DOCUMENTO DE SEGURIDAD FINCAS GALICIA GESTION INMOBILIARIA ... de Seguridad FINCAS GALICI… ·...

DOCUMENTO DE SEGURIDAD

FINCAS GALICIA GESTION INMOBILIARIA, S.L.


[email protected] 2 Tfno. 91 352 56 39 www.gie.es

INDICE DEL DOCUMENTO DE SEGURIDAD 1. Objeto del documento de seguridad ............................................................................................. 5

2. Ámbito de aplicación ..................................................................................................................... 5

3. Recursos protegidos ..................................................................................................................... 5

4. Medidas de seguridad................................................................................................................... 6

4.1. Medidas de seguridad comunes a la totalidad de ficheros y sistemas de tratamiento ........ 6

4.2. Medidas de seguridad aplicables a ficheros automatizados ................................................ 8

A Medidas de seguridad de nivel básico .......................................................................... 8

B Medidas de seguridad de nivel medio.........................................................................11

C Medidas de seguridad de nivel alto.............................................................................12

4.3. Medidas de seguridad aplicables a ficheros no automatizados .........................................13

A Medidas de seguridad de nivel básico ........................................................................13

B Medidas de seguridad de nivel medio.........................................................................14

C Medidas de seguridad de nivel alto.............................................................................15

mailto:[email protected]



ANEXOS Anexo 1.- Datos de notificación .......................................................................................................17

Anexo 2.- Estructura del fichero (1/4) ..............................................................................................18

Anexo 3.- Descripción del sistema del tratamiento de la información .............................................34

Anexo 4.- Contrato de tratamiento de datos por cuenta de terceros ..............................................35

Anexo 5.- Inventario de encargados del tratamiento .......................................................................44

Anexo 6.- Prestación de servicios sin acceso a datos ....................................................................46

Anexo 7.- Autorizaciones .................................................................................................................47

Anexo 8.- Manual de funciones y obligaciones del personal...........................................................49

Anexo 9.- Relación de usuarios de los sistemas de información ....................................................53

Anexo 10.- Gestión de incidencias ....................................................................................................54

Anexo 11.- Gestión de soportes ........................................................................................................56

Anexo 12.- Procedimiento de respaldo y recuperación .....................................................................63

Anexo 13.- Identificación del responsable de seguridad ...................................................................64

Anexo 14.- Controles periódicos de verificación................................................................................64

Anexo 15.- Ejercicio de derechos ......................................................................................................74

Anexo 16.- Calidad de datos .............................................................................................................79




CLÁUSULAS DE INFORMACIÓN Y CONSENTIMIENTO

1. Cláusula informativa para empleados .......................................................................................82

2. Cláusula informativa para el fichero de curriculum vitae ...........................................................83

3. Cláusula informativa para clientes .............................................................................................84

4. Cláusula a incluir en los correos electrónicos ...........................................................................85

5. Cláusula informativa del fichero de video vigilancia ..................................................................86

6. Cláusula de protección de datos de carácter personal para facturas .......................................88

APLICACIÓN DE LA LEY DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN

1 Informe Ley de Servicios de la Sociedad de la Información

2 Aviso Legal

3 Política de Privacidad




1. OBJETO DEL DOCUMENTO DE SEGURIDAD

El presente documento responde a la obligación establecida en el artículo 88 del Real Decreto

1720/2007, de 21 de Diciembre, de elaborar un Documento de Seguridad en el que se regulen las

medidas de seguridad de los ficheros, automatizados o no, que contengan datos de carácter

personal.

Los ficheros de datos de carácter personal que se incluyen en el presente Documento de Seguridad,

son titularidad de FINCAS GALICIA GESTION INMOBILIARIA, S.L. (en adelante, “LA ENTIDAD”),

como Responsable del fichero.

INSCRIPCIONES EN EL REGISTRO GENERAL DE PROTECCION DE DATOS (RGPD)

A continuación se detallan todos aquellos ficheros inscritos en el RGPD, y que constituyen la base

del Sistema de Información1 del presente Documento:

NOMBRE DEL FICHERO Nº DE INSCRIPCIÓN EN EL RGPD

CLIENTES Y PROVEEDORES

NÓMINAS Y PERSONAL

2. ÁMBITO DE APLICACIÓN

Este documento ha sido elaborado bajo la responsabilidad de la entidad descrita en el apartado 1

anterior, que como Responsable del Fichero, se compromete a implantar y actualizar esta normativa

de seguridad de obligado cumplimiento para todo el personal con acceso a los datos protegidos o a

los sistemas de información que permiten el acceso a los mismos.

Todas las personas que tengan acceso a los datos del fichero, bien a través del sistema informático

habilitado para acceder al mismo, o bien a través de cualquier otro medio de acceso al fichero, se

encuentran obligadas por ley a cumplir lo establecido en este documento, y sujetas a las

consecuencias que pudieran incurrir en caso de incumplimiento.

Una copia de este documento con la parte que le afecte será entregada, para su conocimiento, a

cada persona autorizada a acceder a los datos del fichero, siendo requisito obligatorio para poder

acceder a estos datos, el haber firmado la recepción del mismo.

3. RECURSOS PROTEGIDOS

La protección de los datos del fichero frente a accesos no autorizados se deberá realizar mediante

el control, a su vez, de todas las vías por las que se pueda tener acceso a dicha información.

1 Sistema de Información: Es el conjunto de ficheros, programas, soportes y equipos empleados para el almacenamiento y

tratamiento de datos de carácter personal.




Los recursos que, por servir de medio directo o indirecto para acceder al fichero, deberán ser

controlados por esta normativa son:

1. Los centros de tratamiento y locales donde se encuentren ubicados los ficheros o se

almacenen los soportes que los contengan, su descripción figura en el anexo 1.

2. Los puestos de trabajo, bien locales o remotos, desde los que se pueda tener acceso al

fichero. La relación de esos puestos de trabajo está descrita en el anexo 1.

3. Los servidores, si los hubiese, y el entorno del sistema operativo y de comunicaciones en el

que se encuentra ubicado el fichero, que se encuentra descrito en el anexo 2.

4. Los sistemas informáticos, o aplicaciones establecidas para acceder a los datos, descritos

en el anexo 3.

4. MEDIDAS DE SEGURIDAD

4.1 MEDIDAS DE SEGURIDAD COMUNES A LA TOTALIDAD DE FICHEROS

Y SISTEMAS DE TRATAMIENTO

a. Encargados del tratamiento

Un encargado del tratamiento es aquella persona física o jurídica, pública o privada, que podrá

acceder a datos personales de responsabilidad de un tercero para prestarle un servicio. (Casos más

habituales: Gestoría, entidad de mantenimiento informático)

La LOPD exige que cuando el Responsable del fichero encomiende un tratamiento de datos a un

encargado del tratamiento, ambos deberán suscribir un contrato (escrito) de “Tratamiento por cuenta

de terceros” en el que necesariamente deberá constar:

I. Que el encargado del tratamiento únicamente tratará los datos conforme a las

instrucciones del responsable del tratamiento.

II. Que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los

comunicará, ni siquiera para su conservación, a otras personas.

III. En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere

el artículo 9 LOPD que el encargado del tratamiento está obligado a implementar.

Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos

o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que

conste alguno de dichos datos.

El anexo 4 contiene el contrato que deberá suscribir la entidad con cada encargado del tratamiento

para regular los tratamientos por cuenta de terceros.

Asimismo, el anexo 5 contempla el inventario de encargados del tratamiento de los ficheros de la

entidad.




b. Prestaciones de servicios sin acceso a datos personales

Es habitual la contratación de prestaciones de servicios con terceras entidades, cuyo desarrollo no

implique el acceso a Datos de Carácter Personal. En estos casos el contrato de prestación de

servicios deberá recoger de forma expresa la prohibición de acceder a datos personales así como

la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de

la prestación del servicio. El anexo 6 recoge esta cláusula.

c. Delegación de autorizaciones

El RLOPD atribuye al Responsable del fichero una serie de obligaciones y autorizaciones que

podrán ser delegadas en determinadas personas físicas.

El anexo 7 contiene el listado de personas habilitadas para otorgar estas autorizaciones así como

aquellas en las que recae la delegación.

En cualquier caso, esta designación no supone una delegación de la responsabilidad que

corresponde al Responsable del fichero.

d. Acceso a datos a través de redes de telecomunicaciones

Las medidas de seguridad exigibles a los accesos a Datos de Carácter Personal a través de redes

de comunicaciones, sean o no públicas, deberán garantizar un nivel de seguridad equivalente al

correspondiente a los accesos en modo local, conforme a los niveles de seguridad, básico, medio y

alto definidos en el RLOPD.

e. Régimen de trabajo fuera de los locales del Responsable del fichero o del

encargado del tratamiento

En ocasiones, será necesario el tratamiento de Datos de Carácter Personal incluidos en ficheros de

la entidad fuera de los locales donde se encuentre ubicada dicha información. Por ello, es

imprescindible dotar de las medidas de seguridad necesarias a los sistemas y a la información que

se vaya a tratar fuera de dichas dependencias.

Los supuestos en los que se contempla el tratamiento de datos fuera de los locales de la entidad y

las medidas a seguir son los siguientes:

Prestación de servicios por parte de terceros: deberá existir un contrato firmado entre la

entidad y el prestador de servicios, en el que esté contemplada la necesidad de establecer

las medidas de seguridad acordes al nivel de seguridad de los datos tratados.

Necesidades por motivos justificados de trabajo: el tratamiento de datos fuera de los

locales donde se almacenan los ficheros, se restringirá estrictamente a aquellos empleados

que lo necesiten para el desarrollo de sus funciones. En este supuesto, el usuario deberá

solicitar autorización. Además, el Responsable de Seguridad verificará que la información y

los sistemas informáticos que la almacenarán disponen de las medidas de seguridad

necesarias.




Fallo en los sistemas de información: solo se podrán tratar datos por este motivo cuando

se produzca una contingencia en los sistemas de información que requieran restaurar el

servicio informático en otra ubicación.

f. Ficheros temporales o copias de trabajo de documentos

Durante los procesos informáticos los sistemas generan ficheros temporales que en muchos casos

contienen datos personales. Por ello, se dispondrán las medidas y procedimientos oportunos para

el control y la gestión de los ficheros temporales que deberán cumplir el nivel de seguridad que les

corresponda con arreglo al tipo de datos que traten.

Todo fichero temporal será borrado una vez que haya dejado de ser necesario para los fines que

motivaron su creación.

Se comprobará por parte del Administrador del Sistema que, los ficheros temporales que

normalmente crean automáticamente las aplicaciones informáticas o incluso los sistemas operativos,

son eliminados, sea manualmente o automáticamente, mediante controles periódicos de inspección.

4.2 MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS

AUTOMATIZADOS

A. MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO

A.1. Funciones y obligaciones del personal

Las funciones y obligaciones del personal con acceso a Datos de Carácter Personal se

encuentran documentadas en el anexo 8 del presente documento, de acuerdo con lo estipulado

en el artículo 89 RLOPD.

El personal afectado por esta normativa se clasifica en las siguientes categorías:

RESPONSABLE DE SEGURIDAD, encargado de coordinar las medidas de seguridad

definidas en el presente Documento de Seguridad en el caso de los ficheros de nivel medio

y alto. Esta designación no supone, sin embargo, la delegación de la responsabilidad

jurídica de la seguridad del Fichero, que sigue correspondiendo al responsable del Fichero.

ADMINISTRADORES DEL SISTEMA, encargados de administrar o mantener el entorno

operativo del Fichero. Este personal deberá estar explícitamente relacionado ya que por sus

funciones pueden utilizar herramientas de administración que permitan el acceso a los datos

protegidos saltándose las barreras de acceso de las aplicaciones. La presente figura es

opcional, y en el caso de que no se haya optado por su creación, sus funciones serán

desempeñadas por el Responsable de Seguridad.

USUARIOS DEL FICHERO, o personal que usualmente utiliza el sistema informático de

acceso al Fichero, y que asimismo deben estar explícitamente relacionados.

Una de las obligaciones del Responsable del fichero es adoptar las medidas necesarias para dar

a conocer la normativa de seguridad a sus empleados. En este sentido, los usuarios con acceso




a Datos de Carácter Personal deben suscribir el manual de funciones y obligaciones; en el que

se delimitan las facultades de uso del sistema de información por parte del personal de la entidad.

A.2. Registro de incidencias

Una incidencia es cualquier evento que pueda producirse esporádicamente y que pueda suponer

un peligro para la seguridad del Fichero, entendida bajo sus tres vertientes de confidencialidad,

integridad y disponibilidad de los datos.

El mantener un registro de las incidencias que comprometan la seguridad de un Fichero es una

herramienta imprescindible para la prevención de posibles ataques a esa seguridad, así como para

la persecución de los responsables de los mismos.

1. El Responsable de seguridad del Fichero habilitará un Libro de Incidencias a disposición de

todos los usuarios y administradores del Fichero con el fin de que se registren en él cualquier

incidencia que pueda suponer un peligro para la seguridad del mismo.

2. Cualquier usuario que tenga conocimiento de una incidencia es responsable del registro de

la misma en el Libro de Incidencias del Fichero o en su caso de la comunicación por escrito

al Responsable de seguridad o al Responsable del Fichero.

3. El conocimiento y la no notificación o registro de una incidencia por parte de un usuario será

considerado como una falta contra la seguridad del Fichero por parte de ese usuario.

4. La notificación o registro de una incidencia deberá constar al menos de los siguientes datos:

tipo de incidencia, fecha y hora en que se produjo, persona que realiza la notificación,

persona a quien se comunica, efectos que puede producir, descripción detallada de la

misma.

El anexo 10 contiene un registro de incidencias así como un catálogo de posibles incidencias.

A.3. Control de accesos

Para asegurar la confidencialidad, integridad y disponibilidad de los datos, es esencial el control de

los accesos a los ficheros con Datos de Carácter Personal responsabilidad de la entidad, así como

de aquellos de los que resulte encargado del tratamiento.

Por ello, los empleados, el personal de las empresas externas y, en general, cualquier persona con

acceso a los sistemas de información, deben acceder únicamente a aquella información

estrictamente necesaria para la realización de sus funciones.

En este sentido, cada usuario, en función de la actividad que desarrolle en su puesto de trabajo,

tendrá definido el perfil de acceso y los privilegios inherentes a dicho acceso.

El anexo 9 contiene la relación autorizada de usuarios y perfiles de usuarios; el anexo 7 contiene

los accesos autorizados para cada uno de ellos, así como la identificación del personal autorizado

para conceder, alterar o anular el acceso autorizado sobre los recursos.




A.4. Gestión de soportes y documentos

Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar

el tipo de información que contienen, ser inventariados (se adjunta inventario de soportes en el

anexo 11a) y solo deberán ser accesibles por el personal autorizado.

En este sentido, “soportes informáticos” son todos aquellos medios de grabación y recuperación de

datos que se utilizan para realizar copias o pasos intermedios en los procesos de la aplicación que

gestiona el Fichero.

Dado que la mayor parte de los soportes que hoy en día se utilizan, como disquetes o CD-ROMs,

son fácilmente transportables, reproducibles y/o copiables, es evidente la importancia que para la

seguridad de los datos del Fichero tiene el control de estos medios.

1. Los soportes que contengan datos personales, deberán estar claramente identificados con

una etiqueta externa que indique de qué fichero se trata, qué tipo de datos contiene, proceso

que los ha originado y fecha de creación.

2. Aquellos medios que sean reutilizables, y que hayan contenido copias de datos personales,

deberán ser borrados físicamente antes de su reutilización, de forma que los datos que

contenían no sean recuperables.

3. Los soportes que contengan datos personales deberán ser almacenados en lugares a los

que no tengan acceso personas no autorizadas y que no estén por tanto relacionadas en el

anexo 9. Asimismo, los soportes deberán ser inventariados en el anexo 11.

4. La salida de soportes informáticos que contengan datos personales fuera de los locales

donde está ubicado el Fichero deberá ser expresamente autorizada por el Responsable del

Fichero, utilizando para ello el documento adjunto en el anexo 11b.

A.5. Identificación y autenticación

Los sistemas de información donde se ubiquen los datos personales, deberán tener su acceso

restringido a los usuarios autorizados para tal fin mediante procedimientos de identificación y

autenticación, de tal forma que no permita el acceso a dichos datos a personas no autorizadas.

El mecanismo de autenticación para acceder a los ficheros que contengan Datos de Carácter

Personal, se basará en la utilización de contraseñas personales, de esta forma todos los usuarios

con acceso autorizado deberán tener un código de usuario que será único y que estará asociado

a la contraseña correspondiente que sólo será conocida por el propio usuario.

El archivo donde se almacenen las contraseñas deberá estar protegido, cifrado y bajo la

responsabilidad del administrador del sistema o del responsable de seguridad.

Las contraseñas deberán ser modificadas de forma periódica sin que en ningún caso dicha

periodicidad pueda exceder de un año.




A.6. Copias de respaldo y recuperación

La seguridad de los datos personales no sólo supone la confidencialidad de los mismos sino que

también conlleva la integridad y la disponibilidad de esos datos.

Para garantizar estos dos aspectos fundamentales de la seguridad es necesario que existan unos

procedimientos de respaldo y recuperación que, en caso de fallo del sistema informático, permitan

recuperar y en su caso reconstruir los datos del Fichero.

1. Existirá una persona, bien sea el administrador o bien otro usuario expresamente

designado, que será responsable de obtener periódicamente una copia de seguridad del

Fichero, a efectos de respaldo y posible recuperación en caso de fallo.

2. Estas copias deberán realizarse con una periodicidad, al menos semanal, salvo en el caso

de que no se haya producido ninguna actualización de los datos.

3. En caso de fallo del sistema con pérdida total o parcial de los datos del Fichero existirá un

procedimiento, informático o manual, que partiendo de la última copia de respaldo y del

registro de las operaciones realizadas desde el momento de la copia, reconstruya los datos

del Fichero al estado en que se encontraban en el momento del fallo. Las características de

este procedimiento están descritas en el anexo 12.

El responsable del fichero o la persona delegada deberá verificar al menos cada seis meses la

correcta definición, funcionamiento y aplicación de los procedimientos de copias de respaldo y

recuperación.

B. MEDIDAS DE SEGURIDAD DE NIVEL MEDIO

B.1. Responsable de seguridad

El presente documento de seguridad contiene en su anexo 13 la identificación del Responsable de

seguridad designado por la entidad.

El Responsable de seguridad deberá coordinar y controlar las medidas de seguridad definidas en el

presente Documento.

B.2. Auditoría

A partir del nivel medio de seguridad, los sistemas de información e instalaciones de tratamiento y

almacenamiento de datos deberán someterse a una auditoría al menos bianual, externa o interna, en

la que se verifique lo dispuesto en el RLOPD en relación con las medidas de seguridad.

El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles contenidos

tanto en la LOPD como en el RLOPD, identificar sus deficiencias y proponer medidas correctoras o

complementarias necesarias.

B.3. Medidas adicionales de Gestión de soportes y documentos

En los casos de ficheros de nivel medio, además de lo expuesto para ficheros de nivel básico,

en relación con la gestión de soportes se deberá establecer un sistema de registro de entradas

y salidas de soportes informáticos que permita conocer el tipo de soporte, fecha y hora, emisor,




número de soportes o documentos, tipo de información que contienen, forma de envío,

destinatario, o persona responsable de la recepción que deberá estar debidamente autorizada.

Se adjuntan los formularios de registro de entrada y salida de soportes en el anexo 11 del

presente documento.

B.4. Medidas adicionales de identificación y autenticación

El artículo 98 RLOPD obliga a implantar un mecanismo que detecte e impida el acceso reiterado y

no autorizado por parte de un usuario. Los sistemas de información se deberán configurar con el fin

de limitar la posibilidad de intentar reiteradamente el acceso no autorizado a los mismos.

B.5. Control de acceso físico

Exclusivamente el personal autorizado en el anexo 9 podrá tener acceso a los lugares donde se

encuentren instalados los equipos que den soporte a los sistemas de información.

B.6. Medidas adicionales de Registro y notificación de incidencias

En el caso de los ficheros de nivel medio y alto, si la incidencia es una recuperación de datos,

además de lo expresado para los ficheros de nivel básico, se indicará: autorización por escrito del

responsable de seguridad, procedimientos realizados, persona que realizó el proceso, datos

restaurados, y datos grabados manualmente.

El modelo para la notificación y registro de Incidencias y un catálogo de las mismas se encuentran

en el anexo 10.

B.7. Controles periódicos de verificación

El cumplimiento de las normas y procedimientos contenidos en este documento deberán ser

periódicamente comprobados, de forma que puedan detectarse y subsanarse anomalías que puedan

afectar a la seguridad e integridad de los datos protegidos.

El anexo 14 contiene un documento para el control de verificación así como un catálogo de

conceptos verificables.

C. MEDIDAS DE SEGURIDAD DE NIVEL ALTO

C.1. Gestión y distribución de soportes

En los casos de ficheros de nivel alto, además de lo anteriormente expuesto para los ficheros de

nivel básico y nivel medio, los soportes deberán identificarse mediante sistemas de etiquetado

comprensibles, que permitan identificar su contenido a las personas con acceso autorizado, y

que dificulten la identificación para el resto de personas.

Asimismo, la distribución de los soportes y en cualquier caso, los soportes que se encuentren

fuera de las instalaciones del Responsable del fichero, se realizará cifrando los datos contenidos

en los mismos.




C.2. Medidas adicionales de copias de respaldo y recuperación

Para ficheros a los que corresponda un nivel de seguridad alto, una copia de respaldo así como de

los procedimientos de recuperación, deben almacenarse en lugar diferente de aquel en que se

encuentren los equipos informáticos que los tratan.

C.3. Registro de accesos

De cada intento de acceso se deberá almacenar la información referente a la identificación del

usuario, la fecha y hora en que se produjo el acceso, el fichero accedido, el tipo de acceso, y si el

acceso ha sido autorizado o denegado, en caso de accesos autorizados, se almacenará el registro

accedido.

Toda la información de control para el seguimiento de los accesos a los datos de la entidad cuyas

medidas de seguridad son de nivel alto, se almacenará durante un periodo mínimo de dos años.

El Responsable de Seguridad deberá supervisar personalmente los mecanismos de registros de

accesos, así como revisar la información generada por dicho sistema y elaborará un informe de las

revisiones realizadas y los problemas detectados, al menos, una vez al mes.

C.4. Telecomunicaciones

Las medidas de seguridad exigibles a los accesos a datos de carácter personal a través de redes de

comunicaciones deberán garantizar un nivel de seguridad equivalente al correspondiente a los

accesos en modo local.

La transmisión de datos a través de redes de redes públicas o inalámbricas de comunicaciones, se

realizará cifrando los datos o utilizando cualquier mecanismo que garantice que la información no

sea inteligible ni manipulada por terceros.

4.3 MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS NO

AUTOMATIZADOS

A. MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO

A.1. Medidas comunes

- Alcance

- Niveles de seguridad

- Encargado del tratamiento

- Prestaciones de servicios sin acceso a datos personales

- Delegación de autorizaciones

- Régimen de trabajo fuera de los locales del responsable del fichero o encargado del

tratamiento

- Copias de trabajo de documentos

- Documento de seguridad




- Funciones y obligaciones del personal

- Registro de incidencias

- Control de accesos

- Gestión de soportes

A.2. Criterios de archivo

Siempre que la legislación sectorial aplicable contemple un procedimiento específico de archivo y

organización de la documentación que contenga Datos de Carácter Personal, el Responsable del

fichero deberá proceder a organizar la misma conforme a los referidos criterios.

En el supuesto de que no exista norma aplicable que contemple un procedimiento específico de

archivo y organización de la documentación, se deberán definir los procedimientos y criterios de

archivo de tal forma que se garantice la correcta conservación de los documentos, la localización y

consulta de la información y se posibilite el ejercicio de los derechos de oposición al tratamiento,

acceso, rectificación y cancelación.

A.3. Dispositivos de almacenamiento

El Responsable del fichero deberá velar por la efectiva implantación de mecanismos de seguridad

(como llaves de acceso) en archivadores así como en cualquier otro medio de almacenamiento de

documentos que contengan Datos de Carácter Personal.

A.4. Custodia de los soportes

En aquellos supuestos en los que la documentación que contenga Datos de Carácter Personal se

encuentre en uso activo por parte de un usuario autorizado, la persona que se encuentre a cargo de

la misma, deberá custodiar e impedir en todo momento que pueda ser accedida por personas no

autorizadas.

En particular, se implantará una “política de mesas limpias” como consecuencia de la cual, los

usuarios que trabajen con documentos y expedientes en formato papel que contengan datos de

personas, deberán almacenar los mismos en los archivadores correspondientes una vez concluya

la jornada laboral, al objeto de impedir el acceso no autorizado a Datos de Carácter Personal.

B. MEDIDAS DE SEGURIDAD DE NIVEL MEDIO

B.1. Responsable de seguridad

Según prevé el artículo 109 RLOPD, el Responsable del fichero deberá designar al menos un

responsable de seguridad en los términos y con las funciones previstas en el artículo 95 RLOPD. El

anexo 13 contiene la identificación del responsable de seguridad de la entidad.

B.2. Auditoría

Los sistemas de tratamiento no automatizados que contengan Datos de Carácter Personal que

requieran la implantación de medidas de seguridad de nivel medio, deberán someterse a una

auditoría bienal de verificación del cumplimiento de las medidas aplicables a ficheros no

automatizados de acuerdo con las exigencias del RLOPD.




C. MEDIDAS DE SEGURIDAD DE NIVEL ALTO

C.1. Almacenamiento de la información

Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no

automatizados con Datos de Carácter Personal que requieran la implantación de medidas de

seguridad de nivel alto, deberán encontrarse en áreas en las que el acceso esté protegido con

puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente.

Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos

incluidos en el fichero.

C.2. Copia o reproducción

La generación de copias o la reproducción de los documentos, únicamente podrá ser realizada bajo

el control del personal autorizado en el anexo 7 del presente Documento.

Las copias deberán ser destruidas a través de máquinas destructoras de papel, que en cualquier

caso, eviten la recuperación posterior de los documentos desechados.

C.3. Acceso a la documentación

Sólo el personal autorizado en el anexo 7 de este Documento, podrá acceder a los datos que figuren

en los ficheros no automatizados que deban cumplir las medidas de seguridad de nivel alto.

C.4. Traslado de documentación

Siempre que se proceda al traslado físico de la documentación contenida en un fichero, deberán

adoptarse medidas dirigidas a impedir el acceso o manipulación por parte de terceros, de la

información objeto de traslado.




ANEXOS




ANEXO 1 - DATOS DE NOTIFICACIÓN

DATOS DEL RESPONSABLE DEL FICHERO Denominación Social: FINCAS GALICIA GESTION INMOBILIARIA, S.L. C.I.F/N.I.F.: B15919111 Dirección: AVENIDA BALNEARIO 36 BAJO Localidad: ARTEIXO Código Postal: 15142 Provincia: A CORUÑA Correo electrónico: [email protected] Teléfono: 699937680

DATOS DEL CONSULTOR LOPD Nombre: David Apellidos: Díaz Lima Teléfono de Empresa: Cargo: Abogado Correo electrónico: [email protected]

DIRECCIÓN A EFECTOS DE NOTIFICACIÓN Dirección: AVENIDA BALNEARIO 36 BAJO Localidad: ARTEIXO Código Postal: 15142 Provincia: A CORUÑA Correo electrónico: [email protected] Teléfono: 699937680




ANEXO 2 - ESTRUCTURA DEL FICHERO (1/4)

NOMBRE DEL FICHERO ORIGEN


GESTIÓN ADMINISTRATIVA, FISCAL Y CONTABLE.

El propio Interesado ☒

Registros Públicos ☐

Otras Personas Físicas ☐

Entidad Privada ☐

Fuentes Accesibles al Público ☐

Administraciones Públicas ☐

Sistema de Tratamiento Nivel de Seguridad del Fichero

Automatizado ☐ Manual ☐ Mixto ☒ Básico ☒ Medio ☐ Alto ☐

Finalidades previstas Colectivos interesados

Gestión de Clientes Contable, Fiscal y Administrativa ☐ Empleados ☐

Recursos Humanos ☐ Clientes y Usuarios ☒

Gestión de Nóminas ☐ Proveedores ☐

Prevención de riesgos Laborables ☐ Asociados/Miembros ☐

Prestación de Servicios de Solvencia Patrimonial y Crédito ☐ Propietarios/Arrendatarios ☐

Cumplimiento / Incumplimiento de Obligaciones Dinerarias ☐ Pacientes ☐

Servicios Económicos Financieros y Seguros ☐ Estudiantes ☐

Análisis de Perfiles ☐ Personas de Contacto ☐

Publicidad y Prospección Comercial ☐ Padres/Tutores ☐

Prestación de Servicios de Comunicación Electrónica ☐ Representante Legal ☐

Guías/Repertorios de Servicios de Comunicaciones Electrónicas ☐ Solicitantes ☐

Comercio Electrónico ☐ Beneficiarios ☐

Prestación de Servicios de Certificación Electrónica ☐ Cargos Públicos ☐

Gestión de Asociados/Partidos Políticos/Iglesias/Sindicatos (sin lucro) ☐ Otros Colectivos ☐

Actividades Asociativas, Culturales, Recreativas, Deportivas y Sociales ☐

Gestión de Asistencia Social ☐

Educación ☐

Investigación Epidemiológica y Actividades Analógicas ☐

Gestión y Control Sanitario ☐

Historial Clínico ☐

Seguridad Privada ☐

Seguridad y Control de Acceso a Edificios ☐

Video Vigilancia ☐

Fines Estadísticos, Históricos o Científicos ☐

Otros tipos de finalidad ☐




ANEXO 2 – ESTRUCTURA DEL FICHERO (2/4)

NOMBRE DEL FICHERO Datos Especialmente Protegidos

(Nivel Alto)



Ideología ☐

Afiliación sindical ☐

Religión ☐

Creencias ☐

Otros Datos Especialmente Protegidos (nivel alto)

Origen racial o étnico ☐

Vida Sexual ☐

Salud ☐

Datos de carácter identificativo (nivel básico)

D.N.I./C.I.F. ☒

Nº de S.S./Mutualidad ☐

Nombre y Apellidos ☒

Tarjeta Sanitaria ☐

Dirección (postal y electrónica) ☒

Teléfono ☒

Firma y/o huella digitalizada ☐

Imagen y/o voz (ej. El D.N.I. contiene fotografía) ☐

Marcas Físicas ☐

Firma Electrónica ☐

Otros datos de carácter identificativo ☐

Datos de características personales (nivel básico)

Datos del estado civil ☐

Datos de la familia ☐

Fecha de nacimiento ☐

Lugar de nacimiento ☐

Edad ☐

Sexo ☐

Nacionalidad ☐

Lengua Materna ☐





NOMBRE DEL FICHERO Datos de Detalles de Empleo



Profesión ☐

Puesto de Trabajo ☐

Datos no económicos de nómina

☐

Historial del trabajador ☐

Datos de Circunstancias Sociales

Características de alojamiento y vivienda ☐

Propiedades y posesiones ☐

Situación Militar ☐

Aficiones y Estilo ☐

Pertenencia a clubes y asociaciones ☐

Licencias, permisos y autorizaciones ☐

Datos Académicos y profesionales

Formación, titulaciones ☐

Historial del estudiante ☐

Experiencia profesional ☐

Pertenencia a colegios o asociaciones profesionales ☐

Datos Económico-Financieros y de Seguros

Ingresos y rentas ☐

Inversiones ☐

Créditos, préstamos y avales ☐

Datos Bancarios ☒

Planes de pensiones/jubilación ☐

Datos económicos de nómina ☐

Estudiantes ☐

Personas de Contacto ☐

Padres o Tutores ☐

Representación legal ☐

Solicitantes ☐

Beneficiarios ☐





NOMBRE DEL FICHERO Datos de Transacciones de Bienes y

Servicios



Bienes y servicios suministrados por el afectado

☐

Bienes y servicios recibidos por el afectado

☐

Transacciones financieras ☐

Compensaciones/Indemnizaciones ☐

Información Comercial

Actividades y negocios

Licencias comerciales

Suscripciones o publicaciones/medios de comunicación

Creaciones artísticas, literarias, científicas o técnicas

Otros Tipos de datos

Datos de tráfico:

Datos de localización

Datos derivados de actos de violencia de género

Otros tipos de datos

Transferencia internacional de Datos

¿Se hace transferencia internacional de datos?

Destinatarios Posibles

Organizaciones o personas directamente relacionadas con el responsable

Organismos de la Seguridad Social

Registros públicos

Administración, Local, Autonómica y Central

Categoría de Destinatarios de Cesión

Organizaciones relacionadas con el responsable ☒ Entidades Aseguradoras ☐

Organismos de la Seguridad Social ☐ Otras entidades financieras ☐

Prestaciones de Servicios de Telecomunicaciones ☐ Entidades Sanitarias ☐ Empresas dedicadas a Publicidad o Marketing Directo ☐ Registros públicos ☐

Administración pública con competencia en la materia ☐ Colegios Profesionales ☐

Otros órganos de la Administración pública ☐ Notarios y Procuradores ☐

Comisión Nacional de Juego ☐ Sindicatos y juntas de Persona ☐

Asociaciones y Organizaciones sin ánimo de lucro ☐ Administración Tributaria ☒

Fuerzas y Cuerpos de Seguridad ☐ Otros destinatarios de Cesión ☐

Bancos/Cajas de Ahorro y Cajas Rurales ☒ Organismos de la Unión Europea ☐

Comisión Nacional del Mercado de Valores ☐

Entidades dedicadas al cumplimiento/incumplimiento de Obligaciones dinerarias ☐





NOMBRE DEL FICHERO ORIGEN

NOMINAS Y PERSONAL

GESTIÓN DE NOMINAS, RECURSOS HUMANOS Y PREVENCION DE RIESGOS LABORABLES

El propio interesado ☒

Registros Públicos ☐

Otras Personas Físicas ☐

Entidad Privada ☐

Fuentes Accesibles al Público ☐

Administraciones Públicas ☐

Sistema de Tratamiento Nivel de Seguridad del Fichero

Automatizado ☐ Manual ☐ Mixto ☒ Básico ☒ Medio ☐ Alto ☐

Finalidades previstas Colectivos interesados

Gestión de Clientes Contable, Fiscal y Administrativa ☒ Empleados ☒

Recursos Humanos ☒ Clientes y Usuarios ☐

Gestión de Nóminas ☒ Proveedores ☐

Prevención de riesgos Laborables ☒ Asociados/Miembros ☐

Prestación de Servicios de Solvencia Patrimonial y Crédito ☐ Propietarios/Arrendatarios ☐

Cumplimiento / Incumplimiento de Obligaciones Dinerarias ☐ Pacientes ☐

Servicios Económicos Financieros y Seguros ☐ Estudiantes ☐

Análisis de Perfiles ☐ Personas de Contacto ☐

Publicidad y Prospección Comercial ☐ Padres/Tutores ☐

Prestación de Servicios de Comunicación Electrónica ☐ Representante Legal ☐

Guías/Repertorios de Servicios de Comunicaciones Electrónicas ☐ Solicitantes ☐

Comercio Electrónico ☐ Beneficiarios ☐

Prestación de Servicios de Certificación Electrónica ☐ Cargos Públicos ☐

Gestión de Asociados/Partidos Políticos/Iglesias/Sindicatos (sin lucro) ☐ Otros Colectivos ☐

Actividades Asociativas, Culturales, Recreativas, Deportivas y Sociales ☐

Gestión de Asistencia Social ☐

Educación ☐

Investigación Epidemiológica y Actividades Analógicas ☐

Gestión y Control Sanitario ☐

Historial Clínico ☐

Seguridad Privada ☐

Seguridad y Control de Acceso a Edificios ☐

Video Vigilancia ☐

Fines Estadísticos, Históricos o Científicos ☐

Otros tipos de finalidad ☐





NOMBRE DEL FICHERO Datos Especialmente Protegidos

(Nivel Alto)

NOMINAS Y PERSONAL


Ideología ☐

Afiliación sindical ☐

Religión ☐

Creencias ☐

Otros Datos Especialmente Protegidos (nivel alto)

Origen racial o étnico ☐

Vida Sexual ☐

Salud ☐

Datos de carácter identificativo (nivel básico)

D.N.I./C.I.F. ☒

Nº de S.S./Mutualidad ☒

Nombre y Apellidos ☒

Tarjeta Sanitaria ☒

Dirección (postal y electrónica) ☒

Teléfono ☒

Firma y/o huella digitalizada ☒

Imagen y/o voz (ej. El D.N.I. contiene fotografía) ☒

Marcas Físicas ☐

Firma Electrónica ☐

Otros datos de carácter identificativo ☐

Datos de características personales (nivel básico)

Datos del estado civil ☒

Datos de la familia ☒

Fecha de nacimiento ☒

Lugar de nacimiento ☒

Edad ☒

Sexo ☒

Nacionalidad ☒

Lengua Materna ☐





NOMBRE DEL FICHERO Datos de Detalles de Empleo

NOMINAS Y PERSONAL


Profesión ☒

Puesto de Trabajo ☒

Datos no económicos de nómina

☐

Historial del trabajador ☐

Datos de Circunstancias Sociales

Características de alojamiento y vivienda ☐

Propiedades y posesiones ☐

Situación Militar ☐

Aficiones y Estilo ☐

Pertenencia a clubes y asociaciones ☐

Licencias, permisos y autorizaciones ☐

Datos Académicos y profesionales

Formación, titulaciones ☒

Historial del estudiante ☐

Experiencia profesional ☒

Pertenencia a colegios o asociaciones profesionales ☐

Datos Económico-Financieros y de Seguros

Ingresos y rentas ☒

Inversiones ☐

Créditos, préstamos y avales ☐

Datos Bancarios ☒

Planes de pensiones/jubilación ☐

Datos económicos de nómina ☒

Estudiantes ☐

Personas de Contacto ☐

Padres o Tutores ☐

Representación legal ☐

Solicitantes ☐

Beneficiarios ☐





NOMBRE DEL FICHERO Datos de Transacciones de Bienes y

Servicios

NOMINAS Y PERSONAL


Bienes y servicios suministrados por el afectado

☐

Bienes y servicios recibidos por el afectado

☐

Transacciones financieras ☐

Compensaciones/Indemnizaciones ☐

Información Comercial

Actividades y negocios

Licencias comerciales

Suscripciones o publicaciones/medios de comunicación

Creaciones artísticas, literarias, científicas o técnicas

Otros Tipos de datos

Datos de tráfico:

Datos de localización

Datos derivados de actos de violencia de género

Otros tipos de datos

Transferencia internacional de Datos

¿Se hace transferencia internacional de datos?

Destinatarios Posibles

Organizaciones o personas directamente relacionadas con el responsable

Organismos de la Seguridad Social

Registros públicos

Administración, Local, Autonómica y Central

Categoría de Destinatarios de Cesión

Organizaciones relacionadas con el responsable ☐ Entidades Aseguradoras ☐

Organismos de la Seguridad Social ☒ Otras entidades financieras ☐

Prestaciones de Servicios de Telecomunicaciones ☐ Entidades Sanitarias ☒

Empresas dedicadas a Publicidad o Marketing Directo ☐ Registros públicos ☐

Administración pública con competencia en la materia ☐ Colegios Profesionales ☐

Otros órganos de la Administración pública ☐ Notarios y Procuradores ☐

Comisión Nacional de Juego ☐ Sindicatos y juntas de Persona ☐

Asociaciones y Organizaciones sin ánimo de lucro ☐ Administración Tributaria ☒

Fuerzas y Cuerpos de Seguridad ☐ Otros destinatarios de Cesión ☐

Bancos/Cajas de Ahorro y Cajas Rurales ☒ Organismos de la Unión Europea ☐

Comisión Nacional del Mercado de Valores ☐

Entidades dedicadas al cumplimiento/incumplimiento de Obligaciones dinerarias ☐




ANEXO 3 - DESCRIPCIÓN DEL SISTEMA DEL TRATAMIENTO DE LA INFORMACION

ACCESO FÍSICO: SE ENCUENTRAN EN ESTANTERÍAS. A LOS DATOS RELATIVOS A

NÓMINAS PUEDEN ACCEDER 3 PERSONAS, MIENTRAS QUE A LOS RESTANTES

PUEDEN ACCEDER LOS CUATRO EMPLEADOS.

ACCESO PC: EXISTEN DOS PC POR OFICINA A LOS QUE TIENEN ACCESO LOS CUATRO

EMPLEADOS. SOLO UNO DE ELLOS ACCEDE CON CONTRASEÑA.

SOFTWARE: NOTEGES.

COPIAS DE SEGURIDAD: SE HACE UNA COPIA DE SEGURIDAD SEMANAL EN EL DISCO

DURO EXTERNO.

VIDEOVIGILANCIA: NO.




ANEXO 4 - CONTRATO DE TRATAMIENTO DE DATOS POR CUENTA DE

TERCEROS

En Arteixo, a 17 de Octubre de 2016

REUNIDOS

DE UNA PARTE,

FINCAS GALICIA GESTION INMOBILIARIA, S.L., con C.I.F. B15919111, domiciliado a estos

efectos en AVENIDA BALNEARIO 36, BAJO, 15142 ARTEIXO, A CORUÑA (en lo sucesivo, “EL

RESPONSABLE”).

DE OTRA PARTE,

TUAS 58, S.L., con C.I.F. B15687544, domiciliado a estos efectos en C/FEDERICO TAPIA 58,

15005 A CORUÑA, (en lo sucesivo “EL ENCARGADO”).

M A N I F I E S T A N

I. Que el Responsable de los Ficheros es titular, entre otros, de los ficheros de datos de

carácter personal indicados en la Estipulación Novena más abajo.

II. Que el Encargado del Tratamiento viene prestando servicios de Asesoría al Responsable

de los Ficheros, para cuyos fines ha necesitado acceder a los datos que se encuentran

contenidos en los Ficheros (los “Servicios”).

III. Que la relación entre ambas partes ha venido siendo regulada por contrato firmado entre

las mismas, el cual se estima adecuado modificar a la vista de la entrada en vigor del Real

Decreto 1720/2007, de 21 de diciembre (“RD 1720/2007), nueva norma de desarrollo de la

Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal

(“LOPD”).

IV. Que, ambas partes se reconocen mutuamente la capacidad legal necesaria para contratar

y obligarse, y, en especial, para celebrar el presente Contrato, llevándolo a efecto conforme

a las siguientes.

ESTIPULACIONES

PRIMERA.- EL ENCARGADO se compromete a guardar la máxima reserva y secreto sobre la

información clasificada como confidencial. Se considerará información confidencial cualquier dato al

que EL ENCARGADO acceda en virtud del presente contrato y/o en el acuerdo general que regula

los servicios a prestar por parte de EL ENCARGADO a EL RESPONSABLE, en especial la

información y datos propios de EL RESPONSABLE a los que haya accedido o acceda durante la

ejecución del mismo. No tendrán el carácter de confidencial todas aquellas informaciones y datos

que fueran de dominio público o que estuvieran en posesión de EL ENCARGADO con anterioridad

a iniciar la prestación de sus servicios y hubieran sido obtenidas por medios lícitos.




SEGUNDA.- La obligación de confidencialidad recogida en el presente contrato tendrá carácter

indefinido, manteniéndose en vigor con posterioridad a la finalización, por cualquier causa, de la

relación entre las partes.

TERCERA.- EL RESPONSABLE, es, con carácter único, quien decidirá sobre la finalidad, contenido

y uso de EL FICHERO al que acceda EL ENCARGADO como resultado de las actividades

realizadas por ésta.

CUARTA.- EL ENCARGADO accederá a EL FICHERO únicamente, cuando sea imprescindible

para el buen desarrollo de los servicios acordados entre las partes.

QUINTA.- EL ENCARGADO, se obliga a respetar todas las obligaciones que pudieran

corresponderle como encargado del tratamiento con arreglo a las disposiciones de la LOPD y

cualquier otra disposición o regulación complementaria que le fuera igualmente aplicable.

SEXTA.- EL ENCARGADO en su condición de encargado del tratamiento, únicamente tratará los

datos conforme a las instrucciones que reciba expresamente de EL RESPONSABLE.

SÉPTIMA.- EL ENCARGADO no destinará, aplicará o utilizará los datos a los que tenga acceso con

fin distinto al expresamente indicado en el presente contrato, o de cualquier otra forma que suponga

un incumplimiento de las instrucciones expresas que EL RESPONSABLE, en su condición de

responsable del tratamiento, le proporcione.

OCTAVA.- EL ENCARGADO se compromete a no revelar, transferir, ceder o de otra forma

comunicar EL FICHERO o los datos en él contenidos, ya sea verbalmente, por escrito, por medios

electrónicos, papel o mediante acceso informático, ni siquiera para su conservación, a ningún

tercero. A tal efecto EL ENCARGADO sólo podrá permitir el acceso a los datos a aquellos

empleados que tengan la necesidad de conocerlos para la prestación de los servicios contratados.

NOVENA.- EL ENCARGADO se obliga al cumplimiento de las obligaciones derivadas de la

normativa de protección de datos y más concretamente, en lo que se refiere a la implantación de las

medidas de seguridad que se indican a continuación según lo dispuesto en el RD 1720/07.

Asimismo, EL ENCARGADO garantiza el mantenimiento de estas medidas de seguridad así como

cualesquiera otras que le fueran impuestas, de índole técnica y organizativas, necesarias para

garantizar la seguridad, presente y futura, de los datos de carácter personal y evitar su alteración,

pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza

de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana

o del medio físico o natural, conforme a lo establecido en la normativa sobre protección de datos de

carácter personal.

Ficheros a los que accederá EL ENCARGADO en calidad de encargado del tratamiento y nivel de

medidas de seguridad aplicables a cada uno de ellos:

Denominación del fichero Nivel de seguridad aplicable

CLIENTES Y PROVEEDORES BÁSICO

NÓMINAS Y PERSONAL BÁSICO

DÉCIMA.- Una vez cumplida o resuelta la prestación contractual acordada entre EL

RESPONSABLE y EL ENCARGADO, los datos de carácter personal serán devueltos a EL




RESPONSABLE, al igual que cualquier soporte o documento en el que conste algún dato de

carácter personal objeto del tratamiento, debiendo certificar inmediatamente por escrito dicha

devolución, en el plazo máximo de 10 días hábiles desde la fecha de cumplimiento o resolución del

contrato.

UNDÉCIMA.- De acuerdo con lo dispuesto en el artículo 80 del RD 1720/07, EL ENCARGADO

asume las siguientes obligaciones:

Si ambas partes hubieran pactado que EL ENCARGADO accediera a los datos de carácter

personal o a los recursos del sistema de información de EL RESPONSABLE, el personal

del primero se comprometerá al cumplimiento de las medidas de seguridad previstas por

EL RESPONSABLE en su Documento de Seguridad. Asimismo, y en el presente supuesto,

EL ENCARGADO no podrá incorporar tales datos a sistemas o soportes distintos de los del

responsable.

Si el servicio fuera prestado por EL ENCARGADO en sus propios locales, ajenos a los de

EL RESPONSABLE, el primero deberá elaborar un documento de seguridad en los

términos exigidos por el artículo 88 del RD 1720/07 o completar el que ya hubiera elaborado,

en su caso, identificando el fichero o tratamiento y el responsable del mismo e incorporando

las medidas de seguridad a implantar en relación con dicho tratamiento.

DUODÉCIMA.- Es obligación del Responsable de los Ficheros velar por que el Encargado del

Tratamiento reúna las garantías necesarias para el cumplimiento de lo establecido en la legislación

sobre protección de datos de carácter personal. A fin de cumplir con esta obligación, el Responsable

de los Ficheros tendrá derecho a:

Solicitar que el Encargado del Tratamiento exhiba la documentación preceptiva, conforme a

lo establecido en el RD 1720/2007 y normativa complementaria.

Realizar auditorías para verificar el cumplimiento de las medidas de seguridad y su

implantación, en el momento en el que lo considera oportuno, siempre que medie un

preaviso de al menos quince (15) días naturales sobre la fecha fijada para realizar dicha

auditoria.

DECIMOTERCERA.- Todos aquellos ficheros que sean creados e inscritos ante la Agencia

Española de Protección de Datos por el Responsable de los Ficheros con posterioridad a la firma

del presente Contrato y a los que el Encargado del Tratamiento tenga que tener acceso para la

correcta prestación de los Servicios, quedarán sometidos a los términos previstos en este Contrato

quedando obligado el Responsable de los Ficheros ha comunícaselo al Encargado del Tratamiento

de manera expresa, por cualquier medio escrito, adjuntándose copia de dichas comunicaciones a

este contrato como Anexos sucesivos.

DECIMOCUARTA.- EL RESPONSABLE autoriza expresamente a EL ENCARGADO a contratar

con terceros cuya intervención estime oportuna para el buen desarrollo de los servicios,

informándole de la identidad del tercero y de los servicios encargados. Además, EL ENCARGADO

se obliga a suscribir con el tercero un contrato en el que se estipulen las obligaciones que este debe

cumplir en relación a la protección de datos personales.




DECIMOQUINTA.- La totalidad de los términos y condiciones del presente documento, incluidos sus

anexos, tienen carácter confidencial, estando sujetos a las obligaciones expuestas a lo largo del

acuerdo.

Datos incluidos en el presente contrato

DECIMOSEXTA.- De conformidad con lo dispuesto en la Ley Orgánica 15/1999 de Protección de

Datos de Carácter Personal, EL RESPONSABLE con domicilio en el lugar indicado en el

encabezamiento del presente contrato, informa a los intervinientes en el mismo, que los datos que

figuran en él, serán incorporados a un fichero de datos de carácter personal responsabilidad de EL

RESPONSABLE con la finalidad de llevar a cabo la gestión de la relación contractual generada con

la firma del presente documento.

Para ejercitar los derechos de acceso, rectificación, oposición y cancelación reconocidos por la

legislación vigente, el interesado deberá realizar una comunicación a la dirección indicada

anteriormente, a los referidos efectos, indicando como referencia “Protección de datos”.

Régimen de responsabilidad

DECIMOSÉPTIMA.- EL ENCARGADO mantendrá indemne a EL RESPONSABLE frente a

cualquier reclamación que derive del tratamiento de datos de carácter personal que EL

ENCARGADO realice en relación con el objeto del presente contrato como consecuencia del

incumplimiento de dicha normativa.

Asimismo, en el supuesto de que EL ENCARGADO utilizara los datos de carácter personal a los

que tuviera acceso vulnerando las obligaciones que le corresponden en calidad de encargado del

tratamiento según lo dispuesto en la LOPD así como en el RD 1720/07, y siempre que resultare

acreditado, EL ENCARGADO se obliga a:

Hacerse cargo del pago de cualquier cantidad que por cualquier causa y concepto EL

RESPONSABLE se viera obligada a abonar, como consecuencia del uso indebido de los

datos, incluidas sanciones administrativas y las eventuales indemnizaciones a cuyo pago

fuera condenada ésta, en virtud del correspondiente procedimiento, administrativo o judicial.

Asimismo, EL ENCARGADO se compromete al pago de las costas judiciales y los

honorarios de abogados y procurador que EL RESPONSABLE utilizare en los eventuales

procesos que se entablaran en su contra.

Abonar a EL RESPONSABLE, la suma que en su momento ambas partes acuerden en

concepto de indemnización de daños morales y de reputación comercial sufridos por éste

como consecuencia del uso indebido de los ficheros suministrados, cuya cantidad se fijará

proporcionalmente a los perjuicios causados.

Ambas partes, en prueba de su conformidad, firman el presente contrato, por duplicado ejemplar,

en el lugar y fecha indicados ut supra.

EL RESPONSABLE EL ENCARGADO




CONTRATO DE TRATAMIENTO DE DATOS POR CUENTA DE TERCEROS

En Arteixo, a 17 de Octubre de 2016

REUNIDOS

DE UNA PARTE,


efectos en AVENIDA BALNEARIO 36, BAJO, 15142 ARTEIXO, A CORUÑA, (en lo sucesivo, “EL

RESPONSABLE”).

DE OTRA PARTE,

NOTEGES SOFTWARE PARA AGENTES INMOBILIARIOS, S.L., con C.I.F. B91171652,

domiciliado a estos efectos en AVENIDA SAN FRANCISCO JAVIER, EDIFICIO SEVILLA 9, 41018

SEVILLA, (en lo sucesivo “EL ENCARGADO”).

M A N I F I E S T A N

I. Que el Responsable de los Ficheros es titular, entre otros, de los ficheros de datos de

carácter personal indicados en la Estipulación Novena más abajo.

II. Que el Encargado del Tratamiento viene prestando servicios de Mantenimiento

Informático al Responsable de los Ficheros, para cuyos fines ha necesitado acceder a

los datos que se encuentran contenidos en los Ficheros (los “Servicios”).

III. Que la relación entre ambas partes ha venido siendo regulada por contrato firmado entre

las mismas, el cual se estima adecuado modificar a la vista de la entrada en vigor del

Real Decreto 1720/2007, de 21 de diciembre (“RD 1720/2007), nueva norma de

desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de

Carácter Personal (“LOPD”).

IV. Que, ambas partes se reconocen mutuamente la capacidad legal necesaria para

contratar y obligarse, y, en especial, para celebrar el presente Contrato, llevándolo a

efecto conforme a las siguientes.

ESTIPULACIONES

PRIMERA.- EL ENCARGADO se compromete a guardar la máxima reserva y secreto sobre la

información clasificada como confidencial. Se considerará información confidencial cualquier dato al

que EL ENCARGADO acceda en virtud del presente contrato y/o en el acuerdo general que regula

los servicios a prestar por parte de EL ENCARGADO a EL RESPONSABLE, en especial la

información y datos propios de EL RESPONSABLE a los que haya accedido o acceda durante la

ejecución del mismo. No tendrán el carácter de confidencial todas aquellas informaciones y datos

que fueran de dominio público o que estuvieran en posesión de EL ENCARGADO con anterioridad

a iniciar la prestación de sus servicios y hubieran sido obtenidas por medios lícitos.




SEGUNDA.- La obligación de confidencialidad recogida en el presente contrato tendrá carácter

indefinido, manteniéndose en vigor con posterioridad a la finalización, por cualquier causa, de la

relación entre las partes.

TERCERA.- EL RESPONSABLE, es, con carácter único, quien decidirá sobre la finalidad, contenido

y uso de EL FICHERO al que acceda EL ENCARGADO como resultado de las actividades

realizadas por ésta.

CUARTA.- EL ENCARGADO accederá a EL FICHERO únicamente, cuando sea imprescindible

para el buen desarrollo de los servicios acordados entre las partes.

QUINTA.- EL ENCARGADO, se obliga a respetar todas las obligaciones que pudieran

corresponderle como encargado del tratamiento con arreglo a las disposiciones de la LOPD y

cualquier otra disposición o regulación complementaria que le fuera igualmente aplicable.

SEXTA.- EL ENCARGADO en su condición de encargado del tratamiento, únicamente tratará los

datos conforme a las instrucciones que reciba expresamente de EL RESPONSABLE.

SÉPTIMA.- EL ENCARGADO no destinará, aplicará o utilizará los datos a los que tenga acceso con

fin distinto al expresamente indicado en el presente contrato, o de cualquier otra forma que suponga

un incumplimiento de las instrucciones expresas que EL RESPONSABLE, en su condición de

responsable del tratamiento, le proporcione.

OCTAVA.- EL ENCARGADO se compromete a no revelar, transferir, ceder o de otra forma

comunicar EL FICHERO o los datos en él contenidos, ya sea verbalmente, por escrito, por medios

electrónicos, papel o mediante acceso informático, ni siquiera para su conservación, a ningún

tercero. A tal efecto EL ENCARGADO sólo podrá permitir el acceso a los datos a aquellos

empleados que tengan la necesidad de conocerlos para la prestación de los servicios contratados.

NOVENA.- EL ENCARGADO se obliga al cumplimiento de las obligaciones derivadas de la

normativa de protección de datos y más concretamente, en lo que se refiere a la implantación de las

medidas de seguridad que se indican a continuación según lo dispuesto en el RD 1720/07.

Asimismo, EL ENCARGADO garantiza el mantenimiento de estas medidas de seguridad así como

cualesquiera otras que le fueran impuestas, de índole técnica y organizativas, necesarias para

garantizar la seguridad, presente y futura, de los datos de carácter personal y evitar su alteración,

pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza

de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana

o del medio físico o natural, conforme a lo establecido en la normativa sobre protección de datos de

carácter personal.

Ficheros a los que accederá EL ENCARGADO en calidad de encargado del tratamiento y nivel de

medidas de seguridad aplicables a cada uno de ellos:

Denominación del fichero Nivel de seguridad aplicable

CLIENTES Y PROVEEDORES BÁSICO

DÉCIMA.- Una vez cumplida o resuelta la prestación contractual acordada entre EL

RESPONSABLE y EL ENCARGADO, los datos de carácter personal serán devueltos a EL

RESPONSABLE, al igual que cualquier soporte o documento en el que conste algún dato de




carácter personal objeto del tratamiento, debiendo certificar inmediatamente por escrito dicha

devolución, en el plazo máximo de 10 días hábiles desde la fecha de cumplimiento o resolución del

contrato.

UNDÉCIMA.- De acuerdo con lo dispuesto en el artículo 80 del RD 1720/07, EL ENCARGADO

asume las siguientes obligaciones:

Si ambas partes hubieran pactado que EL ENCARGADO accediera a los datos de carácter

personal o a los recursos del sistema de información de EL RESPONSABLE, el personal

del primero se comprometerá al cumplimiento de las medidas de seguridad previstas por

EL RESPONSABLE en su Documento de Seguridad. Asimismo, y en el presente supuesto,

EL ENCARGADO no podrá incorporar tales datos a sistemas o soportes distintos de los del

responsable.

Si el servicio fuera prestado por EL ENCARGADO en sus propios locales, ajenos a los de

EL RESPONSABLE, el primero deberá elaborar un documento de seguridad en los

términos exigidos por el artículo 88 del RD 1720/07 o completar el que ya hubiera elaborado,

en su caso, identificando el fichero o tratamiento y el responsable del mismo e incorporando

las medidas de seguridad a implantar en relación con dicho tratamiento.

DUODÉCIMA.- Es obligación del Responsable de los Ficheros velar por que el Encargado del

Tratamiento reúna las garantías necesarias para el cumplimiento de lo establecido en la legislación

sobre protección de datos de carácter personal. A fin de cumplir con esta obligación, el Responsable

de los Ficheros tendrá derecho a:

Solicitar que el Encargado del Tratamiento exhiba la documentación preceptiva, conforme a

lo establecido en el RD 1720/2007 y normativa complementaria.

Realizar auditorías para verificar el cumplimiento de las medidas de seguridad y su

implantación, en el momento en el que lo considera oportuno, siempre que medie un

preaviso de al menos quince (15) días naturales sobre la fecha fijada para realizar dicha

auditoria.

DECIMOTERCERA.- Todos aquellos ficheros que sean creados e inscritos ante la Agencia

Española de Protección de Datos por el Responsable de los Ficheros con posterioridad a la firma

del presente Contrato y a los que el Encargado del Tratamiento tenga que tener acceso para la

correcta prestación de los Servicios, quedarán sometidos a los términos previstos en este Contrato

quedando obligado el Responsable de los Ficheros ha comunícaselo al Encargado del Tratamiento

de manera expresa, por cualquier medio escrito, adjuntándose copia de dichas comunicaciones a

este contrato como Anexos sucesivos.

DECIMOCUARTA.- EL RESPONSABLE autoriza expresamente a EL ENCARGADO a contratar

con terceros cuya intervención estime oportuna para el buen desarrollo de los servicios,

informándole de la identidad del tercero y de los servicios encargados. Además, EL ENCARGADO

se obliga a suscribir con el tercero un contrato en el que se estipulen las obligaciones que este debe

cumplir en relación a la protección de datos personales.




DECIMOQUINTA.- La totalidad de los términos y condiciones del presente documento, incluidos sus

anexos, tienen carácter confidencial, estando sujetos a las obligaciones expuestas a lo largo del

acuerdo.

Datos incluidos en el presente contrato

DECIMOSEXTA.- De conformidad con lo dispuesto en la Ley Orgánica 15/1999 de Protección de

Datos de Carácter Personal, EL RESPONSABLE con domicilio en el lugar indicado en el

encabezamiento del presente contrato, informa a los intervinientes en el mismo, que los datos que

figuran en él, serán incorporados a un fichero de datos de carácter personal responsabilidad de EL

RESPONSABLE con la finalidad de llevar a cabo la gestión de la relación contractual generada con

la firma del presente documento.


legislación vigente, el interesado deberá realizar una comunicación a la dirección indicada

anteriormente, a los referidos efectos, indicando como referencia “Protección de datos”.

Régimen de responsabilidad

DECIMOSÉPTIMA.- EL ENCARGADO mantendrá indemne a EL RESPONSABLE frente a

cualquier reclamación que derive del tratamiento de datos de carácter personal que EL

ENCARGADO realice en relación con el objeto del presente contrato como consecuencia del

incumplimiento de dicha normativa.

Asimismo, en el supuesto de que EL ENCARGADO utilizara los datos de carácter personal a los

que tuviera acceso vulnerando las obligaciones que le corresponden en calidad de encargado del

tratamiento según lo dispuesto en la LOPD así como en el RD 1720/07, y siempre que resultare

acreditado, EL ENCARGADO se obliga a:

Hacerse cargo del pago de cualquier cantidad que por cualquier causa y concepto EL

RESPONSABLE se viera obligada a abonar, como consecuencia del uso indebido de los

datos, incluidas sanciones administrativas y las eventuales indemnizaciones a cuyo pago

fuera condenada ésta, en virtud del correspondiente procedimiento, administrativo o judicial.

Asimismo, EL ENCARGADO se compromete al pago de las costas judiciales y los

honorarios de abogados y procurador que EL RESPONSABLE utilizare en los eventuales

procesos que se entablaran en su contra.

Abonar a EL RESPONSABLE, la suma que en su momento ambas partes acuerden en

concepto de indemnización de daños morales y de reputación comercial sufridos por éste

como consecuencia del uso indebido de los ficheros suministrados, cuya cantidad se fijará

proporcionalmente a los perjuicios causados.

Ambas partes, en prueba de su conformidad, firman el presente contrato, por duplicado ejemplar,

en el lugar y fecha indicados ut supra.

EL RESPONSABLE EL ENCARGADO




ANEXO 5 - INVENTARIO DE ENCARGADOS DEL TRATAMIENTO

Encargado Ficheros accedidos Modo de acceso

TUAS 58, S.L.

TODOS los ficheros

Locales encargado Locales responsable

NOTEGES SOFTWARE PARA AGENTES INMOBILIARIOS, S.L.

Clientes y proveedores

Locales encargado Locales responsable




EJEMPLO ANEXO 5

Encargado Ficheros accedidos Modo de acceso

Gestoría laboral

Nóminas y personal

Locales encargado

Asesoría fiscal y contable

Clientes y proveedores

Locales encargado

Mantenimiento informático

TODOS los ficheros

Locales responsable Remoto




ANEXO 6 - PRESTACIÓN DE SERVICIOS SIN ACCESO A DATOS

De acuerdo con lo establecido en el artículo 83 del Real Decreto 1720/2007, de 21 de diciembre,

por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre,

de protección de datos de carácter personal y dado que la prestación de servicios acordada entre

las partes no requiere el acceso por parte de [Prestador de servicios] a datos de carácter personal,

se prohíbe expresamente que [Prestador de servicios] acceda a datos de carácter personal

incluidos en ficheros responsabilidad de [Responsable del fichero] o que en cualquier caso, sean

objeto de tratamiento por parte de la misma.

Sin perjuicio de lo dispuesto en el párrafo anterior, [Prestador de servicios] se obliga al

cumplimiento de la obligación de secreto respecto a los datos que el personal de su entidad hubiera

podido conocer con motivo de la prestación del servicio, responsabilizándose de las consecuencias

que en cualquier ámbito pudieran derivarse como consecuencia de la vulneración de la referida

obligación.




ANEXO 7 - AUTORIZACIONES

Delegación de autorizaciones

Nombre y apellidos de la persona habilitada para otorgar la autorizaciones

Puesto / Función

Personas en las que se delega la autorización

Autorización Nombre y apellidos de la persona delegada

Conceder, anular o alterar el acceso a los recursos del sistema

Salida de soportes y/o documentos

Recepción de soportes y/o documentos

Ejecución de los procedimientos de recuperación de datos

Régimen de trabajo fuera de los locales

Usuarios y perfiles de usuarios

Perfil Fichero afectado

Lectura Modificación Borrado Copia o traslado

Responsable de Seguridad

Informático

Administrativo

Técnicos

Comerciales

Secretaría

Personal ajeno con acceso a los recursos de la entidad

Nombre y apellidos Entidad Fichero afectado

Lectura Modificación Borrado




EJEMPLO ANEXO 7


Nombre y apellidos de la persona habilitada para otorgar la autorizaciones

Puesto / Función

Juan Rodríguez Rodríguez Responsable de Seguridad

Miguel Pérez Pérez Administrador de Sistemas

Personas en las que se delega la autorización

Autorización Nombre y apellidos de la persona delegada

Conceder, anular o alterar el acceso a los recursos del sistema

Miguel Pérez Pérez (Administrador de Sistemas)

Salida de soportes y/o documentos María López López (Usuaria)

Recepción de soportes y/o documentos

María López López (Usuaria)

Ejecución de los procedimientos de recuperación de datos

Miguel Pérez Pérez (Administrador de Sistemas)


Usuarios y perfiles de usuarios

Perfil Fichero afectado

Lectura Modificación Borrado Copia o traslado

Responsable de Seguridad

TODOS

Informático TODOS

Administrativo TODOS

Técnicos TODOS

Comerciales TODOS

Secretaría TODOS

Personal ajeno con acceso a los recursos de la entidad

Nombre y apellidos Entidad Fichero afectado

Lectura Modificación Borrado

José Fernández Fernández

Mantenimiento Informático, S.A.

TODOS




ANEXO 8 - MANUAL DE FUNCIONES Y OBLIGACIONES DEL PERSONAL

A. Obligaciones del Responsable de seguridad

Coordinará la puesta en marcha de las medidas de seguridad y controlará el

cumplimiento de las mismas en conjunción con los responsables administrativos de los

ficheros en caso de que se haya optado por designar a los mismos.

Analizará las incidencias registradas, tomando las medidas oportunas, para

independientemente de las medidas particulares que se hayan adoptado en el momento

que se produjeron, poner las medidas correctoras que limiten esas incidencias en el

futuro.

Se encargará de los controles periódicos de verificación del cumplimiento de la

normativa especificada en el presente Documento de Seguridad.

Comprobará, con una periodicidad al menos trimestral, que la lista de Usuarios

autorizados se corresponde con la lista de los usuarios que realmente están accediendo

a la aplicación de acceso al Fichero. El Administrador del Sistema colaborará con el

Responsable de Seguridad en este sentido, además de informarle de cualquier alta, baja

o modificación de la lista de Usuarios.

Comprobar, al menos semestralmente, que el Documento de Seguridad esta actualizado.

Cada dos años y en el caso de ficheros de nivel medio y alto, el sistema se someterá a

un proceso de auditoría que generará un informe de adecuación a las exigencias del

RLOPD indicando, en caso necesario, las deficiencias encontradas y las

recomendaciones para solucionarlas.

El responsable de seguridad analizará este informe y comunicará las conclusiones del

mismo al Responsable del Fichero para que adopte las medidas correctoras adecuadas.

Gestionará y controlará directamente los mecanismos que registran los accesos a los

Ficheros con datos de carácter personal. Además analizará mensualmente la información

registrada y elaborará un informe de las revisiones realizadas y los problemas

detectados.

El responsable de seguridad comprobará trimestralmente el cumplimiento de los registros

de entradas y salidas de soportes informáticos.

B) Obligaciones del administrador del sistema

Es el encargado de administrar o mantener el entorno operativo del Fichero, por tanto

del mantenimiento de los equipos y del software que contienen estos. Dado que el

Fichero está contenido en un determinado entorno informático, el Administrador del

sistema debe asumir determinadas obligaciones.

Se responsabilizará de la correcta instalación del software de acceso a los datos del

Fichero, tales como aplicaciones de gestión o generadores de listados, en cada uno de

los equipos.




Controlará la particular configuración del sistema informático de la organización, con

especial atención a las conexiones de red local, así como a las conexiones a redes

externas.

Debe establecer un mecanismo que impida el acceso al sistema desde cualquier puesto

local o remoto a personas no autorizadas. Para ello empleará medidas de seguridad

implementadas en el sistema operativo, limitando el número máximo de intentos fallidos

de conexión y, en caso de ser técnicamente posible, registrando estas incidencias con

detalle de fecha, hora, identificador de usuario y clave erróneas, con objeto de identificar

al autor de tales intentos.

Mantendrá una relación del personal autorizado a acceder al sistema de información, ya

sea local o remotamente, y mantendrá la máxima garantía de seguridad esta relación,

que ha de contener el nombre de los usuarios y sus identificadores y contraseñas.

Si en el momento de implantar una aplicación que acceda a los datos del Fichero

precisara realizar pruebas con datos reales, solicitará autorización al responsable del

Fichero y garantizará que los datos usados para las pruebas reciban el mismo tratamiento

de seguridad que los originales, debiendo para ello:

1. Anotar dicha circunstancia en el Documento de Seguridad.

2. Realizar una copia de seguridad previamente a la realización de la pruebas.

Se encargará de comunicar al Responsable del Fichero o en su caso a la persona

delegada, las modificaciones significativas realizadas en el sistema informático que da

acceso a los datos del Fichero.

Se responsabilizará de guardar y proteger las copias de seguridad, de tal forma que no

puedan tener acceso a las mismas las personas no autorizadas.

Si la aplicación o sistema de acceso al fichero utilizase ficheros temporales, ficheros de

“logging”, el administrador deberá asegurarse de que esos datos no son accesibles por

personal no autorizado.

Si el equipo en el que está ubicado el fichero está integrado en una red de

comunicaciones de forma que desde otros equipos conectados a la misma sea posible

el acceso al fichero, el administrador deberá asegurarse de que este acceso no se

permite a personas no autorizadas.

Si la aplicación informática que permite el acceso al fichero no cuenta con un control de

acceso, deberá ser el sistema operativo en el que se ejecuta esa aplicación, el que impida

el acceso no autorizado, mediante el control de los citados códigos de usuario y

contraseñas.

Se responsabilizará del cumplimiento de los mecanismos establecidos para la

asignación, distribución y cambio de contraseñas.

Será responsable de que las contraseñas se almacenen en archivo protegido.




Deberá realizar con una periodicidad al menos semanal, una copia de seguridad a

efectos de respaldo y posible recuperación de datos en caso de fallo. Podrá ser

designado expresamente otro usuario para responsabilizarse de este extremo.

Se encargará de que en caso de fallo del sistema con pérdida parcial o total de los datos,

exista y se lleve a cabo un procedimiento que partiendo de la última copia de respaldo y

del registro de las operaciones realizadas desde el momento de la copia, reconstruya los

datos del fichero al estado en que se encontraban en el momento del fallo.

En el posible caso de no existir en la organización la figura del Administrador del Sistema,

será el Responsable de Seguridad quien asuma las obligaciones anteriormente descritas.

C) Obligaciones de los usuarios del sistema

Los usuarios del sistema, deben conocer y aceptar las normas de seguridad de la

organización.

Los puestos de trabajo estarán bajo la responsabilidad de algún usuario autorizado que

garantizará que la información que muestran no pueda ser visible por personas no

autorizadas.

Las pantallas, impresoras o cualquier otro tipo de dispositivos conectados al puesto de

trabajo, deberán estar ubicados en lugares que garanticen confidencialidad e impidan

accesos no autorizados.

El usuario, cuando abandone su puesto de trabajo, temporalmente o al finalizar su jornada

de trabajo, deberá dejarlo en un estado que impida la visualización de los datos protegidos.

Esto podrá realizarse a través de un protector de pantalla que impida la visualización de

los datos. La reanudación del trabajo implicará la desactivación de la pantalla protectora

con la introducción de la contraseña correspondiente.

Deberán asegurarse de que no quedan documentos impresos en la bandeja de salida que

contengan datos protegidos. Si las impresoras son compartidas con otros usuarios no

autorizados para acceder a los datos del fichero, cada usuario deberá retirar los

documentos conforme vayan siendo impresos.

La conexión a redes o sistemas exteriores de los puestos de trabajo desde los que se

realiza el acceso al fichero, quedan expresamente prohibidas.

No podrán cambiar la configuración fija y sistema operativo de los equipos, salvo

autorización del Responsable de seguridad o de las personas en las que haya delegado

expresamente esta autorización.

Cada usuario será responsable de la confidencialidad de su contraseña y, en el supuesto

de que ésta sea conocida fortuita o fraudulentamente por personas no autorizadas, deberá

registrarlo como incidencia y proceder a su cambio.

Cualquier usuario que tenga conocimiento de una incidencia es responsable de la

comunicación de la misma al administrador del sistema, o en su caso, del registro de la

misma en el registro de incidencias del fichero. En este sentido, el conocimiento y la no




notificación de una incidencia por parte de un usuario será considerado como una falta

contra la seguridad del fichero por parte de dicho usuario.

Deberán responsabilizarse de que los soportes que contengan datos personales, bien como

consecuencia de operaciones intermedias propias de la aplicación que los trata, o bien

como consecuencia de procesos periódicos de respaldo o cualquier otra operación

esporádica, se encuentren claramente identificados con una etiqueta externa que indique

de qué fichero se trata, qué tipo de datos contiene, proceso que los ha originado y fecha de

creación.

Se encargarán de que aquéllos soportes que resulten reutilizables, y que hayan contenido

datos personales, sean borrados físicamente antes de su reutilización, de forma que los

datos que contenía anteriormente, no sean recuperables.

Se ocuparán de que los soportes que contengan datos personales sean almacenados en

lugares a los que no tengan acceso personas no autorizadas para el acceso a dichos datos.




ANEXO 9 - RELACIÓN DE USUARIOS DE LOS SISTEMAS DE INFORMACIÓN

NOMBRE Y APELLIDOS

DNI CARGO FICHEROS




ANEXO 10 - GESTIÓN DE INCIDENCIAS

a) Notificación y registro de incidencias

INCIDENCIA Nº

NIVEL BÁSICO

Fecha de notificación

Tipo de incidencia

Descripción detallada de la incidencia

Fecha y hora en que se produjo la incidencia

Persona que realiza la notificación

Persona a quien se comunica

Efectos que puede producir

NIVEL MEDIO/ALTO

Procedimiento realizado

Persona que realiza el procedimiento

Datos restaurados

Datos grabados manualmente

Autorización del Responsable de Seguridad

Firma




EJEMPLO ANEXO 10

a) Registro de Incidencias

INCIDENCIA Nº

NIVEL BÁSICO

Fecha de notificación 14/02/2009

Tipo de incidencia Indisponibilidad de los sistemas de información

Descripción detallada de la incidencia Debido a un fallo del sistema la información no se encuentra accesible

Fecha y hora en que se produjo la incidencia

14/02/2009, 13:15h.

Persona que realiza la notificación María López López

Persona a quien se comunica Miguel Pérez Pérez

Efectos que puede producir Inaccesibilidad a los datos, pérdida de información

NIVEL MEDIO/ALTO

Procedimiento realizado

Persona que realiza el procedimiento Miguel Pérez Pérez

Datos restaurados Fichero CV

Datos grabados manualmente No

Autorización del Responsable de Seguridad

Sí. Ubicada en

Firma




b) Catálogo de posibles incidencias

Si bien no es posible tipificar a priori un catálogo exhaustivo de incidencias que pueden afectar a la

seguridad e integridad de los datos personales, se adjunta a modo de ejemplo, un listado orientativo

de incidencias conocidas.

1. Incidencias que pueden afectar a la confidencialidad

1.1.- Lectura no autorizada de la información contenida en los ficheros.

1.1.1.- Por parte de personal informático.

1.1.2.- Por parte de otras personas de la organización.

1.1.3.- Por parte de personas ajenas a la organización.

1.2.- Copia no autorizada de la información.

1.2.1.- Por parte de personal informático.

1.2.2.- Por parte de otras personas de la organización.


1.3.- Error en la distribución:

- de informes

- de soportes

1.4.- Error en la manipulación:

- de informes

- de soportes

1.5.- Obtención de información desde soportes desechados.

1.6.- Descifrado de la información:

1.6.1.- Por descubrimiento de claves.

1.6.2.- Por conocimiento directo de las claves.

2.- Incidencias que afectan a la integridad:

2.1.- Modificación no autorizada de la información:

2.1.1.- Por parte de personal de la organización.


2.2.- Borrado no autorizado de la información:

2.2.1.- Por parte de personal informático de la organización.

2.2.2.- Por parte de personas de la organización.


2.3.- Destrucción parcial o total de la información por:

2.3.1.- Fallos en equipos.

2.3.2.- Fallos en instalaciones ocasionadas por:

Incendios

Inundaciones

Tormentas

2.4.- Imposibilidad de recuperar datos, partiendo de las copias de respaldo.

2.5.- Alteración o borrado de la información durante su explotación por:




2.5.1.- Fallos ocasionados por aplicaciones.

2.5.2.- Fallos ocasionados por sistemas operativos.

3.- Incidencias que afectan a la disponibilidad:

3.1.- Modificaciones no autorizadas de permisos de acceso lógico a los ficheros.

3.2.- Imposibilidad o limitación del uso de las instalaciones:

3.2.1.- Fenómenos meteorológicos.

3.2.2.- Huelgas, manifestaciones.

3.2.3.- Otras.

3.3.- Indisponibilidad de los sistemas:

3.3.1.- Por fallos informáticos.

4.- Incidencias que afectan a la autenticación:

4.1.- Suplantación del usuario autorizado por el no autorizado:

4.1.1.- Cesión de la clave.

4.1.2.- Por conocimiento de la clave de acceso.

4.1.3.- Por violación de los controles de acceso.

4.2.- Por fallos en los programas o dispositivos de control de acceso lógico.

4.3.- Por fallos en su gestión:

4.3.1.- Bajas de personas no comunicadas.

4.3.2.- Autorizaciones de acceso improcedentes.




ANEXO 11 - GESTIÓN DE SOPORTES

a) Inventario de soportes

TIPO SOPORTE CÓDIGO ALTA BAJA DESTRUCCIÓN REUTILIZACIÓN




EJEMPLO ANEXO 11

a) Inventario de soportes

TIPO SOPORTE CÓDIGO ALTA BAJA DESTRUCCIÓN REUTILIZACIÓN

CD

001/09

02/02/09

30/07/09

CD

002/09

02/07/09

CD

003/09

02/07/09

USB

004/09

16/07/09

CD

005/09

16/07/09




b) Registro y autorización de entrada y salida de soportes

ENTRADA DE SOPORTES

CÓDIGO DE ENTRADA: Fecha de entrada de soporte:

SOPORTE Identificación: Contenido: Fichero de procedencia de los datos: Fecha de creación:

FINALIDAD, ORIGEN Y DESTINO Finalidad: Origen: Destinatario:

FORMA DE ENVÍO Medio de envío: Remitente:

AUTORIZACIÓN Persona que autoriza: Cargo: Observaciones: Firma:




SALIDA DE SOPORTES

CÓDIGO DE SALIDA: Fecha de salida de soporte:

SOPORTE Identificación: Contenido: Fichero de procedencia de los datos: Fecha de creación:

FINALIDAD, ORIGEN Y DESTINO Finalidad: Origen: Destino: Destinatario:

FORMA DE ENVÍO Medio de envío: Remitente:

AUTORIZACIÓN Persona que autoriza: Cargo: Observaciones: Firma:




EJEMPLO ANEXO 11

b) Registro y autorización de entrada de soportes

ENTRADA DE SOPORTES

CÓDIGO DE ENTRADA: 001/09 Fecha de entrada de soporte: 25/07/09

SOPORTE Identificación: USB Contenido: Datos de nóminas Fichero de procedencia de los datos: Nóminas y personal Fecha de creación:

FINALIDAD, ORIGEN Y DESTINO Finalidad: Realización de nóminas Origen: Gestoría laboral, S.A. Destinatario: Ana Álvarez Álvarez

FORMA DE ENVÍO Medio de envío: Mensajería Remitente: Alberto Márquez Márquez

AUTORIZACIÓN Persona que autoriza: Juan Rodríguez Rodríguez Cargo: Responsable de Seguridad Observaciones: Firma:




ANEXO 12 - PROCEDIMIENTO DE RESPALDO Y RECUPERACIÓN

Características de los procedimientos de copias de respaldo

Fichero Periodicidad Soporte Ubicación de procedimiento de

copia y recuperación




ANEXO 13 - IDENTIFICACIÓN DEL RESPONSABLE DE SEGURIDAD

ANEXO 14 - CONTROLES PERIÓDICOS DE VERIFICACIÓN

a) Controles periódicos de verificación

Medidas comunes a la totalidad de ficheros y sistemas de tratamiento Fichero: …………………….. Fecha de la verificación: ……………………….

Concepto verificado

Anomalías detectadas Medidas correctoras

Encargados del tratamiento

Prestaciones de servicios sin acceso a datos


Acceso a datos a través de redes telecomunicaciones


Ficheros temporales y copias de trabajo de documentos

Responsable de seguridad

Fecha: Nombre y apellidos: Firma:




Medidas de nivel básico para ficheros automatizados Fichero: ……………………….. Fecha de la verificación: ……………………….

Concepto verificado


Funciones y obligaciones del personal

Registro de incidencias

Control de acceso

Gestión de soportes y documentos

Identificación y autenticación

Copias de respaldo y recuperación






Medidas de nivel medio para ficheros automatizados Fichero: ……………………….. Fecha de la verificación: ……………………….

Concepto verificado



Auditoría

Medidas adicionales soportes y documentos

Medidas adicionales identificación y autenticación

Control de acceso físico

Medidas adicionales incidencias

Controles periódicos de verificación






Medidas de nivel alto para ficheros automatizados Fichero: ……………………….. Fecha de la verificación: ……………………….

Concepto verificado


Gestión y distribución de soportes

Copias de respaldo y recuperación

Registro de accesos

Telecomunicaciones


1. 2. Fecha:

Nombre y apellidos: Firma:




Medidas de nivel básico para ficheros NO automatizados Fichero: ……………………….. Fecha de la verificación: ……………………….

Concepto verificado


Criterios de archivo

Dispositivos de almacenamiento

Custodia de los soportes






Medidas de nivel medio para ficheros NO automatizados Fichero: ……………………….. Fecha de la verificación: ……………………….

Concepto verificado


Auditoría







Medidas de nivel alto para ficheros NO automatizados Fichero: ……………………….. Fecha de la verificación: ……………………….

Concepto verificado


Copia o reproducción

Acceso a la documentación

Traslado de documentación


Fecha: Nombre y apellidos Firma:




EJEMPLO ANEXO 14

a) Medidas comunes a la totalidad de ficheros y sistemas de tratamiento Fichero: ……………………….. Fecha de la verificación: ……………………….

Concepto verificado


Encargados del tratamiento

No se ha suscrito el correspondiente contrato de tratamiento por cuenta de terceros (art. 12 LOPD) con la Asesoría fiscal y contable

Firmar el contrato

Prestaciones de servicios sin acceso a datos


Acceso a datos a través de redes telecomunicaciones


Ficheros temporales y copias de trabajo de documentos


Fecha: 28/07/2009 Nombre y apellidos: Juan Rodríguez

Rodríguez Firma:




b) Catálogo de conceptos verificables A continuación se incluye un listado estructurado a fin de facilitar –a modo de ejemplo- los puntos a

comprobar en el sistema de información mediante la tabla del anexo anterior en cada control

periódico de verificación:

1. Aplicación del documento de seguridad

1.1. Existencia de copia del documento de seguridad en poder de cada Responsable de Seguridad

1.2. Disponibilidad del documento respecto de los usuarios del sistema

1.3. Nivel de conocimiento del documento por parte de los usuarios

1.4. Nivel de acatamiento a las normas y estándares que contiene

2. Vigencia del documento de seguridad

2.1. Adecuación del documento a los dispositivos físicos

2.2. Adecuación del documento a los recursos lógicos

2.3. Adecuación del documento al personal activo

3. Sistema de identificación y autenticación

3.1. Existencia de cambios periódicos de contraseña

3.2. Correlación entre la lista y el personal con acceso al sistema

3.3. Instauración de permisos al personal

3.3.1. Adecuación a las funciones cumplidas dentro del sistema por cada usuario

3.4. Almacenamiento cifrado de las contraseñas dentro del sistema

4. Control de acceso

4.1. Existencia de procedimientos de control de acceso lógico al sistema de información

4.2. Existencia de logs

4.2.1. Comprobación periódica

4.2.1.1. Redacción de informes

5. Gestión de soportes

5.1. Existencia de identificación en los soportes

5.2. Existencia de inventario de soportes

5.2.1. Registro de los soportes

5.3. Almacenamiento de soportes en sitio seguro

5.3.1. Cumplimiento almacenamiento de soportes para nivel alto

5.4. Existencia de inventario de entrada de soportes

5.4.1. Registro de cada soporte entrante

5.5. Existencia de inventario de salida de soportes

5.5.1. Registro de cada soporte saliente

5.6. Existencia de medidas ante desecho / reutilización de soportes

5.6.1. Cumplimiento de las medidas

6. Control antivirus

6.1. Existencia de un antivirus

6.1.1. Constatación de la actividad dentro del sistema

6.1.2. Grado de actualización de la aplicación

6.1.3. Grado de actualización de las cadenas de detección de virus

6.1.4. Automatización de la aplicación sobre archivos

6.2. Constatación de pérdida de datos suscitadas por virus




7. Copias de respaldo

7.1. Existencia de procesos de copias de respaldo

7.2. Establecimiento de procedimientos periódicos

7.2.1. Cumplimiento de los plazos establecidos

7.3. Almacenamiento de las copias en lugar seguro

7.3.1. Medidas especiales de almacenamiento de copias para ficheros de nivel alto

7.4. Comprobación de recuperación de datos

8. Gestión de incidencias

8.1. Existencia de procedimiento

8.1.1. Registro de incidencias

8.1.1.1. Cumplimiento de medidas por los administradores del sistema

8.1.1.2. Cumplimiento de notificación por parte de los usuarios

8.1.2. Nivel de respuesta ante incidencias

8.2. Existencia de catálogo de incidencias

8.3. Existencia de acciones correctoras iniciadas ante incidencias




ANEXO 15 - EJERCICIO DE DERECHOS

a) Cartas modelo de ejercicio de derechos

b) Protocolo de ejercicio de derechos

Características generales de los derechos ARCO2:

De acuerdo con lo dispuesto en la LOPD así como en su reglamento de desarrollo, los afectados

por un tratamiento de datos pueden ejercitar los siguientes derechos en relación con sus Datos de

Carácter Personal:

Derecho de Acceso.

Derecho de Rectificación.

Derecho de Cancelación.

Derecho de Oposición.

Los derechos serán denegados cuando la solicitud sea formulada por persona distinta del afectado

y no se acreditase que la misma actúa en representación de aquél.

El ejercicio de estos derechos es independiente y no se debe entender que el ejercicio de ninguno

de ellos sea requisito previo para el ejercicio de otro. Por ejemplo, no es necesario ejercitar el

derecho de acceso con anterioridad a solicitar la rectificación/cancelación de los datos.

El Responsable del fichero deberá conceder al interesado un medio sencillo y gratuito para el

ejercicio de los derechos de acceso, rectificación, cancelación y oposición.

La solicitud de ejercicio de derechos, deberá contener:

a) Nombre y apellidos del interesado.

b) Fotocopia de su documento nacional de identidad, o de su pasaporte u otro documento

válido que lo identifique y, en su caso, de la persona que lo represente, o instrumentos

electrónicos equivalentes; así como el documento o instrumento electrónico acreditativo de

tal representación.

c) Petición en que se concreta la solicitud.

d) Dirección a efectos de notificaciones, fecha y firma del solicitante.

e) Documentos acreditativos de la petición que formula, en su caso.

El Responsable del tratamiento deberá contestar la solicitud que se le dirija en todo caso, con

independencia de que figuren o no datos personales del afectado en sus ficheros, recayendo sobre

él, la carga de la prueba de la respuesta.

2 Derechos de Acceso, Rectificación, Cancelación y Oposición




Derecho de acceso

Es el derecho del afectado a obtener información sobre si sus propios Datos de Carácter Personal

están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando,

así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas

o previstas de los mismos.

El régimen normativo de protección de datos señala dos plazos diferentes en la tramitación de una

solicitud de acceso:

1. Plazo de la comunicación (formal) de concesión/denegación del acceso: un mes a partir de

la recepción de la misma en la entidad, plazo máximo en el que se puede comunicar al

afectado si se desestima su solicitud, o bien se procede a su tramitación.

En el caso de que no disponga de Datos de Carácter Personal de los afectados deberá

igualmente comunicárselo en el mismo plazo.

2. Plazo de la comunicación informativa relativa a la información que conste: diez días hábiles

a partir de la comunicación al interesado de que procede tramitar su solicitud.

En relación con la información que debe aportarse al solicitante, se ha de tener en consideración

que:

a. Los datos, cualquiera que sea el soporte en que sean facilitados, se proporcionarán

en forma legible e inteligible, sin utilizar claves o códigos que requieran el uso de

dispositivos mecánicos específicos.

b. Dicha información comprenderá todos los datos de base del afectado, los

resultantes de cualquier elaboración o proceso informático, así como la información

disponible sobre el origen de los datos, los cesionarios de los mismos y la

especificación de los concretos usos y finalidades para los que se almacenaron los

datos.

El responsable del fichero o tratamiento podrá denegar el acceso a los Datos de Carácter Personal

si:

a. El derecho ya se haya ejercitado en los doce meses anteriores a la solicitud, salvo

que se acredite un interés legítimo al efecto.

b. Así lo prevea una Ley o una norma de derecho comunitario de aplicación directa o

cuando éstas impidan al responsable del tratamiento revelar a los afectados el

tratamiento de los datos a los que se refiera el acceso.

En todo caso, el Responsable del fichero informará al afectado de su derecho a recabar la tutela de

la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las

comunidades autónomas, conforme a lo dispuesto en el artículo 18 de la Ley Orgánica 15/1999, de

13 de diciembre.




Derechos de rectificación y cancelación

Derecho de rectificación: es el derecho del afectado a que se modifiquen los datos que resulten

ser inexactos o incompletos.

Derecho de cancelación: dará lugar a que se supriman los datos que resulten ser inadecuados o

excesivos, sin perjuicio del deber de bloqueo conforme a lo indicado en el Reglamento de Desarrollo

de la LOPD.

En los supuestos en que el interesado invoque el ejercicio del derecho de cancelación para revocar

el consentimiento previamente prestado, se estará a lo dispuesto en la Ley Orgánica 15/1999.

En relación con el procedimiento deben considerarse los siguientes elementos:

a. La solicitud de rectificación deberá indicar a qué datos se refiere y la corrección que haya

de realizarse y deberá ir acompañada de la documentación justificativa de lo solicitado.

b. En la solicitud de cancelación, el interesado deberá indicar a qué datos se refiere, aportando

al efecto la documentación que lo justifique, en su caso.

El responsable del fichero resolverá sobre la solicitud de rectificación o cancelación en el plazo

máximo de diez días a contar desde la recepción de la solicitud.

En el caso de que no disponga de datos de carácter personal del afectado deberá igualmente

comunicárselo en el mismo plazo.

Si los datos rectificados o cancelados hubieran sido cedidos previamente, el responsable del fichero

deberá comunicar la rectificación o cancelación efectuada al cesionario, en idéntico plazo, para que

éste, también en el plazo de diez días contados desde la recepción de dicha comunicación, proceda,

asimismo, a rectificar o cancelar los datos.

La rectificación o cancelación efectuada por el cesionario no requerirá comunicación alguna al

interesado, sin perjuicio del ejercicio de derechos por parte de los interesados reconocidos en la Ley

La rectificación o cancelación de los datos de carácter personal no procederá:

a. Cuando los datos de carácter personal deban ser conservados durante los plazos previstos

en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la

persona o entidad responsable del tratamiento y el interesado que justificaron el tratamiento

de los datos.

b. Cuando así lo prevea una ley o una norma de derecho comunitario de aplicación directa o

cuando éstas impidan al responsable del tratamiento revelar a los afectados el tratamiento

de los datos a los que se refiera el acceso.

Al igual que en el ejercicio del derecho de acceso, en todo caso, el responsable del fichero informará

al afectado de su derecho a recabar la tutela de la Agencia Española de Protección de Datos o, en

su caso, de las autoridades de control de las Comunidades Autónomas, conforme a lo dispuesto en

el artículo 18 de la Ley Orgánica 15/1999, de 13 de diciembre.




Derecho de oposición

Derecho de oposición: es el derecho del afectado a que no se lleve a cabo el tratamiento de sus

datos de carácter personal o se cese en el mismo en los siguientes supuestos:

a. Cuando no sea necesario su consentimiento para el tratamiento, como

consecuencia de la concurrencia de un motivo legítimo y fundado, referido a su

concreta situación personal, que lo justifique, siempre que una Ley no disponga lo

contrario.

En el presente caso, en la solicitud, deberán hacerse constar los motivos fundados

y legítimos, relativos a una concreta situación personal del afectado, que justifican

el ejercicio de este derecho.

b. Cuando se trate de ficheros que tengan por finalidad la realización de actividades

de publicidad y prospección comercial.

c. Cuando el tratamiento tenga por finalidad la adopción de una decisión referida al

afectado y basada únicamente en un tratamiento automatizado de sus datos de

carácter personal.

El responsable del fichero resolverá sobre la solicitud de oposición en el plazo máximo de diez días

a contar desde la recepción de la solicitud.

En el caso de que no disponga de datos de carácter personal de los afectados deberá igualmente

comunicárselo en el mismo plazo.

Derecho de oposición a las decisiones basadas únicamente en un tratamiento automatizado de

datos.

Los interesados tienen derecho a no verse sometidos a una decisión con efectos jurídicos sobre

ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento

automatizado de datos destinado a evaluar determinados aspectos de su personalidad, tales como

su rendimiento laboral, crédito, fiabilidad o conducta.

No obstante, los afectados podrán verse sometidos a una de las decisiones indicadas anteriormente,

cuando

a) Se haya adoptado en el marco de la celebración o ejecución de un contrato a petición del

interesado, siempre que se le otorgue la posibilidad de alegar lo que estimara pertinente, a fin de

defender su derecho o interés.

En todo caso, el responsable del fichero deberá informar previamente al afectado, de forma clara y

precisa, de que se adoptarán decisiones con las características señaladas en el anteriormente y

cancelará los datos en caso de que no llegue a celebrarse finalmente el contrato.

b) Esté autorizada por una norma con rango de Ley que establezca medidas que garanticen el

interés legítimo del interesado.




c) Modelos de respuesta ante los ejercicios de derechos

ACCESO

“Por la presente, le comunicamos que de conformidad con el artículo 15 de la Ley Orgánica 15/1999,

de Protección de Datos de Carácter Personal, procedemos a hacer efectivo el ejercicio de su

derecho de acceso, solicitado con fecha.......... A tal efecto, se adjunta una copia de los datos de

carácter personal que de su titularidad se mantienen en nuestros ficheros, así como el origen de los

mismos y las finalidades para las que fueron recabados.

Atentamente,”

* En el supuesto de que existan cesiones de datos, se deberá indicar la existencia de dichas

cesiones así como los datos identificativos de los cesionarios.

RECTIFICACIÓN

“Por la presente, le comunicamos que de conformidad con el artículo 16 de la Ley 15 de la Ley

Orgánica 15/1999, de Protección de Datos de Carácter Personal, se ha procedido a hacer efectivo

su derecho de rectificación, en el plazo establecido.

Atentamente,”

CANCELACIÓN

“Por la presente, le comunicamos que se ha recibido en nuestras oficinas su carta fechada el día

_________, mediante la que se solicita la cancelación de los datos que figuran en nuestros ficheros,

y que de conformidad con el artículo 16 de la Ley 15 de la Ley Orgánica 15/1999, de Protección de

Datos de Carácter Personal, se ha procedido a hacer efectivo su derecho de cancelación, en el

plazo establecido y en relación con los siguientes datos (indicar datos).

Atentamente,”

OPOSICIÓN

“Por la presente, le comunicamos que de conformidad con el artículo 6.4 de la Ley Orgánica 15 de

la Ley 15/1999 de Protección de Datos de Carácter Personal, se ha procedido a hacer efectivo su

derecho de oposición.

Atentamente,”




Anexo 16 - CALIDAD DE LOS DATOS

Reglas generales del principio de calidad de los datos:

1. Datos Personales inexactos o no actualizados, que conserven la finalidad para la

que fueron recabados:

Proceder a la rectificación de dichos datos en el plazo de 10 días desde

que se tenga conocimiento de la inexactitud de dichos datos.

En caso de que no fuera posible la rectificación de los datos personales,

caben otras dos alternativas:

Proceder al bloqueo de los datos durante el plazo de prescripción

correspondiente y a su eliminación posterior del sistema de

información.

Proceder a la disociación de los datos. Lo que implica llevar a cabo

un tratamiento de datos personales contenidos en el fichero de

modo que la información que se obtenga no pueda asociarse a

persona identificada o identificable.

2. Datos Personales inexactos o no actualizados que hayan dejado de responder a

la finalidad para la que fueron recabados:

Procedimiento de disociación, de manera que no se permita asociar los

datos de carácter personal a una persona identificada o identificable.

Supresión de los datos: Eliminación permanente de los datos personales

del sistema de información.

3. Datos que hayan dejado de ser pertinentes o adecuados para la finalidad para la

que fueron recabados pero que, como consecuencia de las obligaciones legales

en la materia, deban ser conservados.

Deberán ser bloqueados y una vez transcurrido el periodo legalmente

establecido al efecto, definitivamente eliminados.


que fueron recabados y sobre los que no exista obligación de conservarlos.

Procedimiento de Disociación: Lo que implica llevar a cabo un tratamiento

de datos personales contenidos en el fichero de modo que la información

que se obtenga no pueda asociarse a persona identificada o identificable

de forma permanente

Supresión de los datos: Eliminación de los datos del sistema de

información.





que fueron recabados y sobre los que no exista obligación de conservarlos, cuya

extinción física no sea posible, tanto por razones técnicas como por causa del

procedimiento o soporte utilizado.

Bloqueo de los datos, con el fin de impedir su ulterior proceso o utilización.

Procedimiento de Disociación: Lo que implica llevar a cabo un tratamiento

de datos personales contenidos en el fichero de modo que la información

que se obtenga no pueda asociarse a persona identificada o identificable

de forma permanente.

6. Los datos de carácter personal serán almacenados de forma que permitan el

ejercicio del derecho de acceso, salvo que sean legalmente cancelados.

Las aplicaciones de tratamientos de datos deben permitir el ejercicio de los derechos

de los afectados por el tratamiento.




CLÁUSULAS DE INFORMACIÓN Y CONSENTIMIENTO




1. CLÁUSULA INFORMATIVA PARA EMPLEADOS

De conformidad con lo dispuesto en la Ley Orgánica 15/1999 de Protección de Datos de Carácter

Personal, sus datos formarán parte de un fichero de datos de carácter personal, responsabilidad de

FINCAS GALICIA GESTION INMOBILIARIA, S.L. con C.I.F. B15919111, domiciliado a estos efectos

en AVENIDA BALNEARIO 36, BAJO, 15142 ARTEIXO, A CORUÑA, cuya finalidad es gestionar la

relación que mantiene con usted, y en particular y a título enunciativo, y no limitativo:

Controlar la utilización que realice de los recursos de la empresa a los que pudiera tener

acceso, como el uso y gasto telefónico, la utilización de Internet, los servicios de

mensajería instantánea, así como el correo electrónico, que son recursos de uso

exclusivo en el ámbito profesional,

Realizar el pago de las nóminas,

Funciones y actividades propias del Departamento de Recursos Humanos,

Llevar a cabo las obligaciones existentes en materia de protección de la salud y

prevención de riesgos laborales,

Gestionar y controlar su participación, asistencia y aprovechamiento en las acciones

formativas organizadas por la empresa en las que en su caso participe,

Realizar el control del absentismo así como el cumplimiento del horario laboral,

Remitir aquellas comunicaciones que pudieran llevarse a cabo desde la empresa,

Utilizar la información recogida en las grabaciones de videovigilancia, en el caso de

existir, para el ejercicio y funciones de control empresarial.

Asimismo, FINCAS GALICIA GESTION INMOBILIARIA, S.L. le informa que sus datos serán

comunicados a las siguientes entidades:

Tesorería General de la Seguridad Social: en cumplimiento de las obligaciones legales

vigentes en materia de seguridad social.

Agencia Estatal Tributaria: con la finalidad de llevar a cabo las obligaciones fiscales y

tributarias vigentes.

Entidades gestoras de la vigilancia de la salud: para el cumplimiento de la protección

respecto a contingencias de accidentes de trabajo y enfermedad profesional en los

términos previstos en la legislación vigente.

Entidades bancarias: para realizar el ingreso de los importes de las nóminas.

Entidades aseguradoras: con la finalidad de llevar a cabo la suscripción de pólizas de

seguros entre el empleado y la entidad destinataria de los datos.


legislación vigente, el interesado deberá realizar una comunicación a la dirección arriba indicada, a

los referidos efectos, indicando como referencia “Protección de datos - Personal”, adjuntando copia

de su Documento Nacional de Identidad.

Fdo.:




2. CLÁUSULA INFORMATIVA PARA EL FICHERO DE CURRICULA VITARUM

De conformidad con lo dispuesto en la Ley Orgánica 15/1999, de Protección de Datos de Carácter

Personal, FINCAS GALICIA GESTION INMOBILIARIA, S.L., con C.I.F. B15919111, domiciliado a

estos efectos en AVENIDA BALNEARIO 36, BAJO, 15142 ARTEIXO, A CORUÑA, le informa que

los datos que nos ha proporcionado formarán parte de un fichero responsabilidad de dicha entidad,

con la finalidad de llevar a cabo procesos de selección de personal.

En caso de que desee ejercitar los derechos que le asisten de acceso, rectificación, oposición y

cancelación, puede remitirnos una comunicación escrita a la dirección indicada anteriormente a los

referidos efectos con la referencia “Protección de Datos – CV”, adjuntando copia de su DNI o

documento identificativo equivalente.




3. CLÁUSULA INFORMATIVA PARA CLIENTES


efectos en AVENIDA BALNEARIO 36, BAJO, 15142 ARTEIXO, A CORUÑA, le garantiza la

protección de todos los datos de carácter personal facilitados y, en cumplimiento de los dispuesto

en la Ley Orgánica 15/1999, de 13 de diciembre, de datos de carácter personal, en el RD 1720/2007,

de 21 de diciembre, y restante normativa de aplicación, le informa que:

a) Todos los datos de carácter personal facilitados serán tratados por ésta de acuerdo con las

prescripciones legales aplicables al respecto y quedarán incorporados en el fichero clientes

y proveedores, creado y mantenido bajo la responsabilidad de FINCAS GALICIA GESTION

INMOBILIARIA, S.L. el cual ha sido debidamente registrado ante la Agencia Española de

Protección de Datos.

b) Los datos son recabados con la finalidad de llevar a cabo todo lo relacionado con nuestra

actividad de AGENCIA INMOBILIARIA, y en particular:

□ Gestión de Venta de Inmuebles.

□ Gestión de Alquiler de Inmuebles.

□ Servicios de búsqueda de vivienda.

c) Los datos de carácter personal incorporados en el fichero referido podrán ser cedidos a

terceros cuando sea así dispuesto por Ley o a entidades u Organismos, Públicos y/o

Privados, que así lo requieran, cuando se realice para las mismas finalidades que las

establecidas en el párrafo anterior, y en especial para la publicación publicitario de los

Inmuebles en formato impreso y/o digital, lo que usted acepta expresamente.

d) La utilización de la información para fines publicitarios deberá ser aceptada expresamente

marcando la casilla □ salvo aquella necesaria para la gestión de los servicios contratados.

e) Usted podrá, en todo momento, ejercitar los derechos de acceso, rectificación, cancelación

y oposición sobre sus datos personales así como el de revocación del consentimiento para

cualquiera de las finalidades antes señaladas, enviando comunicación a donde consten

claramente los datos de contacto a la cual deberá acompañarse fotocopia de su DNI/NIF o

documento que acredite su identidad.

f) A través del presente documento usted autoriza inequívocamente el tratamiento de sus

datos de carácter personal y todo ello de conformidad con lo establecido en los párrafos

anteriores.




4. CLÁUSULA A INCLUIR EN LOS CORREOS ELECTRONICOS

A los efectos de lo establecido en la Ley Orgánica 15/1999 (LOPD) y Ley 34/2002, (LSSI), le

informamos que su dirección de correo electrónico forma parte de una base de datos que tiene como

finalidad, entre otras, gestionar las comunicaciones y envío de publicidad, ya sea por su relación

con nosotros o porque nos haya autorizado a que sus datos figuren en nuestro fichero. Usted podrá

en todo momento, ejercitar sus derechos ARCO por correo ordinario a FINCAS GALICIA GESTION

INMOBILIARIA, S.L., con C.I.F. B15919111, domiciliado a estos efectos en AVENIDA BALNEARIO

36, BAJO, 15142 ARTEIXO, A CORUÑA, en los términos establecidos en la LOPD. Este mensaje

se dirige exclusivamente a su destinatario y puede contener información privilegiada o confidencial.

Si usted ha recibido este mensaje por error, por favor borre su contenido y comuníquenoslo en la

dirección del remitente a la mayor brevedad posible.




5. CLÁUSULA INFORMATIVA DEL FICHERO DE VIDEOVIGILANCIA

A) Distintivo informativo a colocar en lugar suficientemente visible de zonas vigiladas




B) Cláusula informativa a disposición de los afectados en el fichero de video vigilancia

En virtud del artículo 3 apartado B de la Instrucción 1/2006 de la AEPD, se deben tener impresos de

información a disposición de los interesados con el siguiente contenido:


efectos en AVENIDA BALNEARIO 36, BAJO, 15142 ARTEIXO, A CORUÑA, le informa que sus

datos personales se incorporarán al fichero de su responsabilidad denominado “Videovigilancia” y

serán tratados con finalidades de seguridad a través de un sistema de videovigilancia.

De igual modo se le informa que en caso de que desee ejercitar los derechos que le asisten de

acceso, rectificación, oposición y cancelación, puede remitir una comunicación escrita a la dirección

arriba indicada a los referidos efectos, adjuntando copia de su DNI o documento identificativo

equivalente.




6. CLÁUSULA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL PARA FACTURAS

En cumplimiento de lo previsto en la LO 15/1999, de Protección de Datos de Carácter Personal, y

el RD 1720/2007, le informamos que los datos recogidos serán almacenados en nuestro fichero de

Clientes y Proveedores, con la finalidad de llevar a cabo todo lo relacionado con la actividad de la

Inmobiliaria, así como la remisión de ofertas comerciales, cuando corresponda. Usted podrá, en

todo momento, ejercitar sus derechos ARCO por correo ordinario en la siguiente dirección FINCAS

GALICIA GESTION INMOBILIARIA, S.L., con C.I.F. B15919111, domiciliado a estos efectos en

AVENIDA BALNEARIO 36, BAJO, 15142 ARTEIXO, A CORUÑA, en los términos establecidos en

la LOPD.




OBLIGACIONES

1.- PARA LOS EQUIPOS INFORMÁTICOS SE DEBEN HACER COPIAS DE SEGURIDAD DE

TODOS LOS FICHEROS CON DATOS PERSONALES Y QUE VAYAN SUFRIENDO

MODIFICACIONES. ESTAS COPIAS SE HACEN, AL MENOS, CADA 7 DÍAS EN LA FORMA QUE

ESTIMEN OPORTUNA Y SE ALMACENAN FUERA DE LA EMPRESA. EL MOTIVO DEL ALMACEN

EXTERNO ES QUE EN CASO DE ROBO O INCENDIO SIEMPRE TENDRAN UNA COPIA DE

RESPALDO CON LA QUE REHACER SUS FICHEROS.

2.- PARA LOS EQUIPOS INFORMÁTICOS SE DEBEN ESTABLECER CONTRASEÑAS EN LOS

PC´S DE LA OFICINA, DE TAL MODO QUE EL ACCESO AL SISTEMA SE HAGA MEDIANTE LA

IDENTIFICACIÓN DE UN USUARIO Y UNA CONTRASEÑA. LA CONTRASEÑA DEBE TENER, AL

MENOS, 6 DIGITOS ALFANUMÉRICOS (NUMERO + LETRA). ESTA CONTRASEÑA SE DEBERÁ

CAMBIAR CADA 3 MESES Y SERÁ PERSONAL E INTRANSFERIBLE.

3.- CUANDO SE MARCHE DE SU PUESTO DE TRABAJO O ESTE MAS DE 20 MINUTOS SIN

UTILIZAR EL EQUIPO INFORMÁTICO ESTE SE BLOQUEARA INMEDIATAMENTE MEDIANTE UN

SALVAPANTALLAS EN EL QUE DEBERÁ INTRODUCIR DE NUEVO LA CONTRASEÑA PARA QUE

ESTÉ OPERATIVO.

4.- IGUALMENTE LOS FICHEROS O LA INFORMACIÓN QUE DEJE DE SER NECESARIA Y

PERTINENTE SE DEBERÁ BLOQUEAR O, EN SU CASO, ELIMINAR.

5.- LOS FICHEROS EN PAPEL DE UNA IMPORTANCIA MAYOR POR TENER UN

IMPORTANTE NUMERO DE DATOS PERSONALES, COMO POR EJ. NOMINAS, DEBERÁN ESTAR

EN ARMARIOS BAJO LLAVE.

6.- LOS EMPLEADOS DEBEN FIRMAR LA CLÁUSULA DE INFORMACIÓN DE

TRABAJADORES, CLÁUSULA INFORMATIVA 1.

7.- SE DEBEN INCLUIR:

LA CLÁUSULA INFORMATIVA 3, PARA LOS CLIENTES. SE DEBE ENTREGAR PARA

SU FIRMA A LOS CLIENTES.

LA CLÁUSULA INFORMATIVA 4, PARA LOS EMAIL EN LAS FIRMAS DE LOS EMAILS.

LA CLAUSULA INFORMATIVA 6, PARA LAS FACTURAS.

8.- SE DEBEN FIRMAR LOS CONTRATOS DE PRESTACION DE SERVICIOS, ANEXO 4, CON

LA EMPRESAS QUE LE PRESTEN ALGUN TIPO DE SERVICIO CON ACCESO A DATOS DE

CARÁCTER PERSONAL, COMO, POR EJ. LA GESTORÍA.

9.- PARA EL CASO DE TENER PAGINA WEB SE DEBE INCLUIR LA CLÁUSULA DE AVISO

LEGAL Y POLÍTICA DE PRIVACIDAD, CREADAS AL EFECTO. IGUALMENTE DEBERÁ INCLUIRSE

LA CLÁUSULA DE COOKIES SI UTILIZAN GOOGLE ANALYTICS.


DOCUMENTO DE SEGURIDAD FINCAS GALICIA GESTION INMOBILIARIA ... de Seguridad FINCAS GALICI… ·...

Documents

Transcript of DOCUMENTO DE SEGURIDAD FINCAS GALICIA GESTION INMOBILIARIA ... de Seguridad FINCAS GALICI… ·...