1 Introducción
1.1 Bloque Normativo
En el presente documento se establecen los contenidos relativos al cumplimiento por
parte de PATRICIA HERRADÓN AMEAL, con DNI 53419269-K, de la normativa vigente
en materia de Protección de Datos de Carácter Personal, tanto el Reglamento UE
2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la
protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos (en adelante RGPD), así como
cualesquiera otras disposiciones creadas al efecto que sean de obligado cumplimiento
conforme a la Ley. En este caso, se tendrá en cuanta también la normativa española
Ley Orgánica 3/2018 de 5 de diciembre, de Protección de Datos Personales y garantía
de los derechos digitales (en adelante LOPDGDD).
El Reglamento 2016/679, de Protección de Datos de Carácter Personal, en su Art.
5.1.f, establece que “los datos personales serán tratados de tal manera que se
garantice una seguridad adecuada de los datos personales, incluida la protección
contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño
accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas
(«integridad y confidencialidad»)”.
Este mismo precepto del RGPD dispone que se establezcan los requisitos y condiciones
que deberán reunir dichos tratamientos y las personas que intervengan en el
tratamiento de datos de carácter personal, resultando por tanto de aplicación a tal
efecto el Reglamento 2016/679, de 27 de abril, de protección de datos de carácter
personal. Este Reglamento establece los requisitos de procedimiento, técnicos y
funcionales que deberán cumplir aquellas personas físicas o jurídicas que tengan bases
de datos con datos de carácter personal.
1.2 Actividad Profesional
El presente documento recoge la política de seguridad de PATRICIA HERRADÓN AMEAL
para proteger los datos de carácter personal de la organización. Política que se
extiende a todos los Sistemas de Información centrales y locales y a cualquier soporte
de los datos personales.
PATRICIA HERRADÓN AMEAL es una profesional cuya actividad principal es la
fabricación de muebles arcade, utilizando como herramientas de trabajo archivos
informatizados o no, que contienen datos de carácter personal con información de
diversa índole.
En las presentes políticas se enmarcan las directrices a seguir por PATRICIA
HERRADÓN AMEAL en lo referente a lo exigido en el Art. 32 del Reglamento 2016/6791
,
en el que se regulan las medidas de seguridad de las actividades de tratamiento que
contengan datos de carácter personal, siendo estas políticas las únicas que rige
exclusivamente en materia de protección de datos en la organización.
La incorporación de datos de carácter personal de personas físicas quedará bajo la
tutela del responsable del tratamiento: PATRICIA HERRADÓN AMEAL y el lugar donde
se trata la información es en C/ Sorolla 7, Portal 9 – 8ºB, 45224 Seseña (Toledo).
La protección de los datos personales es un aspecto esencial a tomar en
consideración, puesto que el desarrollo de la actividad profesional de PATRICIA
HERRADÓN AMEAL requiere del tratamiento de datos personales, sin que ello pueda
suponer una intromisión ilegítima en la privacidad de los afectados.
El presente documento recoge la política de seguridad y privacidad de PATRICIA
HERRADÓN AMEAL estableciendo las medidas y directrices de índole técnica y
organizativas que garantizan la seguridad en el tratamiento de datos de carácter
personal contenidos en las actividades de tratamiento automatizadas o no, centros de
tratamiento, equipos, sistemas y programas, así como en los locales en que se
encuentran ubicados. Además de las obligaciones de las personas responsables o
encargadas de su tratamiento.
2. ÁMBITO DE APLICACIÓN DE LA POLÍTICA DE PROTECCIÓN DE DATOS Y DE SEGURIDAD
Esta Política De Protección De Datos y Seguridad ha sido elaborado bajo la
responsabilidad de PATRICIA HERRADÓN AMEAL quien, como responsable del
tratamiento, se compromete a implantar y actualizar estas directrices de seguridad
de obligado cumplimiento para todo el personal con acceso a los datos protegidos, así
como a los sistemas de información que permiten el acceso a los mismos.
Todas las personas que tengan acceso a tratamiento de datos, bien a través del
sistema informático habilitado para acceder al mismo, o bien a través de cualquier
otro medio de acceso, se encuentran obligadas por ley a cumplir lo establecido en esta
Política de Protección de Datos y Seguridad y están sujetas a las posibles
consecuencias en que pudieran incurrir en caso de incumplimiento.
Las medidas de seguridad, las normas, estándares y procedimientos de actuación
detallados en el presente documento, se establecen para garantizar la
confidencialidad, disponibilidad e integridad de la información de carácter personal
tratadas por PATRICIA HERRADÓN AMEAL con el fin de evitar su alteración, pérdida y
tratamiento o acceso no autorizado.
Este documento o en su caso, un resumen del mismo, será puesto a disposición de
cada persona autorizada a acceder a los datos, para que tengan perfecto conocimiento
de sus implicaciones en materia de protección de datos.
2.1. ÁMBITO DE APLICACIÓN OBJETIVO
A estos efectos, se entenderá como ámbito objetivo todas las actividades de
tratamiento que contengan datos de carácter personal, que se encuentren bajo la
responsabilidad de PATRICIA HERRADÓN AMEAL y que sean objeto de tratamiento,
procesamiento, gestión, almacenamiento y transporte, así como todos los programas,
equipos y sistemas informáticos que traten, procesen y almacenen datos de carácter
personal en PATRICIA HERRADÓN AMEAL.
La presente Política de Protección de Datos y Seguridad se refiere única y
exclusivamente al registro de actividades de los que es titular PATRICIA HERRADÓN
AMEAL y por lo tanto, recogerá todas las medidas de índole técnica, organizativa y
jurídica que se exige por el tratamiento de datos que se realiza y su categoría.
Dentro del presente ámbito de aplicación, se detallan los recursos que sirven de
modo directo o indirecto para acceder a las actividades de tratamiento de los que
es responsable PATRICIA HERRADÓN AMEAL:
– Las instalaciones en las cuales se encuentran ubicados los datos y/o donde se
almacenan los soportes y documentos que los contengan.
– Los equipos informáticos que manejen datos de carácter personal, ya sean locales
o remotos.
– El entorno del sistema operativo y de comunicaciones en el que se encuentran
ubicados las actividades de tratamiento.
– El sistema informático y aplicaciones creadas al efecto para el acceso a los datos
de carácter personal propiedad de PATRICIA HERRADÓN AMEAL.
2.1.1. ACTIVIDADES DE TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL
PATRICIA HERRADÓN AMEAL es Responsable de diferentes actividades de tratamiento
de datos personales, de conformidad con lo dispuesto en el Art. 30 del RGPD: “Cada
responsable y, en su caso, su representante, llevarán un registro de las actividades de
tratamiento efectuadas bajo su responsabilidad.”
En concreto, las actividades de tratamiento que realizan, sujetas todas ellas a las
medidas de seguridad establecidas en este documento, con indicación del sistema de
tratamiento (automatizado, manual o mixto), son las siguientes:
1. GESTIÓN DE CLIENTES. Automatizado.
2. GESTIÓN DE PROVEEDORES. Mixto.
3. ATENCIÓN A CONTACTOS. Automatizado.
4. ENVÍO DE COMUNICACIONES COMERCIALES. Automatizado.
5. ATENCIÓN A LOS DERECHOS DE LOS INTERESADOS. Mixto.
En el ANEXO I del presente documento se presenta el Registro de Actividades y su
descripción detallada.
2.2. ÁMBITO DE APLICACIÓN SUBJETIVO
Se entenderá por ámbito subjetivo a todas las personas que intervengan en el
tratamiento, procesamiento, gestión, almacenamiento y transporte o cualquier
otra forma de acceso a los sistemas de información, bien a través del sistema
informático habilitado para acceder al mismo, o bien a través de cualquier otro medio
de acceso. Estos usuarios se encuentran obligados por ley a cumplir lo establecido en
esta Política de Protección de Datos y Seguridad, y sujetas a las consecuencias en que
pudieran incurrir en caso de incumplimiento.
Por todo lo cual, el contenido reflejado en esta Política de Protección de Datos y
Seguridad será de obligada aplicación a todas aquellas personas que presten o
pudieran prestar servicios de forma directa o indirecta a PATRICIA HERRADÓN AMEAL,
cualquiera que sea la relación profesional que les una con la organización.
Para poder llevar un estricto control de estos parámetros, PATRICIA HERRADÓN AMEAL
tendrá actualizada la relación de los usuarios que tengan acceso autorizado a todo o
parte de las actividades de tratamiento con datos de carácter personal de los que sea
responsable (ANEXO III). En dicha relación de usuarios, se determinará la clase de
acceso que poseen, así como los procedimientos de identificación y autenticación
creados al efecto para el conocimiento de los usuarios. Las obligaciones de los usuarios
quedan recogidas en las correspondientes normas de Protección de Datos.
2.3. ÁMBITO DE APLICACIÓN MATERIAL
Se entenderá por ámbito de aplicación material a las medidas de protección de los
datos de las actividades de tratamiento propiedad de PATRICIA HERRADÓN AMEAL, las
cuales se realizan mediante el control, a su vez, de todas las vías por las que pueda
tener acceso dicha información.
En virtud de lo cual, los recursos que sirven de modo directo o indirecto para acceder
a los datos de los que es responsable PATRICIA HERRADÓN AMEAL son:
– Los locales donde se encuentran ubicadas las actividades de tratamiento o donde
se almacenan los soportes que los contengan.
Los mismos cuentan con las medidas de seguridad mínimas a fin de evitar los
riesgos que pudieran producirse como consecuencia de incidencias fortuitas o
intencionadas. El lugar donde se encuentran el tratamiento principal de los datos
cuenta con un acceso restringido, teniendo acceso al mismo única y
exclusivamente las personas habilitadas al efecto. Cualquier otra persona que
necesite acceder a los locales donde se encuentran ubicados los datos de carácter
personal deberá ser autorizada por el responsable del tratamiento o persona
autorizada.
En el ANEXO III y se relacionan todas las personas autorizadas a acceder a las
ubicaciones donde se encuentran los sistemas de información que contienen las
actividades de tratamiento de datos de carácter personal.
– Equipos informáticos. En el ANEXO III y ANEXO IV se adjunta el listado de equipos
informáticos y soportes con acceso a datos de carácter personal.
El Responsable de Seguridad se encarga de velar por el correcto uso del sistema
operativo y de comunicaciones de los datos, así como del entorno de
comunicaciones.
Ninguna herramienta o programa de utilidad que permita el acceso a las
actividades de tratamiento deberá ser accesible a ningún usuario o administrador
no autorizado en el presente documento.
– El entorno del sistema operativo y de comunicaciones en el que se encuentran
ubicados las actividades de tratamiento.
– El sistema informático y aplicaciones creadas al efecto para el acceso a los datos
de carácter personal propiedad de PATRICIA HERRADÓN AMEAL.
Se entenderá como sistema informático o aplicaciones de acceso, todos aquellos
sistemas informáticos, programas o aplicaciones con las que se pueda acceder a
los datos, y que son habitualmente usados por los usuarios para acceder a ellos.
3. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTÁNDARES ENCAMINADOS A GARANTIZAR EL NIVEL DE SEGURIDAD EXIGIDO EN ESTE DOCUMENTO
3.1. RESPONSABLE DE SEGURIDAD Y/O DELEGADO DE PROTECCIÓN DE DATOS
El responsable del tratamiento designará a un (o varios) Responsable de
Seguridad y a un Delegado de Protección de Datos (DPD / DPO), que con carácter
general se encargará de coordinar y controlar las medidas definidas en este
documento.
En ningún caso, la designación supone una delegación de la responsabilidad que
corresponde a PATRICIA HERRADÓN AMEAL como responsable del tratamiento, de
acuerdo con la normativa vigente de protección de datos.
El Responsable de Seguridad desempeñará las funciones encomendadas hasta que
comunique su decisión de darse de baja de dicho cargo, siendo el responsable
del tratamiento quien nombre a otra/s persona/s diferente/s.
En el ANEXO VII y ANEXO VIII se encuentran los nombramientos de los
responsables de seguridad y/o Delegado de Protección de Datos.
El artículo 37.1 del RGPD exige la designación de un DPO en tres casos concretos:
a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto
los tribunales que actúen en ejercicio de su función judicial;
b) las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines,
requieran una observación habitual y sistemática de interesados a gran escala,
o
c) las actividades principales del responsable o del encargado consistan en el
tratamiento a gran escala de categorías especiales de datos con arreglo al
artículo 9 o de datos personales relativos a condenas e infracciones penales a
que se refiere el artículo 10.
Además, el artículo 34.1 de la LOPDGDD 3/2018, establece una serie de
supuestos en los que es obligatorio, igualmente, la designación de un DPD/DPO.
De acuerdo con lo anteriormente expuesto, entendemos que el Responsable no
está obligado a designar un DPO ya que no cumple ninguno de los criterios
específicos antes mencionados.
3.2. MEDIDAS DE SEGURIDAD GENERALES
Las medidas de seguridad implantadas serán revisadas de forma periódica con el
objetivo de comprobar que garantizan un nivel de seguridad adecuado al riesgo,
que protegen efectivamente la seguridad de los datos personales y que permiten
demostrar el cumplimiento del RGPD. Entre otras serán:
1. Actualización: los sistemas operativos y aplicaciones en los dispositivos y
equipos informáticos utilizados para el almacenamiento y el tratamiento de
los datos personales deberán mantenerse actualizados en la media posible.
En lo referente a los equipos informáticos y dispositivos, antes de darles de
baja en el inventario se deberá realizar una destrucción, borrado o formateo
de los discos duros de una forma segura.
2. Antivirus: en los ordenadores y dispositivos donde se realice el tratamiento
automatizado de los datos personales se dispondrá de un sistema de antivirus
que garantice en la medida de lo posible los intentos de robo y destrucción
de la información y datos personales. El sistema de antivirus deberá ser
actualizado de forma periódica.
3. Firewall: para evitar accesos remotos indebidos a los datos personales se
velará para garantizar la existencia de un firewall, activado en aquellos
servidores, ordenadores y dispositivos en los que se realice el
almacenamiento y/o tratamiento de datos personales.
3.3. IDENTIFICACIÓN Y AUTENTICACIÓN DE USUARIOS ACTIVIDADES DE TRATAMIENTO AUTOMATIZADAS
El acceso a las actividades de tratamiento informatizadas con datos personales se
controlará mediante un sistema de identificación y autenticación, a través de un
nombre de usuario (o código de usuario) y contraseña en:
– En la aplicación informática de gestión.
– En los equipos o terminales con acceso a datos personales (equipos
informáticos, teléfonos móviles o tablets).
Todo ello asignado a cada una de las personas autorizadas con acceso a los datos
personales (descritas en el ANEXO III).
Las contraseñas personales constituyen uno de los componentes básicos de la
seguridad de los datos, y deben por tanto estar especialmente protegidas; como
llaves de acceso al sistema, las contraseñas deberán ser estrictamente
confidenciales y personales, y cualquier incidencia que comprometa su
confidencialidad deberá ser registrado tal evento como incidencia y subsanarlo en
el menor plazo de tiempo posible.
Las contraseñas se modificarán cada año y tendrán como mínimo 8 caracteres
para que sean seguras (deberá contener mayúsculas y minúsculas, números y
símbolos), a fin de evitar las posibles vulneraciones a las que se exponen esta clase
de datos.
La asignación distribución y almacenamiento de dichas contraseñas será
gestionado por el Responsable de Seguridad, debiendo estar ininteligibles las
activas.
A continuación describimos el procedimiento de alta, baja y modificación
periódica de los códigos de usuarios y contraseñas, así como el sistema de
actualización de usuarios con acceso a los datos personales:
ALTA.- El Responsable de Seguridad asignará a cada nuevo miembro con acceso
al sistema un código de usuario y establecerá una contraseña, que serán
añadidos al perfil creado en el sistema por el Responsable de Seguridad. Una
vez caducada la contraseña, el propio usuario se autoasignará una nueva.
El alta del usuario será reflejada en el ANEXO III.
BAJA.- En el momento que un trabajador cause baja o la relación por la que
tiene acceso al sistema finalice, el Responsable de Seguridad reflejará en el
ANEXO III la baja del usuario.
Del mismo modo, será cancelada su cuenta de usuario y su contraseña,
eliminando los privilegios de los cuales gozaba hasta ese momento.
MODIFICACIÓN Y REACTIVACIÓN.- En la modificación de los privilegios de un
usuario será necesario que el Responsable de Seguridad asigne del mismo modo
que en el alta, los nuevos privilegios asignados al usuario.
En el supuesto de olvido de contraseñas, bloqueos por intentos reiterados, etc.,
se debe notificar inmediatamente al Responsable de Seguridad y/o Delegado
de Protección de Datos para que subsane la situación.
Todo ello debe quedar reflejado en el ANEXO II de Registro de Incidencias.
