales se pueda tener acceso a esta información.

Los recursos que tendrán que ser controlados por esta normativa para controlar los accesos directos o indirectas a datos son:

• Los centros de tratamiento y locales donde se encuentran ubicados los ficheros o donde se almacenen los apoyos que los contengan.
• Los equipos, bien locales o remotos, desde los cuales se puede tener acceso a los ficheros.
• Los servidores, si hay, y el entorno a sistema operativo y de comunicaciones en que se encuentran ubicados los ficheros.
• Las aplicaciones establecidas para acceder a los datos.

3.6. Personal.

Las medidas de seguridad que constan en este Documento de Seguridad son de aplicación a todo el personal involucrado en el tratamiento de datos de carácter personal.

El personal de la organización que en el desarrollo de sus funciones trate o acceda a datos de carácter personal, tendrá que observar lo previsto en este Documento de Seguridad.

La relación de personal autorizado se recoge en la Anexo “USUARIOS DEL FICHERO” de este documento.

4. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTÁNDARES DE SEGURIDAD PARA EL TRATAMIENTO DE LOS DATOS.

4.1. Centros de tratamiento y locales.

Los locales donde se encuentran los equipos informáticos que contienen los ficheros objeto de tratamiento, tienen que disponer de las medidas de seguridad mínimas con objeto de garantizar la confidencialidad de los datos de carácter personal y su disponibilidad.

Tendrán que contar con los medios mínimos de seguridad que eviten los riesgos de indisponibilidad de los ficheros o documentos que pueda haber a consecuencia de incidencias fortuitas o intencionadas.
4.2. Régimen de trabajo fuera de los locales del Responsable del Fichero o encargado del tratamiento.

Cuando los datos personales se almacenen en dispositivos portátiles o se traten fuera de los locales del Responsable del Fichero o tratamiento, o del encargado del tratamiento, hará falta que exista una autorización previa del Responsable del Fichero o del tratamiento, y en todo caso se tendrá que garantizar el nivel de seguridad correspondiente al tipo de fichero tratado.

La autorización a la cual se refiere el párrafo anterior tendrá que constar en el Documento de Seguridad y se podrá establecer para un usuario o para un perfil de usuarios y se tendrá que determinar un periodo de validez.
4.3. Puestos de trabajo o equipos.

Son todos aquellos dispositivos desde los cuales se puede acceder a los datos de los ficheros, como por ejemplo, terminales y ordenadores personales.

Se consideran también puestos de trabajo aquellos terminales de administración del sistema, como por ejemplo, las consolas de operación, donde en algunos casos también pueden aparecer los datos protegidos de los ficheros.

Los procedimientos de seguridad aplicables a los mismos están implícitos en las obligaciones de los usuarios y administradores que se detallarán el próximo apartado de este documento de Seguridad.

4.4. Sistema informático y aplicaciones de acceso a los ficheros.

Son todos aquellos sistemas informáticos, programas o aplicaciones con las cuales se puede acceder a los datos de los ficheros, y que son usualmente utilizados por los usuarios para acceder.

Estos sistemas pueden ser aplicaciones informáticas expresamente diseñadas para acceder al fichero o sistemas programados de uso general como aplicaciones o paquetes disponibles en el mercado informático.

Los sistemas informáticos de acceso a los ficheros tienen que tener su acceso restringido mediante un código de usuario y una contraseña.

Todos los usuarios autorizados para acceder a los ficheros, relacionados al Anexo C, tendrán que tener un código de usuario que será único, y que estará asociado a la contraseña correspondiente, que sólo será conocida por el propio usuario.

Si las aplicaciones informáticas que permiten el acceso a los ficheros no cuentan con un control de acceso, tendrá que ser el sistema operativo, donde se ejecuta esta aplicación, el que impida el acceso no autorizado, mediante el control de los mencionados códigos de usuarios y contraseñas.

Adicionalmente, para los ficheros con nivel de seguridad alto, se tienen que controlar los intentos de acceso fraudulento a los ficheros, limitando el número máximo de intentos fallidos y además en un fichero auxiliar se tiene que guardar la fecha, la hora, el código y la clave errónea que se han introducido, así como otros datos relevantes que ayuden a descubrir la autoría de estos intentos de acceso fraudulentos.

El Responsable de Seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados.

Para todos los ficheros, si durante las pruebas anteriores a la implantación o modificación de la aplicación de acceder se utilizaran datos reales, se tendrá que aplicar a estos ficheros de prueba el mismo tratamiento de seguridad que se aplica a este fichero.
4.5. Salvaguarda y protección de las contraseñas personales.

Las contraseñas personales constituyen uno de los componentes básicos de la seguridad de los datos y tienen que estar especialmente protegidas.

Como claves de acceso al sistema, las contraseñas tendrán que ser estrictamente confidenciales y personales, y cualquier incidencia que comprometa su confidencialidad tendrá que ser inmediatamente comunicada al administrador y enmendada en el menor plazo de tiempo posible.

Las contraseñas se asignan y se cambiarán mediante el mecanismo y periodicidad que determine el administrador del fichero y que recogerá este Documento de Seguridad como Anexo.

El archivo donde se almacenan las contraseñas tendrá que estar protegido y bajo la responsabilidad del administrador del sistema.

5. PROCEDIMIENTOS DE GESTIÓN DE LAS MEDIDAS DE SEGURIDAD

5.1. Gestión de incidencias.

5.1.1. Definición de incidencia.

Se considerarán como “incidencias de seguridad”, entre otras, cualquier incumplimiento de la normativa desarrollada en este Documento de Seguridad, así como a cualquier anomalía que afecte o pueda afectar a la seguridad de los datos de carácter personal.

Cualquier usuario que tenga conocimiento de una incidencia es responsable de notificarla. El conocimiento y no notificación de una incidencia por parte del personal será considerada como una falta contra la seguridad del fichero.

Se tiene que notificar la incidencia al administrador del sistema o al responsable de seguridad, verbalmente o por escrito.
5.1.2. Gestión de la incidencia.

La persona que ha tenido conocimiento de la incidencia lo habrá comunicado a los sujetos designados con la mayor celeridad posible, sin perjuicio que, según las circunstancias, incidencia y horario, puede iniciar o sugerir acciones de control con el fin de evitar males mayores.

El Responsable de Seguridad realizará las gestiones necesarias para solucionar las consecuencias que haya producido la incidencia.

El Responsable de Seguridad recaudará la información necesaria para cubrir los diferentes campos del registro de incidencias.

El Responsable de Seguridad habilitará un registro de incidencias que permita documentar y traer un control de las mismas.

5.1.3. Registro de las incidencias.

El Responsable de Seguridad registrará las incidencias en el Anexo del Documento de Seguridad y contendrá:

1. Tipo de incidencia.
2. Fecha y hora en que se produjo.
3. Persona que realiza la notificación.
4. Persona a quien se comunica.
5. Efectos que puede producir.
6. Procedimientos realizados de recuperación de datos.
7. Persona que ejecuta el proceso de recuperación.
8. Datos restaurados.
9. Datos que han sido necesarios restaurar manualmente en el proceso de recuperación.

5.2. Gestión de Soportes.

5.2.1. Definición de soportes informáticos.

Son todos aquellos medios de grabación y recuperación de datos que se utilizan para realizar copias o pasos intermedios en los procesos de la aplicación que gestiona los ficheros.

Dado que la mayor parte de los apoyos que hoy en día se utilizan, como DVD, dispositivos portátiles, etc. son fácilmente transportables, reproducibles y/o copiables, es evidente la importancia que para la seguridad de los datos tiene el control de estos medios.
5.2.2. Identificación de los soportes.

Los soportes que contengan datos de los ficheros, bien como consecuencia de operaciones intermedias propias de la aplicación que los trata, o bien como consecuencia de procesos periódicos de soporte o cualquier otra operación esporádica, tendrán que estar claramente identificados con una etiqueta externa que indique de qué fichero se trata, qué tipo de datos contiene, proceso que los ha originado y fecha de creación.

Los soportes y documentos que contengan datos de carácter personal tienen que permitir identificar el tipo de información que contienen, ser inventariados y sólo tiene que poder acceder el personal autorizado indicado en el documento de seguridad.

Se exceptúan estas obligaciones cuando las características físicas del soporte imposibiliten su cumplimiento, quedando constancia motivada en el documento de seguridad.

En el caso de ficheros que contengan datos que se consideran especialmente sensibles, el etiquetado de los soportes se tiene que realizar utilizando un sistema comprensible y con significado que permita a los usuarios con acceso autorizado identificar su contenido y que dificulte la identificación para el resto de personas.
5.2.3. Destrucción de los soportes.

En el supuesto de que se tenga que rechazar cualquier documento o soporte que contenga datos de carácter personal se tendrá que proceder a su destrucción o borrado adoptando las medidas necesarias para evitar accesos indebidos a la información o su recuperación posterior.

Aquellos medios que sean reutilizables, y que hayan contenido copias de datos de los ficheros tendrán que ser borrados físicamente antes de su reutilización, de forma que los datos que contenían no sean recuperables.

Los soportes que contengan datos de los ficheros tendrán que ser almacenados en lugares a los que no tengan acceso personas no autorizadas.

5.2.4. Salida de soportes.

La salida de soportes informáticos, dispositivos portátiles o documentos que contengan datos de carácter personal, incluidos los comprendidos y / o adjuntos en correos electrónicos, fuera de los locales donde están ubicado los ficheros, ya sea por traslado o para tratar datos fuera de los locales del responsable de los ficheros, tendrá que ser expresamente autorizada por el citado responsable de los ficheros.

En el transporte de soportes o documentos se tienen que adoptar medidas para evitar la sustracción, pérdida, manipulación o acceso indebido a la información.

Adicionalmente, para ficheros con nivel de seguridad medio y alto, el responsable de los ficheros mantendrá un libro de registro de entradas y salidas donde se guardarán los formularios de entradas y de salidas de soportes o documentos debidamente rellenados y autorizados. Estos libros permitirán, directamente o indirectamente, conocer el tipo de documento o soporte, la fecha y la hora, el emisor, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción que tiene que estar debidamente autorizada.

Sólo en el caso de ficheros con nivel de seguridad alto, la salida de soportes que contengan datos de carácter personal se tiene que hacer mediante cifrado de los datos o, si no, utilizando otro mecanismo que garantice que la información no sea accesible ni manipulable durante el tiempo en que estén fuera de los locales del responsable de los ficheros.
5.3. Procedimientos de copias y recuperación.

La seguridad de los datos personales de los ficheros no sólo supone la confidencialidad sino que también comporta la integridad y la disponibilidad de estos datos.

Para garantizar estos dos aspectos fundamentales de la seguridad hace falta que existan unos procesos de copias y de recuperación que, en caso de fallo del sistema informático, permitan recuperar y, si procede reconstruir los datos de los ficheros.

Habrá una persona, ya sea el administrador o bien otro usuario expresamente designado, que será responsable de obtener periódicamente una copia de seguridad de los ficheros, a efectos de seguridad y posible recuperación en caso de pérdida.

Estas copias se tendrán que realizar con una periodicidad diaria, excepto en el supuesto de que no se hayan producido ninguna actualización de los datos.

El Responsable del Fichero se encargará de verificar cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de seguridad y de recuperación de los datos.

En caso de fallo del sistema con pérdida total o parcial de datos de los ficheros tiene que haber un procedimiento, informático o manual, que partiendo de la última copia de seguridad y del registro de las operaciones realizadas desde el momento de la copia, reconstruya los datos de los ficheros al estado en que se encontraban en el momento de la decisión.

Únicamente en el supuesto de que la incidencia afecte ficheros o tratamientos parcialmente automatizados, y siempre que la existencia de documentación permita lograr el objetivo al cual se refiere el párrafo anterior, se tendrá que proceder a grabar manualmente los datos. Este procedimiento está descrito en el anexo I.

Hace falta la autorización por escrito del responsable de los ficheros para la ejecución de los procedimientos de recuperación de los datos, y se tiene que dejar constancia en el registro de incidencias de las manipulaciones que hayan tenido que realizar para estas recuperaciones, incluyendo la persona que realizó el proceso, los datos restaurados y los datos que hayan tenido que ser grabados manualmente en el proceso de recuperación.

Para los ficheros de cualquier tipo de nivel de seguridad, se tiene que conservar una copia de seguridad y de los procedimientos de recuperación de los datos, en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan cumpliendo en todo caso, las medidas de seguridad exigidas en el Reglamento.

5.4. Entrada y salida de datos por la red.

5.4.1. Apartado exclusivo para ficheros nivel de seguridad medio y alto.

La transmisión de datos por red, ya sea por medio de correo electrónico o mediante sistemas de transferencia de ficheros, se está convirtiendo en uno de los medios más utilizados para el envío de datos, hasta el punto que está sustituyendo los soportes físicos. Por eso merecen un tratamiento especial puesto que, por sus características, pueden ser más vulnerables que los soportes físicos tradicionales.

Es recomendable que todas las entradas y salidas de datos de los ficheros que se efectúen mediante correo electrónico se realicen desde una única cuenta o dirección de correo controlada por un usuario especialmente autorizado por el responsable de los ficheros.

Igualmente si se realiza la entrada o salida de datos mediante sistemas de transferencia de ficheros por red, únicamente un usuario o administrador está autorizado para realizar estas operaciones.

Se guardarán copias de todos los correos electrónicos que involucren entradas o salidas de datos de los ficheros, en directorios protegidos y bajo el control del responsable mencionado.

Se mantendrán copias de estos correos durante al menos dos años.

También se guardará durante un mínimo de dos años, en directorios protegidos, una copia de los ficheros recibidos o transmitidos por sistemas de transferencia de ficheros por red, junto con un registro de la fecha y hora en que se realizó la operación y el destino de los ficheros enviados.

Cuando datos de los ficheros con un nivel de seguridad alto tengan que ser enviados por correo electrónico o por sistemas de transferencia de ficheros, a través de redes públicas o no protegidas, se tienen que enviar encriptados de forma que sólo puedan ser leídos e interpretados por el destinatario.
5.5. Registro de accesos.

 

5.5.1. Acceso físico.

Se tienen que registrar los accesos a los locales donde se encuentren los ficheros de aquellas personas no autorizadas explícitamente (visitas, mantenimiento, etc.)

Se tiene que registrar, además, el acceso del personal autorizado fuera de su jornada laboral.
5.5.2. Apartado exclusivo para ficheros con nivel de seguridad alto.

Se tienen que registrar los intentos de accesos de cada usuario al fichero, guardando, como mínimo, la identificación del usuario, fecha y hora, el tipo de acceso, el fichero accedido y si ha sido autorizado o no. En el supuesto de que el acceso haya sido autorizado, hay que guardar la información que permita identificar el registro accedido.

En el caso de intentos de acceso fallidos, para cada usuario se limita a cinco el número máximo de intentos fallidos.

Los mecanismos que permiten el registro de accesos estarán bajo el control directo del Responsable de Seguridad competente sin que tengan que permitir la desactivación ni la manipulación de los mismos.

El periodo mínimo de conservación de los datos registrados es de tres años.
El Responsable de Seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados.

Cuando el Responsable del Fichero sea una persona física y garantice que únicamente él tiene acceso y trata los datos personales no será necesario disponer de este registro de accesos.

5.6. Ficheros no automatizados.

5.6.1. Medidas de seguridad.

Los responsables de los tratamientos o los ficheros no automatizados y/o los encargados del tratamiento tienen que implantar las medidas de seguridad adecuadas en función del nivel de seguridad exigible al documento o fichero no automatizado. Los niveles de seguridad están relacionados a comienzos de este documento de seguridad, concretamente en el apartado Ámbito de aplicación.

Las medidas aplicables en función de cada nivel para el caso de ficheros no automatizados (normalmente llamados documentos) se han ido comentando en este documento de seguridad.

En orden a dotar de la mayor seguridad posible a los ficheros no automatizados o documentos se hace necesario desarrollar determinados criterios específicos de este tipo de ficheros.
5.6.2. Criterios de archivo.

El Responsable del Fichero tiene que garantizar que el archivo de los soportes o documentos se realice de forma que se garantice la correcta conservación y gestión de todos los documentos. Se tiene que tener la opción de poder localizar y consultar de manera sencilla y en todo momento toda la información almacenada.

El establecimiento de una organización de la documentación de forma clara permitirá poder cumplir con la obligación legal de facilitar, a las personas interesadas que lo soliciten, el ejercicio de los derechos de oposición, acceso, rectificación o cancelación del tratamiento de los datos de carácter personal.

El Responsable del Fichero tendrá que revisar o hacer revisar periódicamente, al menos una vez al año, la situación de los documentos archivados para comprobar el correcto estado de los mismos, así como determinar la necesidad de llevar a cabo alguna acción para mantener, entre otras, la integridad de los documentos o el orden lógico de la documentación.
5.6.3. Dispositivos de almacenamiento.

Los dispositivos de almacenamiento de los documentos, generalmente archivadores, armarios, cajas o estructuras parecidas, que contengan datos de carácter personal, tienen que estar provistos de una cerradura o algún sistema similar que dificulte la apertura de estos.

Si las características físicas de los dispositivos de almacenamiento no permiten dotarlo de cerradura o sistema de apertura controlada, el Responsable del Fichero o tratamiento o la persona autorizada por éste habrá impedir el acceso de personas no autorizadas al armario, archivador o dispositivo en general.

5.6.4. Custodia de los soportes.

Mientras la documentación con datos de carácter personal no esté archivada en los dispositivos de almacenamiento o archivadores, para estar en proceso de revisión o tramitación, ya sea previamente o posteriormente a su archivo, la persona que esté al cargo tiene que custodiar e impedir en todo momento, que cualquier persona no autorizada pueda acceder a esta documentación.

El Responsable del Fichero tiene que conocer en todo momento el estado de esta documentación, y en caso de que se produzca alguna incidencia, le tendrá que comunicar con la mayor rapidez posible para se puedan decidir las correcciones o medidas a adoptar en cada caso.

5.7. Procedimientos de revisión.

El Documento de Seguridad tendrá que mantenerse en todo momento actualizado y tendrá que ser revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo.

Así mismo, tendrá que adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.

Con una periodicidad anual, el Responsable de Seguridad procederá a revisar todos los apartados del Documento y en concreto, a la enumeración de los siguientes aspectos:

• Estructura de los ficheros.
• Cambio contraseñas.
• Usuarios que tienen acceso.
• Formalización del registro de incidencias.
• Estructura sistema informático, lo cual puede implicar cambios en la forma de realizar las copias de seguridad y recuperación, por ejemplo.

5.8. Auditoría.

Los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, como máximo cada dos años, a una auditoría interna o externa, que verifique el cumplimiento del R.L.O.P.D.

Con carácter extraordinario esta auditoría se tendrá que realizar siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.

6. FUNCIONES Y OBLIGACIONES DEL PERSONAL.

Para dar cumplimiento al que establece el artículo 88.3.c y el 89 del Real Decreto 1720/2007, todo el personal de BIKESANDRENTAL SL que trabaje con soportes y/o sistemas de información donde se traten datos de carácter personal, tendrá que cumplir la normativa siguiente.

6.1. Normativa a aplicar:

La Ley orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

El Real decreto 1720/2007, de 21 de diciembre, por el cual se aprueba el Reglamento que desarrolla la LOPD, en su artículo 89 indica que las funciones y las obligaciones de cada una de las personas con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas dentro del Documento de Seguridad. Además, se adoptarán las medidas necesarias porque el personal conozca las medidas de seguridad que afectan al desarrollo de sus funciones.
6.2. Principios básicos.

La seguridad de los sistemas de información y de los ficheros de datos personales de la empresa, se basa en las premisas siguientes:

– La seguridad, la hacemos entre todos. Todo el mundo participa desde su puesto de trabajo con su actitud, hábitos y comportamientos a crear un estado de seguridad global y corporativa.

– Todos los usuarios tienen que lograr un nivel suficiente de concienciación, formación y capacitación, para poder participar adecuadamente en la creación de un clima de seguridad bastante alto.

– El Documento de Seguridad tiene que ser accesible, conocido y comprendido por todos los usuarios, en la medida que los corresponda y en función de su responsabilidad.

– El Documento de Seguridad será difundido a todos los usuarios siempre que haya modificaciones de las funciones y obligaciones.

– Todo el mundo es responsable, en la parte que le corresponde, de la seguridad conjunta de los “sistemas de información y de los ficheros” de la empresa.
6.3. El deber del secreto.

La Ley Orgánica 15/1999, en su artículo 10, establece el deber de secreto profesional a toda persona que intervenga en cualquier fase del tratamiento de los datos de carácter personal y el deber de guardarlo, obligación que se extiende más allá de la duración de la relación de la persona con el ente, o el responsable del fichero.

Los usuarios tienen el deber de guardar reserva total respecto a los datos confidenciales, documentos, metodologías, claves, documentación generada en el desarrollo de sus funciones durante su estancia o prestación de servicio de la empresa y de los datos de carácter personal que conozcan como consecuencia de participar en el tratamiento de datos de la empresa.

Los usuarios no suministrarán ni comunicarán los datos personales a terceras personas, ni siquiera para su conservación, salvo que cuenten con la autorización expresa del Responsable del Fichero o tratamiento, en los supuestos legalmente admisibles. Se entenderá por suministro cualquier revelación de información aunque sea por negligencia, que permita a terceros conocer total o parcialmente, la referida información.

Este deber de secreto subsistirá más allá de la extinción de la relación del usuario con el Responsable del Fichero y con la empresa.

Ningún usuario puede emplear para usos no propios de la función que le ha sido encomendada, material o información facilitada por la empresa. La autorización de acceso a esta información se considera siempre estrictamente temporal y en ningún caso supondrá el derecho de posesión, titularidad, o derecho de copia de la información mencionada.

El usuario tiene el deber de devolver todo aquel material e información no pública de que disponga, inmediatamente después del fin de las tareas que han originado su uso temporal, y en todo caso de forma previa a finales de su relación con la empresa.

El incumplimiento del deber de secreto puede constituir un delito de revelación de secretos de los previstos en el artículo 195, y del 197 al 201 del Código penal.
6.4. Puestos de trabajo.

Los puestos de trabajo estarán bajo la responsabilidad de algún usuario autorizado contenido en el anexo C que garantizará que la información que muestran, no pueda ser visible para personas no autorizadas.

Esto implica que tanto las pantallas como las impresoras u otros tipos de dispositivo conectados al puesto de trabajo tienen que estar físicamente ubicados en lugares que garanticen esta confidencialidad.

Cuando el responsable de un puesto de trabajo lo abandone, bien temporalmente o bien al finalizar su turno de trabajo, tendrá que dejarlo en un estado que impida la visualización de los datos protegidos. Esto se puede hacer con un ahorro de pantalla que impida la visualización de los datos. La reanudación del trabajo implicará la desactivación de la pantalla protectora con la introducción de la contraseña correspondiente.

En ficheros no automatizados o documentos, cuando el responsable del puesto de trabajo se tenga que ausentar, se tiene que asegurar que los documentos que utiliza se guarden en un lugar seguro lejos del alcance de personas no autorizadas a acceder.

En el caso de las impresoras se tiene que asegurar que no queden documentos imprimidos a la bandeja de salida que contengan datos protegidos. Si las impresoras son compartidas con otros usuarios no autorizados para acceder a los datos de los ficheros, los responsables de cada puesto de trabajo tendrán que retirar los documentos a medida que vayan siendo imprimidos.

Los puestos de trabajo desde los cuales se tiene acceso a los ficheros tendrán una configuración en sus aplicaciones y sistemas operativos que sólo se puede cambiar bajo la autorización del Responsable de Seguridad o por administradores autorizados del anexo C.

6.5. Uso de los datos.

Los usuarios serán responsables de la utilización de la información confidencial y de carácter personal a la cual tengan acceso y de mantener la calidad de las mismas.

Se entenderá como información confidencial, toda aquella información que contenga datos personales, como también toda aquella información de carácter relevante por la empresa.

La calidad de los datos tiene que ser entendida cómo:

• La adecuación de los datos a la finalidad por la cual se recogieron, sólo se solicitarán los datos estrictamente necesarios y legítimos para la prestación del servicio.
• El uso legítimo y lícito de los datos de acuerdo con la finalidad por la cual se recogieron.
• La exactitud, fiabilidad y veracidad de los datos.

Cuando el usuario estime que los datos de carácter personal podrían ser empleados con finalidades incompatibles con la finalidad originaria por la cual fueron recogidos, tendrá que comunicarlo de forma previa a su uso al responsable del fichero, quien, si procede, tendrá que regularizar la situación antes de autorizar el tratamiento, pidiendo, si no existe otro supuesto que legitime el tratamiento, el consentimiento de los afectados.

Se pueden crear fichas de datos personales siempre que se comunique al Responsable de ficheros para mantener el inventario actualizado y seguir el procedimiento que exige la normativa.

Cuando el usuario estime que se puede producir una cesión de datos de carácter personal no declarada ni autorizada, de forma previa tendrá que comunicar el hecho al Responsable del Fichero para su autorización. De no existir un supuesto que legitime la cesión, como el tratamiento con finalidades históricas, la recogida o generación de datos para otra administración o el ejercicio de competencias idénticas sobre una materia común, el Responsable del Fichero tendrá que solicitar el consentimiento de los interesados con carácter previo a la cesión.

Está totalmente prohibido sacar o enviar al exterior de las instalaciones o sistemas de la empresa cualquier información confidencial o de carácter personal, mediante cualquier soporte o medio (DVD, dispositivos USB, copias impresas en papel, etc.), sin la autorización previa y explícita del responsable del fichero.

Si el Responsable del Fichero lo autoriza, habrá que emplear mecanismos que garanticen que esta información será inteligible y no podrá ser manipulada durante su transporte.
6.6. Códigos de identificación y las claves de acceso.

Los códigos de identificación y las contraseñas asignadas a cada usuario individual son personales e intransferibles, no pudiendo compartirlos nunca con otras personas, y el usuario es el responsable último de las consecuencias que se puedan derivar del mal uso, la divulgación, o la pérdida de estas.

Cada usuario será responsable de la confidencialidad de su contraseña, en caso de que esta sea conocida fortuitamente o fraudulentamente por personas no autorizadas, tiene que informar al Responsable de Seguridad porque lo grabe como una incidencia y tendrá que proceder a su cambio.

Para garantizar la confidencialidad de las credenciales cada individuo será responsable de emplear contraseñas que no sean fácilmente averiguables, cambiar la contraseña inicial temporalmente asignada durante la primera conexión al sistema, cambiarla periódicamente cada tres meses y ante cualquier sospecha de incidente de suplantación de la identidad del usuario.

Está expresamente prohibido:

• Intentar averiguar o descifrar las claves de otro usuario y suplantar su identidad.
• Intentar aumentar el nivel de privilegios de un usuario, para acceder a los recursos del sistema sin autorización expresa del gestor funcional o el administrador de la aplicación.

6.7. Uso de recursos de los sistemas.

Los sistemas de información, redes, estaciones de trabajo y el resto de recursos informáticos empleados dentro del Departamento son de uso exclusivo del Departamento. Los usuarios serán responsables de la correcta utilización de los sistemas de información y en general de todos los recursos informáticos a los cuales tienen acceso para la realización de las tareas y las funciones que tienen encomendadas, sin incurrir en actividades que puedan ser consideradas ilícitas, ilegales, contrarias a la normativa establecida o que vulneren los derechos de los afectados.

Los usuarios tienen la obligación de usar sólo los recursos de los sistemas de información que la empresa pone a su alcance, siempre y de acuerdo con las directrices establecidas en el Documento de Seguridad y la normativa legal vigente.

En relación a la estructura, situación y organización de los datos, tendrán que seguir las directrices siguientes:

• Trabajar siempre en las unidades de red.
• Definir áreas comunes de trabajo en los servidores, para los grupos que necesiten compartir ficheros con datos personales.
• Velar por la seguridad de los datos de los ficheros temporales.
• Borrar cualquier extracción o fichero temporal, la generación del cual haya sido necesaria en el desarrollo de las atribuciones del usuario, una vez finalice la razón por la cual va ser creado.

Queda expresamente prohibido:

• Destruir, alterar, inutilizar o dañar los datos, documentos, software, hardware o cualquier sistema de información propiedad de la empresa o de terceros, que se encuentren dentro de las instalaciones de la empresa o en su custodia.
• Obstaculizar de forma deliberada el acceso otros usuarios a la red mediante el consumo masivo de los recursos informáticos o telemáticos.
• Instalar software a la estación de trabajo de la empresa sin contar con el apoyo del servicio de atención al usuario.
• Borrar cualquier de los programas o herramientas legalmente instaladas propiedad de la empresa.
• Desactivar el software antivirus.
• Emplear programas informáticos estándares de uso comercial, sin disponer de la correspondiente licencia, como también la reproducción, cesión, transformación o comunicación no autorizada de cualquier producto propiedad de la empresa.
• Introducir deliberadamente dispositivos, programas, virus o secuencia de caracteres que causen, o sean susceptibles de causar, cualquier tipo de alteración en los sistemas de información de la empresa y que no hayan sido autorizados previamente.

Así mismo, se evitará el uso de los recursos informáticos de la empresa para actividades que no tengan una relación directa con el puesto de trabajo del usuario.

6.8. Gestión de incidencias.

Cualquier usuario que tenga conocimiento de una incidencia es responsable de la comunicación de esta o, si se tercia, de su registro en el sistema de registro de incidencias de los ficheros.

El conocimiento y la no notificación de una incidencia por parte de un usuario se consideran como una falta contra la seguridad de los ficheros por parte de este usuario.

6.8.1. Notificación de incidencias.

Los usuarios tienen el deber de comunicar, de manera inmediata, cualquier incidencia, anomalía o sospecha que afecte o pueda afectar a:

• La protección, la calidad o la disponibilidad de los datos de los sistemas de información o de los expedientes en formado papel.
• El uso responsable de los recursos informáticos.
• El tratamiento o la cesión de los datos conforme la normativa vigente.
• El ejercicio de los derechos de los afectados.

Esta comunicación se hará al gestor funcional de la aplicación, al servicio de atención al usuario o el jefe de servicio de la unidad afectada según la tipología de incidencia detectada.
6.8.2. Incidencias informáticas.

Si la incidencia está relacionada con el acceso a los sistemas de información, su disponibilidad, la estación de trabajo o los dispositivos móviles de la empresa se notificarán el caso inmediatamente al servicio de atención al usuario, por los canales establecidos a tal efecto.

Las incidencias relativas a los accesos y autorizaciones a los sistemas de información serán siempre informadas también a los gestores funcionales de las aplicaciones.

Son ejemplos:

• La suplantación o sospecha de suplantación de la identidad del usuario.
• La compartición de identificadores y claves de acceso entre usuarios.
• El acceso no autorizado a los datos y los sistemas. La extracción y revelación de las mismas.
• Intentar leer, borrar, copiar o modificar mensajes de correo o archivos otros usuarios.
• El acceso físico no autorizado en las salas técnicas.
• El robo o pérdida de dispositivos portátiles o móviles (Tablets, pdas, portátiles, etc.)
• La carencia de disponibilidad de los sistemas.
• La recepción de correos injuriosos o malintencionados: SPAM, Phising, correos difamatorios, abuso del derecho a la intimidad, etc.

• Alteración de las medidas de protección o el software a la estación de trabajo del usuario.
• La desactivación de las medidas de protección de los sistemas (claves, etc.)
• Virus y otros códigos maliciosos.

En cuanto al personal técnico:

• Ataques o intentos de ataque a los sistemas.
• La ausencia o fallo de copias de seguridad de sistemas o bases de datos.
• La destrucción no autorizada o certificada de los soportes con copias de seguridad de la empresa.
• El robo o pérdida de soportes con copias de seguridad de la empresa.
• La activación del plan de contingencias ante un desastre.
• La ejecución de pruebas con datos reales sin disponer de medidas de seguridad equivalentes al entorno productivo.

6.9. Incumplimiento de principios básicos L.O.P.D. e incidencias derivadas del uso de soportes de información.

Las incidencias relativas al incumplimiento de los principios básicos de la L.O.P.D. y aquellas relacionadas con el tratamiento de expedientes en papel y los soportes de información que no son propiedad de la empresa serán notificadas al Jefe del Servicio del usuario.

Son ejemplos:

• La recogida de datos de carácter personal sin consentimiento del afectado cuando es exigible o sin facilitar información sobre las finalidades.
• El incumplimiento del ejercicio de derechos del afectado en los plazos establecidos por la ley.
• La cesión no autorizada de datos o sin disponer del consentimiento, cuando sea aplicable, del afectado.
• La vulneración del deber de secreto.
• La destrucción o pérdida, ya sea accidental o deliberada, de expedientes en papel otros soportes (DVD, USB,..)
• Desprenderse de un soporte sin haber borrado la información previamente.
• Enviar o divulgar sin autorización información personal al exterior, mediante cualquier soporte material, incluido adjuntos en un correo electrónico.

6.10. Uso del correo electrónico.

Utilizar el correo electrónico de forma digna y responsable. El uso del correo electrónico corporativo nos representa personalmente pero también como miembros de la empresa y por allá donde pasamos estamos dejando una tarjeta de visita.

Se considerará correo electrónico tanto el interno, entre los terminales de la red corporativa, como el externo, el cual vaya dirigido o provenga otras redes públicas o privadas y, especialmente, el de Internet.

El sistema informático, la red interna, el software y los terminales utilizados por los trabajadores son propiedad de la empresa. Es por eso que ningún correo electrónico enviado o recibo desde los sistemas informáticos de la empresa puede tener la consideración de personal. Los trabajadores no podrán cifrar los mensajes y si lo hacen tendrá que ser con herramientas aprobadas o de forma que la empresa pueda abrirlos en caso de necesidad.

El servicio de correo electrónico tiene que ser empleado únicamente para la comunicación de aspectos relacionados con el desarrollo del trabajo diario y/o el cumplimiento de las obligaciones laborales.

El correo electrónico puede ser utilizado incidentalmente para propósitos personales siempre que:

• No signifique un gasto importante de tiempo.
• No pueda malograr el equipamiento.
• No tenga como objetivo el lucro personal.
• No se trate de envíos masivos.
• No se trate de mensajes en cadena o de tipo piramidal.
• No se envíen contenidos expresamente prohibidos en este documento.

A través del correo electrónico, no se procederá a la difusión masiva y genérica de comunicados, noticias o información de carácter particular. El uso del correo electrónico se circunscribe a las comunicaciones interpersonales y entre grupos reducidos las comunicaciones de los cuales tendrán que estar relacionadas directamente con el objeto del mensaje. La difusión de la información general se efectuará a través de la Intranet corporativa y de los canales específicos que la empresa establezca al efecto.

Los usuarios son responsables de todas las actividades realizadas con las cuentas de acceso y su respectivo buzón de correos proveído por la administración.

Los usuarios no tendrán que permitir la utilización de la cuenta y/o el correspondiente buzón a personas no autorizadas.

Los usuarios tienen que ser conscientes de los riesgos que comporta el uso indebido de las direcciones de correo electrónico suministradas por la administración.

Está prohibida la utilización, en los equipos informáticos proveídos por la administración, de buzones de correo electrónico otros proveedores de Internet.

Queda expresamente prohibida la conexión en redes o sistemas exteriores de los puestos de trabajo desde los cuales se realiza el acceso a los ficheros. La revocación de esta prohibición será autorizada por el responsable de los ficheros, quedando constancia de esta modificación en el libro de incidencias.

De acuerdo con lo dispuesto en la Ley 34/2002, de Servicios de la Sociedad de la Información y Comercio Electrónico, modificada por la Ley 32/2003 General de Telecomunicaciones, está terminantemente prohibido el SPAM, envío de información que no haya sido previamente solicitada o debidamente autorizada.

6.11. Propiedad intelectual e industrial.

Queda estrictamente prohibido el uso de programas informáticos sin la correspondiente licencia, así como el uso, reproducción, cesión, transformación o comunicación pública de cualquier tipo de programa informático protegido por los derechos de propiedad intelectual o industrial.

6.12. Responsabilidad.

El incumplimiento de las obligaciones y medidas de seguridad establecidas en el presente documento por el personal afectado puede comportar consecuencias de diferente índole (laboral, civil, penal, etc.), en conformidad con la normativa legal vigente.

7. RESPONSABLE DELOS FICHEROS

7.1. El Responsable del Fichero.

7.1.1. Función.

El responsable de los ficheros es la persona física o jurídica que tiene la responsabilidad de definir las medidas de seguridad establecidas en este documento.

Además, implantará las medidas de seguridad establecidas en él y adoptará las medidas necesarias porque el personal afectado por este documento conozca las normas que afectan el desarrollo de sus funciones.
7.1.2. Designación del Responsable del Fichero.

BIKESANDRENTAL SL, S.L.U. con NIF/CIF Nº: B98640816 y domicilio en: C/ MAESTRO PALAU 10, PTA.2 Código Postal: 46008 Población: VALENCIA Provincia: VALENCIA
7.1.3. Obligaciones.

El responsable de los ficheros implantará las medidas de seguridad establecidas en este documento y garantizará la difusión del mismo entre todo el personal que lo tenga que utilizar.

Tendrá que mantenerlo actualizado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o, si se tercia, como consecuencia de los controles periódicos realizados, así mismo, de adecuar en todo momento el contenido a las disposiciones vigentes en materia de seguridad de datos.
7.1.4. Entorno a sistema operativo y de comunicaciones.

Aprobará o designar al administrador que se responsabilizará del sistema operativo y de comunicaciones que tendrá que estar relacionado en el anexo C.
7.1.5. Sistema informático o aplicaciones de acceso a los ficheros.

El responsable de los ficheros se encargará que los sistemas informáticos de acceso a estos tengan su acceso restringido mediante un código de usuario y una contraseña.

También tendrá cuidado que todos los usuarios autorizados para acceder a los ficheros, relacionados al Anexo C, tengan un código de usuario que será único, y que estará asociado a la contraseña correspondiente, que sólo será conocida por el propio usuario.

En el supuesto de que haya un contrato de prestación de servicios por el cual se establece un Encargado del Tratamiento de datos, su identificación estará disponible en el anexo D.

La duración del contrato de prestación de servicios estará especificada en el contrato, pero si por algún motivo no fuera así, se entenderá de duración indefinida, mientras ninguna de las partes decida el contrario.

Si el Encargado del Tratamiento presta sus servicios en los locales del responsable de los ficheros, este último se tiene que asegurar que el personal del Encargado del Tratamiento cumple todas las medidas de seguridad previstas en este documento de seguridad. En el supuesto de que el tratamiento de datos se realice en los locales del encargado del tratamiento, se tiene que reflejar este extremo en el presente documento de seguridad.

Si hay conexiones remotas a los datos, todo el personal del Encargado del Tratamiento también tiene que cumplir las medidas de seguridad establecidas en este documento.

En el caso de documentos en papel o ficheros no automatizados, el Responsable del Fichero se tiene que asegurar que sólo acceda a ellos el personal autorizado en el anexo C.

Adicionalmente, el Responsable del Fichero adoptará las medidas adecuadas para limitar el acceso del personal a datos personales para la realización de trabajos que no impliquen el tratamiento de datos personales.
7.1.6. Salvaguarda y protección de las contraseñas personales.

Sólo las personas relacionadas al Anexo C, podrán tener acceso a los datos de los ficheros.
7.1.7. Gestión de soportes.

La salida de soportes informáticos que contengan datos de los ficheros fuera de los locales donde estén ubicados estos ficheros tendrá que ser expresamente autorizada por el responsable de los ficheros. Del mismo modo se tiene que proceder para documentos que contengan datos de carácter personal que tengan que salir fuera del local en que se tratan.

7.1.8. Procedimientos de seguridad y recuperación.

El Responsable del Fichero se encargará de verificar cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de seguridad y de recuperación de los datos.

 

7.2. El Encargado del Tratamiento.

 

7.2.1. Definición.

La normativa vigente en materia de protección de datos define como encargado del tratamiento: “la persona física o jurídica, pública o privada, o el órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que se lo vincula y delimita el ámbito de su actuación para la prestación de un servicio. También pueden ser encargados del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados”.

Tenemos que tener presente que las personas vinculadas laboralmente al Responsable del Fichero no serán consideradas encargadas del tratamiento.
7.2.2. Relación contractual.

Para que se pueda aplicar la regulación establecida entre el Responsable del Fichero y el encargado del tratamiento, hace falta que se cumplan los requisitos del artículo 12 de la L.O.P.D. y del 20 del R.L.O.P.D.:

• El acceso a los datos personales tiene que ser necesario para la prestación de un servicio al responsable del tratamiento.
• El servicio prestado por el Encargado del Tratamiento puede tener o no carácter remunerado y ser temporal o indefinido.
• La realización de tratamientos por cuenta de terceros se tiene que regular en un contrato que tiene que constar por escrito o alguna otra forma que permita acreditar la concertación y el contenido. En este contrato se tiene que hacer constar de manera expresa:
• Que el Encargado del Tratamiento sólo tratará los datos de acuerdo con las instrucciones del responsable del tratamiento.
• Que no las puede aplicar ni utilizar con una finalidad diferente de la que figure en el contrato.
• Que no puede comunicarlas a otras personas, ni siquiera para conservarlas. Este último requisito se matizará con la posibilidad de subcontratación que se verá en el próximo punto.
• Las medidas de seguridad que hay que implantar y que son exigibles atendiendo al tipo de datos personales que se tienen que tratar. A los artículos 82 y 83 del R.L.O.P.D. se establecen algunas especificaciones respecto del Encargado del Tratamiento que se verán en el apartado de las medidas de seguridad.
• Si, una vez cumplida la prestación contractual, los datos de carácter personal tienen que ser destruidas o retornos al responsable del tratamiento, y también cualquier soporte o documento en que conste algún dato de carácter personal objeto del tratamiento. Esto, sin perjuicio del que veremos más adelante en relación con la posibilidad de conservación de los datos por parte del encargado del tratamiento.
• El mecanismo mediante el cual el responsable del tratamiento velará porque el Encargado del Tratamiento cumpla las garantías para el cumplimiento del que dispone la normativa de protección de datos.

7.2.3. Derechos de acceso, rectificación, cancelación y oposición.

El contrato también se puede prever que la persona afectada ejerza sus derechos de acceso, rectificación, cancelación y oposición ante el encargado del tratamiento.

Ambas partes habrán definido sí:

• El encargado tiene que dar traslado de la solicitud al responsable, a fin de que este la resuelva.
• El encargado tiene que atender, por cuenta del responsable, las solicitudes de ejercicio de sus derechos por parte de las personas afectadas.

7.3. Responsable de Seguridad.

7.3.1. Función.

Cuando haya ficheros que obliguen a adoptar medidas de seguridad de nivel mediano o alto se tienen que designar uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el presente documento, sirviendo al mismo tiempo de enlace con el responsable de los ficheros, sin que esto suponga en ningún caso una delegación de la responsabilidad que corresponde a este último, de acuerdo con el R.D.L.O.P.D. 1720/2007 de 21 de diciembre.

7.3.2. Obligaciones.

El Responsable de Seguridad coordinará la puesta en marcha de las medidas de seguridad, colaborará con el responsable de los ficheros en la difusión del Documento de Seguridad y cooperará con el responsable de los ficheros controlando el cumplimiento de las mismas.

El Responsable de Seguridad asignará de forma personalizada a cada usuario del sistema de información con acceso a ficheros automatizados de nivel mediano o alto y, si se tercia, a cada usuario con acceso a documentos que contengan datos de carácter personal correspondientes a estos niveles de seguridad, las funciones y responsabilidades en relación con la confidencialidad y protección de los datos que, por su puesto de trabajo, tiene que procesar, manipular o custodiar, dejando constancia escrita de su “enterado” o “He recibido” en este documento.

7.3.3. Gestión de incidencias.

El Responsable de Seguridad habilitará un libro de incidencias a disposición de todos los usuarios y administradores de los ficheros con el fin de que se registre cualquier incidencia que pueda suponer un peligro para la seguridad de los mismos.

Analizará las incidencias registradas, tomando las medidas oportunas en colaboración con el responsable de los ficheros.

7.4. Administrador de Sistemas.

7.4.1. Función.

Serán los responsables de los máximos privilegios y, por lo tanto, de máximo riesgo que una actuación errónea pueda afectar el sistema.

Esta figura puede ser interna si pertenece a la empresa responsable del tratamiento o externa si se contrata un encargado del tratamiento.

Tendrán acceso en el software (programa y datos) del sistema, a las herramientas necesarias para su trabajo y a los ficheros o bases de datos necesarias para resolver los problemas que surjan.

7.4.2. Obligaciones.

7.4.2.1. Entorno al sistema operativo y de comunicaciones.

Ninguna herramienta o programa de utilidad que permita el acceso a los ficheros tiene que ser accesible a ningún usuario o administrador no autorizado en el anexo C.

La norma anterior incluye cualquier medio de acceso en bruto, es decir no elaborado o editado, a los datos de los ficheros, como los llamados editores universales, analizadores de ficheros, etc., que tendrán que estar bajo el control de los administradores autorizados relacionadas en la anexo G.

El administrador se tendrá que responsabilizar de guardar en un lugar seguro las copias de seguridad y soportes de los ficheros, de forma que ninguna persona no autorizada tenga acceso a estas.

Si la aplicación o sistemas de acceso a los ficheros utilizaran usualmente ficheros temporales o cualquiera otro medio en el cual pudieran ser grabadas copias de los datos protegidos, el administrador se tiene que asegurar que estos datos no sean accesibles posteriormente para personal no autorizado.

Estos ficheros temporales tienen que ser borrados cuando dejen de ser necesarios para los hasta que motivaron su creación.

En el caso de copias de trabajo de documentos, estas sólo estarán a disposición del personal autorizado y tendrán que ser destruidas cuando no sean ya necesarias para el fin para el cual fueron creadas.

Si los ordenadores en que están ubicados los ficheros están integrados en una red de comunicaciones de forma que desde otros ordenadores conectados a la misma sea posible el acceso a los ficheros, el administrador responsable del sistema se tiene que asegurar que este acceso no se permita a personas no autorizadas.

7.4.2.2. Sistema informático o aplicaciones de acceso a los ficheros.

Si las aplicaciones informáticas con acceso a los ficheros no cuentan con un control de accesos, tendrá que ser el sistema operativo donde se ejecuta esta aplicación el que impida el acceso no autorizado, mediante el control de los mencionados códigos de usuario y contraseñas.
7.4.2.3. Salvaguarda y protección de las contraseñas personales.

Las contraseñas se gestionarán mediante el mecanismo que se determina en el anexo I. Este mecanismo de asignación y distribución de las contraseñas tiene que garantizar la confidencialidad de las mismas. En ningún caso el tiempo máximo de cambio de las contraseñas será superior a un año.

Mientras sean vigentes, las contraseñas se guardarán de manera ininteligible. El archivo donde se almacenan las contraseñas tendrá que estar protegido y bajo la responsabilidad del administrador del sistema.

8. EJERCICIO Y TUTELA DE LOS DERECHOS DE LOS AFECTADOS

La empresa, parte de la premisa que la persona que nos entrega sus datos (o su representante legal), es la verdadera propietaria, y por lo tanto puede ejercer entrega el derecho de acceso, rectificación, cancelación y oposición de los datos, cuando así lo decida.

Cualquier ciudadano que lo solicite y se identifique ante la empresa (Responsable de fichero), tendrá derecho a obtener, en un plazo máximo de un mes, sus datos de carácter personal sometidas a tratamiento, así como de las comunicaciones o cesiones que se han hecho a otros organismos o entidades.

A la vez, podrá obtener información a través de un representante legal cuando este se encuentre en situación de discapacitado o minoría de edad que le imposibilite el ejercicio personal de sus derechos. En este caso será necesario que el representante legal acredite esta condición.

La empresa tiene la obligación de hacer efectivo el derecho de rectificación, cancelación y oposición del interesado en el plazo de 10 días. En el caso de que sus datos hayan sido comunicados previamente a otras entidades, se tendrá que notificar la rectificación o cancelación a quien se haya comunicado.

Si un ciudadano inicia un expediente solicitando la cancelación de sus datos personales, se tendrá que proceder de acuerdo con el que establece la instrucción 1/1998 de 19 de enero, de la Agencia de Protección de Datos de Carácter Personal.

El interesado tendrá que utilizar cualquier medio que permita acreditar el envío y recepción de la su solicitud. El Responsable del Fichero tendrá que responder la solicitud con independencia de que figuren datos personales del interesado en sus ficheros, teniendo que utilizar cualquier medio que permita acreditar el envío y la recepción.

La cancelación no procederá de terceros o cuando exista una obligación de conservar los datos. En este caso se tendrá que comunicar al interesado motivando la decisión de no atender la solicitud (instrucción 1/1998 de la A.E.P.D. Norma 3a artículo 5 en adelante).

En el supuesto de que se admita la solicitud, se procederá de dos formas diferentes; si se puede dar de baja el registro de información porque no hay vínculos con otras informaciones (caso de directorios, agendas, registros básicos informativos, etc.), se dará de baja sin más a los sistemas y se procederá, si procede, a destrucción del expediente o cualquier documentación asociada existente en papel, ya esté al archivo de gestión o el archivo central.

Si la información de carácter personal se requiere para la atención de potenciales reclamaciones de prestaciones, servicios, subvenciones y ayudas económicas procederemos durante el periodo de prescripción de las responsabilidades derivadas del tratamiento a:

• Bloquear el expediente del afectado.
• Colocar en los campos identificativos (nombre, dirección, teléfono, etc.) el número expediente, así podremos seguir manteniendo la información que nos interesa en línea, eso sí, sin datos personales.
• Al finalizar el plazo de prescripción de las responsabilidades mencionadas borraremos estos expedientes de los sistemas y requeriremos su destrucción del archivo.

8.1. Garantías y procedimientos para el ejercicio de los derechos de acceso, rectificación, y cancelación (derechos A.R.C.O.).
8.2. Derechos y Garantías de los afectados.

Los principales derechos de los afectados en materia de protección de datos de carácter personal, independientemente de los que constituyen por contrapartida deberes y obligaciones del responsable de fichero, son los derechos de acceso, rectificación y cancelación (derechos A.R.C.O).
8.3. Requisitos generales de estos derechos.

A continuación procederemos a definir las características principales de estos derechos y los requisitos esenciales para su ejercicio, así como las obligaciones y tramites procedentes a tener en cuenta por el Responsable del Fichero ante una eventual solicitud para ejercer los mismos.

Características de estos derechos:

*Personalísimos: Estos derechos son personalísimos y serán ejercidos por el afectado frente al responsable del fichero, por lo cual será necesario que el afectado acredite la identidad del responsable.

Podrá actuar el representante legal, cuando el afectado se encuentre en una situación de incapacidad o minoría de edad, que le imposibilite el ejercicio de sus derechos.

En estos supuestos el representante legal tendrá que acreditar su condición mediante la documentación pertinente a tal efecto.

*Independencia: los derechos de acceso, rectificación y cancelación son independientes, no constituyendo el ejercicio de cabeza de ellos requisito previo para el ejercicio del otro.

*Solicitud: los derechos se ejercen intermediando solicitud dirigida en el Responsable del Fichero que contendrá:

• Nombre y apellidos del interesado.
• Fotocopia del D.N.I., así como en los casos permitidos documentos acreditativos de la condición de representante legal. (El D.N.I. podrá ser sustituido por otros documentos, siempre que se acredite la identidad de la persona, por cualquier de los otros medios admitidos en derecho).
• Petición en que se concreta la solicitud.
• Domicilio a efectos de las notificaciones.
• Fecha y firma del solicitante.
• Documentos acreditativos o complementarios a la petición que se formula.

El interesado tendrá que utilizar cualquier medio que permita acreditar el envío y la recepción de la su solicitud.

Respuesta debida: El Responsable del Fichero tendrá que contestar la solicitud que se le dirija, con independencia que figuren o no datos personales del afectado en sus ficheros. Por lo tanto, siempre tendrá que contestar.

Si la solicitud no reúne los requisitos expuestos en el apartado anterior, el Responsable del Fichero tendrá que requerir la enmienda de los mismos.

En cualquier caso, el responsable del fichero, empleará algún medio que permita acreditar el envío de estas comunicaciones y la recepción de la respuesta.
8.4. Información y ayuda al ejercicio.

El Responsable del Fichero facilita mediante estas políticas descritas en los apartados anteriores, la información y formación necesaria para garantizar a los usuarios de la empresa, el pleno ejercicio de sus derechos de acceso, rectificación y cancelación.

A tal efecto, se distribuirá copia de este Documento de Seguridad al personal con acceso a los datos, porque dispongan de la formación necesaria para atender a los afectados y facilitarlos la información para ejercer los derechos que los reconoce la Ley Orgánica de Protección de Datos Personales, todo esto en cumplimiento del que dispone la norma primera apartado quinto de la Instrucción 1/1998.

El personal mantendrá a disposición del público los modelos para el ejercicio de estos derechos, encargándose de su reposición y puesta a disposición del público cuando se los solicite, así como facilitará toda la información necesaria para su correcta presentación.

8.5. Derecho de Acceso.

El interesado tiene derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal incluidas en los ficheros de esta empresa, el origen de estos datos, así como las comunicaciones realizadas o que se prevé que se tienen que realizar.
8.6. Medios de acceso.

En el ejercicio de este derecho, el afectado podrá optar por uno de los siguientes sistemas de consulta del fichero, siempre que la configuración material del mismo lo permita:

• Visualización en pantalla.
• Escrito, copia o fotocopia remitida por correo o por *Burofax
• Cualquiera otro procedimiento que sea adecuado a la configuración de implantación material del fichero.

8.7. Resolución.

El Responsable del Fichero resolverá sobre la solicitud de acceso en el plazo máximo de un mes a contar desde la recepción de la solicitud.

Transcurrido este plazo sin que se responda a la solicitud, esta podrá entenderse desestimada a efectos de interposición de la reclamación prevista en el artículo 18 de la Ley Orgánica de Protección de Datos de Carácter Personal.

En el supuesto de que no se disponga de datos personales de los afectados, habrá igualmente de comunicárselo en el mismo plazo.

Si la resolución es estimatoria, el acceso se hará efectivo en los 10 días siguientes a la notificación de aquella.

8.8. Denegación.

El Responsable del Fichero podrá denegar el acceso a los datos de carácter personal cuando el derecho se haya ejercitado en un intervalo inferior a doce meses y no se acredite interés legítimo con este fin así como cuando la solicitud sea formulada por persona diferente del afectado.

8.9. Información.

La información, cualquier que sea el apoyo, se facilitará de forma legible o inteligible, previa transcripción, si se tercia, y comprenderá todos los datos de base del afectado, los resultantes de cualquier proceso informático, así como el origen de los datos, los cesionarios de los mismos y la especificación de los usos y finalidades por las cuales se almacenaron.

En el supuesto de que provengan de fuentes diversas, tendrán que especificarse las mismas, identificando la información que proviene de cada una de ellas.

8.10. Derechos de rectificación y cancelación.

Si los datos son inexactos, incompletos, inadecuados y/o excesivos, se podrá solicitar al responsable de los ficheros la rectificación o, si procede, la cancelación de los mismos.

Efectividad: Los derechos de rectificación y cancelación se harán efectivos por el responsable de los ficheros dentro de los 10 días siguientes al de la recepción de la solicitud. Si los datos rectificados o cancelados hubieran sido cedidos previamente, el Responsable del Fichero tendrá que notificar la rectificación o cancelación efectuada al cesionario, en idéntico plazo, porque este, a su vez, la lleve a cabo en su fichero.

Solicitud de rectificación: La solicitud de rectificación tendrá que indicar el dato que es errónea y la corrección que tiene que realizarse y tendrá que ir acompañada de la documentación justificativa de la rectificación solicitada, salvo que la misma dependa exclusivamente del consentimiento del interesado.

Solicitud de cancelación: la solicitud de cancelación, el interesado tendrá que indicar si revoca el consentimiento otorgado, en los casos en que la revocación proceda, o si, por el contrario, se trata de un dato erróneo o inexacto, en este caso tendrá que acompañar la documentación justificativa.

Improcedencia de la cancelación: La cancelación no procederá cuando pudiera causar un perjuicio a intereses legítimos del afectado o a terceros o cuando existiera una obligación de conservación de los datos.

Contestación: Si solicitada la rectificación o cancelación, el Responsable del Fichero considera que no procede atender a la solicitud del afectado, se le comunicará motivadamente dentro del plazo de los diez días siguientes al de la recepción de la misma, a fin de que por este se pueda hacer uso de la reclamación correspondiente.

Transcurrido el plazo de los cinco días sin que de forma expresa se responda a la solicitud de rectificación o cancelación, esta podrá entenderse desestimada a efectos de la interposición de la reclamación que corresponda.

Efectos de la cancelación: La cancelación de entrada exige el borrado físico de los datos, sin que sea suficiente a estos efectos una marca lógica, o el mantenimiento de otro fichero alternativo en el cual se registren las bajas producidas.

En los casos que, siendo procedente la cancelación de los datos, no sea posible su extinción física, tanto por razones técnicas como a causa del apoyo utilizado, el Responsable del Fichero procederá al bloqueo de los datos con el fin de impedir su posterior proceso o utilización.

Se exceptúa, sin embargo, el supuesto en el cual se demuestre que los datos han sido recogidas o registradas por medios fraudulentos, desleales o ilícitos en este caso la cancelación de las mismas comportará siempre la destrucción del apoyo en qué aquellas figuraban.

La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las administraciones públicas, jueces y tribunales.

Cuando acabe el plazo de prescripción de las posibles responsabilidades nacidas del tratamiento, tendrá que proceder al borrado físico de los datos.

En los casos que, siendo procedente la cancelación de los datos, no sea posible su extinción física, tanto por razones técnicas como a causa del apoyo utilizado, el Responsable del Fichero procederá al bloqueo de los datos con el fin de impedir su posterior proceso o utilización.
8.11. Derecho de oposición.

Cualquier interesado puede oponerse al tratamiento de sus datos cuando no haya un interés legítimo por la empresa para tratarlas; cuando se usen para enviar publicidad sin su consentimiento o sean tratadas automáticamente sin intervención humana.

8.12. Efectividad.

El derecho de oposición se hará efectivo por el Responsable del Fichero dentro de los 10 días siguientes al de la recepción de la solicitud. Si los datos hubieran sido cedidos previamente, el Responsable del Fichero tendrá que notificar la oposición efectuada al cesionario, en idéntico plazo, porque este, a su vez, la lleve a cabo en su fichero.

8.13. Solicitud de oposición.

La solicitud de rectificación tendrá que indicar los motivos fundados y legítimos y tendrá que ir acompañada de la documentación justificativa que lo demuestre.

8.14. Denegación del derecho de oposición al tratamiento de los datos.

La empresa podrá denegar la oposición al tratamiento de los datos cuando alegue tener un interés legítimo o cuando existiera una obligación de conservación de los datos.

8.15. Contestación:

Si el Responsable del Fichero considera que no procede atender a la solicitud del afectado, se le comunicará motivadamente dentro del plazo de los diez días siguientes al de la recepción de la misma, a fin de que por este se pueda hacer uso de la reclamación correspondiente.

9. PRINCIPIOS DE LA POLÍTICA DE PROTECCIÓN DE DATOS.

La implantación de la política de Protección de Datos de Carácter Personal tiene que involucrar todo el personal de la organización con acceso al Fichero o al Tratamiento. El Responsable del Fichero o de su Tratamiento tomará las medidas oportunas para el conocimiento de todo el personal con acceso de los principios básicos que tienen que estar regidos por la política de protección de datos.
9.1. Tratamiento de los Datos.

Los datos tienen que ser tratadas de manera leal, de acuerdo con las prescripciones dictadas por el Responsable del Fichero y cumpliendo rigurosamente las condiciones y las limitaciones impuestas por este Documento de Seguridad y lícita, cumpliendo el prescrito en la normativa sobre Protección de Datos de Carácter Personal vigente.

9.2. Calidad de los datos y Conservación.

Los datos que se recaudan de los interesados tienen que ser adecuados y pertinentes y no excesivos respecto a la finalidad determinada para la cual se hayan obtenido. No se podrán utilizar para finalidades distintas para las cuales se recogieron. Los datos tienen que estar almacenados de forma que permitan el ejercicio del derecho de acceso. En ningún caso se podrán utilizar para su recogida medianos fraudulentos, desleales o ilícitos.

Los datos tienen que ser exactos y tienen que estar al día. En caso de no ser así, tienen que ser cancelados o sustituidas de oficio. Los datos personales siempre tienen que responder con veracidad a la situación actual del afectado. Tampoco se podrán mantener los datos personales al fichero cuando hayan dejado de ser necesarias o pertinentes para la finalidad para la cual hubieran sido recaudadas o registradas.

Los datos tienen que ser conservadas en una forma que permita la identificación de los interesados durante un periodo no superior al necesario para los fines para los cuales fueron recogidos o para los cuales se traten posteriormente.
9.3. Derechos de los afectados.

El personal de la organización con funciones de acceso al Fichero tiene que velar por la tutela y el normal ejercicio de los derechos de los afectados, poniendo en conocimiento del Responsable del Fichero o de aquel a quién este hubiera designado, sobre cualquier incidencia que pueda afectar el normal ejercicio y tutela de los derechos de los afectados.

La tutela de los derechos de los afectados se extiende, lógicamente, no sólo al normal ejercicio de sus derechos frente al Responsable del Fichero, sino en el cumplimiento de todas aquellas obligaciones que la normativa impone al Responsable del Fichero y que constituyen la garantía de la preservación de los derechos de los afectados como, por ejemplo, el derecho de información previa a los afectados en la recogida de sus datos de carácter personal.

 

9.4. Seguridad de los datos y el Deber de Secreto.

Se tiene que garantizar la seguridad de los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado. Todo el personal de la organización con funciones de acceso al Fichero o Tratamiento, tendrá que poner en conocimiento del Responsable del Fichero cualquier incidencia que altere o pueda alterar el principio de seguridad de los datos, por las leyes y el procedimiento establecido en este Documento.

El Responsable del Fichero y quien intervenga en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional sobre los datos y tienen el deber de guardarlo. Estas obligaciones todavía subsistirán después de finalizar sus relaciones con el titular del fichero o, si procede, con su responsable.

10. VIDEOVIGILANCIA

10.1. Principios Generales:

10.1.1. Exclusiones:

Se excluyen del presente procedimientolos datos personales grabados para el uso o finalidad doméstica de conformidad con lo establecido en en el artículo 2a) de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, es decir, por lo que hace al tratamiento de datos personales y a la libre circulaciónde estos datos únicamente contempla «las actividades que se inscriben en el marco de la vida privada o familiar de los particulares» y no otros diferentes.

Tampoco se aplicará al tratamiento de imágenes cuando estas se utilitzen para el ejercicio de sus funciones por parte de las Fuerzas i Cuerpos de Seguridad, que está cubierto por normas específicas, todo y que estos tratamientos tambien deberán cumplir las garantias establecidas por la Ley Orgánica 15/1999.

10.1.2. Ámbito objetivo.

El procedimientose aplica al tratamiento de datos personales de imágenes de personas físicas identificadas o identificables, con finalidades de vigiláncia a través de sistemas de cámaras y cámaras de vídeo.

El tratamiento de imágenes comprende la captación, registro, transmisión, conservación, y almacenamiento de les imágenes captadas por los sistemas de videovigiláncia, incluída su reproducción o emisión en tiempo real, así como el tratamiento que resulte de los datos personales relacionados conestas.

Se considerará identificable una persona cuando su identidad pueda determinarse mediante los tratamientos que se encuentren incorporados en este procedimiento.

10.1.3. Procedimiento:

I.- Inscripción de un fichero de VIDEOVIGILANCIA en la A.E.P.D.

II.– Tener el Informe técnico que ha de contener como mínimo información del sistema de videovigilancia empleado:

a) Plan de ubicación de les cámaras de seguridad en la empresa y su enfoque.

b) Número de cámaras de registro conectadas al Sistema de Seguridad características fundamentales (número de serie i óptica)

c) Descripción técnica de las características del servidor informático que procesa las imágenes captadas

d) Tipo de transmisiones utilizadas para la conexión de las cámaras al servidor receptor.

III.-Establecer un sistema de copias i almacenamiento de les imágenes captadas per les cámaras de videovigilancia.

IV.- El Responsable del tratamiento de los datos del Fichero “VIDEOVIGILANCIA”, será el que haya estado nombrado como Responsable de Seguridad de los Sistemas de información de la empresa.

V.-Poner a la disposición de los interesados el formulario para la cancelación de datos por parte de la organización.

11. DEFINICIONES.

Para la correcta implantación de las medidas de carácter técnico y organizativo contenidas en el Documento de Seguridad, es necesario incluir las definiciones que nos da la normativa sobre los términos usados.

Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquiera otro tipo que concierne personas físicas identificadas o identificables.

Fichero: todo conjunto organizado de datos de carácter personal que permita el acceso a los datos de acuerdo con unos criterios determinados, sea cual sea la forma o la modalidad de la creación, almacenamiento, organización y acceso del fichero.

Fichero no automatizado: Cualquier conjunto de datos de carácter personal organizado de forma no automatizada y estructurado de acuerdo con criterios específicos relativos a personas físicas que permitan acceder sin esfuerzos desproporcionados a sus datos personales, tanto si aquel es centralizado, descentralizado o repartido de forma funcional o geográfica.

Tratamiento de datos: Cualquier operación o procedimiento técnico, ya sea automatizado o no, que permita la recogida, la grabación, la conservación, la elaboración, la modificación, la consulta, la utilización, la modificación, la cancelación, el bloqueo o la supresión de datos, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

Responsable del Fichero o del Tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que suele o conjuntamente con otros decida sobre la finalidad, el contenido y el uso del tratamiento, aunque no lo haga materialmente.

Afectado o interesado: Persona física titular de los datos que son objeto del tratamiento.

Encargado del Tratamiento: La persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que se lo vincula y delimita el ámbito de su actuación para la prestación de un servicio.

Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la cual el interesado permite el tratamiento de datos personales que le conciernen.

Cesión o comunicación de datos: Tratamiento de datos que implica revelarlas a una persona diferente de la persona interesada.

Accesos autorizados: Autorizaciones concedidas a un usuario o usuaria para utilizar los diversos recursos. Si se tercia, tienen que incluir las autorizaciones o funciones que tenga atribuidas un usuario por delegación del Responsable del Fichero o tratamiento o del responsable de seguridad.

Autenticación: Procedimiento de comprobación de la identidad de un usuario.

Contraseña: Información confidencial, frecuentemente constituida por una cadena de caracteres, que se puede usar para autenticar un usuario o para acceder a un recurso.

Control de acceso: Mecanismo que, en función de la identificación ya autenticada, permite acceder a datos o recursos.

Copia de seguridad: Copia de los datos de un fichero automatizado en un soporte que posibilite recuperarlas.

Documento: Cualquier escrito, gráfico, sonido, imagen o cualquier otra clase de información que se puede tratar en un sistema de información como una unidad diferenciada.

Ficheros temporales: Ficheros de trabajo creados por usuarios o procesos que son necesarios para un tratamiento ocasional o como paso intermedio durante la realización de un tratamiento.

Identificación: Procedimiento de reconocimiento de la identidad de un usuario o usuaria.

Incidencia: Cualquier anomalía que afecte o pueda afectar la seguridad de los datos.

Perfil de usuario: Accesos autorizados a un grupo de usuarios.

Recurso: Cualquier parte componiendo de un sistema de información.

Responsable de seguridad: Persona o personas a las cuales el Responsable del Fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables.

Sistema de información: Conjunto de ficheros, tratamientos, programas, soportes y, si se tercia, equipos utilizados para el tratamiento de datos de carácter personal.

Sistema de tratamiento: Manera como se organiza o utiliza un sistema de información. Atendiendo el sistema de tratamiento, los sistemas de información pueden ser automatizados, no automatizados o parcialmente automatizados.

Soporte: Objeto físico que almacena o contiene datos o documentos, u objeto susceptible de ser tratado en un sistema de información y sobre el cual se pueden registrar y recuperar datos.

Transmisión de documentos: Cualquier traslado, comunicación, envío, entrega o divulgación de la información que contiene.

Usuario: Sujeto o proceso autorizado para acceder a datos o recursos. Tienen la consideración de usuarios los procesos que permiten acceder a datos o recursos sin identificación de un usuario físico.