Manual del Sistema de Gestión de la LOPD

Transcripción

1 Manual del Sistema de Gestión de la LOPD Manual del Sistema de Gestión de la LOPD Página 1 de 55

2 ÍNDICE DE CONTENIDOS 1. INTRODUCCIÓN ACCESO A LA APLICACIÓN SECCIÓN ENTIDAD SECCIÓN USUARIOS...10 I. CREACIÓN DE NUEVOS USUARIOS...11 II. EDITAR DATOS DE USUARIOS EXISTENTES III. ELIMINAR USUARIOS EXISTENTES SECCIÓN FICHEROS DE NOTIFICACIÓN...12 I. CREACIÓN DE NUEVOS FICHEROS DE NOTIFICACIÓN...12 II. PARTES DE LA GENERACIÓN DE FICHEROS...15 A. RESPONSABLE DE FICHERO...15 B. DERECHOS DE OPOSICIÓN, ACCESO, RECTIFICACIÓN Y CANCELACIÓN C. DISPOSICIÓN GENERAL DE CREACIÓN, MODIFICACIÓN Y SUPRESIÓN D. ENCARGADO DEL TRATAMIENTO...18 E. IDENTIFICACIÓN Y FINALIDAD DEL FICHERO...19 F. ORIGEN Y PROCEDENCIA DE LOS DATOS...20 G. TIPOS DE DATOS, ESTRUCTURA Y ORGANIZACIÓN DEL FICHERO H. MEDIDAS DE SEGURIDAD I. CESIÓN DE DATOS...24 J. TRANSFERENCIAS INTERNACIONALES K. SUPRESIÓN DE LA INSCRIPCIÓN Manual del Sistema de Gestión de la LOPD Página 2 de 55

3 III. LISTADO DE FICHEROS...29 A. MODIFICAR DATOS DE FICHEROS EXISTENTES B. LA HOJA DE SOLICITUD...30 C. ENVÍO DE LA NOTIFICACIÓN A MODO DE PRUEBA D. ENVÍO DE LA NOTIFICACIÓN A MODO REAL E. FICHERO DE LOG F. VISTA DE IMPRESIÓN G. ELIMINAR FICHERO DE NOTIFICACIÓN SECCIÓN DOCUMENTO DE SEGURIDAD...35 I. ADMINISTRACIÓN DE PERSONAL...36 A. CREAR NUEVO...37 B. EDITAR DATOS...37 C. ELIMINAR ELEMENTO...37 II. ADMINISTRACIÓN DE PUESTOS...38 A. CREAR NUEVO...39 B. EDITAR DATOS...39 C. ELIMINAR ELEMENTO...40 III. ADMINISTRACIÓN DE APLICACIONES...40 A. CREAR NUEVO...41 B. EDITAR DATOS...41 C. ELIMINAR ELEMENTO...42 IV. CREACIÓN DEL DOCUMENTO DE SEGURIDAD...42 V. LISTADO DE DOCUMENTOS DE SEGURIDAD...43 A. MODIFICAR DATOS B. VISTA DE IMPRESIÓN C. ELIMINAR...44 Manual del Sistema de Gestión de la LOPD Página 3 de 55

4 7. SECCIÓN AUDITORIAS...45 I. CREACIÓN DE NUEVAS AUDITORIAS...46 II. EDITAR DATOS...46 III. ELIMINAR AUDITORIAS SECCIÓN DERECHOS ARCO...48 I. CREACIÓN DE NUEVOS DERECHOS ARCO...49 II. EDITAR DATOS...50 III. ELIMINAR DERECHOS ARCO SECCIÓN INCIDENCIAS...51 I. CREACIÓN DE NUEVAS INCIDENCIAS...52 II. EDITAR DATOS...52 III. ELIMINAR INCIDENCIAS SECCIÓN SOPORTES...54 I. CREACIÓN DE NUEVOS SOPORTES...55 II. EDITAR DATOS...55 III. ELIMINAR AUDITORIAS Manual del Sistema de Gestión de la LOPD Página 4 de 55

5 1. INTRODUCCIÓN En este manual se va a explicar el funcionamiento de la aplicación de gestión de la LOPD instaurada inicialmente en la Diputación de Ávila; razón por la cual las imágenes mostradas en dicho manual tendrán siempre el logotipo de la misma. Las siguientes entidades públicas en las que se implante no deberán olvidar que en su aplicación aparecerá su logotipo en lugar del de la Diputación de Ávila. El manual se va a dividir en tantas secciones como unidades funcionales tiene la aplicación que son las siguientes: - Entidades: sección donde cada entidad podrá modificar sus datos. - Usuarios: cada entidad podrá tener sus propios usuarios de la aplicación y sobre ellos podrá realizar las acciones que se detallan Crear nuevo Editar existente Eliminar - Ficheros: son cada uno de los documentos que se enviarán al sistema NOTA (NOtificaciones Telemáticas a la AEPD) Crear nuevo Modificar existente Enviar documento a modo de prueba Enviar documento en modo real Ver el LOG de envíos Vista de impresión Eliminar - Documento de seguridad: tratamiento de dicho elemento, más la administración de los componentes que le forman: Personal, Puestos y Aplicaciones. Sobre cada uno de estos elementos podremos realizar las siguientes acciones: Crear nuevo Modificar existente Eliminar Manual del Sistema de Gestión de la LOPD Página 5 de 55

6 - Auditorias: además de poder descargarnos la plantilla para completarla en papel y posterior a la creación de la misma en el sistema, adjuntarla; también podemos llevar a cabo sobre el elemento auditoria las siguientes funciones: Crear nuevo Modificar existente Eliminar - Derechos ARCO: permitimos la descarga de plantillas para después adjuntar, y las siguientes acciones: Crear nuevo Modificar existente Eliminar Plantillas disponibles: o Modelo de derechos de acceso o Modelo de derechos de rectificación o Modelo de derechos de cancelación o Modelo de derechos de oposición - Incidencias: permitimos la descarga de la plantilla que después podrá adjuntar adjuntar, y las siguientes acciones para el control de las incidencias: Crear nuevo Modificar existente Eliminar - Soportes: Crear nuevo Modificar existente Eliminar Manual del Sistema de Gestión de la LOPD Página 6 de 55

7 2. ACCESO A LA APLICACIÓN Al cargar la URL de la aplicación, instalada previamente en su servidor, aparecerá la siguiente pantalla, sustituyendo el logotipo de la diputación de Ávila por el suyo propio. Para poder acceder a la aplicación deberá introducir su usuario y contraseña que habrá sido creado anteriormente por el administrador del sistema. Si los datos introducidos son correctos accederá a la pantalla principal de la aplicación para comenzar a trabajar con ella. Manual del Sistema de Gestión de la LOPD Página 7 de 55

8 Manual del Sistema de Gestión de la LOPD Página 8 de 55

9 3. SECCIÓN ENTIDAD Accedemos a esta sección mediante el menú superior ENTIDAD. Desde este apartado podrán modificarse los datos de la entidad, así como los datos del usuario asociado al mismo. El usuario asociado a la entidad es el que tiene permisos de administrador, el cual tiene acceso a todos los menús de la extranet. Para el resto de usuarios (pertenecientes a grupos con acceso restringido) ver la sección 'Usuarios'. El formulario que se muestra para la modificación de los datos de la Entidad es el siguiente: Manual del Sistema de Gestión de la LOPD Página 9 de 55

10 4. SECCIÓN USUARIOS Accedemos a esta sección mediante el menú superior USUARIOS. Al seleccionar el menú nos aparece la siguiente pantalla: En ella tenemos la opción de crear usuarios nuevos mediante el botón / borrar los existentes mostrados en el listado. o editar Además podemos consultar la ayuda en línea pulsando sobre el icono Los campos del elemento, marcados con * son obligatorios, el resto no. El formulario consta de la siguiente información: Login: Nombre del usuario para conectarse a la extranet. Password: Contraseña que servirá junto al login para conectarse a la extranet. Nombre y Apellidos del usuario. Grupo: Grupo al que pertenece el usuario. o Responsable de fichero. o Responsable de seguridad. DNI del usuario. Correo electrónico del usuario. Teléfono del usuario. Móvil del usuario. Fax del usuario. Estado: (Activo/Inactivo) según sea podrá acceder o no a la extranet. Manual del Sistema de Gestión de la LOPD Página 10 de 55

11 I. CREACIÓN DE NUEVOS USUARIOS Para proceder a la creación de nuevos usuarios pulsaremos sobre el botón colocado en la parte superior del listado. Al pulsar en dicho botón nos aparecerá un formulario que deberemos completar, al menos los campos obligatorios (los marcados con *) para que el elemento pueda crearse en el sistema. II. EDITAR DATOS DE USUARIOS EXISTENTES. Para proceder a la edición de los datos de los usuario, debemos pulsar sobre el icono está situado a su derecha., que Al pulsar en dicho botón nos aparecerá un formulario similar al del proceso de creación, pero con los datos que están almacenados en el sistema, completados en dicho formulario. III. ELIMINAR USUARIOS EXISTENTES. Para proceder a la eliminación de usuario existente en la aplicación, debemos pulsar sobre el icono, que está situado a su derecha. Manual del Sistema de Gestión de la LOPD Página 11 de 55

12 5.SECCIÓN FICHEROS DE NOTIFICACIÓN Accedemos a esta sección mediante el menú superior FICHEROS. Los estados en los que puede estar un elemento fichero son: : Formulario que aún no ha sido grabado en el sistema, por lo que no puede ser enviado : Formulario guardado en el sistema y validado, por lo tanto puede ser enviado. : Formulario guardado en el sistema y pero con datos no validados, por lo tanto no puede ser enviado Para poder enviar un formulario debe estar completo y validado En el lateral izquierdo aparecen dos submenús con las acciones a realizar sobre el elemento que son: Crear un nuevo fichero de notificación (Nuevo) y Listar los ficheros de notificación existentes en el sistema (Listar) I. CREACIÓN DE NUEVOS FICHEROS DE NOTIFICACIÓN Para acceder a la creación del elemento, debemos pulsar sobre el menú de la izquierda Nuevo. Al pulsar en dicho botón nos aparecerá un formulario que deberemos completar, al menos los campos obligatorios (los marcados con *) para que el elemento pueda crearse en el sistema. Que en función del tipo de solicitud que marquemos nos mostrará unos datos. Este campo e obligatorio e indica el tipo de operación va a realizarse sobre el fichero: Manual del Sistema de Gestión de la LOPD Página 12 de 55

13 En el caso de alta de notificación: Si la notificación se refiere a un tratamiento de datos sobre Nóminas, Recursos humanos, Agenda de personas de contacto, Control de acceso, Gestión económica, Historia clínica, Registros de Entrada/Salida de documentos, Padrón, Alumnos o Profesores, puede marcar el cuadro TIPO y seleccionar el modelo que corresponda (se rellenan determinados apartados con valores apropiados) o bien seleccionar NORMAL para partir de un formulario totalmente vacío. En caso de modificaciones se deberá indicar el Código de Inscripción que se asignó al fichero en el momento de su alta en el RGPD así como el CIF/NIF con el que fue inscrito, los apartados que se desea modificar y el Nombre o Razón Social del responsable. Manual del Sistema de Gestión de la LOPD Página 13 de 55

14 En caso de supresiones se deberá indicar el Código de Inscripción que se asignó al fichero en el momento de su alta en el RGPD así como el CIF/NIF con el que fue inscrito.. Manual del Sistema de Gestión de la LOPD Página 14 de 55

15 En cualquiera de los tres casos, al guardar el formulario, nos aparecerá en el lateral izquierdo una serie de submenús que nos llevarán a más secciones que deberemos completar. Dichas secciones las pasaremos a comentar a continuación, teniendo en cuenta siempre que no todas aparecerán en todos los tipos de fichero. Debemos tener en cuenta que en todos los formularios tendremos unos botones en la parte inferior con las siguientes funcionalidades : guardar los datos : validar los datos introducidos : restablecer los datos anteriores II. PARTES DE LA GENERACIÓN DE FICHEROS A. RESPONSABLE DE FICHERO Este apartado es obligatorio rellenarlo. Aquí se indicará la persona física o jurídica de naturaleza pública o el órgano administrativo responsable del fichero que decida sobre la finalidad, contenido y uso del fichero. Deberá rellenarse teniendo en cuenta los siguientes extremos: Se indicará en este apartado la persona física o jurídica de naturaleza pública o el órgano administrativo responsable del fichero que decida sobre la finalidad, contenido y uso del fichero. Una persona que trabaja bajo la dependencia o autoridad directa del responsable del fichero, ya sea por su condición de funcionario o debido a una relación contractual dentro del ámbito del derecho laboral, no tiene la consideración de responsable del fichero a los efectos de la LOPD. Cuando el responsable del fichero no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en España, sin perjuicio de las acciones que pudieran emprenderse Manual del Sistema de Gestión de la LOPD Página 15 de 55

16 contra el propio responsable del tratamiento. En este caso, deberá cumplimentar obligatoriamente los datos de su representante en España en el apartado 2. Derechos de Oposición, acceso, rectificación y cancelación. Señale el tipo de administración en que se encuentra encuadrado el órgano responsable del fichero. Si ha señalado "Autonómica", rellene el campo "Código de comunidad autónoma". Para el encuadramiento administrativo del órgano se han previsto tres niveles jerárquicos, que deben rellenarse teniendo en cuenta lo indicado en el apartado correspondiente de la disposición general de creación del fichero. Si sólo existe un nivel, repetir la denominación del responsable en los tres campos. Si sólo existen dos, repetir la denominación del responsable en el segundo y tercer niveles. El teléfono, fax y dirección de correo electrónico son de complementación voluntaria. Manual del Sistema de Gestión de la LOPD Página 16 de 55

17 B. DERECHOS DE OPOSICIÓN, ACCESO, RECTIFICACIÓN Y CANCELACIÓN. Este apartado únicamente deberá cumplimentarlo en el caso de que la dirección dónde se prevea atender al ciudadano que desee ejercitar sus derechos de oposición, acceso, rectificación y cancelación sea diferente a la indicada en el apartado 1. Responsable del fichero. Cumplimente el nombre de la dependencia u oficina y la dirección completa de la misma. Si existen varias o son determinables, indique la oficina principal o dependencia a la que se dirigirá el afectado para el ejercicio de sus derechos. El teléfono, fax y dirección son de complementación voluntaria. C. DISPOSICIÓN GENERAL DE CREACIÓN, MODIFICACIÓN Y SUPRESIÓN. En este deberá indicar la disposición general publicada en el Boletín Oficial del Estado, o diario oficial correspondiente, relativa a la creación, modificación o supresión de ficheros de las Administraciones Públicas. El contenido de la disposición debe adecuarse a lo previsto en el artículo 20 de la LOPD. Manual del Sistema de Gestión de la LOPD Página 17 de 55

18 D. ENCARGADO DEL TRATAMIENTO. Este apartado únicamente habrá de cumplimentarse cuando un tercero realiza el tratamiento por cuenta del responsable, e implique una ubicación del fichero distinta a la indicada en el apartado 1. Responsable del fichero. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. Una persona que trabaja bajo la dependencia o autoridad directa del responsable del fichero, debido a una relación contractual dentro del ámbito del derecho laboral, no tiene la consideración de encargado del tratamiento a los efectos de la LOPD. Únicamente se consignarán en dicho apartado los datos de uno de los encargados del tratamiento o una ubicación del fichero distinta a la indicada en el apartado 1. Responsable del fichero. Se recomienda que se haga constar la denominación del encargado que realice el tratamiento de datos que pueda implicar una mayor duración en el tiempo, o riesgos mayores según el tipo y la cantidad de datos tratados. El teléfono, fax y dirección de correo electrónico son de complementación voluntaria. Manual del Sistema de Gestión de la LOPD Página 18 de 55

19 Consigne el nombre del país, en caso de que éste no sea España. Si esta dirección se encuentra fuera de la Unión Europea deberá cumplimentar obligatoriamente el apartado de Transferencias internacionales. E. IDENTIFICACIÓN Y FINALIDAD DEL FICHERO. En este apartado deberá indicar el nombre que identifique el fichero y una descripción detallada de la finalidad y usos previstos. Seleccione la/s tipificación/es que se corresponda con dicha descripción disponible en la lista del formulario. Se aconseja consultar toda la lista de finalidades del modelo con el fin de poder seleccionar aquellos valores definidos que mejor determinen la finalidad y usos del fichero. En caso de que ningún valor refleje las finalidades y usos previstos, seleccione el valor «Otro tipo de finalidad» Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. La relación de tipificaciones de finalidades se encuentra disponible en este mismo anexo. Manual del Sistema de Gestión de la LOPD Página 19 de 55

20 F. ORIGEN Y PROCEDENCIA DE LOS DATOS. En este formulario tendremos los siguientes apartados: Origen y procedencia de los datos: Se marcará al menos una de las casillas correspondientes al origen de los datos de carácter personal del fichero. Fuentes accesibles al público: Aquellos ficheros que pueden ser consultados por cualquier persona sin más limitación que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los diarios y boletines oficiales y los medios de comunicación (Art. 3.j LOPD). Colectivos o categorías de interesados: Seleccione de la lista los colectivos o personas origen de la información del fichero, tanto si el colectivo o grupo de personas está recogido explícita o implícitamente en el fichero. En el caso de que el Manual del Sistema de Gestión de la LOPD Página 20 de 55

21 colectivo no se encuentre identificado en la lista, señale la casilla correspondiente a «Otros colectivos» y descríbalo de forma breve. La relación de tipificaciones de colectivos se encuentra disponible en este mismo anexo. Derecho de información en la recogida de los datos (Art. 5 LOPD) Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco: o De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. o Del carácter obligatorio o facultativo de la respuesta. o De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. o De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. o De la identidad y dirección del responsable del tratamiento, o en su caso, del representante. Si los datos no se obtienen directamente del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos. Manual del Sistema de Gestión de la LOPD Página 21 de 55

22 G. TIPOS DE DATOS, ESTRUCTURA Y ORGANIZACIÓN DEL FICHERO. En este formulario tendremos los siguientes apartados: Datos especialmente protegidos: El tratamiento de datos especialmente protegidos de ideología, afiliación sindical, religión o creencias, sólo puede realizarse si se ha recabado el consentimiento expreso y por escrito del afectado. No obstante, la LOPD exceptúa de esta norma general a los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado. Otros datos especialmente protegidos: Para tratar datos especialmente protegidos de origen racial, salud o vida sexual, será obligatorio recabar el consentimiento expreso del afectado o que, por razones de interés general, así lo disponga una Ley. Datos de carácter identificativo: Marque todos y cada uno de los tipos de datos contenidos o tratados en el fichero. En caso de tratarse de datos no descritos expresamente en los tipos indicados en el modelo de notificación, señale la casilla «Otros tipos de datos» y especifíquelos de forma resumida. Cualquier fichero de datos de carácter personal debe contener al menos algún dato de carácter identificativo. Otros datos tipificados: Seleccione los tipos de datos de carácter personal incluidos en el fichero de la lista disponible en el formulario. En el caso de que los datos incluidos en el fichero no se encuentren identificados en la lista, señale la casilla correspondiente a «Otros tipos de datos» y descríbalos de forma breve. La relación de tipificaciones de Otros tipos de datos se encuentra disponible en el anexo II. Sistema de tratamiento: Se entiende por sistema de tratamiento el modo en que se organiza la información o utiliza un sistema de información. Atendiendo al Manual del Sistema de Gestión de la LOPD Página 22 de 55

23 sistema de tratamiento, los sistemas de información podrían ser automatizados, no automatizados (manual) o parcialmente automatizados (mixto). H. MEDIDAS DE SEGURIDAD. En este apartado se indicará el nivel de seguridad exigible. Las medidas de seguridad exigibles se clasifican en tres niveles: básico, medio y alto. Manual del Sistema de Gestión de la LOPD Página 23 de 55

24 Se señalará el nivel básico: Para cualquier fichero de datos de carácter personal, excepto aquellos que estén incluidos en alguno de los niveles siguientes. Se señalará el nivel medio: Si se trata de un fichero que contenga datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios económico-financieros o seguros. Se señalará el nivel alto: Cuando el fichero contenga datos de ideología, afiliación sindical, religión, creencias, origen racial, salud,vida sexual, o datos recabados para fines policiales sin consentimiento de las personas afectadas. Las medidas de seguridad a aplicar a cada fichero corresponderán a las del nivel que le corresponda más las de los niveles inferiores. Al menos está obligado a tener implantadas las medidas de seguridad catalogadas como de nivel básico. I. CESIÓN DE DATOS. Este apartado únicamente ha de cumplimentarse en el caso de que se prevea realizar cesiones o comunicaciones de datos. No se considerará cesión de datos la prestación de un servicio al responsable del fichero por parte del encargado del tratamiento. La comunicación de los datos ha de ampararse en alguno de los supuestos legales establecidos en la LOPD. La comunicación de los datos sólo podrá realizarse para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente, previo consentimiento del interesado. Este consentimiento no será preciso cuando exista una Ley que autorice la cesión, cuando los datos hayan sido recogidos de fuentes accesibles al público y el destinatario sea una Administración Pública, cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la Manual del Sistema de Gestión de la LOPD Página 24 de 55

25 comunicación, cuando la comunicación tenga por destino al Defensor del Pueblo, el Ministerio Fiscal, los Jueces o Tribunales o el Tribunal de Cuentas o a sus equivalentes autonómicos, cuando la cesión se realice entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos, o cuando los datos personales de salud sean necesarios para solucionar una urgencia o para realizar estudios epidemiología. Entre Administraciones Públicas, los datos no podrán cederse para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, salvo cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos, o cuando los datos hayan sido obtenidos o elaborados por una Administración Pública con destino a otra. Destinatarios de las cesiones: Seleccione de la lista los destinatarios o categorías de destinatarios de las cesiones. En el caso de que los destinatarios no se encuentren identificados en la lista, señale la casilla correspondiente a «Otros destinatarios» y descríbalo de forma breve. La relación de tipificaciones de destinatarios de las cesiones se encuentra disponible en este mismo anexo. Manual del Sistema de Gestión de la LOPD Página 25 de 55

26 J. TRANSFERENCIAS INTERNACIONALES. Este apartado únicamente ha de cumplimentarse en el caso de que se realice o esté previsto realizar un tratamiento de datos fuera del territorio del Espacio Económico Europeo. En el caso de que la transferencia internacional tenga como destino un país que no proporcione un nivel de protección adecuado al que presta la LOPD, deberá tener en cuenta que la LOPD establece que las previsiones para realizar transferencias internacionales son diferentes, dependiendo de que los países destinatarios tengan un nivel de protección adecuado o no. Se consideran países que proporcionan un nivel de protección adecuado, los estados miembros de la Unión Europea, Islandia, Liechtenstein, Noruega o un Estado respecto del cual la Comisión de las Comunidades Europeas haya declarado que garantiza un nivel de protección adecuado, estando incluidos, hasta la fecha, entre estos últimos, Suiza, Argentina, las entidades estadounidenses adheridas a los «principios de Puerto Seguro», Guernsey, Isla de Man y Canadá respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos. (La relación actualizada de Estados que la Comisión Europea ha declarado que garantizan un nivel de protección adecuado puede consultarse en el sitio web de la AEPD ). En el caso de que la transferencia tenga como destino un país que no proporcione un nivel de protección adecuado al que presta la LOPD, dicha transferencia deberá ampararse en alguna de las excepciones previstas en el art. 34 LOPD: Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España. Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional. Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios. Cuando se refiera a transferencias dinerarias conforme a su legislación específica. Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista. Manual del Sistema de Gestión de la LOPD Página 26 de 55

27 Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado. Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero. Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias. Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial. Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro Público y aquélla sea acorde con la finalidad del mismo. A los efectos de la existencia del consentimiento del afectado a la transferencia se deberá tener en cuenta que para que dicho consentimiento tenga la consideración de inequívoco, exigencia prevista en el artículo 34 e) de la LOPD, será obligatorio que en la solicitud del mismo conste, además del destinatario de la transferencia, el país de destino, así como, la finalidad específica y determinada para la que se transfieren los datos de carácter personal. Si la transferencia internacional de datos no se encuentra amparada en ninguno de los supuestos citados en este apartado, deberá solicitar la preceptiva autorización del Director de la Agencia Española de Protección de Datos. Destinatarios de las transferencias: Seleccione de la lista los destinatarios o categorías de destinatarios y el país o la categorías de países donde se tiene previsto realizar las transferencias. En el caso de que los destinatarios no se encuentren identificados en la lista, seleccione el país o la categoría de países e indique el destinatario o categoría de destinatarios. La relación de categorías de destinatarios de transferencias internacionales se encuentra disponible en este mismo anexo. Manual del Sistema de Gestión de la LOPD Página 27 de 55

28 K. SUPRESIÓN DE LA INSCRIPCIÓN. En este apartado, es necesario indicar el código de inscripción del fichero asignado por la Agencia Española de protección de datos Además, debe indicar el motivo de la supresión en el texto correspondiente, y el destino de la información en el siguiente campo. Si va a proceder a destruir el fichero, indique las previsiones adoptadas para ello. Cuando se indique la supresión de un fichero por responsable distinto del que figura inscrito en el Registro General de Protección de Datos deberá acompañar documentación fehaciente que justifique el cambio del titular. Manual del Sistema de Gestión de la LOPD Página 28 de 55

29 III. LISTADO DE FICHEROS Al pulsar sobre el menú listar, el sistema nos muestra un listado con todos nuestros ficheros dados de alta en la aplicación. Para cada elemento tenemos una serie de iconos con el siguiente fin o significado: Modificar datos del fichero Estado del documento Datos válidos Datos no válidos Hoja de solicitud Incompleta Completa Enviar notificación a modo de prueba: si el envío fue correcto cambia el icono por Enviar notificación real: si el envío fue correcto cambia el icono por Ver los logs de envío de notificación Vista de impresión Eliminar notificación Manual del Sistema de Gestión de la LOPD Página 29 de 55

30 A. MODIFICAR DATOS DE FICHEROS EXISTENTES. Para proceder a la edición de los datos de los ficheros, debemos pulsar sobre el icono está situado en el listado a su derecha., que Al pulsar en dicho botón nos aparecerá un formulario similar al del proceso de creación, pero con los datos que están almacenados en el sistema, completados en dicho formulario. También aparecerán en el lateral izquierdo una serie de submenús o secciones que enlazaran con los formularios propios de cada elemento. Dichos submenús pueden tener dos tipos de iconos antecediéndolos: : Que indica que el formulario está completado y validado : Que indica que el formulario esta pendiente de completar B. LA HOJA DE SOLICITUD. La hoja de solicitud debe estar completada correctamente para que el sistema te deje realizar los envíos (tanto de prueba como real) En la sección de Declarante, indique los datos identificativos de la persona que firma la solicitud y el cargo o la condición del firmante de esta solicitud en relación con el responsable del fichero. Si el declarante es extranjero y carece de Número de Identificación de Extranjero, puede dejar el campo NIF sin cumplimentar. Así mismo, puede cumplimentar con un guión el campo correspondiente al segundo apellido en caso de que no lo tenga. En la sección de Dirección a efectos de notificación, señale el lugar a efectos de notificaciones. Esta dirección debe cumplimentarse en todos los casos, aún cuando coincida con la del responsable del fichero, entendiendo que la identidad y el domicilio para practicar la notificación de la resolución de inscripción debe de ser la declarada por la persona física que solicita la inscripción, todo a ello a tenor del artículo 70 de la ley 30/1992 del régimen jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común. Manual del Sistema de Gestión de la LOPD Página 30 de 55

31 Manual del Sistema de Gestión de la LOPD Página 31 de 55

32 C. ENVÍO DE LA NOTIFICACIÓN A MODO DE PRUEBA. Es una simulación del envío real de la notificación para asegurarnos con anterioridad que el envío se llevará a cabo sin problemas. En el caso de que la solicitud sea correcta, la notificación aparecerá marcada con el icono en la columna de envíos de prueba. Si la notificación o la hoja de solicitud se modificaran esta opción volvería a estar disponible. D. ENVÍO DE LA NOTIFICACIÓN A MODO REAL. Este proceso generará y enviará un fichero en formato XML a la AGPD. Una vez recibido por la AGPD, se devolverá un código indicando si la solicitud ha sido correcta o se ha producido algún tipo de incidencia tras el envío de la notificación. Se generará un fichero (log de envíos) que será accesible a través del icono que aparece en el listado de notificaciones, siempre y cuando este exista. En el caso de que la solicitud sea correcta, la notificación aparecerá marcada con el icono en la columna de envíos, con lo que, tanto la notificación, como su hoja de solicitud no podrán modificarse. Caso: Si la notificación ya fue enviada a la AGPD, (por ejemplo desde otro programa o aplicación) y no desea que se envíe de nuevo, seleccione la opción 'Marcar la notificación como ya enviada'. Manual del Sistema de Gestión de la LOPD Página 32 de 55

33 * Importante: Este proceso no es reversible. Si el proceso de envío devuelve un código de 'Solicitud correcta', como se indica anteriormente, marcará la notificación y no podrá modificarse ni ser reenviada. No se considerará recibida la notificación efectuada por Internet hasta la fecha en la que tenga entrada en la Agencia Española de Protección de Datos la hoja de solicitud firmada de forma manual, careciendo de efecto alguno las notificaciones enviadas por Internet si la hoja de solicitud de inscripción, debidamente cumplimentada y firmada, no hubiera sido presentada en la Agencia Española de Protección de Datos o en alguno de los Registros y oficinas a los que se refiere el artículo 38.4 de la Ley 30/1992, 1992, en el plazo de los diez días siguientes al envío de las notificaciones a través de Internet. Por ello, una vez que el envío en modo real se ha realizado correctamente, deberá imprimir y remitir a la Agencia en el plazo de 10 días la Hoja de solicitud correspondiente al envío realizado, debidamente firmada, por fax o por correo ordinario o personalmente a través la Agencia Española de Protección de Datos o en alguno de los Registros y oficinas de su ciudad. Correo ordinario: Agencia Española de Protección de Datos C/ Jorge Juan, Madrid Fax: ó Manual del Sistema de Gestión de la LOPD Página 33 de 55

34 E. FICHERO DE LOG. Accedemos a el mediante el icono los errores que haya podido haber durante el envío. Al pulsar sobre él nos abre un archivo donde aparecerán F. VISTA DE IMPRESIÓN. Accedemos a el mediante el icono imprimible con un botón al final de la vista para poder imprimirla. Al pulsar sobre él nos muestra la notificación en versión G. ELIMINAR FICHERO DE NOTIFICACIÓN. Para proceder a la eliminación de la notificación existente en la aplicación, debemos pulsar sobre el icono, que está situado a su derecha. Manual del Sistema de Gestión de la LOPD Página 34 de 55

35 6.SECCIÓN DOCUMENTO DE SEGURIDAD Accedemos a esta sección mediante el menú superior DOC.SEGURIDAD. Al seleccionar el menú nos aparece una pantalla con la siguiente explicación del documento de seguridad: El artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter personal, (LOPD) establece en su punto 1 que "el responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural". El Real Decreto 1720/2007, de 21 de diciembre, aprobó el Reglamento de desarrollo de la LOPD que, en su Título VIII, establece las medidas de índole técnico y organizativo que los responsables de los tratamiento o los ficheros y los encargados de tratamiento han de implantar para garantizar la seguridad en los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de datos de carácter personal. Entre estas medidas, se encuentra la elaboración de un documento que recogerá las medidas de índole técnica y organizativa acorde a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los datos de carácter personal. AVISO IMPORTANTE: Debe entenderse, en cualquier caso, que siempre habrá que atenerse a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD y en el resto de previsiones relativas a la protección de datos de carácter personal, y que la utilización de esta guía debe, en todo caso, tener en cuenta los aspectos y circunstancias aplicables en cada caso concreto, sin prejuzgar el criterio de la Agencia Española de Protección de Datos en el ejercicio de sus funciones. Además en el lateral izquierdo aparecen dos submenús con las acciones a realizar sobre el elemento que son: Crear un nuevo documento de seguridad (Nuevo) y Listar los documentos de seguridad existentes en el sistema (Listar) Manual del Sistema de Gestión de la LOPD Página 35 de 55

36 Un poco más abajo de los enlaces anteriores tenemos también los accesos a la administración de los elementos que intervienen en el desarrollo de un documento de seguridad que son: Personal, Puestos y Aplicaciones. Vamos a empezar explicando la administración de estos elementos necesarios para la generación del documento de seguridad Al seleccionar el menú nos aparece la siguiente pantalla: I. ADMINISTRACIÓN DE PERSONAL Al pulsar sobre el menú lateral PERSONAL, nos aparece la siguiente pantalla. En ella tenemos la opción de crear nuevos miembros del personal nuevos mediante el botón o editar / borrar los existentes mostrados en el listado. Los campos del elemento, marcados con * son obligatorios, el resto no. El formulario consta de la siguiente información: Nombre y Apellidos NIF Fecha de alta en la empresa Fecha de baja en la empresa Cargo que desempeña Departamento al que pertenece Funciones que realiza Manual del Sistema de Gestión de la LOPD Página 36 de 55

37 A. CREAR NUEVO. Para proceder a la creación de un nuevo personal pulsaremos sobre el botón colocado en la parte superior del listado. Al pulsar en dicho botón nos aparecerá un formulario que deberemos completar, al menos los campos obligatorios (los marcados con *) para que el elemento pueda crearse en el sistema. B. EDITAR DATOS. Para proceder a la edición de los datos del elemento, debemos pulsar sobre el icono está situado a su derecha., que Al pulsar en dicho botón nos aparecerá un formulario similar al del proceso de creación, pero con los datos que están almacenados en el sistema, completados en dicho formulario. C. ELIMINAR ELEMENTO. Para proceder a la eliminación del elemento existente en la aplicación, debemos pulsar sobre el icono, que está situado a su derecha. Manual del Sistema de Gestión de la LOPD Página 37 de 55

38 II. ADMINISTRACIÓN DE PUESTOS Al pulsar sobre el menú lateral PUESTOS, nos aparece la siguiente pantalla. En ella tenemos la opción de crear nuevos puestos de trabajo mediante el botón o editar / borrar los existentes mostrados en el listado. Los campos del elemento, marcados con * son obligatorios, el resto no. El formulario consta de la siguiente información: Nombre Ubicación Descripción Hardware Sistema Operativo Privilegios o o o o o o o o o o o Acceso a Internet MODEM Correo electrónico Uso de contraseñas Ficheros temporales Cifrado de datos Auditorias de acceso Protección de pantallas de contraseñas Auditorias de acciones Límite de intentos Otros Sistema de copias de seguridad Manual del Sistema de Gestión de la LOPD Página 38 de 55

39 A. CREAR NUEVO. Para proceder a la creación de un nuevo puesto pulsaremos sobre el botón colocado en la parte superior del listado. Al pulsar en dicho botón nos aparecerá un formulario que deberemos completar, al menos los campos obligatorios (los marcados con *) para que el elemento pueda crearse en el sistema. B. EDITAR DATOS. Para proceder a la edición de los datos del elemento, debemos pulsar sobre el icono, que está situado a su derecha. Al pulsar en dicho botón nos aparecerá un formulario similar al del proceso de creación, pero con los datos que están almacenados en el sistema, completados en dicho formulario. Manual del Sistema de Gestión de la LOPD Página 39 de 55

40 C. ELIMINAR ELEMENTO. Para proceder a la eliminación del elemento existente en la aplicación, debemos pulsar sobre el icono, que está situado a su derecha. III. ADMINISTRACIÓN DE APLICACIONES Al pulsar sobre el menú lateral APLICACIONES, nos aparece la siguiente pantalla. En ella tenemos la opción de crear nuevas aplicaciones mediante el botón editar / borrar las existentes mostrados en el listado. o Los campos del elemento, marcados con * son obligatorios, el resto no. El formulario consta de la siguiente información: Nombre Función que desempeña Descripción Si es una aplicación a medida o Programador o Fecha de programación o Responsable Descripción del acceso Manual del Sistema de Gestión de la LOPD Página 40 de 55

41 A. CREAR NUEVO. Para proceder a la creación de una nueva aplicación pulsaremos sobre el botón colocado en la parte superior del listado. Al pulsar en dicho botón nos aparecerá un formulario que deberemos completar, al menos los campos obligatorios (los marcados con *) para que el elemento pueda crearse en el sistema. B. EDITAR DATOS. Para proceder a la edición de los datos del elemento, debemos pulsar sobre el icono está situado a su derecha., que Al pulsar en dicho botón nos aparecerá un formulario similar al del proceso de creación, pero con los datos que están almacenados en el sistema, completados en dicho formulario. Manual del Sistema de Gestión de la LOPD Página 41 de 55

42 C. ELIMINAR ELEMENTO. Para proceder a la eliminación del elemento existente en la aplicación, debemos pulsar sobre el icono, que está situado a su derecha. IV. CREACIÓN DEL DOCUMENTO DE SEGURIDAD Al pulsar sobre el menú lateral NUEVO, nos aparece un extenso formulario con una serie de campos a completar: Nombre (Obligatorio) Fecha (Obligatorio) Tipo (Obligatorio): si elegimos tipo fichero también será obligatorio el nombre del mismo Y una serie de textos o cabeceras que vendrán completados por textos por defecto, pero que el usuario podrá modificar. Objeto del documento Ámbito de la aplicación Recursos protegidos Funciones y obligaciones del personal Funciones Procedimiento de seguridad Gestión de incidencias Gestión de soportes Procedimientos de respaldo y recuperación Entrada y salida de datos por red Controles periódicos de verificación del cumplimiento Registro de accesos Otros datos Manual del Sistema de Gestión de la LOPD Página 42 de 55

43 V. LISTADO DE DOCUMENTOS DE SEGURIDAD Al pulsar sobre el menú listar, el sistema nos muestra un listado con todos nuestros Documentos de Seguridad dados de alta en la aplicación. Para cada elemento tenemos una serie de iconos con el siguiente fin o significado: Modificar datos del documento de seguridad Vista de impresión Eliminar documento de seguridad A. MODIFICAR DATOS. Para proceder a la edición de los datos, debemos pulsar sobre el icono el listado a su derecha., que está situado en Al pulsar en dicho botón nos aparecerá un formulario similar al del proceso de creación, pero con los datos que están almacenados en el sistema, completados en dicho formulario. B. VISTA DE IMPRESIÓN. Accedemos a el mediante el icono Al pulsar sobre él nos muestra el documento de seguridad en versión imprimible con un botón al final de la vista para poder imprimirle. Manual del Sistema de Gestión de la LOPD Página 43 de 55

44 C. ELIMINAR. Para proceder a la eliminación de el documento de seguridad existente en la aplicación, debemos pulsar sobre el icono, que está situado a su derecha. Manual del Sistema de Gestión de la LOPD Página 44 de 55

45 7.SECCIÓN AUDITORIAS Accedemos a esta sección mediante el menú superior AUDITORIAS. Al seleccionar el menú nos aparece la siguiente pantalla: En ella tenemos la opción de crear auditorias nuevas mediante el botón editar / borrar los existentes mostrados en el listado. o Además podemos consultar la ayuda en línea pulsando sobre el icono plantilla de la auditoria para completarla en papel. y descargar la Los campos del elemento, marcados con * son obligatorios, el resto no. El formulario consta de la siguiente información: Nombre: Título de la auditoria. Auditor: Persona que realiza la auditoria. Tipo: o General: Auditoria a nivel de entidad o Fichero: Auditoria asociada a un fichero Fichero al que se asocia la auditoria. Fecha de comienzo de la auditoria. Estado: Abierta/Cerrada Manual del Sistema de Gestión de la LOPD Página 45 de 55

46 Resumen, Descripción, Participantes, Referencias, Listas de distribución, Resultados: Campos de texto abierto. (con posibilidad de formatear). Nº de conformidades: Campos incrementales (Alta, Media, Baja) se interactúa con ellos a través de los campos de tipo botón (+/-). El campo 'Total' es de solo lectura. No conformidades: Campo de texto abierto. Este módulo permite subir archivos al servidor y asociarlos a la auditoria, a la vez que eliminarlos, pero para ello la auditoria debe estar primero creada en el sistema. I. CREACIÓN DE NUEVAS AUDITORIAS Para proceder a la creación de las nuevas auditorias pulsaremos sobre el botón colocado en la parte superior del listado. Al pulsar en dicho botón nos aparecerá un formulario que deberemos completar, al menos los campos obligatorios (los marcados con *) para que el elemento pueda crearse en el sistema. II. EDITAR DATOS. Para proceder a la edición de los datos, debemos pulsar sobre el icono su derecha., que está situado a Al pulsar en dicho botón nos aparecerá un formulario similar al del proceso de creación, pero con los datos que están almacenados en el sistema, completados en dicho formulario. A mayores que el formulario de creación tendrá una sección para subir archivos adjuntos y/o eliminar los ya subidos. Manual del Sistema de Gestión de la LOPD Página 46 de 55

47 III. ELIMINAR AUDITORIAS. Para proceder a la eliminación de usuario existente en la aplicación, debemos pulsar sobre el icono, que está situado a su derecha. Manual del Sistema de Gestión de la LOPD Página 47 de 55

48 8.SECCIÓN DERECHOS ARCO Accedemos a esta sección mediante el menú superior DERECHOS ARCO. Al seleccionar el menú nos aparece la siguiente pantalla: En ella tenemos la opción de crear nuevos documentos de derechos ARCO mediante el botón o editar / borrar los existentes mostrados en el listado. Además podemos consultar la ayuda en línea pulsando sobre el icono serie de plantillas para completarlas en papel: Modelo de derechos de acceso Modelo de derechos de rectificación Modelo de derechos de cancelación Modelo de derechos de oposición Provincia de la persona que ejerce el derecho. y descargar una Los campos del elemento, marcados con * son obligatorios, el resto no. El formulario consta de la siguiente información: Nombre de la persona que ejerce el derecho. Apellidos de la persona que ejerce el derecho. DNI de la persona que ejerce el derecho. Código Postal de la persona que ejerce el derecho. Localidad de la persona que ejerce el derecho. Manual del Sistema de Gestión de la LOPD Página 48 de 55

49 Comunidad de la persona que ejerce el derecho. Fecha en la que ejerce el derecho. Tipo de derecho que se ejerce o Acceso o Rectificación o Cancelación o Oposición Comentarios: campo de texto abierto Este módulo permite subir archivos al servidor y asociarlos al elemento, a la vez que eliminarlos, pero para ello debe estar primero creado en el sistema. I. CREACIÓN DE NUEVOS DERECHOS ARCO Para proceder a la creación de los nuevos derechos ARCO pulsaremos sobre el botón colocado en la parte superior del listado. Al pulsar en dicho botón nos aparecerá un formulario que deberemos completar, al menos los campos obligatorios (los marcados con *) para que el elemento pueda crearse en el sistema. Manual del Sistema de Gestión de la LOPD Página 49 de 55

50 II. EDITAR DATOS. Para proceder a la edición de los datos, debemos pulsar sobre el icono su derecha., que está situado a Al pulsar en dicho botón nos aparecerá un formulario similar al del proceso de creación, pero con los datos que están almacenados en el sistema, completados en dicho formulario. A mayores que el formulario de creación tendrá una sección para subir archivos adjuntos y/o eliminar los ya subidos. III. ELIMINAR DERECHOS ARCO. Para proceder a la eliminación de usuario existente en la aplicación, debemos pulsar sobre el icono, que está situado a su derecha. Manual del Sistema de Gestión de la LOPD Página 50 de 55

51 9.SECCIÓN INCIDENCIAS Accedemos a esta sección mediante el menú superior INCIDENCIAS. Al seleccionar el menú nos aparece la siguiente pantalla: En ella tenemos la opción de crear nuevas incidencias mediante el botón editar / borrar los existentes mostrados en el listado. o Además podemos consultar la ayuda en línea pulsando sobre el icono plantilla para completarla en papel. y descargar una Los campos del elemento, marcados con * son obligatorios, el resto no. El formulario consta de la siguiente información: Nombre de la incidencia. Responsable: Persona responsable de la incidencia Tipo o o General: Incidencia a nivel de entidad Fichero: Incidencia asociada a un fichero Fichero al que se asocia la incidencia Fecha de la incidencia Fecha de notificación Estado: Abierta / Pospuesta / Cerrada Prioridad de la incidencia Manual del Sistema de Gestión de la LOPD Página 51 de 55