Universidad de Almería.

Transcripción

1 Manual de responsable de seguridad en materia de protección de datos de carácter personal de la entidad Universidad de Almería. ADAPTADO AL REAL DECRETO 1720/2007 Mayo de 2011

2 Índice 1. Introducción Funciones y obligaciones del responsable de seguridad Explicación de las funciones y obligaciones encomendadas al responsable Tareas que garantizan el cumplimiento del RDLOPD para FFAA Tareas que garantizan el cumplimiento del RDLOPD para FFNA Procedimientos fijados en la organización Procedimiento de notificación y gestión de incidencias Procedimiento para la notificación de incidencias de ficheros automatizados Procedimiento para la notificación de incidencias de ficheros no automatizados Procedimientos de entrada y salida de soportes y documentos Procedimiento de registro de entrada de soportes Procedimiento de registro de salida de soportes Procedimientos de gestión de usuarios de los ficheros Procedimiento de alta de usuarios Procedimiento de baja de usuarios Procedimiento de desechado y reutilización de soportes Procedimiento de desechado y reutilización de soportes automatizados Procedimiento de desechado y reutilización de soportes no automatizados Procedimiento para los envíos telemáticos Procedimiento para el uso del correo electrónico Procedimiento ante solicitudes de ejercicio de derechos Procedimientos de archivo y custodia Procedimiento de custodia de soportes no automatizados Procedimiento de archivo de ficheros no automatizados Procedimiento de restricción de acceso a ficheros no automatizados Procedimiento de copia y reproducción de documentos Procedimiento de traslado de documentación Antivirus II

3 1. Introducción La protección de los datos de carácter personal de los ciudadanos ha sido regulada por el legislador español mediante la L.O. 15/1999 (en adelante LOPD), que establece toda una serie de medidas de obligado cumplimiento para aquellas entidades que, en el ejercicio de su actividad, sometan a tratamiento este tipo de datos. A su vez el Reglamento de Desarrollo de la LOPD (RD 1720/2007 o RDLOPD) desarrolla lo previsto en la LOPD. Para coordinar tales medidas el RDLOPD contempla la figura del responsable de seguridad. A su vez en ocasiones existen determinadas funciones que conviene delegar en responsables de seguridad delegados (de aspectos jurídico organizativos y técnicos respectivamente). Para coordinar tales medidas el RDLOPD contempla la figura del responsable/s de seguridad. Es objeto de este manual detallar las funciones que al responsable de seguridad Carmen Alicia García de Universidad de Almería. le corresponden así como darle pautas al mismo para que conozca como ejecutar las tareas que le corresponden. 2. Funciones y obligaciones del responsable de seguridad "En el documento de seguridad deberán designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo. Esta designación puede ser única para todos los ficheros o tratamientos de datos de carácter personal o diferenciada según los sistemas de tratamiento utilizados, circunstancia que deberá hacerse constar claramente en el documento de seguridad. En ningún caso esta designación supone una exoneración de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este Reglamento." Artículo 95 RDLOPD. 1

4 El Responsable de Seguridad es el encargado de autorizar, coordinar, controlar y en algunos supuestos ejecutar las medidas definidas en el documento seguridad. Corresponde al Responsable de Seguridad, por si mismo o a través del responsable delegado, cumplir con las siguientes obligaciones: Someter los sistemas de información, al menos cada 2 años, a una auditoría interna o externa que verifique el cumplimiento del Reglamento, procedimientos e instrucciones. (El informe de auditoría dictaminará sobre la adecuación de las medidas y controles, identificará deficiencias y propondrá medidas correctoras o complementarias. Deberá incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas. ART ) Analizar el informe de auditoría y elevar las conclusiones al responsable del fichero para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia de Protección de Datos Implantar (o, en su caso, modificar) controles periódicos para verificar el cumplimiento de lo establecido en el documento de seguridad Revisar los controles periódicos para verificar el cumplimiento de lo establecido en el documento de seguridad Controlar que sólo el personal autorizado a ello pueda acceder a la información en papel de nivel alto. Actualizar el listado de personal autorizado a acceder a datos personales en soporte papel de nivel alto Cuidar que los armarios y archivadores que contengan información con datos personales de nivel alto se encuentren en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Cuidar que las áreas en que se encuentren los armarios y archivadores que contengan información con datos personales de nivel alto permanezcan cerradas cuando no sea preciso el acceso a los documentos que contienen. (Salvo que atendidas las características de los locales no fuera posible disponer de áreas cerradas en cuyo caso el responsable adoptará medidas alternativas que, debidamente motivadas, se incluirán en el documento de seguridad). Someter los sistemas de información, al menos cada 2 años, a una auditoría interna o externa que verifique el cumplimiento de las medidas de seguridad exigidas para los ficheros no automatizados. Analizar el informe de auditoría y elevar las conclusiones al responsable del fichero para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia de Protección de Datos Adoptar las medidas oportunas para que el acceso de los usuarios esté limitado a los recursos que precisen para el desarrollo de sus funciones. 2

5 Confeccionar y mantener una relación actualizada de usuarios y perfiles de usuarios a ficheros no automatizados, y los accesos autorizados para cada uno de ellos Establecer mecanismos para evitar que un usuario pueda acceder a ficheros no automatizados con derechos distintos de los autorizados Adoptar las medidas para que solo pueda conceder, alterar o anular el acceso autorizado a ficheros no automatizados el personal autorizado para ello en el documento de seguridad, conforme a los criterios establecidos por el responsable del fichero. Adoptar las medidas oportunas para que el personal ajeno que tenga acceso a los ficheros no automatizados esté sometido a las mismas condiciones y obligaciones de seguridad que el personal propio. Controlar que únicamente realicen copias de los documentos que contengan datos de nivel alto las personas autorizadas en el documento de seguridad. Actualizar el listado de personas autorizadas a realizar copias de información que contenga datos de nivel alto Redactar y revisar la existencia de un procedimiento que indique como proceder a la destrucción de las copias o reproducciones desechadas que contengan datos de nivel alto de forma que se evite el acceso a la información Proceder a la destrucción de las copias o reproducciones de desechadas de forma que se evite el acceso a la información contenida en las mismas o su recuperación posterior. Definir las funciones y obligaciones del personal en relación con los ficheros no automatizados Documentar las funciones y obligaciones del personal en relación con los ficheros no automatizados Nombrar y en su caso reemplazar a los responsables de seguridad oportunos (encargados de coordinar las medidas de seguridad de los ficheros no automatizados). Adoptar las medidas necesarias para que los responsables de seguridad conozcan las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento Establecer un procedimiento de notificación y gestión de las incidencias relativas a los ficheros no automatizados Establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas, en relación con los ficheros no automatizados Disponer lo oportuno para que se archiven los soportes o documentos de acuerdo con criterios que garanticen la correcta conservación de los documentos, la localización y consulta de la información y posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación. (Ello se hará con los criterios previstos en su respectiva legislación, o en aquellos casos en los que no exista norma aplicable, según los criterios y procedimientos que disponga el responsable del fichero o en quien delegue este). 3

6 Cuidar que los dispositivos de almacenamiento de los documentos que contengan datos de carácter personal dispongan de mecanismos que obstaculicen su apertura. (Cuando las características físicas de aquéllos no permitan adoptar esta medida, el responsable del fichero o tratamiento adoptará medidas que impidan el acceso de personas no autorizadas, medida que podrá consistir en la custodia por parte de quien se encuentre al cargo). Identificar el tipo de información que contienen los soportes y documentos que contengan datos de carácter personal Inventariar los soportes y documentos que contengan datos de carácter personal Adoptar las medidas para que los soportes y documentos que contengan datos de carácter personal sólo sean accesibles por el personal autorizado para ello en el documento de seguridad. No se etiquetarán cuando las características físicas del soporte imposibiliten su cumplimiento, quedando constancia motivada de ello en el documento de seguridad Podrán etiquetarse crípticamente (sólo comprensibles para los usuarios con acceso autorizado) cuando contengan datos de carácter personal que la organización considerase especialmente sensibles. La salida de soportes y documentos que contengan datos de carácter personal, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad. Establecer mecanismos que permitan identificar los accesos realizados en el caso de documentos que contengan datos de nivel alto que puedan ser utilizados por múltiples usuarios Revisar periódicamente el registro de los accesos a datos de nivel alto contenidos en documentos Establecer un procedimiento para que cuando se proceda al traslado físico de la documentación con datos de nivel alto contenida en ficheros se adopten medidas dirigidas a impedir el acceso Con carácter extraordinario realizar dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas (Esta auditoría inicia el cómputo de dos años para la realización de la auditoría bienal del artículo RDLOPD) 4

7 3. Explicación de las funciones y obligaciones encomendadas al responsable A continuación se presenta, en relación con cada una de las tareas asignadas al responsable, una explicación de la ejecución de las mismas. NOTA IMPORTANTE: Ya que muchas de ellas han de ejecutarse utilizando funcionalidades de GESDATOS el responsable deberá tener en cuenta los manuales sobre GESDATOS que en la guía de ayuda de GESDATOS existen Tareas relativas a medidas que garanticen el cumplimiento de las medidas de seguridad que detalla el reglamento de desarrollo de la LOPD para ficheros automatizados. AUDITORÍA Art Con carácter extraordinario realizar dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas (Esta auditoría inicia el cómputo de dos años para la realización de la auditoría bienal del artículo RDLOPD) Esta obligación supone auditar los sistemas de información cuando se produzcan modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad. El objeto de esta auditoria será verificar la adaptación, adecuación y eficacia de las nuevas medidas de seguridad implantadas. Esta auditoría iniciará el cómputo de dos años para la realización de la auditoría legalmente establecida. GESDATOS le permite (en cualquier modalidad contratada) llevar un control de las auditorías efectuadas. Acceda al módulo CONTROLES y acceda a AUDITORÍAS. Allí 5

8 podrá subir el informe de auditoría que se haya realizado en formato electrónico consignado los datos identificativos del mismo. Art Someter los sistemas de información, al menos cada 2 años, a una auditoría interna o externa que verifique el cumplimiento del Reglamento, procedimientos e instrucciones. (El informe de auditoría dictaminará sobre la adecuación de las medidas y controles, identificará deficiencias y propondrá medidas correctoras o complementarias. Deberá incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas. ART ) Esta obligación de someter los sistemas de información, al menos cada 2 años, a una auditoría interna o externa que verifique el cumplimiento del Reglamento, procedimientos e instrucciones supone la remisión en bloque a todo lo relativo a las auditorias en protección de datos. GESDATOS le permite (en cualquier modalidad contratada) llevar un control de las auditorías efectuadas. Acceda al módulo CONTROLES y acceda a AUDITORÍAS. Allí podrá subir el informe de auditoría que se haya realizado en formato electrónico consignado los datos identificativos del mismo. Si desea realizar la auditoria en protección de datos que exige el reglamento en relación con los ficheros automatizados o desea realizarla sobre las medidas de seguridad relativas a ficheros automatizados, incluso si desea realizar una auditoria voluntaria sobre las obligaciones y principios que recoge la LOPD puede utilizar (si lo ha contratado) el módulo de auditorías de GESDATOS. Art Analizar el informe de auditoría y elevar las conclusiones al responsable del fichero para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia de Protección de Datos El informe de auditoría (bien realizado con el módulo de auditorías de GESDATOS bien de otro modo) debe ser analizado por el responsable de seguridad y elevar las conclusiones al responsable del fichero (a través de su representante)para que este adopte las medidas correctoras adecuadas. Asimismo deberá guardarse y quedar a disposición de la Agencia de Protección de Datos. Para facilitarle esta obligación GESDATOS le ofrece la siguiente 6

9 funcionalidad: acceda al módulo CONTROLES y acceda a AUDITORÍAS. Allí podrá subir el informe de auditoría que se haya realizado en formato electrónico. CONTROLES PERIÓDICOS Art Implantar (o, en su caso, modificar) controles periódicos para verificar el cumplimiento de lo establecido en el documento de seguridad El art. 15 del reglamento de medidas de seguridad establece que se deberán realizar controles periódicos para verificar el cumplimiento de lo dispuesto en el documento de seguridad. En GESDATOS, se dispone de un módulo denominado CONTROLES, y dentro del mismo, puede elegir la opción de CONTROLES PERIÓDICOS, que le permitirá realizar dichos controles con la periodicidad establecida en relación con cada uno de los responsables de seguridad y - en su caso - gestores de fichero concreto que se hayan designado. La tarea consistente en implantar (o en su caso modificar) los controles supone poner en marcha o modificar dicho sistema de controles, particularmente su periodicidad.el art. 15 del reglamento de medidas de seguridad establece que se deberán realizar controles periódicos para verificar el cumplimiento de lo dispuesto en el documento de seguridad. Art Revisar los controles periódicos para verificar el cumplimiento de lo establecido en el documento de seguridad Revisar los citados controles supone pasar los citados controles en el apartado controles periódicos de GESDATOS y revisar la realización o no de las tareas que en dichos controles se han asignado a cada persona. Ello supondrá -como consecuencia lógica- que en el apartado tareas pendientes se genere el correspondiente pdf que deberá imprimirse, firmarse y guardarse. También podrá guardarse el citado pdf en la zona de recursos en una carpeta denominada controles periódicos (en el citado formato pdf) y con la fecha de cada control y nombre del responsable. Ejemplo. Control241006juanperez.pdf 3.2. Tareas relativas a medidas que garanticen el cumplimiento de las medidas de seguridad que detalla el reglamento de desarrollo de la LOPD para ficheros no automatizados. 7

10 ACCESO A LA DOCUMENTACIÓN Art Controlar que sólo el personal autorizado a ello pueda acceder a la información en papel de nivel alto. Cuando se genera un Alta de Usuario o de Responsable en GESDATOS se puede especificar los ficheros a los que accede y la modalidad del acceso. El responsable de seguridad deberá velar porque esta medida se cumpla de modo que solo tengan acceso a los documentos que contengan datos personales de nivel alto el personal autorizado a ello conforme a su Alta de Usuario firmada. Art Actualizar el listado de personal autorizado a acceder a datos personales en soporte papel de nivel alto Del mismo nodo que para los ficheros en formato automatizado, el listado de los usuarios con acceso autorizado a los ficheros en formato papel deberá mantenerse actualizada. ALMACENAMIENTO DE INFORMACIÓN Art Cuidar que los armarios y archivadores que contengan información con datos personales de nivel alto se encuentren en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. El artículo 111 del Reglamento establece la obligación de que los armarios y archivadores donde se almacenen documentos que contengan información con datos de nivel alto se encuentren en áreas en las que el acceso esté protegido con puertas dotadas de sistemas de apertura mediante llave y otro dispositivo equivalente. Asimismo, si estas medidas, atendidas las características de los locales, fueran imposible adoptarlas deberá dejar constancia motivada de ello en el Documento de Seguridad. GESDATOS le permite reflejar las medidas adoptadas o, en su caso, los motivos por los que no puede adoptarse las medidas de seguridad exigidas. 8

11 Art Cuidar que las áreas en que se encuentren los armarios y archivadores que contengan información con datos personales de nivel alto permanezcan cerradas cuando no sea preciso el acceso a los documentos que contienen. (Salvo que atendidas las características de los locales no fuera posible disponer de áreas cerradas en cuyo caso el responsable adoptará medidas alternativas que, debidamente motivadas, se incluirán en el documento de seguridad). Los procedimientos de gestión de documentos deberán especificar esta medida a fin de que todos los Usuarios conozcan esta obligación. No obstante, en los manuales que pueden generarse con GESDATOS encontrará el procedimiento establecido al efecto. AUDITORÍA Art. 110 Someter los sistemas de información, al menos cada 2 años, a una auditoría interna o externa que verifique el cumplimiento de las medidas de seguridad exigidas para los ficheros no automatizados. Esta obligación de someter los sistemas de información, al menos cada 2 años, a una auditoría interna o externa que verifique el cumplimiento del Reglamento, procedimientos e instrucciones supone la remisión en bloque a todo lo relativo a las auditorias en protección de datos. GESDATOS le permite (en cualquier modalidad contratada) llevar un control de las auditorías efectuadas. Acceda al módulo CONTROLES y acceda a AUDITORÍAS. Allí podrá subir el informe de auditoría que se haya realizado en formato electrónico consignado los datos identificativos del mismo. Si desea realizar la auditoria en protección de datos que exige el reglamento en relación con los ficheros automatizados o desea realizarla sobre las medidas de seguridad relativas a ficheros automatizados, incluso si desea realizar una auditoria voluntaria sobre las obligaciones y principios que recoge la LOPD puede utilizar (si lo ha contratado) el módulo de auditorías de GESDATOS. 9

12 Art. 110 Analizar el informe de auditoría y elevar las conclusiones al responsable del fichero para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia de Protección de Datos El informe de auditoría (bien realizado con el módulo de auditorías de GESDATOS bien de otro modo) debe ser analizado por el responsable de seguridad y elevar las conclusiones al responsable del fichero (a través de su representante)para que este adopte las medidas correctoras adecuadas. Asimismo deberá guardarse y quedar a disposición de la Agencia de Protección de Datos. Para facilitarle esta obligación GESDATOS le ofrece la siguiente funcionalidad: acceda al módulo CONTROLES y acceda a AUDITORÍAS. Allí podrá subir el informe de auditoría que se haya realizado en formato electrónico. CONTROL DE ACCESOS 91.1 Art Adoptar las medidas oportunas para que el acceso de los usuarios esté limitado a los recursos que precisen para el desarrollo de sus funciones. La medida consistente en que el acceso de los usuarios esté limitado a los recursos que precisen para el desarrollo de sus funciones se trata de un hecho físico, es decir, una medida física que no de cumple con GESDATOS sino que deberán articularse los medios físicos para que el acceso físico a los datos personales en soporte papel sólo sea posible por aquellos que tienen acceso autorizado. No obstante si que GESDATOS obliga a llevar un listado de los usuarios autorizados en el cual se establecen los accesos de los usuarios a los ficheros, tanto automatizados como no automatizados. También con GESDATOS se definen las funciones y obligaciones de los usuarios, una de las cuales sería la de no acceder a datos o recursos no autorizados Art Confeccionar y mantener una relación actualizada de usuarios y perfiles de usuarios a ficheros no automatizados, y los accesos autorizados para cada uno de ellos RELACIÓN ACTUALIZADA DE USUARIOS Existen diferentes opciones para mantener una relación actualizada de usuarios: - Listado de usuarios: en los que se especifique a que ficheros acceden los mismos. Para ello tiene a su disposición en GESDATOS de un módulo denominado PERSONAL, mediante el cual puede dar de alta a los usuarios y especificar acceso y tipo de acceso, departamento, etc. Este módulo es fácilmente actualizable, dada su facilidad para dar de alta, modificar o dar de baja usuarios. Puede utilizar su propio listado de 10

13 usuarios. - Listado de perfiles: Otra de las opciones sería mantener actualizado un listado de perfiles de acceso de la organización, teniendo como complemento una relación de usuarios a los que se les asignaría su correspondiente perfil. Asimismo, se debería indicar cual es el sistema utilizado y la forma de obtener el listado. La AEPD permite que la relación actualizada de usuarios se mantenga de forma informatizada, pero, en ese caso, se deberá indicar en el Documento de Seguridad cual es el sistema utilizado y la forma de obtener el listado. Asimismo, establece que, siempre que sea posible, es conveniente imprimir la relación de usuarios y adjuntarla periódicamente al documento de seguridad. Además de todo, se debería mantener una relación actualizada de los terceros que acceden a los datos para la prestación de un servicio. PROCEDIMIENTO DE IDENTIFICACIÓN Y AUTENTICACIÓN El Reglamento de Desarrollo de la LOPD (RDLOPD) establece que el Responsable del Fichero se encargará de que exista un procedimiento de identificación y autenticación para permitir el acceso de los usuarios a los datos de carácter personal. El procedimiento de identificación y autenticación es aquel mediante el que se verifica la identidad del usuario. Existen numerosas opciones entorno a este tipo de procedimientos. El más habitual es el establecido mediante Usuario y contraseña, aunque existen otros en los que se utilizan datos biométricos, como la utilización de características biométricas. La tendencia actual es implementar, en los sistemas de información actuales, al menos 2 contraseñas, una a nivel de Sistema Operativo o a nivel de red, y otra para acceder a la aplicación que edita los ficheros de carácter personal. En GESDATOS, podrá describir, el procedimiento de identificación y autenticación en Configuración; Posteriormente podrá modificarlo en mantenimiento accediendo al módulo Organización y seleccionando el apartado de Control de acceso lógico Art Establecer mecanismos para evitar que un usuario pueda acceder a ficheros no automatizados con derechos distintos de los autorizados La información en formato papel que trate cada departamento deberá ser almacenada en un lugar de acceso restringido a personal ajeno al departamento de modo que garantice que los datos de carácter personal contenidos en los soportes y documentos no puedan ser accedidos por usuarios con derechos distintos de los autorizados. Se trata de una medida técnica que debe reflejarse en el Documento de Seguridad. 11

14 91.4 Art Adoptar las medidas para que solo pueda conceder, alterar o anular el acceso autorizado a ficheros no automatizados el personal autorizado para ello en el documento de seguridad, conforme a los criterios establecidos por el responsable del fichero. La asignación de un determinado espacio de trabajo y los consiguientes accesos a la documentación, será designado por el Departamento de Recursos Humanos pero el efectivo acceso a la documentación deberá ser concedido por el Responsable de Seguridad encargado. Se trata de una medida técnica que debe reflejarse en el Documento de Seguridad Art Adoptar las medidas oportunas para que el personal ajeno que tenga acceso a los ficheros no automatizados esté sometido a las mismas condiciones y obligaciones de seguridad que el personal propio. GESDATOS también le permite generar Altas de Usuarios y Manuales (en el apartado FORMACIÓN) para los usuarios externos a la organización. Tenga en cuenta que un usuario externo es aquél que accede con cierta periodicidad a los lugares físicos para la realización de las tareas que tenga encomendadas. Normalmente este usuario externo formará parte del personal de otra empresa con la que deberá tener firmado el preceptivo contrato de acceso a datos por terceros exigido en el articulo 12 de la LOPD. COPIA O REPRODUCCIÓN. CONTROL DE COPIAS O REPRODUCCIONES Art Controlar que únicamente realicen copias de los documentos que contengan datos de nivel alto las personas autorizadas en el documento de seguridad. El art establece la obligación de controlar que únicamente el personal autorizado pueda realizar copias de los documentos que contengan datos de nivel alto. Por lo que el acceso a cualquier dispositivo que permita hacer copias de los documentos deberá quedar restringido a los Usuarios con acceso autorizado. Se trata de una medida técnica que debe reflejarse en el Documento de Seguridad. 12

15 Art Actualizar el listado de personas autorizadas a realizar copias de información que contenga datos de nivel alto Cuando se da de alta un nuevo usuario en GESDATOS puede reflejarse si está autorizado a realizar copias de seguridad de documentos en formato papel. COPIA O REPRODUCCIÓN. DESTRUCCIÓN Art Redactar y revisar la existencia de un procedimiento que indique como proceder a la destrucción de las copias o reproducciones desechadas que contengan datos de nivel alto de forma que se evite el acceso a la información GESDATOS le permite establecer un procedimiento de destrucción de documentos o copias. Este procedimiento deberá reflejarse en el apartado establecido para Ficheros No Automatizados: PROCEDIMIENTO DE DESTRUCCIÓN DE DOCUMENTOS. COPIA O REPRODUCCIÓN. DESTRUCCIÓN. Art Proceder a la destrucción de las copias o reproducciones de desechadas de forma que se evite el acceso a la información contenida en las mismas o su recuperación posterior. Los art y 92.2 en relación con el 105.2, establecen la obligación de proceder a la destrucción de los documentos para evitar un acceso no autorizado a la información que pudieran contener los documentos por lo que deberá disponer en su organización de una destructora de papel o de un contenedor específico para los documentos o copias de documento que vayan a desecharse. FUNCIONES Y OBLIGACIONES DEL PERSONAL 89.1 Art Definir las funciones y obligaciones del personal en relación con los ficheros no automatizados GESDATOS le permite definir las funciones y obligaciones del personal respecto de los ficheros no automatizados. En el apartado PERSONAL encontrará el subapartado PROCEDIMIENTOS Y OBLIGACIONES donde puede establecer las funciones, obligaciones y procedimientos a seguir respecto de este tipo de ficheros. 13

16 89.1 Art Documentar las funciones y obligaciones del personal en relación con los ficheros no automatizados De acuerdo con el RDLOPD, es necesario documentar claramente las funciones y obligaciones de cada una de las personas con acceso a los datos de carácter personal y a los sistemas de información. Para ello mediante GESDATOS se dispone de la opción siguiente: Mediante el Módulo PERSONAL, tanto en CONFIGURACIÓN como en MANTENIMIENTO, dentro del apartado PROCEDIMIENTOS Y OBLIGACIONES, podrá definir las funciones y obligaciones de usuarios respecto de los ficheros no automatizados. Art. 109 Nombrar y en su caso reemplazar a los responsables de seguridad oportunos (encargados de coordinar las medidas de seguridad de los ficheros no automatizados). En el apartado PERSONAL subapartado RESPONSABLES puede nombrar a los Responsables de Seguridad especificando el departamento al que pertenece, cargo que ocupa y ficheros a los que accede. Asimismo, podrá asignar las tareas que asumirá cada Responsable de Seguridad Art Adoptar las medidas necesarias para que los responsables de seguridad conozcan las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento Con GESDATOS puede generar los manuales necesarios para dar formación a los responsable de seguridad. En el apartado FORMACIÓN, subapartado RESPONSABLES puede generar unos manuales personalizados en los que se detallan las obligaciones GESTIÓN DE INCIDENCIAS 90 Art Establecer un procedimiento de notificación y gestión de las incidencias relativas a los ficheros no automatizados INCIDENCIA: Se trata de cualquier anomalía que pudiera afectar a la seguridad de los datos de su organización. Muchas de las incidencias pueden ser causadas por un usuario como el 14

17 olvido de destrucción de las copias de documentos, generación de copias por personal no autorizado en el Documento de Seguridad o perdida de documentos durante un traslado de documentación. También, pueden deberse a un acceso por parte de usuarios no autorizados a las áreas donde se almacene la documentación que contenga datos de nivel alto. En caso de que el Responsable no comunique la baja temporal o definitiva de un usuario obligaría a verificar si se dio con posterioridad un acceso ilícito. Las incidencias pueden tener relación con el almacenamiento de la documentación, el traslado de la misma, las copias o reproducciones de documentos o pueden deberse a hechos extraordinarios tales como incendios, inundaciones o robos. Estos hechos podrían incidir gravemente en la correcta conservación de los documentos dificultando enormemente la localización de la información en caso de tener que atender el ejercicio de un derecho por parte de un afectado. Ante estas situaciones es conveniente que su organización disponga de un procedimiento que le permita llevar el control y una adecuada gestión de las incidencias. El responsable de seguridad, tiene a su disposición, en GESDATOS, un módulo específico de gestión de incidencias denominado INCIDENCIAS. A través del mismo puede fijar el procedimiento de notificación. En caso de no utilizar GESDATOS para el establecimiento de un procedimiento de declaración y gestión de las incidencias deberá reflejarlo en el anexo preparado al efecto en el Documento de Seguridad. 90 Art Establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas, en relación con los ficheros no automatizados En GESDATOS dispone de un apartado específico denominado INCIDENCIAS que le permite llevar un registro de las incidencias ocurridas en su organización así como de la resolución de las mismas. Caso de que no se utilice el registro de incidencias que GESDATOS pone a su disposición deberá cuidar que el registro esté actualizado en el documento de seguridad existente y que el mismo contenga la información indicada: tipo, fecha-hora, persona que notifica, a quién se comunica y efectos que produzca la incidencia. En el documento de seguridad generado por GESDATOS en el apartado modelos dispone de un modelo de registro de incidencias al efecto. GESTIÓN DE SOPORTES Y DOCUMENTOS. CRITERIOS DE ARCHIVO 15

18 Art. 106 Disponer lo oportuno para que se archiven los soportes o documentos de acuerdo con criterios que garanticen la correcta conservación de los documentos, la localización y consulta de la información y posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación. (Ello se hará con los criterios previstos en su respectiva legislación, o en aquellos casos en los que no exista norma aplicable, según los criterios y procedimientos que disponga el responsable del fichero o en quien delegue este). El artículo 106 del RDLOPD obliga a que se archiven los soportes o documentos que contengan datos personales de acuerdo con criterios que garanticen la correcta conservación de los documentos, la localización y consulta de la información y posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación. Se trata de una obligación que consiste en un archivo correcto de los citados documentos y soportes. GESDATOS le permite inventariar dichos soportes y su localización mediante la vinculación a una sede concreta. Si el volumen de documentos y soportes de su organización es pequeño posiblemente ello, unido a una indexación clara de los archivos será suficiente. Si se trata de una organización con un volumen mayor posiblemente requiera de alguna herramienta (más o menos específica) que le ayude a cumplir con esta obligación. Tenga en cuenta que ello se hará con los criterios previstos en su respectiva legislación, o en aquellos casos en los que no exista norma aplicable, según los criterios y procedimientos que disponga el responsable del fichero o en quien delegue este. GESTIÓN DE SOPORTES Y DOCUMENTOS. CUSTODIA Art. 107 Cuidar que los dispositivos de almacenamiento de los documentos que contengan datos de carácter personal dispongan de mecanismos que obstaculicen su apertura. (Cuando las características físicas de aquéllos no permitan adoptar esta medida, el responsable del fichero o tratamiento adoptará medidas que impidan el acceso de personas no autorizadas, medida que podrá consistir en la custodia por parte de quien se encuentre al cargo). 16

19 El artículo 107 del Reglamento establece la obligación de que los dispositivos de almacenamiento estén dotados de algún mecanismo que impida su apertura. Se trata de una medida técnica que debe reflejarse en el Documento de Seguridad. GESTIÓN DE SOPORTES Y DOCUMENTOS. ETIQUETADO 92.1 Art Identificar el tipo de información que contienen los soportes y documentos que contengan datos de carácter personal En GESDATOS, al igual que se inventarían los soportes informáticos también se inventarían los soportes no automatizados al describir los sistemas de tratamiento. Cuando introduza los soportes que contengan datos no automatizados deberá también indicar los ficheros no automatizados que contiene cada uno de ellos Art Inventariar los soportes y documentos que contengan datos de carácter personal De acuerdo con el Reglamento, en el caso de que en su organización existan soportes o documentos en formato papel con datos de carácter personal, debe inventariarlos. Para ello y dado que los habrá dado de alta en fase de configuración, GESDATOS (en el módulo denominado ORGANIZACIÓN, en mantenimiento), en concreto el apartado Soportes de almacenamiento le permite dar de alta nuevos soportes o modificar o dar de baja los existentes. Asimismo el Reglamento obliga a almacenarlos en un lugar seguro con acceso restringido al personal autorizado Art Adoptar las medidas para que los soportes y documentos que contengan datos de carácter personal sólo sean accesibles por el personal autorizado para ello en el documento de seguridad. En GESDATOS, en el apartado de personal, cabe la opción de dar de alta nuevos usuarios, modificarlos o darlos de baja indicando - en su caso - los niveles de acceso que tienen. 17

20 92.1 Art No se etiquetarán cuando las características físicas del soporte imposibiliten su cumplimiento, quedando constancia motivada de ello en el documento de seguridad GESDATOS le permite, en aquellos casos en los que las características físicas del soporte imposibilite el cumplimiento de la obligación anterior, dejar constancia motivada de esta circunstancia Art Podrán etiquetarse crípticamente (sólo comprensibles para los usuarios con acceso autorizado) cuando contengan datos de carácter personal que la organización considerase especialmente sensibles. En caso de que la organización maneje datos que considere especialmente sensible el etiquetado de los estos documentos puede hacerse de modo que solo sea comprensible para la usuarios que vayan a tratar esos datos. GESTIÓN DE SOPORTES Y DOCUMENTOS. REGISTRO DE SALIDA 92.2 Art La salida de soportes y documentos que contengan datos de carácter personal, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad. Al igual que respecto de los ficheros automatizados, el art del RDLOPD en relación con el art del RDLOPD, establece que para la salida de soportes o documentos que contengan datos de carácter personal, debe haber una previa autorización del responsable del fichero. Cada vez que registre una salida de soportes en GESDATOS, al finalizar el registro aparecerá una pantalla, mediante la cual, podrá imprimir una autorización para dicha salida. Dicha autorización deberá imprimirse, firmarse y guardarse debidamente. No obstante caso de que no se utilice GESDATOS para la gestión de las salidas de soportes deberá cuidar que el procedimiento utilizado permita recabar la autorización por escrito del responsable del fichero para cada salida. En el documento de seguridad generado por GESDATOS en el apartado modelos dispone de un modelo de autorización al efecto. 18

21 REGISTRO DE ACCESOS Art Establecer mecanismos que permitan identificar los accesos realizados en el caso de documentos que contengan datos de nivel alto que puedan ser utilizados por múltiples usuarios La obligación dispuesta en el artículo del RDLOPD de establecer mecanismos que permitan identificar los accesos realizados en el caso de documentos que contengan datos de nivel alto que puedan ser utilizados por múltiples usuarios obliga a llevar un control de las personas que han accedido a dicha información de nivel alto. Se trata de una obligación cuyo cumplimiento se puede efectuar de diferentes, más o menos complejas, en función no sólo de la dimensión de la organización sino también de la actividad de la misma. En organizaciones pequeñas estos se puede realizar de forma rudimentaria mediante la anotación en un papel o registro informático. Existen sistemas de control de acceso físico que ya permiten cumplir con esta medida. Aunque el RDLOPD no indica qué información se debe guardar parece que - como mínimo - se debería conservar el nombre y apellidos del usuario que ha accedido, la fecha (y posiblemente la hora), y el tipo de acceso: si para consultar o modificar. Aunque no lo disponga el RDLOPD parece lógico, que al igual que sucede con el registro de accesos de ficheros automatizados, este registro deberá custodiarse por persona competente impidiendo el acceso indebido de terceros que impida su alteración. Art Revisar periódicamente el registro de los accesos a datos de nivel alto contenidos en documentos La información contenida en el fichero de registros de acceso generados deberá ser revisarse - al menos - mensualmente. Gesdatos permite - una vez analizado dicho registro de accesos- generar un informe mensual de las incidencias que se hayan producido o no en relación con dicho registro de accesos. Para ello una vez al mes debe acceder al módulo de Registro de accesos y a través de la opción Informe mensual, seleccionar el mes correspondiente. La aplicación generará un informe de acuerdo con los datos que se hayan ido introduciendo en el apartado Nueva incidencia. TRASLADO DE DOCUMENTACIÓN Art. 114 Establecer un procedimiento para que cuando se proceda al traslado físico de la documentación con datos de nivel alto contenida en ficheros se adopten medidas dirigidas a impedir el acceso 19

22 La obligación consistente en establecer un procedimiento para que cuando se proceda al traslado físico de la documentación con datos de nivel alto contenida en ficheros se adopten medidas dirigidas a impedir el acceso supone a su vez varias obligaciones: Por un lado fijar dicho procedimiento, por otro lado difundirlo y por ultimo comprobar que se cumple. El reglamento no detalla cuales son las medidas de seguridad concretas que deberán constar en el procedimiento pero estas deberán ser seguras. De nuevo estas han de adecuarse al tipo de información que se trasalada, puesto que aunque toda es información de nivel alto, dentro de esta parece lógico entender que existe información más o menos sensible. Envíos con sobre especiales, envíos "mano a mano", con servicios especiales de mensajería, con dispositivos especiales que garanticen que no se ha accedido a los soportes etc... son algunos ejemplos. 20

23 4. Procedimientos fijados en la organización A continuación se muestran los diferentes procedimientos fijados por la organización para el correcto cumplimiento de la normativa en materia de protección de datos. 4.1.Procedimiento de notificación y gestión de incidencias Procedimiento para la notificación de incidencias de ficheros automatizados La gestión de notificación de incidencias se notificará a través de un enlace de una cuenta de correo electrónico (incidencias.lopd@ual.es) en la página web de la comisión de Seguridad informática. Dicho correo será gestionado por el personal competente que gestionará las incidencias y llevará un registro de las mismas. Ficheros afectados 21

24 - ACCIÓN SOCIAL - ALOJAMIENTO RELACIONES INTERNACIONALES - ALUMNOS ENTRANTES RELACIONES INTERNACIONALES - ALUMNOS SALIENTES. RELACIONES INTERNACIONALES - AYUDAS INDIVIDUALES INVESTIGACIÓN - BECARIOS Y CONTRATOS LABORALES DE INVESTIGACIÓN - BILINGÜISMO PDI - BOLSA DE EMPLEO Y PRÁCTICAS EN EMPRESAS - CLAUSTRO UNIVERSITARIO - CLIENTES EDITORIAL - COMPLEMENTOS PRODUCTIVIDAD PAS - CONSEJO DE GOBIERNO - CONSULTAS BIBLIOTECA - CONSULTAS JURÍDICAS - CONTRATOS OTRI - CONTROL DE ACCESOS - CONVENIOS - DECLARACIONES TRIBUTARIAS - DIRECTORIO PERSONAL - EMPRESAS DE BASE TECNOLÓGICA - ENCUESTAS EVALUACIÓN DE LAS COMPETENECIAS PAS - ENSEÑANZAS PROPIAS - ENTREGA DE DOCUMENTOS ARCHIVO - ENVÍO TÍTULOS A EMBAJADAS Y SUBDELEGACIONES DEL GOBIERNO - EVALUADORES EXTERNOS - EXPEDIENTES ACADÉMICOS ALUMNOS - EXPEDIENTES ADMINISTRATIVOS PAS - EXPEDIENTES ADMINISTRATIVOS PDI - EXPEDIENTES ALUMNOS CENTRO DE LENGUAS - EXPEDIENTES AUTORES - EXPEDIENTES BECAS Y AYUDAS - EXPEDIENTES DE CONTRATACIÓN - EXPEDIENTES LITIGIOS - EXTENSIÓN UNIVERSITARIA - FORMACIÓN BIBLIOTECA - FORMACIÓN DOCENTE - FORMACIÓN PREVENCIÓN RIESGOS - GESTIÓN ALQUILER INSTALACIONES 22

25 - GESTIÓN CERTIFICACIÓN ELECTRÓNICA - GESTIÓN DE ACCESO Y ADMISIÓN - GESTIÓN DE ALOJAMIENTO CON MAYORES - GESTIÓN DE ALOJAMIENTO PARTICULARES - GESTIÓN DE LA FORMACIÓN DEL PAS - GESTIÓN DE OFERTA CIENTÍFICA - GESTIÓN DE OFERTA CIENTÍFICA - GESTIÓN INCIDENCIAS STIC - GESTIÓN PRÉSTAMO INTERBIBLIOTECARIO - GESTIÓN PUBLICACIONES - HOMOLOGACIÓN DE TÍTULOS EXTRANJEROS DE DOCTOR - INFORMACIÓN GENERAL UNIVERSITARIA - INFORMES DE PREVENCIÓN - INFORMES GABINETE JURÍDICO - INTERCAMBIO LINGÜÍSTICO - LIBRO REGISTRO ENTREGA TITULOS OFICIALES - MOVILIDAD BILINGÜISMO PDI - PAS, PDI E INVESTIGADORES RELACIONES INTERNACIONALES - PATENTES - PROFESORES FORMACIÓN PAS - PROVISIÓN Y PROMOCIÓN DEL PERSONAL - PROYECTOS EUROPEOS DE INVESTIGACIÓN - PROYECTOS INVESTIGACIÓN - QUEJAS, CONSULTAS Y RECLAMACIONES DEFENSOR UNIVERSITARIO - REFEREES - REGISTRO - REGISTRO ACCESOS STIC - SOLICITUDES CONSULTA Y PRÉSTAMO DOCUMENTOS - SOLICITUDES EJEMPLARES BIBLIOTECA - SOLICITUDES EXTRAORDINARIAS DIRIGIDAS AL RECTOR - SOLICITUDES RESERVAS INSTALACIONES DEPORTIVAS - TRIBUNALES DE EVALUACIÓN PRUEBAS DE ACCESO - UNIDAD DE DEPORTES - USUARIOS SERVICIOS STIC - VIDEO VIGILANCIA Procedimiento para la notificación de incidencias de ficheros no automatizados 23

26 La gestión de notificación de incidencias se notificará a través de un enlace de una cuenta de correo electrónico (incidencias.lopd@ual.es) en la página web de la comisión de Seguridad informática. Dicho correo será gestionado por el personal competente que gestionará las incidencias y llevará un registro de las mismas. Ficheros afectados 24

27 - ACCIDENTES E INCIDENTES - ACCIÓN SOCIAL - ALOJAMIENTO RELACIONES INTERNACIONALES - ALUMNOS ENTRANTES RELACIONES INTERNACIONALES - ALUMNOS SALIENTES. RELACIONES INTERNACIONALES - ARCHIVO GENERAL - AYUDAS INDIVIDUALES INVESTIGACIÓN - BECARIOS Y CONTRATOS LABORALES DE INVESTIGACIÓN - BILINGÜISMO PDI - BOLSA DE EMPLEO Y PRÁCTICAS EN EMPRESAS - CARTAS DE APTITUD - CLAUSTRO UNIVERSITARIO - CLIENTES EDITORIAL - COMPLEMENTOS PRODUCTIVIDAD PAS - CONSEJO DE GOBIERNO - CONSULTAS JURÍDICAS - CONTRATOS FÁBRICA NACIONAL DE MONEDA Y TIMBRE - CONTRATOS OTRI - CONTROL DE ACCESOS - CONVENIOS - CURRICULUMS RRHH - EMPRESAS DE BASE TECNOLÓGICA - ENSEÑANZAS PROPIAS - ENTREGA DE DOCUMENTOS ARCHIVO - ENVÍO TÍTULOS A EMBAJADAS Y SUBDELEGACIONES DEL GOBIERNO - EVALUADORES EXTERNOS - EXPEDIENTES ACADÉMICOS ALUMNOS - EXPEDIENTES ADMINISTRATIVOS PAS - EXPEDIENTES ADMINISTRATIVOS PDI - EXPEDIENTES ALUMNOS CENTRO DE LENGUAS - EXPEDIENTES AUTORES - EXPEDIENTES BECAS Y AYUDAS - EXPEDIENTES DE CONTRATACIÓN - EXPEDIENTES LITIGIOS - EXTENSIÓN UNIVERSITARIA - FACTURAS - FICHAS RECONOCIMIENTO DE FIRMAS - FORMACIÓN DOCENTE 25

28 - FORMACIÓN PREVENCIÓN RIESGOS - GESTIÓN ALQUILER INSTALACIONES - GESTIÓN DE ACCESO Y ADMISIÓN - GESTIÓN DE ALOJAMIENTO CON MAYORES - GESTIÓN DE ALOJAMIENTO PARTICULARES - GESTIÓN DE LA FORMACIÓN DEL PAS - GESTIÓN PUBLICACIONES - GESTIÓN SEGUROS VEHÍCULOS - GRUPOS DE INVESTIGACIÓN - HOMOLOGACIÓN DE TÍTULOS EXTRANJEROS DE DOCTOR - INFORMACIÓN GENERAL UNIVERSITARIA - INFORMES DE PREVENCIÓN - INFORMES GABINETE JURÍDICO - LIBRO REGISTRO ENTREGA TITULOS OFICIALES - MOVILIDAD BILINGÜISMO PDI - NÓMINAS PERSONAL - PAS, PDI E INVESTIGADORES RELACIONES INTERNACIONALES - PATENTES - PROVISIÓN Y PROMOCIÓN DEL PERSONAL - PROYECTOS EUROPEOS DE INVESTIGACIÓN - PROYECTOS INVESTIGACIÓN - QUEJAS, CONSULTAS Y RECLAMACIONES DEFENSOR UNIVERSITARIO - REFEREES - REGISTRO - SINIESTROS - SOLICITUDES CONSULTA Y PRÉSTAMO DOCUMENTOS - SOLICITUDES EXTRAORDINARIAS DIRIGIDAS AL RECTOR - SOLICITUDES PRÉSTAMOS USUARIOS EXTERNOS - SOLICITUDES PRETÍTULOS - SOLICITUDES RESERVAS INSTALACIONES DEPORTIVAS - TRIBUNALES DE EVALUACIÓN PRUEBAS DE ACCESO - UNIDAD DE DEPORTES - USUARIOS SERVICIOS STIC 4.2.Procedimientos de entrada y salida de soportes y documentos 26