AIRPUR, S.A. Adaptación a la normativa de protección de datos. Documento de Seguridad - NIVEL BÁSICO -

Transcripción

1 AIRPUR, S.A Adaptación a la normativa de protección de datos Documento de Seguridad - NIVEL BÁSICO - Barcelona, 09/11/2009

2 Índice 1. Objeto y Ámbito de aplicación del Documento. A) Objeto B) Ámbito de aplicación: I. Empresas sujetas al presente documento II. Relación de ficheros III. Recursos Informáticos IV. Personal V. Datos de los encargados de tratamiento. VI. Notificaciones a la Agencia de Protección de Datos. VII. Controles periódicos de verificación del cumplimiento. 2. Medidas de seguridad. 3. Funciones y obligaciones del personal. 4. Registro de incidencias. 5. Copias de respaldo. 6. Consentimiento. 7. Derechos ARCO. 8. Cámaras de Video Vigilancia. ANEXOS: 1. Relación de ficheros físicos y sistema de tratamiento. 2. Relación de ficheros lógicos. 3. Notificaciones realizadas a la Agencia de Protección de Datos. 4. Controles periódicos de verificación de cumplimiento. 5. Designación del Rble. de Seguridad de los ficheros. 6. Delegaciones del Responsable del Fichero. 7. Relación de Encargados de Tratamiento y sus accesos a los ficheros. 8. Contratos suscritos con los Encargados de Tratamiento con acceso a datos 9. Contratos suscritos con los Encargados de Tratamiento sin acceso a datos. 10. Autorización del Rble del Fichero para trabajos fuera de los locales de la ubicación del fichero. 11. Relación de Personal Autorizado. 12. Registro de incidencias. 13. Cláusula informativas LOPD 14. Aviso Legal del Sitio Web corporativo. NORMATIVA: 15. Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de

3 Carácter Personal. 16. Real Decreto 1720/2007, de 21 de diciembre por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 19 de diciembre, de protección de Datos de Carácter Personal

4 1. OBJETO Y ÁMBITO DE APLICACIÓN DEL DOCUMENTO A) OBJETO En cumplimiento de lo dispuesto en el Título VIII del Real Decreto 1720/2007 de 21 de diciembre por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 19 de diciembre, de Protección de Datos de Carácter Personal (en adelante RLOPD), El presente Documento define las medidas de índole técnica y organizativas necesarias para garantizar la seguridad de los ficheros automatizados y no automatizados, titularidad de AIRPUR, S.A (en adelante, AIRPUR), y que contienen datos de carácter personal, siendo de obligado cumplimiento para el personal de estructura de dicha empresa con acceso a los datos informatizados y no informatizados de carácter personal y a los sistemas de información que se describirán. El Documento de Seguridad se mantendrá actualizado y se revisará cada vez que se efectúen cambios relevantes en los sistemas de información, en el sistema de tratamiento empleado, en la organización del mismo, en el contenido de la información incluida en los ficheros, o como consecuencia de los controles periódicos realizados. En todo caso, se entenderá que un cambio es relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas. Del mismo modo, el Documento de Seguridad estará adecuado, en cada momento, a la normativa vigente en Protección de Datos de Carácter Personal. El Documento de Seguridad, así como toda la documentación anexa se encuentra bajo la custodia del Responsable de Seguridad que se designa más adelante. B) AMBITO DE APLICACIÓN DEL DOCUMENTO DE SEGURIDAD I. Empresa sujeta al presente Documento. La empresa a las que se le aplica el presente Documento es AIRPUR, S.A, con NIF número A y domicilio social en Provençals, , 08019, Barcelona, Barcelona, y comprende el sistema de tratamiento ubicado en la citada sede. La actividad que desarrolla la empresa es, fabricación y distribución de filtros para automoción, agricultura, industria y naval. Así como los centros de trabajo siguientes: Airpur Lliçà de Vall, en adelante Lliçà de Vall, sitio en Pol. Ind. Batzacs, Nave La actividad que desarrolla el centro es realiza la fabricación y almacenaje de los productos propios, así como la venta al por menor

5 II. Relación de ficheros. La relación de ficheros físicos con datos personales titularidad de AIRPUR, S.A se incluye como Anexo núm. 1 del presente documento, junto a un listado con los recursos informáticos y de los ficheros no informatizados de AIRPUR a través de los cuales se tratan datos personales y, por tanto, se consideran recursos protegidos. Asi mismo, AIRPUR cuenta con un inventario de ficheros físicos existentes agrupados de forma lógica en virtud de sus finalidades de tratamiento, contenido y nivel de seguridad, a los efectos de proceder a su regularización en el Registro General de Protección de Datos. En adición, se adjunta como Anexo núm. 2 la relación de ficheros lógicos comunicados a la AEDP. III. Recursos informáticos. Las presentes normas de seguridad son de aplicación a los recursos que se describen en el Anexo núm. 1 del presente Documento. La gestión del inventario de los recursos informáticos asegura el conocimiento de los equipos disponibles y de las ubicaciones correspondientes, facilitando las actividades de mantenimiento preventivo y correctivo de sus componentes. El Responsable Seguridad de los ficheros con datos personales mantendrá actualizado el inventario de recursos informáticos, dando de alta en el mismo los nuevos sistemas que pasen a formar parte del entorno productivo de la instalación informática. IV. Personal. Las medidas de seguridad previstas en el presente Documento de Seguridad serán de aplicación al personal de AIRPUR que, en virtud de las funciones que tiene encomendadas, trata datos de carácter personal. Respecto de los accesos del personal a los sistemas informáticos y aplicaciones corporativas, y ficheros no informatizados de AIRPUR deberán restringirse y limitarse, únicamente, a las personas autorizadas para dicho acceso que lo requieran para el desarrollo de sus funciones. En todo caso, el personal de AIRPUR que, en el desarrollo de su actividad, trate ficheros de carácter personal, deberá observar lo establecido en el presente Documento y en especial, el apartado de FUNCIONES Y OBLIGACIONES DEL PERSONAL. Se adjunta como Anexo núm. 5, la designación del Responsable de la Seguridad de los ficheros con datos personales, con las funciones y obligaciones que se especifican en el apartado 4 del presente documento. Se adjunta como Anexo núm. 6 la relación de personas, en las que el Responsable del

6 fichero delega las autorizaciones y de los ficheros en los que delega. V. Identificación de los encargados de tratamiento. Se adjunta como Anexo núm. 7 al presente Documento de Seguridad, la relación de los encargados de tratamiento, y de los ficheros automatizados, así como los no automatizados, a los que tienen acceso. Así como a los prestadores de servicios, que no tienen acceso a datos. Asimismo, figurará en el Anexo, los nombres del personal del encargado de tratamiento, que tengan acceso a los ficheros automatizados y no automatizados, comprometiéndose el personal del encargado al cumplimiento de las medidas de seguridad previstas en este documento. Se adjunta como Anexo núm. 8 al presente Documento de Seguridad, los contratos suscritos con los encargados del tratamiento con acceso a datos, en cumplimiento de lo dispuesto en el artículo 12 de la Ley Orgánica 15/99, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). Así como los art. 20 a 22 del vigente RLOPD. Se adjunta como Anexo núm. 9 al presente Documento de Seguridad, los contratos suscritos con los encargados del tratamiento sin acceso a datos, en cumplimiento de lo dispuesto en el artículo 12 de la Ley Orgánica 15/99, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). Así como el art. 83 del vigente RLOPD. Relación de Encargados de Tratamiento: Asesoria Alpi-Clúa, S.L, con CIF B , realiza los servicios gestión laboral, así como la generación de nóminas. Oficina Técnica de Desarrollo Empresarial, S.L, con CIF B , realiza los servicios gestión contable y fiscal de la empresa. ISI CONDAL, S.L, con CIF B , realiza los servicios mantenimineto del aplicativo ISIPARTS, así como mantenimiento puntual de hardware en caso de problemas. MAC-SER BCN, S.L, con CIF B , realiza los servicios servicios de limpieza del local de AIRPUR, en Barc. 29 Ecologica, S.L.U, con CIF B , realiza los servicios recogida del papel para su destrucción. VI. Notificaciones a la Agencia Española de Protección de Datos. Los ficheros que contengan datos de carácter personal deberán ser notificados a la AEPD, con carácter previo a su creación, a través del modelo oficial creado al efecto. A fin de cumplir con dicha obligación, en el Anexo núm. 3, constan los ficheros notificados. VII. Controles periódicos de verificación de cumplimiento. En caso de que fueran de aplicación a los ficheros las medidas de seguridad de nivel

7 medio o las medidas de seguridad de nivel alto, en este documento deberán de constar los controles periódicos que se deban de realizar para verificar el cumplimiento de lo dispuesto en este documento. A fín de cumplir con dicha obligación, en el Anexo núm. 4, consta el documento de verificación.

8 2. MEDIDAS DE SEGURIDAD A continuación se establecen las medidas de seguridad aplicadas por AIRPUR con el fin de dar cumplimiento a lo dispuesto en el Reglamento de Seguridad en relación con el nivel de seguridad al que quedan sometidos los ficheros informatizados y no informatizados, antes indicados. Las medidas de nivel medio, incluyen las de nivel básico. Así como las de nivel alto, incluyen los demás niveles. Las medidas incluidas en cada uno de los niveles descritos anteriormente tienen la condición de mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias específicas vigentes que pudieran resultar de aplicación en cada caso o las que por propia iniciativa adoptase el responsable del fichero Acceso a datos a través de redes de telecomunicaciones. Las medidas de seguridad exigibles a los accesos a datos de carácter personal a través de redes de comunicaciones, sean o no públicas, deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local Régimen de trabajo fuera de los locales de la ubicación del fichero. Cuando los datos personales se almacenen en dispositivos portátiles o se traten fuera de los locales del responsable de fichero o tratamiento, o del encargado del tratamiento será preciso que exista una autorización previa del responsable del fichero o tratamiento, y en todo caso deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado. Se adjunta como Anexo núm. 9 al presente Documento de Seguridad, las autorizaciones del responsable del fichero sobre los usuarios, o perfiles de usuarios, con el periódo de validez de dichas autorizaciones Ficheros temporales o copias de trabajo de documentos. Los ficheros temporales o copias de documentos que se hubiesen creado exclusivamente para la realización de trabajos temporales o auxiliares deberán cumplir el nivel de seguridad que les corresponda. Todo fichero temporal o copia de trabajo así creado, será borrado una vez que haya dejado de ser necesario para los fines que motivaron su creación. De forma periódica se procederá a revisar los servidores a fin de asegurar la adecuada destrucción de los ficheros temporales en desuso, así como los archivos de documentos para su destrucción en destructoras para tal efecto.

9 2.4. Identificación y autenticación. El Responsable del Fichero mantendrá una relación actualizada de usuarios con acceso autorizado a los Sistemas de Información, que se adjunta como Anexo núm 10 al presente Documento. El Responsable de Seguridad custodiará y actualizará la relación de todos los usuarios de la red que tienen acceso autorizado al Sistema de Información. Es competencia del Responsable de Seguridad que la atribución y asignación de contraseñas, así como la custodia de la relación de usuarios se lleve a cabo de forma que garantice su confidencialidad e integridad. Existirá un procedimiento de identificación y autenticación de los usuarios que deseen acceder al sistema. Existirá un procedimiento de asignación, distribución y almacenamiento de contraseñas que garantice su confidencialidad e integridad. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible. Los números de identificación y claves de acceso asignadas a cada usuario de la red corporativa de AIRPUR son personales e intransferibles, siendo el usuario el único responsable de las consecuencias que puedan derivarse del mal uso, divulgación o pérdida de los mismos. Salvo que se pueda probar lo contrario, se presumirá que los actos que se lleven a cabo con el identificador y la clave asignada han sido realizados en su totalidad por el usuario titular de los mismos Control de acceso. Los usuarios de AIRPUR tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones. Se establecerán mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados. Sólo el personal del Departamento de Sistemas, autorizado para ello, podrá conceder, alterar o anular el acceso autorizado sobre los datos y recursos, conforme a las necesidades inherentes de su puesto de trabajo. La posibilidad de intentar reiteradamente el acceso no autorizado a la aplicación estará limitada mediante un sistema que impedirá realizar más de tres intentos fallidos de forma consecutiva. En caso de que exista personal ajeno al responsable del fichero que tenga acceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad

10 que el personal propio Gestión de soportes y documentos. Los soportes informáticos y documentos que contengan datos de carácter personal deberán permitirán identificar el tipo de información que contienen, ser inventariados y solo deberán ser accesibles por el personal autorizado para ello en el documento de seguridad. Se exceptúan estas obligaciones cuando las características físicas del soporte imposibiliten su cumplimiento, quedando constancia motivada de ello en el documento de seguridad. La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad. En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte Criterios de Archivo El archivo de los soportes o documentos se realizará de acuerdo con los criterios previstos en su respectiva legislación. Estos criterios deberán garantizar la correcta conservación de los documentos, la localización y consulta de la información y posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación. En aquellos casos en los que no exista norma aplicable, el responsable del fichero deberá establecer los criterios Dispositivos de almacenamiento. Los dispositivos de almacenamiento de los documentos de AIRPUR que contengan datos de carácter personal deberán disponer de mecanismos que obstaculicen su apertura. Cuando las características físicas de aquéllos no permitan adoptar esta medida, el responsable del fichero o tratamiento adoptará medidas que impidan el acceso de personas no autorizadas Custodia de Soportes. Mientras la documentación con datos de carácter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos anteriormente, por estar en proceso de revisión o tramitación, ya sea previo o posterior a su archivo, la persona que se encuentre al cargo de la misma deberá custodiarla e impedir en todo momento

11 que pueda ser accedida por persona no autorizada.

12 3. FUNCIONES Y OBLIGACIONES DEL PERSONAL 3.1. Obligaciones de todo el personal de AIRPUR. El personal de AIRPUR que tenga acceso a los datos de los Ficheros tiene la obligación de conocer, entender y cumplir las medidas de seguridad definidas en el presente Documento. Una copia del mismo con la parte que le afecte será entregada, para su conocimiento, a cada persona autorizada a acceder a los datos de los Ficheros automatizados y no automatizados, siendo requisito obligatorio para poder acceder a esos datos el haber firmado la recepción del mismo Números de identificación y claves de acceso. Queda prohibido comunicar a otra persona el identificador de usuario y la clave de acceso. Si el usuario sospecha que otra persona conoce sus datos de identificación y acceso deberá ponerlo en conocimiento del Responsable de Seguridad, con el fin de que le asigne una nueva clave. El usuario está obligado a utilizar la red corporativa de AIRPUR y sus datos sin incurrir en actividades que puedan ser consideradas ilícitas o ilegales, que infrinjan los derechos de la empresa o de terceros, o que puedan atentar contra la moral o las normas de etiqueta de las redes telemáticas. Están expresamente prohibidas las siguientes actividades: Compartir o facilitar el identificador de usuario y la clave de acceso facilitados por AIRPUR con otra persona física o jurídica, incluido el personal de la propia empresa. En caso de incumplimiento de esta prohibición, el usuario será el único responsable de los actos realizados por la persona física o jurídica que utilice de forma no autorizada el identificador del usuario. Intentar distorsionar o falsear los registros (LOG) del sistema. Intentar descifrar las claves, sistemas o algoritmos de cifrado y cualquier otro elemento de seguridad que intervenga en los procesos telemáticos de AIRPUR. Obstaculizar voluntariamente el acceso de otros usuarios a la red mediante el consumo masivo de los recursos informáticos y telemáticos de la empresa, así como realizar acciones que dañen, interrumpan o generen errores en dichos sistemas. Utilizar el sistema para intentar acceder a áreas restringidas de los sistemas informáticos de AIRPUR o de terceros. Destruir, alterar, inutilizar o de cualquier otra forma dañar los datos, programas o documentos electrónicos de AIRPUR o de terceros. (Estos actos pueden constituir un delito de daños, previsto en el artículo del Código Penal). Intentar aumentar el nivel de privilegios de un usuario en el Sistema. Enviar mensajes de correo electrónico de forma masiva o con fines comerciales o publicitarios sin el consentimiento del destinatario (Spam). Intentar leer, borrar, copiar o modificar los mensajes de correo electrónico o archivos de otros usuarios. (Esta actividad puede constituir un delito de interceptación de las telecomunicaciones, previsto en el artículo 197 del Código Penal).

13 Enviar o reenviar mensajes en cadena o de tipo piramidal. Introducir voluntariamente programas, virus, macros, applets, controles ActiveX o cualquier otro dispositivo lógico o secuencia de caracteres que causen o sean susceptibles de causar cualquier tipo de alteración en los sistemas informáticos de la entidad o de terceros. El usuario tendrá la obligación de utilizar los programas antivirus y sus actualizaciones para prevenir la entrada en el sistema de cualquier elemento destinado a destruir o corromper los datos informáticos. Introducir, descargar de Internet, reproducir, utilizar o distribuir programas informáticos no autorizados expresamente por AIRPUR, o cualquier otro tipo de obra o material cuyos derechos de propiedad intelectual o industrial pertenezcan a terceros, cuando no se disponga de autorización para ello. Instalar copias ilegales de cualquier programa o recurso, incluidos los estandarizados y homologados por AIRPUR. Borrar cualquiera de los programas instalados legalmente y homologados por AIRPUR. Utilizar los recursos telemáticos de AIRPUR, incluida la red Internet, para actividades que no se hallen directamente relacionadas con el puesto de trabajo del usuario. A efectos de verificar el cumplimiento de esta obligación por parte de los usuarios, AIRPUR podrá monitorizar la navegación del usuario en la red Internet. Introducir contenidos obscenos, inmorales u ofensivos y, en general, carentes de utilidad para los objetivos de la compañía, en la red corporativa de la empresa. Utilizar equipos y periféricos no homologados y asignados por AIRPUR. Alterar los datos identificativos de los equipos y periféricos propiedad de AIRPUR. Mover o trasladar dentro de las instalaciones de AIRPUR, equipos, periféricos o software sin la correspondiente autorización del Responsable de Seguridad. Intentar acceder a ficheros no automatizados a los que no se tiene acceso. Copiar y reproducir ficheros no automatizados sin motivo relacionado con sus funciones laborales Confidencialidad de la información. Queda prohibido enviar información confidencial de AIRPUR al exterior, mediante soportes materiales, o a través de cualquier medio de comunicación, incluyendo la simple visualización o acceso. Los usuarios de los sistemas de información corporativos deberán guardar, por tiempo indefinido, la máxima reserva y no divulgar ni utilizar directamente ni a través de terceras personas o empresas, los datos, documentos, metodologías, claves, análisis, programas y demás información a la que tengan acceso durante su relación laboral con AIRPUR y empresas pertenecientes al grupo, tanto en soporte material como electrónico. Esta obligación continuará vigente tras la extinción del contrato laboral. Ningún colaborador deberá poseer, para uso no propios de su responsabilidad, ningún material o información propiedad de AIRPUR tanto ahora como en el futuro. En el caso de que, por motivos directamente relacionados con el puesto de trabajo, el empleado entre en posesión de información confidencial bajo cualquier tipo de soporte, deberá entenderse que dicha posesión es estrictamente temporal, con obligación de secreto y sin que ello le irrogue derecho alguno de posesión, o

14 titularidad o copia sobre la referida información. Asimismo, el trabajador deberá devolver dichos materiales a la empresa, inmediatamente después de la finalización de las tareas que han originado el uso temporal de los mismos, y en cualquier caso, a la finalización de la relación laboral. La utilización continuada de la información en cualquier formato o soporte de forma distinta a la pactada y sin conocimiento de la empresa, no supondrá, en ningún caso, una modificación de esta cláusula. El incumplimiento de esta obligación puede constituir un delito de revelación de secretos, previsto en el artículo 197 y siguientes del Código Penal y dará derecho al la AIRPUR a exigir al usuario una indemnización económica Incidencias de seguridad. Es obligación de todo el personal de AIRPUR comunicar al Responsable del Fichero cualquier incidencia que se produzca en los sistemas de información a que tengan acceso. Se entiende por incidencia cualquier anomalía que afecte o pueda afectar a la seguridad de los datos. Dicha comunicación deberá realizarse de forma inmediata (menos de 1 hora) y en cualquier caso siempre dentro de la jornada en que se produzca dicha incidencia Propiedad intelectual e industrial. Queda estrictamente prohibido el uso de programas informáticos sin la correspondiente licencia, así como el uso, reproducción, cesión, transformación o comunicación pública de cualquier tipo de obra o invención protegida por la propiedad intelectual o industrial Uso de ordenadores portátiles. El personal que retire ordenadores portátiles de AIRPUR en ejercicio de sus funciones deberá firmar una hoja de acuse de recibo que contendrá las recomendaciones y obligaciones del personal en cuanto afecte a la seguridad de la información en relación con el uso del ordenador portátil. El personal deberá de estar autorizado por el responsable del fichero para poder sacar dispositivos portatiles con datos de carácter personal. Anexo núm. 8 de este documento Gestión de las papeleras. El personal deberá destruir toda aquella información confidencial de AIRPUR en las máquinas de destrucción de papel destinadas a tal efecto. En caso de no disponer de destructoras de papel, y a los efectos de garantizar la seguridad de la información, las copias en papel se deberán depositar en los lugares habilitados para su desecho. El soporte en papel no podrá ser reutilizado, a no ser que se garantice que no

15 contiene información confidencial o de carácter personal Obligación de comunicar derechos de acceso. El personal deberá comunicar directamente al Responsable de Seguridad o las personas que este haya designado para tal fín, y de forma inmediata a través de cualquier solicitud de acceso a los datos que le sea requerida con el objetivo de dar cobertura a dicha solicitud en los plazos legales establecidos Copias de Respaldo. Los empleados de la empresa deberán almacenar en el Directorio de Red correspondiente toda la información tratada en el desarrollo de sus funciones, lo cual permitirá que a esta información se le apliquen las medidas de seguridad existentes y que se sometan a los procedimientos de copias de respaldo realizados en la empresa. Sólo en casos excepcionales, debidamente justificados y autorizados por el Responsable de Seguridad, podrá el Usuario almacenar información en el disco duro de su ordenador. En este caso, deberán realizarse copias de seguridad de la información que el usuario haya guardado, semanalmente, salvo que en ese período no se hubiera producido ninguna actualización de los datos. No obstante, una vez desaparecido el motivo que justificó el almacenamiento de la información en una unidad local, se eliminará del disco duro y se volcará en la carpeta de Red correspondiente.

16 3.2. Funciones del Responsable del Fichero. Son funciones del Responsable del Fichero: Notificar a la Agencia de Protección de Datos los ficheros de datos personales de AIRPUR y comunicar los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de ubicación. Velar por el cumplimiento de todos los requisitos establecidos en la LOPD y en Reglamento de Seguridad. Redactar, establecer y comprobar la aplicación y el cumplimiento del documento de seguridad. Describir los sistemas de información que realizan el tratamiento de los datos personales de la compañía. Describir la estructura del fichero. Autorizar expresamente el tratamiento de datos fuera de los locales de la ubicación del fichero. Adoptar las medidas para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones y las consecuencias de su incumplimiento. Establecer los criterios para realizar la función de conceder, alterar o anular el acceso autorizado a los datos y recursos. Establecer los mecanismos necesarios para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados. Encargarse de que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema de información. Autorizar la salida de soportes fuera de los locales en los que esté ubicado el fichero. Verificar la definición y correcta aplicación de los procedimientos de copias de respaldo y de recuperación de los datos. Nombrar uno o varios responsables de seguridad, encargados de coordinar y controlar las medidas definidas en el documento de seguridad. En ningún caso esta designación supone una delegación de la responsabilidad que corresponde al Responsable del Fichero Establecer un mecanismo que permita la identificación inequívoca y personalizada de todo aquél usuario que intente acceder al sistema y la verificación de que está autorizado. Establecer y comprobar la aplicación de una medida que impida el intento reiterado de acceder de forma no autorizada al sistema de información. Encargarse de que la relación actualizada de usuarios incluya el perfil de acceso o privilegios de cada uno de los usuarios. Autorizar por escrito la ejecución de los procedimientos de recuperación de datos de carácter personal. Adoptar las medidas preventivas y correctoras adecuadas, en función del análisis del informe realizado sobre las revisiones de los accesos realizados y los problemas detectados.

17 3.3. Funciones del Responsable de Seguridad. Son funciones del Responsable de Seguridad: Velar por el cumplimiento de las normas de seguridad contenidas en el documento de seguridad, comunicando al Responsable de Personal las infracciones cometidas, para el establecimiento de las correspondientes sanciones. Recopilar y describir las medidas, normas, procedimientos, reglas y estándares de seguridad adoptados por la compañía. Determinar el ámbito del documento de seguridad. Determinar y describir los recursos informáticos a los que se aplicará el documento de seguridad. Coordinar y controlar las medidas definidas en el documento de seguridad. Establecer y comprobar la aplicación del procedimiento de notificación, tratamiento y registro de incidencias. Establecer y comprobar la aplicación del procedimiento de realización de copias de respaldo y recuperación de datos. Comprobar el cumplimiento de la periodicidad establecida para la realización de copias de respaldo. Elaborar y mantener actualizada la lista de usuarios que tengan acceso autorizado al sistema informático de la compañía, con especificación del nivel de acceso que tiene cada usuario. Establecer y comprobar la aplicación del procedimiento de identificación y autenticación de usuarios. Establecer y comprobar la aplicación del procedimiento de asignación, distribución y almacenamiento de contraseñas. Comprobar el mantenimiento de la confidencialidad de las contraseñas de los usuarios. Establecer y comprobar la aplicación del procedimiento de cambio periódico de las contraseñas de los usuarios. Establecer y comprobar la aplicación de un procedimiento que garantice el almacenamiento de las contraseñas vigentes de forma ininteligible. Establecer y comprobar la aplicación de un sistema que limite el acceso de los usuarios únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones. Establecer y comprobar la aplicación de los mecanismos necesarios para evitar que un usuario pueda acceder a datos o recursos con derechos distintos a los autorizados. Conceder, alterar o anular el acceso autorizado a los datos y recursos, de acuerdo con los criterios establecidos por el Responsable del Fichero. Establecer y comprobar la aplicación de un sistema que permita identificar, inventariar y almacenar en lugar seguro los soportes informáticos que contienen datos de carácter personal. Autorizar la salida de soportes informáticos que contengan datos de carácter personal. Establecer y comprobar la aplicación de controles periódicos para verificar el cumplimiento de lo dispuesto en el documento de seguridad. Establecer y comprobar la aplicación de las medidas de seguridad que se deban adoptar cuando un soporte vaya a ser desechado o reutilizado.

18 Establecer y comprobar la aplicación de medidas de control del acceso físico a los locales donde se encuentre ubicados los sistemas de información con datos de carácter personal. Establecer y comprobar la aplicación de las medidas necesarias para impedir la recuperación posterior de la información almacenada en los soportes informáticos que van a ser desechados o reutilizados. Establecer y comprobar la aplicación de las medidas necesarias para impedir la recuperación indebida de la información almacenada en los soportes informáticos que vayan a salir fuera de los locales en que se encuentran ubicados los ficheros. Hacer el seguimiento del registro de incidencias y ampliar los campos del mismo para dejar constancia de los procedimientos realizados para la recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación. Autorizar por escrito la ejecución de los procedimientos de recuperación de datos.

19 4. PROCEDIMIENTO DE NOTIFICACIÓN, GESTIÓN Y RESPUESTA ANTE LAS INCIDENCIAS Para el registro y seguimiento de las incidencias que sucedan en los sistemas objeto del presente informe, así como la resolución de las mismas, se deberá mantener un registro de incidencias que deberá contar con la siguiente información para cada una de ellas: ID. de la incidencia. Tipo de incidencia. Fecha y hora en que se ha producido. Persona que realiza la notificación de la incidencia. Persona que recibe la notificación. Descripción del problema y sus efectos sobre los sistemas de información. Pasos adoptados para su resolución. Fecha de resolución definitiva. En caso de nivel medio y alto, además se tendrán que consignar, los procedimientos realizados de recuperación de datos, con la siguiente información: Persona que realiza el proceso. Datos restaurados. Datos grabados manualmente. Será necesaria la autorización del responsable del fichero. A tal fin, se crea un Registro de Incidencias como Anexo nº 12 del presente Documento.

20 5. REALIZACIÓN DE COPIAS DE SEGURIDAD AIRPUR deberá establecer procedimientos de actuación para la realización como mínimo semanal de copias de respaldo, salvo que en dicho período no se hubiera producido ninguna actualización de los datos. Asimismo, AIRPUR establecerá procedimientos para la recuperación de los datos que garanticen en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción. Dicho procedimiento consistirá en la realización de una copia de respaldo de la información de AIRPUR, la cual se realiza en un soporte extraíble. Únicamente, en el caso de que la pérdida o destrucción afectase a ficheros o tratamientos parcialmente automatizados, y siempre que la existencia de documentación permita alcanzar el objetivo al que se refiere el párrafo anterior, se deberá proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad. AIRPUR se encargará de verificar cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos. Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realización en el documento de seguridad. Si está previsto realizar pruebas con datos reales, previamente deberá haberse realizado una copia de seguridad. En el caso de producirse una incidencia que genere destrucción de información, se aplicará el procedimiento de notificación, tratamiento y registro de incidencias previsto en el punto 4 anterior y se procederá a la recuperación de la información destruida. Si dicha recuperación fuese imposible, se procederá a realizar la copia de respaldo más reciente y a restaurar la información destruida. Las copias de seguridad de AIRPUR, se hacen diariamente, sobre los datos del Server, realizándolas con el aplicativo propio de Windows para copias de seguridad, y están programadas cada día laboral, a las 11.00h., enviando una segunda copia a las 15.40h. al PC de administración, para tener mayor seguridad. Diariamente, también realiza un copia de la base de datos a las 20.00h., guardándola en el mismo server

21 6. CONSENTIMIENTO Consentimiento para el tratamiento de los datos y deber de información AIRPUR deberá obtener el consentimiento del interesado para el tratamiento de sus datos de carácter personal salvo en aquellos supuestos en que el mismo no sea exigible con arreglo a lo dispuesto en las leyes. La solicitud del consentimiento deberá ir referida a un tratamiento o serie de tratamientos concretos, con delimitación de la finalidad para los que se recaba, así como de las restantes condiciones que concurran en el tratamiento o serie de tratamientos. Cuando se solicite el consentimiento del afectado para la cesión de sus datos, éste deberá ser informado de forma que conozca inequívocamente la finalidad a la que se destinarán los datos respecto de cuya comunicación se solicita el consentimiento y el tipo de actividad desarrollada por el cesionario. En caso contrario, el consentimiento será nulo. Corresponderá a AIRPUR la prueba de la existencia del consentimiento del afectado por cualquier medio de prueba admisible en derecho. En el Anexo 11 se adjuntan las cláusulas informativas que se han confeccionado en función de las distintas categorías de interesados cuyos datos son objeto de tratamiento por parte de AIRPUR: Cláusula informativa de clientes y proveedores. Cláusula informativa a personal de la empresa. Cláusula informativa de video vigilancia. Política de privacidad del Sitio Web Consentimiento para el tratamiento de datos de menores de edad. Podrá procederse al tratamiento de los datos de los mayores de catorce años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores. En ningún caso podrán recabarse del menor, datos que permitan obtener información sobre los demás miembros del grupo familiar, o sobre las características del mismo, como los datos relativos a la actividad profesional de los progenitores, información económica, datos sociológicos o cualesquiera otros, sin el consentimiento de los titulares de tales datos. No obstante, podrán recabarse los datos de identidad y dirección del padre, madre o tutor con la única finalidad de recabar la autorización prevista en el apartado anterior. Cuando el tratamiento se refiera a datos de menores de edad, la información dirigida a

22 los mismos deberá expresarse en un lenguaje que sea fácilmente comprensible por aquéllos, con expresa indicación de lo dispuesto en este artículo. Corresponderá al responsable del fichero o tratamiento articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales. Forma de recabar el consentimiento. AIRPUR podrá solicitar el consentimiento del interesado a través del procedimiento establecido en este artículo, salvo cuando la Ley exija al mismo la obtención del consentimiento expreso para el tratamiento de los datos. AIRPUR podrá dirigirse al afectado, informándole en los términos previstos en los artículos 5 de la Ley Orgánica 15/1999, de 13 de diciembre y 12.2 de este reglamento y deberá concederle un plazo de treinta días para manifestar su negativa al tratamiento, advirtiéndole de que en caso de no pronunciarse a tal efecto se entenderá que consiente el tratamiento de sus datos de carácter personal. En particular, cuando se trate de responsables que presten al afectado un servicio que genere información periódica o reiterada, o facturación periódica, la comunicación podrá llevarse a cabo de forma conjunta a esta información o a la facturación del servicio prestado, siempre que se realice de forma claramente visible. En todo caso, será necesario que AIRPUR pueda conocer si la comunicación ha sido objeto de devolución por cualquier causa, en cuyo caso no podrá proceder al tratamiento de los datos referidos a ese interesado. Deberá facilitarse al interesado un medio sencillo y gratuito para manifestar su negativa al tratamiento de los datos. En particular, se considerará ajustado al presente reglamento los procedimientos en el que tal negativa pueda efectuarse, entre otros, mediante un envío prefranqueado al responsable del tratamiento, la llamada a un número telefónico gratuito o a los servicios de atención al público que el mismo hubiera establecido. Cuando se solicite el consentimiento del interesado a través del procedimiento establecido en este artículo, no será posible solicitarlo nuevamente respecto de los mismos tratamientos y para las mismas finalidades en el plazo de un año a contar de la fecha de la anterior solicitud. Solicitud del consentimiento en el marco de una relación contractual para fines no relacionados directamente con la misma. Si el responsable del tratamiento solicitase el consentimiento del afectado durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual, deberá permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de

23 datos. En particular, se entenderá cumplido tal deber cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento. Revocación del consentimiento. El afectado podrá revocar su consentimiento a través de un medio sencillo, gratuito y que no implique ingreso alguno para el responsable del fichero o tratamiento. En particular, se considerará ajustado al presente reglamento el procedimiento en el que tal negativa pueda efectuarse, entre otros, mediante un envío prefranqueado al responsable del tratamiento o la llamada a un número telefónico gratuito o a los servicios de atención al público que el mismo hubiera establecido. No se considerarán conformes a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, los supuestos en que el responsable establezca como medio para que el interesado pueda manifestar su negativa al tratamiento el envío de cartas certificadas o envíos semejantes, la utilización de servicios de telecomunicaciones que implique una tarificación adicional al afectado o cualesquiera otros medios que impliquen un coste adicional al interesado. El responsable cesará en el tratamiento de los datos en el plazo máximo de diez días a contar desde el de la recepción de la revocación del consentimiento, sin perjuicio de su obligación de bloquear los datos conforme a lo dispuesto en el artículo 16.3 de la Ley Orgánica 15/1999, de 13 de diciembre. Cuando el interesado hubiera solicitado del responsable del tratamiento la confirmación del cese en el tratamiento de sus datos, éste deberá responder expresamente a la solicitud. Si los datos hubieran sido cedidos previamente, el responsable del tratamiento, una vez revocado el consentimiento, deberá comunicarlo a los cesionarios, en el plazo previsto en el apartado 2, para que éstos, cesen en el tratamiento de los datos en caso de que aún lo mantuvieran, conforme al artículo 16.4 de la Ley Orgánica 15/1999, de 13 de diciembre. Deber de información al interesado Acreditación del cumplimiento del deber de información. El deber de información al que se refiere el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado. El responsable del fichero o tratamiento deberá conservar el soporte en el que conste

24 el cumplimiento del deber de informar. Para el almacenamiento de los soportes, el responsable del fichero o tratamiento podrá utilizar medios informáticos o telemáticos. En particular podrá proceder al escaneado de la documentación en soporte papel, siempre y cuando se garantice que en dicha automatización no ha mediado alteración alguna de los soportes originales. Supuestos especiales. En los supuestos en que se produzca una modificación del responsable del fichero como consecuencia de una operación de fusión, escisión, cesión global de activos y pasivos, aportación o transmisión de negocio o rama de actividad empresarial, o cualquier operación de reestructuración societaria de análoga naturaleza, contemplada por la normativa mercantil, no se producirá cesión de datos, sin perjuicio del cumplimiento por el responsable de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre.

25 7. DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN Derechos de acceso, rectificación, cancelación y oposición Los derechos de acceso, rectificación, cancelación y oposición son personalísimos y serán ejercidos por el afectado. Tales derechos se ejercitarán: a) Por el afectado, acreditando su identidad, del modo previsto en el artículo siguiente. b) Cuando el afectado se encuentre en situación de incapacidad o minoría de edad que le imposibilite el ejercicio personal de estos derechos, podrán ejercitarse por su representante legal, en cuyo caso será necesario que acredite tal condición. c) Los derechos también podrán ejercitarse a través de representante voluntario, expresamente designado para el ejercicio del derecho. En ese caso, deberá constar claramente acreditada la identidad del representado, mediante la aportación de copia de su Documento Nacional de Identidad o documento equivalente, y la representación conferida por aquél. Los derechos serán denegados cuando la solicitud sea formulada por persona distinta del afectado y no se acreditase que la misma actúa en representación de aquél. Condiciones generales para el ejercicio de los derechos de acceso, rectificación cancelación y oposición. 1. Los derechos de acceso, rectificación, cancelación y oposición son derechos independientes, de tal forma que no puede entenderse que el ejercicio de ninguno de ellos sea requisito previo para el ejercicio de otro. 2. Deberá concederse al interesado un medio sencillo y gratuito para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición. 3. El ejercicio por el afectado de sus derechos de acceso, rectificación, cancelación y oposición será gratuito y en ningún caso podrá suponer un ingreso adicional para el responsable del tratamiento ante el que se ejercitan. 4. Cuando AIRPUR disponga de servicios de cualquier índole para la atención a su público o el ejercicio de reclamaciones relacionadas con el servicio prestado o los productos ofertados al mismo, podrá concederse la posibilidad al afectado de ejercer sus derechos de acceso, rectificación, cancelación y oposición a través de dichos servicios. En tal caso, la identidad del interesado se considerará acreditada por los medios establecidos para la identificación de los clientes del responsable en la prestación de sus servicios o contratación de sus productos. 5. AIRPUR deberá atender la solicitud de acceso, rectificación, cancelación u oposición ejercida por el afectado aún cuando el mismo no hubiese utilizado el procedimiento establecido específicamente al efecto por aquél, siempre que el interesado haya utilizado un medio que permita acreditar el envío y la recepción de la solicitud, y que ésta contenga los elementos referidos en el párrafo 1 del artículo siguiente. Procedimiento.

26 1. Salvo en el supuesto referido al punto 4 del párrafo anterior, el ejercicio de los derechos deberá llevarse a cabo mediante comunicación dirigida AIRPUR, que contendrá: a) Nombre y apellidos del interesado; fotocopia de su documento nacional de identidad, o de su pasaporte u otro documento válido que lo identifique y, en su caso, de la persona que lo represente, o instrumentos electrónicos equivalentes; así como el documento o instrumento electrónico acreditativo de tal representación. La utilización de firma electrónica identificativa del afectado eximirá de la presentación de las fotocopias del DNI o documento equivalente. El párrafo anterior se entenderá sin perjuicio de la normativa específica aplicable a la comprobación de datos de identidad por las Administraciones Públicas en los procedimientos administrativos. b) Petición en que se concreta la solicitud. c) Dirección a efectos de notificaciones, fecha y firma del solicitante. d) Documentos acreditativos de la petición que formula, en su caso. 2. El responsable del tratamiento deberá contestar la solicitud que se le dirija en todo caso, con independencia de que figuren o no datos personales del afectado en sus ficheros. 3. En el caso de que la solicitud no reúna los requisitos especificados en el apartado primero, AIRPUR deberá solicitar la subsanación de los mismos. 4. La respuesta deberá ser conforme con los requisitos previstos para cada caso en el presente título. 5. Corresponderá a AIRPUR la prueba del cumplimiento del deber de respuesta al que se refiere el apartado 2, debiendo conservar la acreditación del cumplimiento del mencionado deber. 6. AIRPUR deberá adoptar las medidas oportunas para garantizar que las personas de su organización que tienen acceso a datos de carácter personal puedan informar del procedimiento a seguir por el afectado para el ejercicio de sus derechos. 7. El ejercicio de los derechos de acceso, rectificación, cancelación y oposición podrá modularse por razones de seguridad pública en los casos y con el alcance previsto en las Leyes. 8. Cuando las leyes aplicables a determinados ficheros concretos establezcan un procedimiento especial para la rectificación o cancelación de los datos contenidos en los mismos, se estará a lo dispuesto en aquéllas. Ejercicio de los derechos ante un encargado del tratamiento. Cuando los afectados ejercitasen sus derechos ante un encargado del tratamiento y solicitasen el ejercicio de su derecho ante el mismo, el encargado deberá dar traslado de la solicitud AIRPUR, a fin de que por el mismo se resuelva, a menos que en la relación existente con el responsable del tratamiento se prevea precisamente que el encargado atenderá, por cuenta del responsable, las solicitudes de ejercicio por los afectados de sus derechos de acceso, rectificación, cancelación u oposición. Derecho de acceso. 1. El derecho de acceso es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los