Documento de Seguridad para ficheros manuales de datos de carcter personal con nivel de seguridad [bsico | medio | alto]

Ficheros
[N inscripcin] [N inscripcin] [N inscripcin] [NOMBRE DE FICHERO1] [NOMBRE DE FICHERO2] [NOMBRE DE FICHERO3] [NOMBRE DE FICHEROn]

[N inscripcin]

Ayuntamiento de XXXX
[Conselleria /Universidad/Ayuntamiento/ Ente Pblico/Corporacin Pblica] Responsable de ficheros [Direccin General / rgano / Organismo / Entidad] Encargado del tratamiento [Organismo/ Ente Publico / Entidad / Empresa]

Documento Seguridad elaborado por

[Responsable Fichero/ Encargado del tratamiento/ Ambos]

Versin Fecha

ndice
1. Objeto del documento 2. mbito de aplicacin 3. Recursos protegidos 4. Funciones y obligaciones del personal 5. Criterios de archivo y custodia, normas y procedimientos 5.1 Criterios de archivo y custodia 5.2 Autorizacin del personal que puede acceder al fichero 5.3 Control de accesos al fichero 5.4 Locales, armarios y dispositivos de almacenamiento 5.5 Puestos de trabajo 6. Gestin de incidencias 7. Gestin de soportes y documentacin 8. Copias o reproduccin 9. Controles peridicos y auditoria

Anexos
Anexo A Documentos de Notificacin, Disposiciones Generales de creacin, modificacin Y supresin de ficheros. Contratos de Encargados del tratamiento Descripcin de soportes fsicos del fichero y criterios de archivo Locales, ubicacin fsica habitual y puestos de trabajo Nombramientos y autorizaciones Procedimientos de control y seguridad E.1 Procedimiento de gestin de salida de soportes E.2 Procedimiento de gestin de entrada de soportes. E.3 Procedimiento para la destruccin de soportes desechados E.4 Procedimiento de registro de accesos E.5 Procedimiento para la autorizacin de copias o reproduccin de soportes. E.6 Procedimiento para el trabajo fuera de los locales Anexo F Anexo G Anexo H Anexo I Funciones y obligaciones del personal Procedimiento de Notificacin y gestin de incidencias Controles peridicos y auditoras Modificaciones introducidas en las revisiones de este documento

Anexo B Anexo C Anexo D Anexo E

<< Notacin utilizada en este documento genrico y notas para su confeccin>>

<< 1. Todos los textos en cursiva entre signos << y >> y en color azul, como los textos de esta pgina, son comentarios de ayuda para la confeccin del documento de seguridad, y debern ser retirados del documento y sustituidos por los textos propios correspondientes. 2. Los textos entre signos [ y ] son alternativas, que se indican dentro de ese campo separadas con signos |, o bien campos que deben ser rellenados al confeccionar el documento, personalizndolo con los datos de los ficheros. 3. El documento de seguridad se aplicar a uno o varios ficheros. Si son varios los ficheros, todos debern ser del mismo nivel de seguridad, bsico, medio o alto. Cuando en el documento se referencia al fichero debe sobreentenderse que se aplica a todos los ficheros afectados por el documento. 4. Los textos que aparecen en cajas son slo aplicables a los documentos de seguridad de ficheros de nivel medio o alto. Debern ser retirados si se elabora un documento de seguridad de nivel bsico. 5. Los textos que aparecen en cajas con sombreado gris son slo aplicables a los documentos de ficheros de nivel alto, y debern por tanto ser retirados si se elabora un documento de nivel medio o de nivel bsico. 6. El responsable del fichero, el encargado de tratamiento en su caso, y el responsable de seguridad debern poseer una copia completa del documento y sus anexos. 7. Una copia del Anexo F de Funciones y obligaciones del Personal, deber ser repartida a todos los usuarios del fichero junto con el procedimiento de Notificacin de incidencias y el procedimiento para la Destruccin de soportes desechados. Asimismo, se facilitar a cada usuario, los procedimientos que sean necesarios para el desarrollo de sus funciones, que debern estar recogidos en el Anexo E. >>

1. Objeto del documento

El presente documento responde a la obligacin establecida en el artculo 88 del Real Decreto 1720/2007, de 21 de diciembre por el que se aprueba el Reglamento de Desarrollo de la Ley Orgnica 15/19999, de 13 de diciembre, en el que se regulan entre otras, las medidas de seguridad para los ficheros y tratamientos manuales que contengan datos de carcter personal. Los ficheros de datos a los que se refiere este documento que en adelante denominaremos el Fichero, descritos en el documento de Notificacin a la Agencia de Proteccin de Datos de la Comunidad de Madrid, que se adjunta en el Anexo A, se encuentran legalmente clasificados como de nivel de seguridad [alto | medio | bsico], atendiendo a las condiciones descritas en el artculo 81del Real Decreto citado, siendo por tanto aplicables todas las medidas de seguridad de nivel [alto | medio | bsico] para a los ficheros y tratamientos no automatizados que se establecen en el Captulo IV del Ttulo VIII, del citado Reglamento.

2. mbito de aplicacin
Este documento ha sido elaborado bajo la responsabilidad de la persona descrita en la portada, que, como Responsable del Fichero o como Encargado del tratamiento, se compromete a implantar y actualizar sta Normativa de Seguridad de obligado cumplimiento para todo el personal con acceso a los datos protegidos del fichero. Todas las personas que tengan acceso a los datos del Fichero, mediante cualquier medio, se encuentran obligadas por ley a cumplir lo establecido en este documento, y sujetas a las consecuencias que pudieran incurrir en caso de incumplimiento. Una copia de este documento, con la parte que le afecte, ser entregada, para su conocimiento, a cada persona autorizada a acceder a los datos del Fichero, siendo requisito obligatorio para poder acceder a esos datos el haber firmado la recepcin del mismo. Este Documento deber mantenerse permanentemente actualizado. Cualquier modificacin relevante conllevar la revisin de la normativa incluida y, si procede, su modificacin total o parcial.

3. Recursos protegidos
La proteccin de los datos del Fichero frente a accesos no autorizados se deber realizar mediante el control, a su vez, de todas las vas por las que se pueda tener acceso a dicha informacin. Los recursos que, por servir de medio directo o indirecto para acceder al Fichero, debern ser controlados por esta normativa son: 1- Los centros y locales donde se encuentren ubicados los ficheros o se almacenen los soportes que los contengan, su descripcin figura en el Anexo C. 2- Los armarios, archivadores y dispositivos donde se guarden los ficheros cuando no estn siendo tratados en el Anexo C. 3- El fichero manual estructurado, es decir las carpetas, fichas o expedientes que contienen la informacin mediante la que se accede a los datos en el Anexo B. 4- Los soportes de datos que son todos aquellos objetos fsicos que almacenan o contienen datos del fichero. En un fichero manual no informatizado estos datos pueden estar almacenados en los soportes en forma de documentos escritos, a mano o a mquina, impresos, fotocopias, cintas con grabaciones analgicas de audio o video, microfilms, placas radiogrficas o de exploraciones mdicas, fotografas no digitalizadas, dibujos o cualquier otro medio fsico no informatizado que permita guardar cualquier tipo de informacin. Es decir los soportes y documentacin en el caso de los ficheros manuales no son solamente documentos en papel, sino en cualquier medio fsico, con la nica diferencia respecto a los llamados ficheros automatizados, de que esa informacin no puede ser recuperada, grabada

Pgina 4

o modificada por medios informticos. 5- Los puestos de trabajo donde habitualmente se trabaje con los datos del Fichero.

4. Funciones y obligaciones del personal

Adems del Responsable del fichero, el personal afectado por esta normativa se clasifica en las categoras siguientes: 1. Encargado del tratamiento, es la persona fsica o jurdica, pblica o privada, u rgano administrativo, que solo o conjuntamente con otros, trata datos personales por cuenta del Responsable del fichero, como consecuencia de una relacin jurdica descrita en el Anexo A, y cuyo mbito se delimita en este documento. El tratamiento de los datos del fichero por un Encargado externo estar sometido en todo caso a las mismas medidas de seguridad contempladas en el Reglamento.

2. Usuarios del Fichero, o personal que usualmente accede al Fichero para su tratamiento, y que tambin deben estar explcitamente relacionados en el Anexo D. 3. Otras personas de empresas ajenas que por motivo de su desempeo profesional, puedan potencialmente tener acceso a la informacin de carcter personal. Adems del personal anteriormente citado existirn uno o varios Responsables de Seguridad cuyas funciones sern las de coordinar y controlar las medidas definidas en este documento, sirviendo al mismo tiempo de enlace con el Responsable del Fichero, sin que esto suponga en ningn caso una delegacin de la responsabilidad que corresponde a este ltimo, de acuerdo con el R.D.1720/2007, de 21 de diciembre. Este documento es de obligado cumplimiento para todos ellos. Las funciones y obligaciones del personal estn descritas en el Anexo F. Respecto a aquellas personas de la propia organizacin o de empresas ajenas, que por motivo del desempeo de sus trabajos puedan tener acceso a los datos del Fichero, aunque esos trabajos no impliquen el tratamiento de los datos, como pueden ser trabajadores de la limpieza, administracin, vigilancia, etc.., el responsable del Fichero o del tratamiento deber adoptar las medidas oportunas para limitar el acceso a los datos personales, as como notificarles la prohibicin de acceso a los mismos y la obligacin de secreto respecto a los datos que hubiesen podido conocer con motivo de la prestacin del servicio. El responsable del Fichero o del tratamiento podr delegar sus funciones en otras personas designadas al efecto, pero esta delegacin deber constar expresamente en el Anexo D de este Documento de Seguridad, en donde se anotar el nombre de estas personas as como las funciones delegadas. En ningn caso esta designacin supondr una delegacin de la responsabilidad que corresponde al responsable del Fichero o del tratamiento. Si se hubiese autorizado a un encargado de tratamiento el acceso a los datos del fichero para su tratamiento, se deber hacer constar en el Anexo A los datos del Encargado del tratamiento, el tipo de tratamientos, y circunstancias de estos tratamientos, que en todo caso, deber quedar debidamente concretado en el contrato.

5. Criterios de archivo y custodia, normas y procedimientos

Los datos personales estn ubicados fsicamente en un Fichero manual estructurado que debe ser protegido y estar descrito en el Anexo B. En ese anexo se describirn el tipo de datos almacenados, en qu soportes se almacenan, as como los criterios de archivo, es decir el tipo de organizacin del fichero, mtodo de localizacin de documentos o soportes, etc.

5.1

Criterios de archivo y custodia

Pgina 5

5.1.1

El archivo de los soportes o documentos se realizar de acuerdo con los criterios previstos en su respectiva legislacin aplicable al fichero. Estos criterios debern garantizar la correcta conservacin de los documentos, la localizacin y consulta de la informacin y posibilitar el ejercicio de los derechos de oposicin al tratamiento, acceso, rectificacin y cancelacin. En aquellos casos en los que no exista normativa aplicable, el responsable del Fichero deber establecer los criterios y procedimientos de actuacin que deban seguirse para el archivo de los datos que se determinarn en el Anexo B. Asimismo, cuando no exista una normativa especifica aplicable que determine la custodia, esta recaer en el responsable del Fichero o en la persona que l designe.

5.1.2

5.2

Autorizacin del personal que puede acceder al fichero

El personal propio o ajeno solo acceder a aquellos datos y recursos que precise para el desarrollo de sus funciones. Slo el personal expresamente autorizado por el responsable mediante los procedimientos que se citan a continuacin podr tener acceso a los datos del Fichero. 5.2.1 Existir una relacin actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos, se referenciar la herramienta para poder obtenerlo puntual y/o periodicamente. En el Anexo D se incluir la relacin de usuarios y perfiles actualizada con acceso a los datos del Fichero. Exclusivamente el responsable del Fichero o la persona autorizada por l en el Anexo D, podr conceder, alterar o anular ese acceso autorizado. A partir del momento mismo del cese o cambio en el puesto de trabajo, se proceder a la actualizacin de la relacin, para que no figure el usuario correspondiente. El responsable del fichero establecer mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. Cuando esto ltimo no sea posible, nombrar a la persona que custodiar la documentacin para impedir accesos no autorizados.

5.2.2

5.2.3

5.2.4

5.2
5.3.1.

Control de accesos al fichero

Se establecern mecanismos que permitan identificar los accesos realizados en el caso de documentos, que puedan ser utilizados por mltiples usuarios. El acceso de personas no incluidas en el prrafo anterior deber quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad

5.3.2.

5.3.3. Cuando no sea posible establecer mecanismos, el responsable nombrara a la personas que
verificar estos accesos manteniendo un registro de los mismos.

5.4

Locales, armarios y dispositivos de almacenamiento

Los locales, armarios y dispositivos donde se ubiquen los soportes fsicos que contienen el Fichero deben ser objeto de especial proteccin que garantice la disponibilidad y confidencialidad de los datos protegidos. 5.3.1. Los locales debern contar con los medios mnimos de seguridad que eviten los riesgos de indisponibilidad del Fichero que pudieran producirse como consecuencia de incidencias fortuitas o intencionadas. La descripcin de esos medios se encuentra en el Anexo C. Si el tratamiento de los datos el fichero se realizase en locales ajenos, debido a un contrato con un Encargado del tratamiento (al que se le encarga mediante contrato, el tratamiento total o parcial de los datos protegidos), el Encargado de tratamiento deber elaborar un documento de seguridad en que se describan las medidas de seguridad adoptadas para proteger el fichero, o en su defecto completar este documento de seguridad con las medidas adoptadas. En todo caso el

5.3.2.

Pgina 6

acceso a los datos por el encargado del tratamiento estar sometido a las medidas de seguridad contempladas en el Reglamento. 5.3.3. Los armarios, archivadores y dispositivos de almacenamiento de los documentos que contengan datos de carcter personal debern disponer de mecanismos que obstaculicen su apertura. Cuando las caractersticas fsicas de aqullos no permitan adoptar esta medida, el responsable del fichero o tratamiento adoptar medidas que impidan el acceso de personas no autorizadas. Mientras la documentacin con datos de carcter personal no se encuentre archivada en los dispositivos de almacenamiento establecido en el artculo anterior, por estar en proceso de revisin o tramitacin, ya sea previo o posterior a su archivo, la persona que se encuentre al cargo de la misma deber custodiarla e impedir en todo momento que pueda ser accedida por personas no autorizadas. Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carcter personal debern encontrarse en reas en las que el acceso est protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas reas debern permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero. Si, atendidas las caractersticas de los locales y de los dispositivos de almacenamiento de que dispusiera el responsable del fichero o tratamiento, no fuera posible cumplir lo establecido en los apartados anteriores, el responsable adoptar medidas alternativas que, debidamente motivadas, se incluirn en el Anexo C de este documento de seguridad.

5.3.4.

5.3.5.

5.3.6.

5.5 Puestos de trabajo

Son todas aquellas estancias, despachos y mesas de trabajo donde los usuarios realizan el tratamiento habitual de los datos del fichero. 5.5.1 Cada puesto de trabajo estar bajo la responsabilidad de una persona de las autorizadas en el Anexo D, que garantizar que la informacin que muestra no pueda ser vista por personas no autorizadas. Esto implica que los puestos de trabajo debern estar fsicamente ubicados en lugares que garanticen esa confidencialidad. Cuando el responsable de un puesto de trabajo lo abandone, bien temporalmente o bien al finalizar su turno de trabajo, deber retirar del puesto de trabajo los soportes de cualquier tipo, documentos, fichas u otros que contengan los datos del fichero, y proceder a guardarlos en su ubicacin protegida habitual. El trabajo fuera de los locales del responsable del Fichero o del encargado del tratamiento solo se podr realizar cuando exista una autorizacin previa del responsable del Fichero o del encargado del tratamiento, y en todo caso deber garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado. La autorizacin podr establecerse para un usuario o perfil de usuarios y el periodo de validez. En el Anexo E figura el procedimiento.

5.5.2

5.5.3

5.5.4

5.5.5

6. Gestin de incidencias
Una incidencia es cualquier evento que pueda producirse espordicamente y que pueda suponer un peligro para la seguridad del Fichero, entendida bajo sus tres vertientes de confidencialidad, integridad y disponibilidad de los datos. El mantener un registro de las incidencias que comprometan la seguridad de un Fichero es una herramienta imprescindible para aplicar las medidas correctoras necesarias, as como posibilitar la

Pgina 7

prevencin de posibles ataques a esa seguridad y la persecucin de los responsables de los mismos. 6.1.1. El responsable del Fichero habilitar un registro de incidencias con el fin de que se registre en l cualquier incidencia que pueda suponer un peligro para la seguridad del mismo. Cualquier usuario que tenga conocimiento de una incidencia es responsable del registro de la misma, si existe un sistema automatizado para hacerlo, de la notificacin por escrito al Responsable de seguridad al superior inmediato, si el registro se realiza manualmente. El conocimiento y la no notificacin o registro de una incidencia por parte de un usuario ser considerado como una falta contra la seguridad del Fichero por parte de ese usuario. La notificacin o registro de una incidencia deber constar al menos de los siguientes datos: tipo de incidencia, fecha y hora en que se produjo, persona que realiza la notificacin, persona a quien se comunica, efectos que puede producir, descripcin detallada de la misma. El procedimiento est descrito en el Anexo G.

6.1.2.

6.1.3.

6.1.4.

7.

Gestin de soportes y documentacin

Dado que la mayor parte de los soportes que hoy en da se utilizan son fcilmente transportables y/o reproducibles, es evidente la importancia que para la seguridad de los datos del Fichero tiene el control de estos medios. 7.1.1. Los soportes que contengan datos de carcter personal debern permitir identificar el tipo de informacin que contienen y ser inventariados. Se exceptan estas obligaciones cuando las caractersticas fsicas del soporte imposibiliten su cumplimiento, quedando constancia motivada de ello en el documento de seguridad. En el caso de que la organizacin lo considerase, podrn utilizarse sistemas de etiquetado en los soportes que contienen informacin especialmente sensible para la organizacin, que permitan a los usuarios identificar los citados soportes y la dificulten para el resto de las personas. En general, cualquier soporte o documentacin que vaya a ser desechado, de cualquier tipo, que pueda contener datos personales que vayan a desecharse, debern ser tratados mediante el procedimiento de destruccin de soportes desechados descrito en el Anexo E, con el fin de impedir la prdida de confidencialidad de los datos personales. Los soportes que contengan datos del Fichero debern ser almacenados en lugares a lo que no tengan acceso personas no autorizadas para el uso del Fichero que no estn por tanto relacionadas en el Anexo D. La salida de soportes que contengan datos del Fichero fuera de los locales donde est ubicado el Fichero deber ser expresamente autorizada por el responsable del Fichero, utilizando para ello el documento adjunto en el Anexo E. Cuando la documentacin o los soportes vayan a salir fuera de los locales en que se encuentren ubicados los ficheros, se adoptarn las medidas necesarias para impedir la sustraccin, prdida o acceso indebido a la informacin durante el transporte. Siempre que se proceda al traslado fsico de la documentacin contenida en un fichero, debern adoptarse medidas dirigidas a impedir el acceso o manipulacin de la informacin objeto de traslado.

7.1.2.

7.1.3.

7.1.4.

7.1.5.

7.1.6.

7.1.7.

Pgina 8

8. Copias o reproduccin
Aquellos ficheros temporales o copias de documentos que se hubiesen creado exclusivamente para la realizacin de trabajos temporales o auxiliares debern cumplir el nivel de seguridad que les corresponda conforme a los criterios establecidos en el Reglamento vigente. 8.1.1 Todo fichero temporal o copia de trabajo as creado sern destruido una vez que haya dejado de ser necesario para los fines que motivaron su creacin. Esa destruccin se atendr a las normas para la destruccin de desechos descritas en el Anexo E. Deber procederse a la destruccin de las copias o reproducciones desechadas de forma que se evite el acceso a la informacin contenida en las mismas o su recuperacin posterior. De acuerdo con el procedimiento en el Anexo E. La generacin de copias o la reproduccin de los documentos nicamente podr ser realizada bajo el control del personal autorizado en el documento de seguridad.

8.1.2

8.1.3

9. Controles peridicos y Auditorias

9.1.1 El responsable de del Fichero o la persona autorizada por l, comprobar que la lista de usuarios autorizados del Anexo D, se corresponde con los usuarios realmente autorizados para acceder al Fichero. El responsable del Fichero o la persona autorizada, analizara la informacin registrada en el registro de incidencias, tomando las medidas oportunas. Los ficheros se sometern, al menos cada dos aos, a una auditora interna o externa que verifique el cumplimiento de las medidas del documento de seguridad Mensualmente, la informacin de control registrada en el registro de accesos sern supervisados por el responsable de seguridad. Los resultados de todos los controles se incluirn en el Anexo H.

9.1.2

9.1.3

9.1.4

9.1.5

Pgina 9

Anexo A Documentos de Notificacin, Disposiciones Generales de declaracin de ficheros y Contratos de Encargados del tratamiento
<<Se adjuntar aqu una copia del documento de notificacin de la creacin, y en su caso de las posibles modificaciones de cada Fichero. En este mismo apartado se recoger una copia de la publicacin de la disposicin de creacin, y si procede de las modificaciones. Cuando exista encargado del tratamiento, en este Anexo se adjuntara una copia del contrato con el encargado o bien el documento acreditativo de la relacin y circunstancias.>>

Pgina 10

Anexo B Descripcin de los soportes fsicos del fichero y criterios de archivo

<<Por cada uno de los ficheros afectados por este documento, se adjuntar una descripcin que contendr al menos los siguientes aspectos: Descripcin del contenido del fichero. Tipos de soportes donde se almacenan los datos, describiendo la forma como estn almacenados. Por ejemplo: Escritos, manuales o mecanografiados Fichas Microfilms Grabaciones de audio o video Fotografas, digitalizadas o en copia papel o film. Cualquier otro medio fsico de almacenamiento de informacin.

Criterios de archivo y acceso, o la forma como se accede a la informacin. Por ejemplo: Por carpetas clasificadas por orden alfabtico del sujeto. Por DNI u otro identificador. Carpetas donde se indica la identificacin del soporte ubicado en otro almacenamiento. Cualquier otro criterio de archivo o acceso que se utilice para la obtencin de los datos.>>

Pgina 11

Anexo C Locales, ubicacin fsica habitual y puestos de trabajo

<<En este anexo se describirn las caractersticas de los locales, los ficheros que contienen, las ubicaciones habituales donde se almacena el fichero o ficheros y los puestos de trabajo Si existen varios ficheros, se adjuntara un cuadro que relacione los ficheros que se ubiquen en cada local. Locales - Tipo de local, direccin y propietario. - Tipo de acceso: Se especificar el tipo de control de acceso - Equipamiento; sistemas diversos de seguridad, antifuegos etc., si los hubiera. Ubicacin fsica habitual - Lugar donde se almacenan los soportes del fichero habitualmente. - Tipo de contenedor de los soportes: armarios, archivadores, etc. - Mecanismos de seguridad de los contenedores: cerraduras de llave, combinacin, u otro tipo. Puestos de trabajo - Descripcin de los puestos de trabajo donde se tratan los datos: mesas donde se trasladan los soportes para su tratamiento, consultas de profesionales mdicos, etc. - Relacin de puestos de trabajo>>

Pgina 12

Anexo D Nombramientos y autorizaciones

<<En este anexo figuraran todas las personas nombradas por el Responsable del fichero, indicando la responsabilidad y la fecha del nombramiento o el cese. Asimismo se incluir las autorizaciones concedidas a los Usuarios. Nombramientos El Responsable del fichero podr realizar un nombramiento para delegar en otra persona la firma de esas autorizaciones Cada nombramiento o autorizacin deber hacer constar: - El nombre de la persona autorizada. - El tipo de privilegio de acceso o responsabilidad - La fecha de alta - La fecha de baja en su caso Podr haber nombramientos firmadas por el Responsable del fichero, para los siguientes perfiles de responsabilidad:, Responsables que puedan autorizar consultas, altas, bajas , modificaciones del fichero Responsables de custodia si lo hubiese Responsables de Salidas Soportes Responsable de autorizar el trabajo fuera de los locales Responsables de Seguridad, si existan varios, se indicara los ficheros y tratamientos asignados Responsable del control de la copia de documentacin

Autorizaciones de accesos a Usuarios Las autorizaciones de accesos de Usuarios, debern ser realizadas por el Responsable del fichero o la persona en la que delegue , constaran del nombre del usuario, el perfil y los recursos a los que se concede el acceso, as como el nombre y cargo de la persona que realiza la autorizacin. El nombre del Usuario o de la persona autorizada. Perfil El tipo de privilegio de acceso La fecha de alta La fecha de baja, o de modificacin en su caso El nombre y cargo de la persona que realiza la autorizacin >>

Pgina 13

Anexo E Procedimientos de control y seguridad

<<Contendr los procedimientos utilizados en la organizacin para el control y seguridad de los datos. E.1 Procedimiento de gestin de salida de soportes E.2 Procedimiento para la destruccin de soportes desechados. E.3 Procedimiento de registro de accesos E.4 Procedimiento para la realizacin de copias o reproduccin de soportes.>> E.5 Autorizacin para el trabajo fuera de los locales

E.1 Procedimiento de gestin de salida de soportes

<<Cualquier salida de soportes fuera de los locales donde esta ubicado el fichero deber ser autorizada por el responsable del fichero o persona en la que delegue mediante un formulario de autorizacin. Un ejemplo de ese formulario es el siguiente:>>

AUTORIZACIN DE SALIDA DE SOPORTES

Fecha y hora de salida del soporte SOPORTE Tipo de soporte y nmero Contenido Ficheros de donde proceden los datos Fecha de creacin FINALIDAD Y DESTINO Finalidad Destino Destinatario FORMA DE ENVO Medio de envo Remitente Precauciones para el transporte

Pgina 14

AUTORIZACIN Persona responsable de la entrega Persona que autoriza Cargo / Puesto Observaciones Firma

E.2 Procedimiento para la destruccin de soportes desechados.

<<Uno de los mayores peligros para la confidencialidad de los datos son los soportes desechados. En este apartado se describir el mtodo empleado para la destruccin o borrado de los mismos. Como mnimo se deber exigir el siguiente procedimiento:>> <<Procedimiento para la destruccin de soportes desechados Todos los soportes desechados de cualquier tipo, por motivo de haber sido dados de baja en el fichero, o por ser copias temporales, que puedan contener informacin del Fichero, como documentos en papel, copias en papel, microfilms, cintas de audio o video, y en general cualquier tipo de soporte del que se pueda extraer la informacin, debern ser eliminados o destruidos de acuerdo con el siguiente Procedimiento para la Destruccin de soportes desechados. 1. Como norma general ningn soporte, debe ser nunca dejado para retirar sin ser destruido o depositado en el contenedor de la empresa encargada de la destruccin de los datos si la hubiera, o destruido por otros medios que impidan la recuperacin de la informacin. 2. Aquellos soportes en papel o material blando, y que no sean demasiado voluminosos, debern ser destruidos en una destructora de papel si es que existe en la organizacin. 3. En caso de no existir mquina destructora de papel en el caso de que los listados o documentos sean muy voluminosos, debern ser depositados en unos contenedores confidenciales hermticos para ser entregados a una empresa encargada de la destruccin de datos, que garantice mediante contrato la destruccin de los mismos. 4. El responsable del fichero deber exigir a la empresa encargada de la destruccin de los datos un contrato en el que se comprometan bajo penalizacin a la completa destruccin de todo el material retirado. >>

E.3 Procedimiento de registro de accesos

<<Se describir el procedimiento, para el registro de cada acceso que se realice por los usuarios a los documentos o soportes del fichero, indicando la identificacin del usuario, fecha y hora del acceso, tipo de acceso, perfil, o la devolucin de los documentos o soportes, y documentacin o soporte.>>

Pgina 15

E.4 Procedimiento para la autorizacin de copias o reproduccin de soportes.

<<Las copias de soportes debern ser realizadas bajo el control del personal descrito en este anexo. Se adjuntar el procedimiento para la autorizacin de esas copias y los responsables.>>

E.5 Autorizacin para el trabajo fuera de los locales

<<El Reglamento de Medidas de Seguridad establece que no se realizara trabajo fuera de los locales sin la debida autorizacin del responsable del fichero. El tratamiento de datos personales del fichero fuera de los locales del responsable del fichero, estar sujeto en todo caso a una autorizacin expresa del responsable del fichero o persona delegada, y deber garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado. En la autorizacin tendr que constar el responsable del fichero o persona delegada que autoriza, el nombre del usuario perfil de usuarios y el periodo de validez de la autorizacin. Se adjuntar un ejemplo del formulario de autorizacin.>>

Pgina 16

Anexo F Funciones y obligaciones del personal

<<En este anexo se describen las funciones responsabilidades de cada persona con acceso a los datos del fichero, que ya han sido citadas en el cuerpo del documento, pero agrupadas por tipo de usuario. Deber copiarse tal como est en el documento de seguridad que se reparta al personal que trabaje con el fichero. El responsable del fichero, o el responsable de seguridad si lo hubiese, o el encargado del tratamiento, podrn aadir obligaciones particulares aplicables al fichero, pero respetando todas las que aqu figuran. Segn se dice en el prrafo 2 del documento, una copia del mismo con las funciones especficas de cada colectivo, deber ser repartida a todos los usuarios del fichero para su conocimiento. En el caso de los usuarios slo se deber entregar un documento divulgativo que incluya el presente Anexo junto con el procedimiento de Notificacin de incidencias y el Procedimiento para la Destruccin de soportes desechados. Asimismo se facilitara a cada usuario los procedimientos que sean necesarios para el desarrollo de sus funciones, que debern estar recogidos en el Anexo E. >>

F.1 Obligaciones que afectan a todo el Personal

Guardar secreto profesional y confidencialidad de la informacin tratada. Quienes intervengan en cualquier fase del tratamiento de los datos de carcter personal estn obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirn an despus de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. La vulneracin del deber de guardar secreto sobre los datos de carcter personal incorporados a ficheros que contengan datos personales ser considerado como una falta leve, grave o muy grave de conformidad con lo previsto en el artculo 44 de la LOPD, lo cual dar lugar a iniciacin de actuaciones disciplinarias, si procediesen. Facilitar el derecho de acceso, rectificacin y cancelacin a los titulares de los datos. Para ello se informar inmediatamente al Responsable del Fichero Responsable de Seguridad o Encargado del tratamiento y se recoger siempre en solicitud escrita.

F.2 Funciones y obligaciones del Responsable del Fichero

El responsable es la persona fsica o jurdica que tenga atribuida la competencia a la que sirva instrumentalmente los datos contenidos en el fichero. Decide sobre la finalidad, uso y contenido de los mismos. Elaborar el documento de seguridad. En caso de que exista un encargado de tratamiento, y se realice el tratamiento del fichero fuera de los locales del responsable del fichero, la elaboracin del mismo podra corresponder al encargado de tratamiento Implantar y har cumplir las medidas de seguridad establecidas en este documento. Deber garantizar la difusin de este Documento entre todo el personal que vaya a utilizar. Deber mantenerlo actualizado siempre que se produzcan cambios relevantes en la organizacin o entorno del fichero, y deber adecuar en todo momento el contenido del mismo a las disposiciones vigentes en materia de seguridad de datos. Designar uno o varios responsables de seguridad que debern figurar en el Anexo D.
Pgina 17

Ordenar al menos cada dos aos la realizacin de una auditora, externa o interna que dictamine el correcto cumplimiento y la adecuacin de las medidas del presente documento de seguridad o las exigencias del Reglamento, identificando las deficiencias y proponiendo las medidas correctoras necesarias. Los informes de auditora sern analizados por el responsable de seguridad, quien propondr al responsable del Fichero las medidas correctoras correspondientes.

F.3

Funciones y obligaciones que el Responsable del Fichero podr delegar en otras personas

El responsable del fichero podr, opcionalmente, designar uno o varios responsables delegados, cuyo nombramiento deber adjuntar al Anexo D, que podrn asumir por l las siguientes obligaciones: Criterios de archivo y custodia o Establecer los criterios y procedimientos de actuacin que deban seguirse para el archivo de los soportes o documentos, cuando no estn previstos la respectiva legislacin aplicable al fichero. Estos criterios debern garantizar la correcta conservacin de los documentos, la localizacin y consulta de la informacin y posibilitar el ejercicio de los derechos de oposicin al tratamiento, acceso, rectificacin y cancelacin, que se determinaran en el Anexo B. La custodia de los soportes o documentos, cuando no exista normativa aplicable que la determine.

Autorizacin del personal que puede acceder al fichero o Encargarse de que exista una relacin actualizada de usuarios y perfiles de usuarios, con acceso autorizado para acceder a los datos del fichero. o Conceder, alterar o anular el acceso autorizado sobre datos o los recursos del Ficheros. o Establecer mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. Cuando esto ltimo no sea posible, nombrar a la persona que custodiar la documentacin para impedir accesos no autorizados Control de accesos al fichero o Establecer mecanismos y el procedimiento que permita identificar cualquier acceso a la informacin que puedan ser utilizados por mltiples usuarios, que deber adjuntarse en el Anexo E. Mantener un registro de accesos, verificando y registrando estos accesos mediante el procedimiento que deber figurar en el mismo Anexo, cuando no sea posible establecer mecanismos.

Locales, armarios y dispositivos de almacenamiento o Adoptar las medidas alternativas que impidan el acceso de personas no autorizadas cuando los armarios, archivadores y dispositivos de almacenamiento de los documentos que contengan datos de caracter personal no dispongan de mecanismos de obstaculicen su apertura. Custodiar la documentacin e impedir que en todo momento pueda ser accedida por personas no autorizadas, mientras no se encuentre archivada en los
Pgina 18

dispositivos de almacenamiento establecido con los mecanismos descritos en el anterior punto, por estar en proceso de revisin o tramitacin. o Controlar el acceso a las reas en las que se encuentran los armarios, archivadores u otros elementos en los que se almacenan los ficheros, mediante el cierre de las puertas de acceso que tendrn que estar dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Cuando atendidas las caractersticas de los locales y de los dispositivos de almacenamiento de que dispusiera el responsable del fichero, no fuese posible lo anterior, adoptar las medidas alternativas debidamente motivadas en el Anexo C de este documento de seguridad.

Puestos de trabajo Autorizar el trabajo fuera de los locales donde se ubica el fichero o puesto de trabajo habitual, de acuerdo con el procedimiento que figura en el Anexo F. Gestin de Incidencias o Habilitar y mantener un registro de incidencias a disposicin de todos los usuarios del Fichero con el fin de que se registre en l cualquier incidencia que pueda suponer un peligro para la seguridad del mismo. La notificacin o registro de una incidencia deber constar al menos de los siguientes datos: tipo de incidencia, fecha y hora en que se produjo, persona que realiza la notificacin, persona a quien se comunica, efectos que puede producir, descripcin detallada de la misma. El procedimiento se describe en el Anexo G.

Gestin de soportes y documentacin o o o Autorizar expresamente la salida de soportes fuera de los locales donde est ubicado el Fichero. Adoptar un procedimiento para la destruccin y almacenaje de esos soportes. Adoptar las medidas necesarias para impedir la sustraccin, prdida o acceso indebido a la informacin durante el transporte, cuando la documentacin o los soportes vayan a salir fuera de los locales en que se encuentren ubicados los ficheros, se. Adoptar medidas dirigidas a impedir el acceso o manipulacin de la informacin objeto de traslado, siempre que se proceda al traslado fsico de la documentacin contenida en un fichero.

Copia o reproduccin o Controlar la generacin de copias o la reproduccin de documentacin.

Controles peridicos de verificacin del cumplimiento o El responsable del fichero se responsabilizar de, al menos cada dos aos, ordenar la realizacin de una auditora, externa o interna que dictamine el correcto cumplimiento y la adecuacin de las medidas del presente documento de seguridad o las exigencias del Reglamento, identificando las deficiencias y proponiendo las medidas correctoras necesarias. Los informes de auditora sern analizados por el responsable de seguridad, quien propondr al responsable del Fichero las medidas correctoras correspondientes.

Pgina 19

F.4 Funciones y obligaciones del Encargado del Tratamiento

El encargado del tratamiento es la persona fsica o jurdica que trata datos personales por cuenta del responsable del fichero, como consecuencia de una relacin jurdica que le vincula con el mismo y delimita su actuacin, que deber acreditarse mediante la documentacin que se adjuntara en el Anexo A. En el caso de existir encargado del tratamiento, le corresponder elaborar el documento de seguridad de los ficheros y tratamientos prestados en sus propios locales que figuran en el Anexo C. En el caso de prestar los servicios en los locales del responsable del fichero, el mismo y su personal debern cumplir el documento de seguridad elaborado por el responsable. Cuando los ficheros se procesen en locales de uno y otro, el encargado facilitar al responsable del Fichero, la documentacin necesaria para completar el documento de seguridad del responsable.

F.5 Funciones y obligaciones del Responsable de Seguridad

Es la persona o personas a las que el responsable del fichero ha asignado formalmente la funcin de coordinar y controlar las medidas de seguridad. Existir al menos un responsable de seguridad que deber ser nominado por el responsable del Fichero. Su nominacin deber ser adjuntada al Anexo D. Cuando nombre a ms de un responsable de seguridad deber dejarse constancia en el Anexo D, los ficheros y tratamientos asignados a cada uno de ellos. Analizara las incidencias registradas, tomando las medidas oportunas en colaboracin con el responsable del Fichero. El responsable de seguridad del Fichero comprobar, con una periodicidad al mensual, que la lista de usuarios autorizados del Anexo D se corresponde con los usuarios realmente autorizados para acceder al Fichero. Al menos cada dos aos, se realizar una auditora, externa o interna que dictamine el correcto cumplimiento y la adecuacin de las medidas del presente documento de seguridad o las exigencias del Reglamento, identificando las deficiencias y proponiendo las medidas correctoras necesarias. Los informes de auditoria sern analizados por el responsable de seguridad, quien propondr al responsable del Fichero las medidas correctoras correspondientes. Mensualmente, la informacin de control registrada en el registro de accesos sern supervisados por el responsable de seguridad. Los resultados de todos estos controles peridicos, sern adjuntados a este documento de seguridad en el Anexo J.

F.6 Funciones y obligaciones de los Usuarios del fichero

Los usuarios del fichero son las personas que tienen acceso a los datos del Fichero como consecuencia las tareas que tienen encomendadas en funcin de su puesto de trabajo.

Pgina 20

Adems de dichas funciones relativas al desempeo profesional asociado a su puesto laboral, todo el personal colaborar con el Responsable del Fichero y Responsable/s de Seguridad en pro de velar por el cumplimiento de la legislacin y reglamentacin vigente sobre Proteccin de Datos de Carcter Personal. Acceder exclusivamente a aquellos datos o recursos que precise para el desarrollo de sus funciones. El acceso al fichero y recursos deber ser autorizado por el responsable del fichero o persona delegada. Custodiar la documentacin e impedir que en todo momento pueda ser accedida por personas no autorizadas, mientras no se encuentre archivada en los dispositivos de almacenamiento establecido con los mecanismos descritos en el anterior punto., por estar en proceso de revisin o tramitacin Garantizar que la informacin tratada desde su puesto de trabajo no pueda ser visible por personas no autorizadas. Asegurarse que cuando abandone su puesto de trabajo, bien temporalmente o bien al finalizar su turno de trabajo, no quedan en su puesto documentos u otros soportes que contengan datos del fichero, que puedan ser accedidas o visibles a personas no autorizadas. El trabajo fuera de los locales de ubicacin del fichero o puesto de trabajo habitual deber ser expresamente autorizado por el responsable del Fichero o la persona delegada de acuerdo con el procedimiento que figura en el Anexo E. Cualquier usuario que tenga conocimiento de una incidencia es responsable de la comunicacin de la misma al Responsable de Seguridad o al superior inmediato. En el caso de que el procedimiento de Incidencias estuviese automatizado, deber proceder a su registro en el sistema habilitado para ello. El modelo de notificacin de incidencias figura en el Anexo G.

El conocimiento y la no notificacin de una incidencia por parte de un usuario ser considerado como una falta contra la seguridad del Fichero por parte de ese usuario. Catalogar e identificar el tipo de informacin de soportes e inventariarlos. Se exceptuaran estas obligaciones cuando las caractersticas fsicas del soporte imposibiliten su cumplimiento quedando constancia en el procedimiento correspondiente en el Anexo E. Las copias de trabajo de documentos o soportes del fichero que se realicen por motivo de un tratamiento especfico del mismo, debern ser destruidas tras su uso, mediante los procedimientos dispuestos en el apartado E.4 del Anexo E. Se deber utilizar el mismo procedimiento de destruccin para los documentos o soportes que se den de baja del fichero.

Pgina 21

Anexo G

Notificacin y gestin de incidencias

<< Se describirn los procedimientos de notificacin y de gestin de incidencias Procedimiento de Notificacin de incidencias Cuando ocurra una incidencia, el usuario deber registrarla en la aplicacin de notificacin incidencias, si existe un sistema automatizado para hacerlo, o en el caso de que el sistema de registro sea manual, deber comunicarla al Responsable de seguridad o al Responsable del fichero o superior inmediato, para que procedan a su registro en el Libro que habr habilitado a tal efecto. En cualquier caso una notificacin de incidencia deber hacer constar: Tipo de incidencia Fecha y hora en que se produjo Persona que realiza la notificacin Persona a quien se comunica Descripcin detallada de la misma Efectos que puede producir la incidencia, si se conocen o presumen Se adjunta un ejemplo de impreso de notificacin que podr ser utilizado para la notificacin de incidencias Procedimiento de gestin de incidencias En este procedimiento se indicar quin ser responsable de analizar el registro de incidencias, el responsable de seguridad u otro, y las medidas correctoras que se tomen en cada caso, que se registraran. Se mantendrn las incidencias registradas de los 12 ltimos meses. >>

Pgina 22

Impreso de notificacin de incidencias

Incidencia N:

|_______| ( Este nmero ser rellenado por el Responsable de seguridad)

Fecha de notificacin: /__/__/____/ Tipo de incidencia: Descripcin detallada de la incidencia:

Fecha y hora en que se produjo la incidencia: Persona(s) a quien(es) se comunica: Efectos que puede producir: (En caso de no subsanacin o incluso independientemente de ella)

Medidas correctoras aplicadas: Persona que realiza la comunicacin:

Fdo.:___________________________

Pgina 23

Anexo H. Controles peridicos y auditoras

<<Contendr los resultados de los controles peridicos de las auditoras realizadas>>

Pgina 24

Anexo I Modificaciones introducidas en las revisiones de este documento

Versin

Fecha

Actualizaciones

Pgina 25