DOCUMENTO DE SEGURIDAD

Diciembre de 2005

INDICE DEL CONTENIDO 1. OBJETO... 1 2. AMBITO DE APLICACIÓN... 2 2.1 Ambito jurídico... 2 2.2 Ambito personal... 2 2.3 Ambito material... 2 3. NORMAS Y PROCEDIMIENTOS DE SEGURIDAD. MEDIDAS DE SEGURIDAD.... 3 3.1 Centros de Tratamiento y Locales... 3 3.2 Puestos de trabajo... 3 3.3 Identificación y autenticación... 4 3.4 Control de acceso y confidencialidad de la información... 4 3.5 Gestión de soportes... 5 3.6 Entrada y salida de datos por red y uso del correo electrónico... 5 3.7 Control interno... 5 4. PROCEDIMIENTO DE NOTIFICACION, GESTION Y RESPUESTA ANTE LAS INCIDENCIAS... 7 5. PROCEDIMIENTO DE REALIZACION DE COPIAS DE RESPALDO Y RECUPERACIÓN DE DATOS... 8 6. ESTRUCTURA DE LOS FICHEROS DE DATOS DE CARÁCTER PERSONAL Y DESCRIPCION DE LOS SISTEMAS DE INFORMACIÓN QUE LOS TRATAN... 9 7. FUNCIONES Y OBLIGACIONES DEL PERSONAL... 10 7.1 FUNCIONES Y OBLIGACIONES DEL PERSONAL (USUARIOS)... 10 7.1.1 Protección de los recursos informáticos... 10 7.1.2 La red informática de ZUATZU PARQUE EMPRESARIAL, S.A. e Internet... 11 7.1.3 Confidencialidad de la información... 11 7.1.4 Protección y calidad de los datos... 12 7.1.5 Incidentes de seguridad... 12 7.1.6 Responsabilidades... 13 7.2 FUNCIONES Y OBLIGACIONES DEL RESPONSABLE DEL FICHERO... 13 7.2.1 Funciones relativas a los sistemas de información... 13 7.2.2 Funciones jurídicas y organizativas... 14 7.2.3 Funciones relativas a la gestión del procedimiento de respuesta a los derechos de los afectados.... 15 7.2.4 Funciones relativas a la gestión de los ficheros que contienen datos de carácter personal... 15 7.2.5 Otras Funciones... 15 ii

ANEXOS ANEXO 1.- Ambito material de aplicación del documento de seguridad. ANEXO 2.- Relación autorizada y actualizada de usuarios con acceso al sistema. ANEXO 3.- Procedimiento de identificación y autenticación. ANEXO 4.- Procedimiento de control de acceso. ANEXO 5.- Procedimiento de gestión de soportes. ANEXO 6.- Procedimiento de copias de seguridad. ANEXO 7.- Procedimiento de gestión de incidencias. ANEXO 8.- Procedimiento de creación y modificación de ficheros con datos de carácter personal. ANEXO 9.- Checklist correspondientes a los controles internos periódicos de carácter anual. ANEXO 10.- Descripción de los ficheros que contienen datos de carácter personal y respuesta de inscripción en la Agencia de Protección de Datos. ANEXO 11.- Nombramiento de cargos. ANEXO 12.- Procedimiento de respuesta a los derechos de los afectados. ANEXO 13.- Procedimiento de comunicación del Documento de Seguridad. ANEXO 14.- Comunicaciones y leyendas. iii

1. OBJETO De acuerdo con el artículo 9 de la Ley 15/1999 de 13 de Diciembre de Protección de Datos de Carácter Personal, el responsable, la Sociedad ZUATZU PARQUE EMPRESARIAL, S.A., de ficheros que contengan datos de carácter personal está obligado a adoptar las medidas de índole técnica y organizativas que garanticen la seguridad de los datos de carácter personal y eviten su alteración o pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. A estos efectos se entiende por dato de carácter personal, cualquier información concerniente a personas físicas identificadas o identificables. El presente documento responde a la voluntad de ZUATZU PARQUE EMPRESARIAL, S.A. de disponer de un documento de seguridad que garantice la salvaguarda de sus sistemas de información y de dar respuesta a la obligación establecida en el artículo 9 del Real Decreto 994/1999 de 11 de Junio por el que se regulan las medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal. El documento se mantendrá en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo. Así mismo, el contenido del documento se adecuará, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal. 1

2. AMBITO DE APLICACIÓN 2.1 Ambito jurídico Este documento se aplicará a la Sociedad ZUATZU PARQUE EMPRESARIAL, S.A. 2.2 Ambito personal Este Documento de Seguridad es de obligado cumplimiento para todo el personal de ZUATZU PARQUE EMPRESARIAL, S.A. y para todo personal autorizado por cuenta de ZUATZU PARQUE EMPRESARIAL, S.A. con acceso a datos de carácter personal o a los sistemas de información. Las normas relativas al personal se encuentran recogidas en el apartado 7 del presente documento. La dirección de ZUATZU PARQUE EMPRESARIAL, S.A. se encargará de que una copia de este documento o la parte que le afecte sea entregada, para su conocimiento, a cada persona autorizada a acceder a los datos de ficheros que contengan datos de carácter personal, siendo requisito obligatorio para poder acceder a los mismos el haber firmado la recepción del Documento de Seguridad. 2.3 Ambito material Las presentes normas de seguridad son de aplicación a los recursos informáticos protegidos de la empresa (hardware, software, ficheros automatizados de datos de carácter personal y sistemas de información), así como a los centros de tratamiento, locales y equipos y recursos cuyo detalle se contiene en el ANEXO 1 del presente documento. 2

3. NORMAS Y PROCEDIMIENTOS DE SEGURIDAD. MEDIDAS DE SEGURIDAD. Con el objeto de dar debido cumplimiento a lo establecido en el Real Decreto 994/1999, de 11 de junio, ZUATZU PARQUE EMPRESARIAL, S.A. ha establecido las siguientes medidas de seguridad, que deberán ser conocidas, aceptadas y respetadas por todos los usuarios en la parte que les sea de aplicación. 3.1 Centros de Tratamiento y Locales Los locales donde se ubiquen los ordenadores y/o servidores que contengan los ficheros de datos de carácter personal deberán ser objeto de especial protección para garantizar la seguridad de los datos de carácter personal y evitar su alteración o pérdida, tratamiento o acceso no autorizado y en general contar con los medios mínimos de seguridad que garanticen la seguridad y eviten tales riesgos. Así, el equipamiento informático centralizado de ZUATZU PARQUE EMPRESARIAL, S.A., ubicado en la Sala de Informática, tiene el acceso restringido al personal autorizado, garantizándose así un adecuado acceso físico a los sistemas que garantizan un correcto acceso lógico a la información. Adicionalmente, existe a los efectos del control del acceso a la planta en la que se encuentra la sala de servidores un puesto de recepción. 3.2 Puestos de trabajo Son todos aquellos dispositivos desde los cuales se puede acceder a ficheros que contienen datos de carácter personal. Cada puesto de trabajo estará bajo la responsabilidad de una persona de las autorizadas para acceder al fichero/ficheros que contengan datos de carácter personal de acuerdo con la Relación actualizada de usuarios que figura en el ANEXO 2, que garantizará que la información que muestra no pueda ser vista por personas no autorizadas. Así, tanto las pantallas como las impresoras u otro tipo de dispositivos conectados al puesto de trabajo deberán estar físicamente ubicados en lugares que garanticen suficientemente la confidencialidad y cuando el responsable de un puesto de trabajo lo abandone al finalizar su turno de trabajo, deberá dejarlo en un estado que impida la visualización de los datos protegidos. 3

3.3 Identificación y autenticación El sistema de identificación y autenticación se basa en la existencia de códigos de identificación y claves de acceso (contraseñas). Las contraseñas personales constituyen uno de los componentes básicos de la seguridad de los datos, por lo que merecen una protección especial. 1. ZUATZU PARQUE EMPRESARIAL, S.A.. ha elaborado una relación actualizada de usuarios que tienen acceso autorizado al sistema de información y a los ficheros que contienen datos de carácter personal. Dicha relación se integra en el Documento de Seguridad como ANEXO 2, especificándose el nivel de acceso y ficheros a los que están autorizados a acceder. 2. ZUATZU PARQUE EMPRESARIAL, S.A. ha elaborado un procedimiento de identificación y autenticación recogido como ANEXO 3 de este documento, cuyo cumplimiento garantiza un adecuado proceso de identificación y autenticación de los usuarios que van a acceder al sistema, así como la correcta asignación, distribución y almacenamiento de las contraseñas. 3. Los números de identificación y claves de acceso asignadas a cada usuario de ZUATZU PARQUE EMPRESARIAL, S.A. son personales e intransferibles, siendo el usuario el único responsable de las consecuencias que puedan derivarse del mal uso, divulgación o pérdida de los mismos. 4. Adquiere especial relevancia el mantenimiento del nombre de usuario y de la contraseña en secreto ya que las operaciones realizadas tanto en la red corporativa como en las redes externas pueden quedar registradas en los archivos logs de los servidores. 3.4 Control de acceso y confidencialidad de la información 1. Toda la información albergada en la red corporativa de ZUATZU PARQUE EMPRESARIAL, S.A., de forma estática o circulando, es propiedad de la empresa y tiene el carácter de confidencial. 2. Tendrán el carácter de información especialmente reservada los secretos industriales o comerciales de la empresa, en los que se incluyen, sin carácter limitativo, los procedimientos, metodologías, código fuente, algoritmos, bases de datos de clientes, planes de marketing, y cualquier otro material que forma parte de la estrategia industrial o comercial de ZUATZU PARQUE EMPRESARIAL, S.A. 3. Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones. El sistema utilizado para limitar el acceso de acuerdo con los requisitos establecidos por la ley se basa en los privilegios que cada usuario posea en el sistema 4

informático. El procedimiento que describe el control y mantenimiento de los accesos se encuentra recogido en el ANEXO 4 de este documento. 4. Todos los usuarios autorizados para acceder a los Ficheros que contengan datos de carácter personal, relacionados en el ANEXO 2, tienen ya asignado un código de usuario que será único, y que estará asociado a la contraseña correspondiente, que sólo será conocida por el propio usuario y en función de dicha pareja accederán o no a unos determinados datos. 3.5 Gestión de soportes Los soportes informáticos que contengan datos de carácter personal permitirán identificar el tipo de información que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al Responsable del Fichero, al Responsable de Seguridad Informática o al personal autorizado por el Consejero Delegado. El procedimiento de gestión de soportes se describe en el ANEXO 5. Este procedimiento regula tanto la identificación, inventario y custodia de soportes, como las entradas y salidas de soportes. 3.6 Entrada y salida de datos por red y uso del correo electrónico. 5. La transmisión de datos por red, ya sea por medio de correo electrónico o mediante sistemas de transferencia de ficheros, permite una rápida transmisión de la información, siendo necesaria una regulación de la misma. 1. Los usuarios no podrán enviar o recibir ficheros que contengan datos de carácter personal desde cuentas de correo electrónico, salvo para los casos previstos en el ANEXO 8 y 5. 2. Con el fin de comprobar el cumplimiento de estas normas y prevenir actividades que puedan afectar a ZUATZU PARQUE EMPRESARIAL, S.A. como responsable civil subsidiario, ZUATZU PARQUE EMPRESARIAL, S.A. se reserva el derecho de controlar la utilización del correo electrónico y la transmisión de datos a través de la red de conformidad con la legislación aplicable en cada momento. 3.7 Control interno El Responsable de Seguridad Informática, se responsabilizará de la realización de controles periódicos para verificar el cumplimiento de lo dispuesto en el Documento de Seguridad. Dichos controles se practicarán por lo menos una vez al año, y a los tres meses de la entrada en vigor de los distintos procedimientos. Los controles periódicos actuarán en las siguientes áreas: 5

1. Control de la aplicación del documento de seguridad. 2. Control del sistema de identificación y autenticación. 3. Control del sistema de control de acceso 4. Control del procedimiento de gestión de soportes. 5. Control del procedimiento de copias de respaldo. 6. Control del procedimiento de incidencias. 7. Control antivirus. En el ANEXO 9 se detalla el contenido de las Checklist de comprobación, de cada uno de los controles periódicos a realizar. 6

4. PROCEDIMIENTO DE NOTIFICACION, GESTION Y RESPUESTA ANTE LAS INCIDENCIAS Con el objeto de salvaguardar sus sistemas de información y de dar debido cumplimiento a lo establecido en el art. 8.2.e, 10 y 21 del Real Decreto 994/1999, de 11 de junio, ZUATZU PARQUE EMPRESARIAL, S.A. dispone de un procedimiento de notificación, gestión, respuesta y registro de las incidencias, entendiendo por incidencia cualquier anomalía que afecte o pueda afectar a la seguridad de los datos de carácter personal. Las incidencias más habituales a notificar suelen ser: caída de los sistemas de seguridad (de tal forma que se permita el acceso no autorizado), destrucción total o parcial de soportes físicos que contengan información de carácter personal, cambio de ubicación física de ficheros o soportes, intentos de acceso y/o intentos de salida de soportes no autorizados. El procedimiento se realizará según lo dispuesto por el Procedimiento de Gestión de Incidencias, recogido en el ANEXO 7 de este documento. Adicionalmente a los procedimientos establecidos en el ANEXO 7, el usuario que detecte la incidencia la comunicará de la manera más rápida posible al Responsable de Seguridad Informática. 7

5. PROCEDIMIENTO DE REALIZACION DE COPIAS DE RESPALDO Y RECUPERACIÓN DE DATOS Con el objeto de salvaguardar sus sistemas de información y de dar debido cumplimiento a lo establecido en el art. 8.2.f, 14 y 25 del Real Decreto 994/1999, de 11 de junio, ZUATZU PARQUE EMPRESARIAL, S.A. dispone de un procedimiento de realización de copias de respaldo y recuperación de datos que garantiza su reconstrucción en el estado en que se encontraran al tiempo de producirse la pérdida o destrucción. Dicho procedimiento se encuentra recogido en el ANEXO 6 de este documento, y en él se determinan la periodicidad, formato, personal responsable, custodia y registro de las copias. Adicionalmente, este procedimiento incluye la norma para la recuperación de datos, es decir, todos los pasos que se deben cumplir para poder realizar una restauración de datos a partir de la copia de seguridad. 8

6. ESTRUCTURA DE LOS FICHEROS DE DATOS DE CARÁCTER PERSONAL Y DESCRIPCION DE LOS SISTEMAS DE INFORMACIÓN QUE LOS TRATAN Con el objeto de salvaguardar sus sistemas de información y de dar debido cumplimiento a lo establecido en el art. 8.2.d del Real Decreto 994/1999, de 11 de junio, ZUATZU PARQUE EMPRESARIAL, S.A. en el ANEXO 10 del presente Documento de Seguridad se incluye la estructura de los Ficheros con datos de carácter personal y las notificaciones de la Agencia de Protección de Datos; la descripción de los sistemas de información que los tratan, se encuentra recogida en el ANEXO 1. En el referido ANEXO 10 se incluyen las notificaciones efectuadas a la Agencia de Protección de Datos y los documentos de conformidad remitidos por ésta. 9

7. FUNCIONES Y OBLIGACIONES DEL PERSONAL Con el objeto de salvaguardar sus sistemas de información y de dar debido cumplimiento a lo establecido en el art. 8.2.c del Real Decreto 994/1999, de 11 de junio, ZUATZU PARQUE EMPRESARIAL, S.A. establece para su personal y/o personas que presten servicios o colaboren con ella, el cumplimiento de las siguientes normas y obligaciones, las cuales deberán ser conocidas, aceptadas y respetadas por dichas personas con acceso a los datos de carácter personal y a los sistemas de información (usuarios). Dada la permanente accesibilidad de este documento y sus anexos para todo el personal de ZUATZU PARQUE EMPRESARIAL, S.A. se considerará responsabilidad de cada usuario el conocimiento de las funciones y obligaciones recogidas en este documento. 7.1 FUNCIONES Y OBLIGACIONES DEL PERSONAL (USUARIOS) 7.1.1 Protección de los recursos informáticos 7.1.1.1 Medidas generales Los usuarios deberán cumplir, en todo momento, los procedimientos, funciones y obligaciones recogidas en el Documento de Seguridad. Los usuarios deberán adoptar las precauciones y diligencias necesarias para asegurar una adecuada custodia, conservación y utilización de equipos y soportes informáticos a su cargo. Con el objeto de asegurar la integridad de los sistemas de información y de mantener un adecuado control sobre las licencias de uso de software queda prohibida la instalación de programas y/o aplicaciones sin el conocimiento previo del Responsable de Seguridad Informática. Por último, con el objeto de garantizar una correcta custodia y utilización de la información contenida en los sistemas de ZUATZU PARQUE EMPRESARIAL, S.A. se prohibe la utilización de cualquier herramienta y/o utilidad que tenga por objeto el debilitar o anular los sistemas de control de acceso establecidos o distorsionar los archivos log de los distintos sistemas. 7.1.1.2 Contraseñas El acceso a los recursos informáticos y a la información contenida en ellos se realiza por medio de la introducción de una pareja válida de identificador de 10

usuario y contraseña. Cada usuario del sistema dispone de una pareja única, lo que permite identificar a los usuarios ante el sistema de manera unívoca. Así, el usuario final será responsable de cualquier acción que haya sido realizada bajo su identificador, ya que ningún otro usuario, salvo él mismo, conoce la combinación adecuada. El procedimiento para el tratamiento de las contraseñas se encuentra recogido en el Anexo 3 de este documento. 7.1.1.3 Virus Los virus pueden producir pérdidas o modificaciones de la información almacenada, e incluso inutilizar los sistemas de información. Para evitar o minimizar, en la medida de lo posible, esta amenaza ZUATZU PARQUE EMPRESARIAL, S.A. ha instalado en los ordenadores de los usuarios un programa antivirus que será necesario utilizar, de manera previa, a la utilización de cualquier tipo de archivo proveniente del exterior. No será necesaria la utilización del antivirus para ficheros recibidos por medio del correo electrónico, ya que el servidor de correo incorpora su propio antivirus. Cuando un usuario sospeche de la existencia de un virus en su ordenador deberá ponerlo en conocimiento del Responsable de Seguridad Informática o de personal del departamento informático tan pronto como sea posible. 7.1.2 La red informática de ZUATZU PARQUE EMPRESARIAL, S.A. e Internet Cuando el usuario se conecte o use la red informática de ZUATZU PARQUE EMPRESARIAL, S.A. o Internet, deberá tener en cuenta que los recursos de la red, los dispositivos de almacenamiento y el ancho de banda son recursos escasos y, por lo tanto, debe hacerse una utilización racional del mismo, no consumiendo recursos en tareas no productivas, ni enviando de forma masiva mensajes no solicitados. Cada usuario, será responsable en primera instancia de que toda utilización informática de datos (entrada, salida, explotación) en el sistema informático sea realizada de manera de acuerdo a las disposiciones legales y a la normativa interna vigente en cada momento. Así mismo, el inmediato superior de cada usuario en el organigrama de ZUATZU PARQUE EMPRESARIAL, S.A. deberá responsabilizarse del tipo de utilización informática de datos realizada por el personal a su cargo. 7.1.3 Confidencialidad de la información Todas las personas que trabajen o presten sus servicios en ZUATZU PARQUE EMPRESARIAL, S.A. están obligados al secreto profesional respecto a la información y datos de carácter personal a los que tengan acceso, y al deber de guardarlos diligente y confidencialmente. Estas 11

obligaciones subsistirán aún después de finalizar sus relaciones con ZUATZU PARQUE EMPRESARIAL, S.A. El incumplimiento de esta obligación puede constituir un delito de revelación de secretos, recogido en el Código Penal. 7.1.4 Protección y calidad de los datos En el ANEXO 5, Gestión de Soportes, se recogen las normas y requisitos de obligado cumplimiento para todos los usuarios de la red informática de ZUATZU PARQUE EMPRESARIAL, S.A. relativas a la manipulación, tratamiento y movimiento de soportes. Está expresamente prohibido el tratamiento de ficheros, que contengan información de carácter personal, con una finalidad distinta de la declarada. Una vez que el fichero haya dejado de ser necesario para la finalidad de su creación deberá ser eliminado. En el ANEXO 8, Creación y Modificación de ficheros, se han establecido los procedimientos necesarios para garantizar el respeto de los derechos de los afectados en la toma de datos y de comunicación a la Agencia de Protección de Datos. Con el objeto de que los datos de carácter personal contenidos en los ficheros propiedad de ZUATZU PARQUE EMPRESARIAL, S.A. respondan con veracidad a la situación de los afectados, se han centralizado el ejercicio de todos sus derechos (acceso, rectificación, cancelación y oposición) en el Responsable Comercial. Adicionalmente, todos los usuarios en cuanto conozcan que alguno de los datos contenidos en este tipo de ficheros puedan ser inexactos deberán ponerlo en conocimiento del Gestor-Encargado del Fichero afectado, así como al Responsable Comercial. ZUATZU PARQUE EMPRESARIAL, S.A. ha creado un fichero en el que se recogen de manera centralizada todos los contactos de los distintos departamentos. Este fichero es el único autorizado por ZUATZU PARQUE EMPRESARIAL, S.A. para la generación de mailings, independientemente, del cumplimiento de requisitos adicionales establecidos por los ANEXOS 5 y 8. Adicionalmente, cualquier tipo de acción de comunicación debe incluir la aprobación del Consejero Delegado. 7.1.5 Incidentes de seguridad Con el objeto de dar debido cumplimiento a lo establecido en el art. 8.2.e del Real Decreto 994/1999, de 11 de junio, ZUATZU PARQUE EMPRESARIAL, S.A. dispone de un procedimiento de gestión de incidencias, entendiendo por incidencia cualquier anomalía que afecte o pueda afectar a la seguridad de los 12

datos o al funcionamiento del sistema. El procedimiento de notificación se realizará en función de lo establecido en el ANEXO 7. 7.1.6 Responsabilidades ZUATZU PARQUE EMPRESARIAL, S.A. informa a su personal y/o personas que presten servicios o colaboren con ella, que las normas y obligaciones detalladas en el presente Documento de Seguridad son de obligado cumplimiento, comunicándoles que el incumplimiento o el no-seguimiento de las mismas facultará a ZUATZU PARQUE EMPRESARIAL, S.A. a exigir las responsabilidades y daños y perjuicios generados, así como imponer las sanciones que se consideren pertinentes. 7.2 FUNCIONES Y OBLIGACIONES DEL RESPONSABLE DEL FICHERO Se entiende por Responsable del Fichero la persona jurídica que decide sobre la finalidad, contenido y uso del tratamiento, esto es ZUATZU PARQUE EMPRESARIAL, S.A. Para el cumplimiento de las funciones y obligaciones que le competen como Responsable del Fichero, ZUATZU PARQUE EMPRESARIAL, S.A. actuará representada por las personas que designe el Consejero Delegado. El nombramiento por el Consejero Delegado se encuentra archivado como ANEXO 11 del presente documento. En ningún caso esta designación supone una delegación de la responsabilidad que corresponde al Responsable del Fichero. 7.2.1 Funciones relativas a los sistemas de información ZUATZU PARQUE EMPRESARIAL, S.A. actuará representada por la persona que se nombre como Responsable de Seguridad Informática, en las tareas de coordinación y control de las medidas de seguridad definidas en este documento. Funciones: 1. Describir las medidas, normas, procedimientos, reglas y estándares de seguridad adoptados por ZUATZU PARQUE EMPRESARIAL, S.A. 2. Determinar y describir los recursos informáticos a los que se aplicará el Documento de Seguridad. 3. Establecimiento de las medidas de control de acceso necesarias que aseguren una adecuada identificación de los usuarios. En particular, estudiar si los productos "software" de control de acceso existentes en los sistemas cubren las necesidades de ZUATZU PARQUE EMPRESARIAL, S.A., proponer a la dirección los cambios necesarios para alcanzar este objetivo, supervisar la implantación de los cambios 13

autorizados, definir los controles de acceso a los recursos de información y sus correspondientes controles de auditoría. 4. Determinar las formas junto con los Gestores-Encargados de Ficheros y el Coordinador General de Ficheros, para la ejecución de tratamientos de datos de carácter personal. 5. Mantener actualizados los anexos que forman parte del Documento de Seguridad, salvo el ANEXO 8. 6. Realización de manera periódica de las pruebas de cumplimiento recogidas como ANEXO 9 de este documento. 7. Tomar las medidas más oportunas para la subsanación de las incidencias detectadas y comunicar a la dirección las infracciones graves de seguridad detectadas. 7.2.2 Funciones jurídicas y organizativas ZUATZU PARQUE EMPRESARIAL, S.A. actuará representada por la persona que se nombre como Coordinador General de Ficheros, en las tareas de coordinación de las medidas encaminadas a satisfacer los requisitos establecidos por la legislación vigente en materia de tratamiento de datos de carácter personal. Funciones: 1. Centralizará todas las comunicaciones con la Agencia de Protección de Datos, incluyendo la notificación de los ficheros que contengan datos de carácter personal y sus modificaciones. 2. Establecer procedimientos concretos, de manera conjunta con el Gestor- Encargado de Ficheros, para la toma de datos de manera que sean respetados los derechos de información y consentimiento. 3. Autorizar y supervisar la realización de ciertas tareas críticas que afecten a información de carácter personal, que se detallan en los documentos anexos, como pueden ser: creación de nuevos ficheros, realización de cesiones de datos, contratación de prestaciones de servicios, etc. 4. Velar por el cumplimiento de los requisitos legales establecidos en la legislación aplicable a cada momento para ZUATZU PARQUE EMPRESARIAL, S.A., en relación con el tratamiento automatizado de datos de carácter personal. 5. Mantener actualizado el Documento de Seguridad, así como adecuarlo, en todo momento, a las disposiciones en materia de seguridad de datos. Para ello contará con la colaboración del Responsable de Seguridad Informática. 6. Comunicar al Consejero Delegado la existencia de un nuevo Documento de Seguridad. 14

7.2.3 Funciones relativas a la gestión del procedimiento de respuesta a los derechos de los afectados. ZUATZU PARQUE EMPRESARIAL, S.A. actuará representada por el Responsable Comercial en lo que se refiere a la gestión del procedimiento de respuesta a los derechos de acceso, cancelación, rectificación y oposición por los afectados. Función: Recibir, gestionar y responder en la forma y los plazos establecidos por la legislación vigente todas las solicitudes de acceso, rectificación, cancelación y oposición de datos cursadas por los afectados que se reciban en ZUATZU PARQUE EMPRESARIAL, S.A., siendo recogidas en el ANEXO 12. 7.2.4 Funciones relativas a la gestión de los ficheros que contienen datos de carácter personal. ZUATZU PARQUE EMPRESARIAL, S.A. actuará representada para el cumplimiento de las funciones y obligaciones, que se señalan a continuación, por las personas que ocupen los cargos de Gestores- Encargados de Ficheros, cuyo nombramiento se encuentra recogido en el ANEXO 11. Funciones: 1. Establecer los criterios concretos, de manera conjunta con el Coordinador General de Ficheros, para la toma de datos de manera que sean respetados los derechos de información y consentimiento. 2. Autorizar y supervisar la realización de ciertas tareas críticas, que se detallan en los documentos anexos, que afecten a información de carácter personal, como pueden ser: movimientos de soportes, cesión de datos, determinar el fin de la utilidad de un fichero, acceso a ficheros, etc. 3. Colaborar con el Responsable de Seguridad Informática y el Coordinador General de Ficheros en la consecución de las tareas encomendadas. 4. Colaborar con el Responsable Comercial en la satisfacción de los derechos de acceso, oposición, rectificación o cancelación y en el mantenimiento actualizado de los datos de los afectados. 7.2.5 Otras Funciones ZUATZU PARQUE EMPRESARIAL, S.A. actuará representada para el cumplimiento de las funciones y obligaciones, que se señalan a continuación, 15

por la persona que designe el Consejero Delegado en el ANEXO 11 del presente documento. Funciones: 1. Verificar la concordancia entre las normas laborales y los procedimientos del sistema de calidad existente, con lo exigido por este documento. 2. Comunicar a los trabajadores y/o personas o empresas ajenas que presten servicios a la sociedad el contenido de las normas internas y del Documento de Seguridad que les sea de aplicación, quedando recogido en el ANEXO 13. 16