1.- ASPECTOS LEGALES De acuerdo con el artículo 5.1.f del Reglamento General de Protección de Datos (RGPD EU 679/2016) los datos personales deben ser tratados de tal manera que se garantice una seguridad adecuada de los mismos, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas. Por otro lado el Art. 32 indica que teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: a) la seudonimización y el cifrado de datos personales; b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. 2.- ÁMBITO DE APLICACIÓN Los tratamientos a los que se aplica este documento son aquellos que contienen datos de carácter personal y están ubicados en las instalaciones de la organización y en su caso en las instalaciones de los encargados de tratamiento. Así mismo, se aplica a los tratamientos que realiza la organización como encargado de tratamiento de otros responsables de tratamiento. Dichos tratamientos se encuentran definidos en el correspondiente REGISTRO DE ACTIVIDADES DE TRATAMIENTO, tanto en calidad de responsable como de Encargado de tratamiento. Todas las personas que tengan acceso a los datos de los tratamientos bien a través de los sistemas informáticos, o bien a través de cualquier otro medio de acceso a los mismos, se encuentran obligadas por Ley a cumplir lo establecido en este documento y están sujetas a las consecuencias que pudieran incurrir en caso de incumplimiento. Una copia de este documento, con la parte que le afecte, será entregada para su conocimiento a cada persona autorizada a acceder a los datos de los tratamientos, siendo requisito obligatorio para poder acceder a los datos el haber firmado la recepción del mismo. La relación de las personas, debidamente autorizadas, para acceder a los tratamientos o sistemas de tratamiento, figura en el Registro de Actividades de tratamiento. La protección de los datos de los tratamientos frente a accesos no autorizados se deberá realizar mediante el control de todas las vías por las que se pueda tener acceso a dicha información. 3.- ENTORNO CORPORATIVO Los activos que conforman el entorno corporativo, por servir de medio directo o indirecto para acceder al tratamiento, deberán ser controlados por esta normativa son: 1. Los centros de tratamiento y locales donde se encuentren ubicados los tratamientos o se almacenen los soportes que los contengan. 2. Los puestos de usuario, bien locales o remotos, desde los que se pueda tener acceso al tratamiento. 3. Los servidores, si los hubiese, y el entorno de sistema operativo y de comunicaciones en el que se encuentra ubicado el tratamiento. 4. Los sistemas informáticos, o aplicaciones establecidos para acceder a los datos. 5. Los medios de archivo y soportes, bien de copias de seguridad o de tratamientos en papel. 4.- ACTUALIZACIÓN Y COMUNICACIÓN Con el fin de mantener actualizado el presente documento, la entidad podrá llevar a cabo la modificaciones y adaptaciones que considere oportunas con el fin de atender los nuevos requerimientos legales, que puedan producirse ante el registro de nuevos datos o tratamientos, cambios relevantes en el sistema de información o en la organización del mismo, así como las actualizaciones, adaptaciones o mejoras necesarias, de acuerdo con la propia evolución del estado de la técnica en materia informática y de seguridad. Es responsabilidad de la entidad emitir los correspondientes informes, realizando su validación mediante impresión y firma manuscrita o aplicación de firma electrónica avanzada con sello de tiempo sobre las versiones electrónicas de los informes. En caso de modificación, se emitirá circular informativa de interés general, y se pondrá a disposición de los usuarios autorizados a acceder a los sistemas de información, un ejemplar actualizado del documento. 5.- PROCEDIMIENTO DE REVISIÓN Y CONTROL El presente documento debe mantenerse en todo momento actualizado y ser revisado siempre que se produzcan cambios relevantes en el sistema de información, en el contenido de la información incluida en los tratamientos o como consecuencia de los controles periódicos realizados. En todo caso se entenderá como cambio relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas. También deberá incluir en el mismo, todo cambio que se produzca en los procedimientos incluidos en el mismo (gestión de incidencias, copias de seguridad, derechos de los interesados, etc.). Asimismo, deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal. En concreto, el presente documento será revisado por: a.- Cambios en el entorno corporativo La creación o supresión de tratamientos, cambios en los sistemas informáticos y/o tratamientos de tratamientos, cambio en locales y ubicación de archivos, cambios en usuarios y funciones, etc. b.- Control de Acceso a través de Redes de Telecomunicaciones Cualquier cambio que se produzca en la topología o arquitectura de las redes de telecomunicaciones podría alterar la seguridad de los tratamientos. c.- Régimen de trabajo fuera de los locales de la ubicación de los tratamientos. Si se produce una alteración de la política de definición de usuarios de los sistemas informáticos que trabajen fuera de los locales donde se encuentren ubicados los tratamientos. d.- Copias de Respaldo y Recuperación. Cualquier modificación que se produzca en el procedimiento de copias de respaldo y recuperación de datos e.- Actualizaciones de Disposiciones Legales Vigentes Cualquier modificación legal, instrucción o resolución de la Agencia Española de Protección de Datos. f.- Adaptación a Nuevas Políticas de Actuación Cambios en cualquier procedimiento definido en el documento (control de incidencias, inventario de soportes, entradas y salidas, etc.). 6.- MEDIDAS DE SEGURIDAD 6.1.- LOCALES Y CENTROS DE TRATAMIENTO Los locales y centros de tratamiento de datos, donde se ubiquen los servidores u ordenadores y archivos en papel que contienen los tratamientos deben ser objeto de especial protección que garantice la disponibilidad y confidencialidad de los datos protegidos, especialmente en el caso de que el tratamiento esté ubicado en un servidor u ordenador personal accedido a través de una red. Los locales deberán contar con los medios mínimos de seguridad que eviten los riesgos de indisponibilidad del tratamiento que pudieran producirse como consecuencia de incidencias fortuitas o intencionadas. Las medidas aconsejadas de seguridad deben ser: sistema de alarma conectada a la policía, sistema de prevención y extinción de incendios, acceso de personas externas controlado por el personal interno, bien en la recepción o bien acompañado durante una visita a las instalaciones. El acceso al local por parte de personas ajenas a la empresa, siempre se realizará con el acompañamiento de personal interno. Ninguna persona no autorizada tiene acceso al local sin presencia de personal autorizado, quién supervisará su comportamiento. El acceso a los locales donde se encuentran los tratamientos estará restringido exclusivamente a los administradores del sistema que deban realizar labores de mantenimiento para las que sea imprescindible el acceso físico así como al personal autorizado. 6.2.- PUESTOS DE TRABAJO Son todos aquellos dispositivos informáticos desde los cuales se puede acceder a los datos del tratamiento, como por ejemplo, terminales u ordenadores personales. Se consideran también puestos de usuario aquellos terminales de administración del sistema, como por ejemplo, las consolas de operación, donde en algunos casos también pueden aparecer los datos protegidos del tratamiento. Cada puesto de usuario estará bajo la responsabilidad de una persona de las autorizadas. El responsable de un puesto de usuario garantizará que la información a la que accede o que muestra no pueda ser vista por personas no autorizadas. Esta precaución se extremará cuando existan visitas ajenas departamento al que pertenece el tratamiento. Así mismo, tanto las pantallas como las impresoras u otro tipo de dispositivos conectados al puesto de usuario deberán estar físicamente ubicados en lugares que garanticen esa confidencialidad. Todos los datos personales serán almacenados en el equipo para la función que fue designado, dando los permisos de acceso sólo a los usuarios autorizados de manera acorde a su nivel de acceso. La revocación de esta prohibición será autorizada por el responsable del tratamiento, quedando constancia de esta modificación en el Libro de incidencias. En cualquier caso se garantizará el cumplimiento de las medidas de seguridad correspondientes en el PC de usuario, especialmente medidas de control de acceso (como por ejemplo establecimiento de contraseñas, etc.) Cuando el responsable de un puesto de usuario lo abandone, bien temporalmente o bien al finalizar su turno de trabajo, deberá dejarlo en un estado que impida la visualización de los datos personales. Esto podrá realizarse a través de un protector de pantalla que impida la visualización de los datos, o bien mediante el apagado físico del ordenador. La reanudación del trabajo implicará la desactivación de la pantalla protectora con la introducción de la contraseña correspondiente, o bien su encendido debiendo introducir la clave de usuario correspondiente para acceder al puesto de trabajo (ordenador). En el caso de las impresoras deberá asegurarse de que no quedan documentos impresos en la bandeja de salida que contengan datos protegidos. Si las impresoras son compartidas con otros usuarios no autorizados para acceder a los datos de tratamiento, los responsables de cada puesto deberán retirar los documentos conforme vayan siendo impresos. Queda expresamente prohibida la conexión a redes o sistemas exteriores de los puestos de usuario desde los que se realiza el acceso al tratamiento. La revocación de esta prohibición será autorizada por el responsable del tratamiento, quedando constancia de esta modificación en el Registro de incidencias. Los puestos de usuario desde los que se tiene acceso al tratamiento tendrán una configuración determinada en sus aplicaciones y sistemas operativos que sólo podrá ser cambiada bajo la autorización del responsable de seguridad por los administradores autorizados. 6.3.- ENTORNO DEL SISTEMA OPERATIVO Aunque el método establecido para acceder a los datos protegidos de los tratamientos es el sistema informático, al estar el tratamiento ubicado en un ordenador con un sistema operativo determinado y poder contar con unas conexiones que le comunican con otros ordenadores, es posible, para las personas que conozcan estos entornos, acceder a los datos protegidos sin pasar por los procedimientos de control de acceso con los que pueda contar la aplicación. Esta normativa debe, por tanto, regular el uso y acceso de las partes del sistema operativo, herramientas o programas de utilidad, o del entorno de comunicaciones, de forma que se impida el acceso no autorizado a los datos de tratamiento. El sistema operativo y de comunicaciones de los tratamientos deberá tener al menos un responsable. En el caso más simple, como es que el tratamiento se encuentre ubicado en un ordenador personal y accedido mediante una aplicación local mono puesto, el administrador del sistema operativo podrá ser el mismo usuario que accede usualmente al tratamiento. Ninguna herramienta o programa de utilidad que permita el acceso a un tratamiento deberá ser accesible a ningún usuario o administrador no autorizado. Se incluye cualquier medio de acceso en bruto, es decir no elaborado o editado, a los datos del tratamiento, como los llamados editores universales, analizadores de tratamientos, herramientas de acceso de bajo nivel al disco duro, etc., que deberán estar bajo el control de los administradores autorizados. El administrador deberá responsabilizarse de guardar en lugar protegido las copias de seguridad y respaldo de los tratamientos, de forma que ninguna persona no autorizada tenga acceso a las mismas. Si la aplicación o sistema de acceso al tratamiento utilizase usualmente tratamientos temporales, tratamientos de "logging", o cualquier otro medio en el que pudiesen ser grabados copias de los datos protegidos, el administrador deberá asegurarse de que esos datos no son accesibles posteriormente por personal no autorizado. Los usuarios deberán eliminar los tratamientos intermedios que pudieran haber creado para desarrollar su trabajo, una vez no sean necesarios. En ningún caso se conservarán estos tratamientos durante largos periodos de tiempo. En el caso de los puestos de usuario de tipo PC, con sistema operativo Windows, se eliminarán al finalizar cada jornada laboral los tratamientos del directorio temporal del sistema (comúnmente C:\WINDOWS\TEMP\) en el caso de que dicho directorio sea utilizado. Si el ordenador en el que está ubicado el tratamiento está integrado en una red de comunicaciones de forma que desde otros ordenadores conectados a la misma sea posible el acceso al tratamiento, el administrador responsable del sistema deberá asegurarse de que este acceso no se permite a personas no autorizadas. En cualquier caso, deberá identificarse de manera única a las personas que hacen el acceso remoto. En el caso de puestos con Sistema Operativo Windows, en ningún caso se compartirá con el resto de los puestos, el directorio del sistema, comúnmente C:\WINDOWS. Este directorio, entre otras cosas, almacena las contraseñas y el directorio para tratamientos temporales. La revocación de esta prohibición será autorizada por el responsable del tratamiento. 6.4.- APLICACIONES - SOFTWARE Son todos aquellos programas de software con los que se puede acceder a los datos de un tratamiento y que son utilizados por los usuarios para acceder a ellos. Estos programas pueden ser aplicaciones informáticas expresamente diseñadas para acceder a los tratamientos (llamadas aplicaciones específicas o a medida) y/o aplicaciones estándares de uso general como aplicaciones o paquetes disponibles en el mercado informático, como Microsoft Office. Los sistemas informáticos de acceso al tratamiento deberán tener su acceso restringido mediante un código de usuario y una contraseña. Todos los usuarios autorizados para acceder a los tratamientos deberán tener un código de usuario que será único, y que estará asociado a la contraseña correspondiente, que sólo será conocida por el propio usuario. Si la aplicación informática que permite el acceso al tratamiento no cuenta con un control de acceso, deberá ser el sistema operativo, donde se ejecuta esa aplicación, el que impida el acceso no autorizado, mediante el control de los citados datos de usuario y contraseñas. En función de las posibilidades técnicas, se limitará el acceso de cada usuario al mínimo conjunto de recursos que necesite para desempeñar su trabajo, configurando de manera adecuada la aplicación y/o el sistema operativo. Se controlarán los intentos de acceso fraudulento al tratamiento, limitando el número máximo de intentos fallidos, y cuando sea técnicamente posible, guardando en un tratamiento auxiliar la fecha, hora, código y clave erróneas que se han introducido, así como otros datos relevantes que ayuden a descubrir la autoría de esos intentos de acceso fraudulentos. Si fuera necesario durante las pruebas anteriores a la implantación o modificación de la aplicación de acceso a los tratamientos la utilización de datos reales se deberá aplicar a esos tratamientos las mismas medidas de seguridad. Se prohíbe expresamente la instalación de cualquier tipo de software sin la autorización del responsable de seguridad, así como deshabilitar el software antivirus y antimalware. 6.5.- CUSTODIA DE CONTRASEÑAS DE ACCESO Las contraseñas personales constituyen uno de los componentes básicos de la seguridad de los datos, y deben por tanto estar especialmente protegidas. Como llaves de acceso al sistema, las contraseñas deberán ser estrictamente confidenciales y personales, y cualquier incidencia que comprometa su confidencialidad deberá ser inmediatamente comunicada al administrador y subsanada en el menor plazo de tiempo posible. Se llevará a cabo la activación de las medidas de control de acceso proporcionadas por el propio sistema operativo y por las aplicaciones informáticas empleadas en la organización, asignando a cada usuario autorizado, un nombre de usuario y clave. Sólo los usuarios autorizados podrán tener acceso a los datos del tratamiento, utilizando para ello el Usuario y Contraseña asignado a tal efecto. Esto se aplica también a los administradores del sistema, incluyendo el personal técnico externo que de manera habitual pudiera colaborar en la administración de los sistemas. Cada usuario será responsable de la confidencialidad de su contraseña y, en caso de que la misma sea conocida fortuita o fraudulentamente por personas no autorizadas, deberá proceder a su cambio inmediatamente, mediante notificación al /responsable del seguridad. Los identificadores de usuario y las contraseñas se asignarán y se cambiarán mediante un mecanismo y una periodicidad establecidos, asegurando que se mantiene la confidencialidad de ambos. El archivo donde se almacenen las contraseñas deberá estar protegido y cifrado, y bajo la responsabilidad del administrador del sistema. Si el responsable de seguridad lo considera necesario, en aquellos equipos con información altamente sensible, optará por la instalación del sistema de blindaje TID en los equipos informáticos que realizan el tratamiento de los datos de carácter personal, como sistema avanzado de blindaje de ordenadores. Esta tecnología conocida como Sistema de Seguridad TID, está basada en el empleo de tarjetas microprocesadas de alta seguridad. Cada tarjeta incorporará la identidad de su titular y el nivel de acceso autorizado, así como los recursos informáticos que puede utilizar. Así mismo, los equipos tendrán activado el proceso de cifrado automático, de tal forma que el sistema discrimina el acceso a los datos según los derechos de cada usuario, el cual al introducir su SmartCard procede a descifrar la zona de memoria que le es autorizada, y al extraerla, se cifran automáticamente los datos. Los equipos informáticos, si así lo determina el responsable de seguridad, tendrán activado el blindaje de protección de tal forma que solo personal autorizado puede acceder, siempre identificándose mediante la Tarjeta de Identificación Digital. Se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. Los sistemas informáticos deberán hallarse configurados para no permitir la introducción de forma reiterada de contraseñas falsas (máximo 3 intentos). Superados estos intentos, el sistema quedará bloqueado y solo se activará mediante clave de desbloqueo conocida por el responsable de seguridad. Se solicitará a los proveedores de aplicaciones informáticas información detallada sobre estas capacidades por escrito para su activación, si procede, por el nivel de seguridad de los tratamientos procesados desde cada aplicación. Exclusivamente el personal autorizado podrá tener acceso a los locales donde se encuentren ubicados los sistemas de información con datos de carácter personal. 6.6.- GESTIÓN DE INCIDENCIAS El responsable de seguridad habilitará un Registro de Incidencias con el fin de que se registren en él cualquier incidencia que pueda suponer un peligro para la seguridad del tratamiento/s y su comunicación en el plazo de 72 horas a la Autoridad de Control. Cualquier usuario que tenga conocimiento de una incidencia es responsable de comunicarla en el menor tiempo posible al responsable de seguridad o al responsable del tratamiento, que serán los encargados de incorporarla al Libro. El conocimiento de una incidencia y la falta de notificación o registro de la misma por parte de un usuario será considerado como una falta contra la seguridad del tratamiento por parte de ese usuario. La notificación o registro de una incidencia deberá constar al menos de los siguientes datos: tipo de incidencia, fecha y hora en que se produjo, persona que realiza la notificación, persona a quien se comunica, efectos que puede producir y una descripción detallada de la misma. El responsable de seguridad se ocupará de gestionar cada incidencia para resolver los problemas que plantee de la mejor manera posible, en colaboración con el responsable del tratamiento. Será necesaria la autorización por escrito del responsable del tratamiento para llevar a cabo el procedimiento de recuperación de datos. 6.7.- TRATAMIENTOS El responsable del tratamiento ha creado un Registro de Actividades de tratamiento. Este registro se encuentra bajo la responsabilidad directa del responsable de seguridad, el cual en el marco de sus funciones debe de mantenerlo actualizado. La creación de un nuevo tratamiento o la modificación o supresión de los existentes por parte de los usuarios autorizados debe de contar con la autorización del responsable del tratamiento. El responsable de los tratamientos prohíbe expresamente a todos los usuarios autorizados a crear tratamientos que tengan como finalidad exclusiva almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, vida sexual e ideología política. Esta prohibición no se hace extensiva a los tratamientos que justifiquen la inclusión de este tipo de datos en base a su finalidad, el consentimiento de los afectados y la garantía de cumplimiento de todas medidas de seguridad de obligado cumplimiento para los tratamientos de datos incluidos en el Art. 9 del RGPD EU 679/2016. Queda igualmente prohibida cualquier tipo de prueba técnica sobre estos tratamientos. Las pruebas se realizarán siempre con tratamientos temporales creados a tal efecto y con datos simulación. 6.8.- ORIGEN DE LOS DATOS Los datos serán recogidos exclusivamente del propio interesado, o bien de cesiones de datos debidamente autorizadas. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, utilizando para ello la Cláusula Informativa correspondiente al tratamiento en cuestión. Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos. Queda prohibida toda recogida de datos que esté al margen de lo establecido por el responsable del tratamiento. Los usuarios autorizados prestarán la mayor diligencia posible en informar de sus derechos a los interesados, en especial en la solicitud de consentimiento de recogida de datos; llamando su atención y recomendando que lean las cláusulas informativas que a tal efecto se han dispuesto. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las disposiciones incluidas en la Cláusula Informativa del tratamiento. Los usuarios autorizados a trabajar con este sistema de información velarán por utilizar exclusivamente impresos que atiendan este requerimiento legal. Cuando la recogida de datos se realice telemáticamente y a través de un formulario informatizado, se deberá incluir en el mismo las advertencias legales anteriormente reseñadas. 6.9.- CALIDAD DE LOS DATOS El personal encargado de la recogida de los datos debe de prestar máxima atención, de que los datos incorporados a los tratamientos automatizados correspondan a la realidad del interesado, y comunicar para proceder a su actualización, de aquellas variaciones informativas que presupongan un cambio en la situación actual del interesado o cualquier inexactitud existente en los mismos. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado. Así mismo informarán de aquellos datos almacenados que consideren que ya no sean necesarios, a fin de que el responsable del tratamiento pueda evaluar su posible supresión. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados, de acuerdo con el plazo de conservación del tratamiento en cuestión. 6.10.- TRATAMIENTOS TEMPORALES Todo tratamiento temporal será borrado una vez que haya dejado de ser necesario para los fines que motivaron su creación. En ningún caso se pueden mantener de forma indefinida. La destrucción de los tratamientos temporales se tiene que llevar acabo de forma que imposibilite cualquier posterior recuperación. Debe prestarse especial atención al hecho de no almacenar documentos en la Papelera de Reciclaje. 6.11.- GESTIÓN DE SOPORTES Se establece que todos los soportes informáticos que contengan datos de carácter personal serán identificados de forma inequívoca, mediante un identificador numérico o nombre formado por fechas o letras que permitan crear una estructura de localización. Los soportes utilizados serán inventariados mediante un identificador único. Así mismo se determinará el lugar donde se encuentra almacenado y el tipo de soporte. El Registro de Inventario de soportes se realizará mediante el registro anexo a este documento, que permite vincular los sistemas informáticos a las aplicaciones instaladas y éstas a los tratamientos sobre los que actúan. La salida de soportes informáticos que contengan datos de carácter personal, fuera de la oficina donde se encuentra ubicado el tratamiento, únicamente podrá ser autorizada por el responsable del tratamiento. Se creará un Registro de Entradas de Soportes donde los responsables especificarán todas las entradas de soportes que se produzcan y realizarán la identificación de los soportes. Los responsables registrarán las bajas de soportes, manteniendo el Registro constantemente actualizado, las bajas deberán contar con la ratificación del responsable de seguridad que revisará estos registros con una periodicidad no superior a los seis meses. La detección de soportes con identificador duplicado se tratará de evitar, procediendo en su caso a la subsanación del error y a efectuar la correspondiente actualización en el Registro Inventario, de tal forma que permita la trazabilidad original del soporte. La falta de material puntual para poder realizar la normal labor de etiquetado de los soportes será comunicada lo antes posible al responsable de seguridad. En caso de pérdida o destrucción de un soporte enviado por transporte, se describirá como “Salida Pérdida”, confirmado el proceso de cifrado de los contenidos, se notificará inmediatamente al responsable de seguridad, con el fin de que autorice la baja del soporte en el Registro de Inventario. Si no se confirma el proceso de cifrado de los contenidos, deberá ser descrito como “Perdida Sancionable”, y deberá ser notificado inmediatamente al responsable de seguridad, con el fin de que adopte las medidas disciplinarias oportunas. En caso de pérdida, robo o sustracción de un soporte, se describirán los incidentes como “Pérdida”, “Robo”, “Sustracción”, (según corresponda) y se notificará inmediatamente al responsable de seguridad, con el fin de que autorice la baja del soporte en el Registro de Inventario y proceda a efectuar la correspondiente denuncia judicial en los supuestos de robo o sustracción, y a adoptar las medidas disciplinarias correspondientes en caso de pérdida, incluyendo la notificación de la incidencia en el plazo de 72 horas a la Autoridad de Control. Las medidas de seguridad aplicadas para las ubicaciones de los soportes deberán contemplar el almacenamiento de éstos en un compartimiento bajo llave a cargo del responsable del tratamiento. A ser posible, dicho lugar será protegido contra incendios. Se conservará una copia del procedimiento de restauración y la copia de seguridad, es decir, los soportes donde se realice la copia, en un lugar diferente a aquél donde se encuentren los sistemas informático, por ejemplo, en la caja de seguridad de un banco o entidad financiera. Cuando sea necesaria la salida de los soportes informáticos que contengan datos personales, fuera de los locales en los que esté ubicado el tratamiento, deberá solicitarse previamente la autorización del responsable del tratamiento, el cual es el único que puede autorizar su salida. El responsable del tratamiento ha creado un Registro de Salidas de los Soportes informáticos, donde se detallan los siguientes datos: - Fecha de Salida. - Causa de la Salida. - Identificador del soporte. - Forma de envio. - Destinatario. - Confirmación de llegada. - Fecha de devolución. (en su caso). Estos responsables especificarán el plazo de devolución del soporte el registro de salidas caso de que corresponda. Si cumplido el plazo de una salida con fecha de devolución, ésta no se verifica, se describirá como “No Devolución”, y deberá ser comunicado inmediatamente al responsable de seguridad con el fin de que adopte las medidas oportunas. Estos responsables además se responsabilizan de: a) Al igual que la salida de soportes informáticos, se registrará su entrada. b) Adoptar las medidas técnicas o de protocolo interno que garanticen la imposibilidad de reconstruir total o parcialmente los tratamientos recibidos una vez se haya realizado la labor necesaria. Cuando la salida de los tratamientos que contengan datos especialmente sensibles venga motivada por consecuencia de operaciones de mantenimiento, éstos serán cifrados o protegidos con medios equivalentes. La distribución de soportes que contengan datos de carácter personal se realizará cifrando los datos o bien utilizando cualquier otro mecanismo que garantice que dicha información no sea legible ni manipulada durante su transporte. 6.12.- TRATAMIENTOS EN PAPEL Los documentos impresos con datos personales se almacenarán de manera que se mantenga la confidencialidad de los mismos en lugares a lo que no tengan acceso personas no autorizadas. En ningún caso se dejarán a la vista, como por ejemplo encima de una mesa, o en la bandeja de salida de las impresoras. Las anteriores normas son de obligado cumplimiento para los documentos soportados en formato papel, quedando pues a tenor de lo dispuesto en referencia al Registro de Entrada y Salida de Soportes. Los documentos impresos con datos personales, una vez que ya no sean necesarios, se destruirán físicamente de manera que no puedan recuperarse los datos que contenían (por ejemplo mediante una trituradora de papel). En ningún caso se reutilizarán este tipo de documentos (por ejemplo, no podrán ser utilizados para imprimir por la otra cara, si estuviera en blanco). 6.13.- ENTRADA Y SALIDA DE DATOS POR REDES TELEMÁTICAS La transmisión de datos por redes telemáticas, como por ejemplo Internet, ya sea por medio de correo electrónico o mediante sistemas de transferencia de tratamientos (como p.ej. FTP), es uno de los medios más utilizados para el envío de datos, hasta el punto de que está sustituyendo a los soportes físicos. Por ello merecen un tratamiento especial ya que, por sus características, pueden ser más vulnerables que los soportes físicos tradicionales. Todas las entradas y salidas de datos de los tratamientos, que se efectúen mediante correo electrónico se realizarán desde una única cuenta o dirección de correo controlada por un usuario especialmente autorizado por el responsable del tratamiento. Igualmente si se realiza la entrada o salida de datos mediante sistemas de transferencia de tratamientos por red, únicamente un usuario o administrador estará autorizado para realizar esas operaciones. Se guardarán copias de todos los correos electrónicos que involucren entradas o salidas de datos del tratamiento, en directorios protegidos y bajo el control del responsable de seguridad. Se mantendrán copias de esos correos durante al menos dos años. También se guardará durante un mínimo de dos años, en directorios protegidos, una copia de los tratamientos recibidos o transmitidos por sistemas de transferencia de tratamientos por red, junto con un registro de la fecha y hora en que se realizó la operación y el destino del tratamiento enviado. Cuando los datos del tratamiento vayan a ser enviados por correo electrónico o por sistemas de transferencia de tratamientos, a través de redes públicas o no protegidas, se recomienda que sean cifrados de forma que solo puedan ser leídos e interpretados por el destinatario. 6.14.- COPIAS DE SEGURIDAD Y RESTAURACIÓN La seguridad de los datos personales de los tratamientos no sólo supone la confidencialidad de los mismos sino que también conlleva la integridad y la disponibilidad de esos datos. (Art. 32 RGPD EU 679/2016) Para garantizar estos dos aspectos fundamentales de la seguridad es necesario que existan unos procesos de respaldo y de recuperación que, en caso de fallo del sistema informático, permitan recuperar y en su caso reconstruir los datos del tratamiento. Se establece que con el fin de garantizar la reconstrucción de los datos, en caso de pérdida o destrucción, se realizarán copias de respaldo únicamente con la autorización del responsable de Seguridad. Estas copias de seguridad deberán realizarse con una periodicidad, al menos semanal, salvo en el caso de que no se haya producido ninguna actualización de los datos. Se evitará desgastar en exceso los soportes donde se realizan las copias de seguridad, rotándolos y renovándolos de forma periódica transcurridos un número determinado de grabaciones o un período de tiempo largo. Los soportes destinados a copias de seguridad seguirán todas las normas definidas para la gestión de soportes (identificación, reutilización y eliminación, etc.). Los responsables de la realización de las copias de respaldo llevarán un calendario que detalle la labor a realizar en cada momento. En caso de imposibilidad de realización de las copias de seguridad, se considerará un incidente denominado “No Copia” que tiene que ser notificado inmediatamente al responsable de seguridad, con el fin de que adopte las medidas oportunas. En caso de que las copias de seguridad estén corrompidas o hayan desaparecido, el incidente se registrará como “No Copia por corrupción o desaparición”, y deberá ser notificado inmediatamente al responsable de seguridad con el fin de que adopte las medidas oportunas. Será necesaria la autorización por escrito del responsable de seguridad para la ejecución de los procedimientos de recuperación de los datos. En cumplimiento de la Ley de Firma Electrónica, la empresa admitirá la autorización mediante firma electrónica avanzada con sello de tiempo aplicado desde fuente segura, si lo estima oportuno. Los responsables de la restauración de las copias de respaldo, en caso de tener que efectuar una restauración de copias, emitirán un informe del incidente acaecido, que ha obligado a efectuar esa restauración, detallando los tratamientos afectados y solicitando por escrito al responsable del tratamiento la correspondiente autorización. El proceso de autorización podrá realizarse digitalmente, autentificando la solicitud y la autorización con firma electrónica avanzada. Una vez realizado el proceso, se confeccionará un informe especificando la fecha y hora en que se realizó la restauración, así como la posible pérdida de datos en caso de desactualización entre la fecha de la última copia y última actualización realizada. El incidente deberá será descrito como “Restauración”. Este informe, así como la autorización suscrita, se registrarán en el Libro Registro de Incidencias. En caso de desactualización, el responsable de la restauración realizará una valoración de los datos de carácter personal registrados que puedan ser inexactos, con el fin de proceder a su cancelación y rectificación por nuevos valores exactos y puestos al día. Caso de no ser posible la actualización por los medios que obran en poder del responsable del tratamiento, se notificará el suceso a los afectados y solicitará de ellos la información necesaria. El incidente tiene que ser notificado inmediatamente al responsable de seguridad. En caso de imposibilidad de restauración o de que la misma tenga una desactualización de evidente importancia, el incidente se registrará como “No Restauración”, y deberá ser notificado inmediatamente al responsable de seguridad el fin de que adopte las medidas complementarias oportunas. Deberá conservarse una copia de respaldo y de los procedimientos de recuperación de los datos en un lugar diferente de aquél en que se encuentren los equipos informáticos que los tratan. El responsable de seguridad se encargará de trasladar una copia de respaldo en un lugar diferente al que se encuentran los equipos informáticos. En aquellos casos en los que la copia de respaldo se realice de forma telemática, el responsable de seguridad verificará que el procedimiento de transmisión de datos se realice un protocolo de cifrado de alta seguridad. La transmisión de datos de carácter personal a través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. Al menos con una periodicidad semestral se revisarán los procedimientos de copia por parte del responsable del tratamiento. 6.15.- CONTROLES PERIÓDICOS La veracidad de los datos contenidos en este documento, así como el cumplimiento de las normas deberán ser periódicamente comprobados, de forma que puedan detectarse y subsanarse anomalías. El responsable de seguridad del tratamiento comprobará, con una periodicidad al menos trimestral, que la lista de usuarios autorizados se corresponde con la lista de los usuarios realmente autorizados en la aplicación de acceso al tratamiento, para lo que recabará la lista de usuarios de la aplicación y sus identificadores al administrador o administradores. De igual manera, comprobará que los perfiles de acceso de cada usuario se corresponden con las medidas técnicas habilitadas para limitar este acceso (restricción de funciones de las aplicaciones, configuración de permisos de carpetas, etc.). También comprobará que se realizan de manera adecuada los procedimientos de gestión de usuarios y contraseñas, especialmente la renovación periódica de las contraseñas. Además de estas comprobaciones periódicas, el administrador comunicará al responsable de seguridad, en cuanto se produzca, cualquier alta o baja de usuarios con acceso autorizado al tratamiento. Se comprobará también al menos con periodicidad mensual, la existencia de copias de respaldo correctas que permitan la recuperación de tratamiento, así como el procedimiento de copias y restauración. A su vez, y también con periodicidad al menos mensual, los administradores del sistema informático comunicarán al responsable de seguridad cualquier cambio que se haya realizado en los datos técnicos de los sistemas, como por ejemplo cambios en el software o hardware, base de datos o aplicación de acceso al tratamiento, procediendo igualmente a la actualización de dichos datos y resto de documentos. También se comprobará, con periodicidad al menos mensual, que las configuraciones hardware y software de los puestos documentadas se corresponden con las existentes en la realidad, verificando que no se hayan instalado programas sin autorización. Se hará hincapié en verificar que no hay instalados programas especiales como herramientas de utilidad que permitan el acceso no controlado a los tratamientos de datos. El responsable de seguridad verificará, con periodicidad al menos mensual, el cumplimiento de lo previsto en este documento en relación con las entradas y salidas de datos, sean por red o en soporte informático. El responsable del tratamiento junto con el responsable de seguridad, analizarán con una periodicidad al menos mensual las incidencias registradas, independientemente de las medidas particulares que se hayan adoptado en el momento que se produjeron, parta analizar y adoptar las medidas correctoras que limiten esas incidencias en el futuro. El responsable de seguridad revisará periódicamente la información de control registrada en el registro de accesos (log), y elaborará un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes. Los sistemas de información e instalaciones de tratamiento de datos se someterán a una auditoría interna o externa, que verifique el cumplimiento del presente documento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos una vez al año. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la legislación vigente, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas. Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del tratamiento para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia de Protección de Datos. 7.- PROCEDIMIENTOS 7.1.- RECOGIDA DE DATOS PERSONALES Dependiendo del tipo de interesado, el sistema de entrada puede ser diferente: tarjetas de visita, formularios escritos o vía web, documentos comerciales, entrevistas, envíos de correos electrónicos, currículums, etc. Siempre que se solicite a un interesado algún dato de carácter personal es imprescindible informarle haciendo entrega de la cláusula informativa correspondiente, o bien deberá firmar el consentimiento correspondiente en el caso de que la base jurídica sea el consentimiento. Si además, de la finalidad principal de la recogida de datos existieran otras como por ejemplo el envío de publicidad, deberá ser, de la misma forma admitida de forma expresa por el interesado en la forma de consentimiento informado. 7.2.- GESTIÓN DE PERSONAL AUTORIZADO Se debe disponer de una relación de personas autorizadas, totalmente actualizada donde figuren los permisos de accesos a los tratamientos y a sistemas informáticos y soportes. Para ello, cada vez que se deba crear un nuevo usuario en el sistema, se deba dar de baja o modificar sus premisos, será necesario seguir los siguientes procedimientos que se detallan a continuación. 7.2.1.- Creación de Usuarios El responsable del departamento donde vaya a trabajar el nuevo usuario debe notificar al responsable de seguridad el alta de dicho usuario. En el mismo indicará con claridad los datos básicos del usuario, los tratamientos físicos a los que se les debe permitir el acceso y el perfil de usuario. En función de los permisos que se le concedan y las funciones que vaya a desempeñar, el responsable de seguridad le entregará el Manual de Usuario, teniendo que firmar el usuario el impreso donde afirma haber recibido dicha documentación y se compromete a cumplirlas y a guardar total confidencialidad sobre los datos a los que, por su trabajo, vaya a tener acceso. El responsable de seguridad, bien directamente o a través del Administrador de Sistemas, procederá a configurar los sistemas informáticos (ordenador donde vaya a trabajar, escritorio de trabajo con accesos permitidos a aplicaciones y tratamientos y entorno de red), se le asignará una identificación exclusiva (“usuario”) y una contraseña que solo podrá conocer él. El responsable de seguridad incluirá al nuevo Usuario en el Registro de Usuarios con Acceso a datos. 7.2.2.- Baja de usuarios El responsable del Departamento donde trabaja el usuario que se va a dar de baja, debe notificar al responsable de seguridad las bajas de usuarios. Esta comunicación deberá producirse cuando el cese de la relación laboral o un cambio de departamento hagan innecesario su acceso a los datos. En la notificación se indicarán con claridad los datos básicos del usuario y los tratamientos físicos a los que se les debe cancelar el acceso. El responsable de seguridad, bien directamente o a través del Administrador de Sistema, procederá a anular ellos permisos de acceso y el usuario del sistema. El responsable de seguridad, o en su caso el Administrador del Sistema se asegurará que los datos que el usuario haya tratado y que pudieran estar en el puesto de trabajo donde haya trabajado o en carpetas propias en otra ubicación (p.ej. servidor) sean reubicados o borrados, en el caso de que se trataran de tratamientos temporales. Este trabajo será imprescindible realizarlo antes de que el propio ordenador pueda ser reutilizado para otro usuario o vaya a ser destruido. Una vez realizado todo esto, el responsable de seguridad procederá a indicar la baja del usuario en el registro existente a tal efecto. 7.2.3.- Modificación de un usuario En el caso de que se tuvieran que realizar modificaciones sobre los permisos de acceso a sistemas informáticos y/o tratamientos, el responsable del Departamento donde trabaje el Usuario, procederá a notificar dichos cambios al responsable de seguridad. El responsable de seguridad, bien directamente o bien a través del Administrador de Sistemas, procederán a realizar las modificaciones en los sistemas informáticos. En la medida que estos cambios pudieran suponer un cambio de funciones y/o obligaciones, a nivel de lo que figura en el Documento de Seguridad, el responsable de seguridad procederá a notificárselo al usuario. 7.2.4.- Identificación y Autenticación de usuarios Se establece que toda persona que tenga acceso concedido a tratamientos con datos personales, a través de sistemas informáticos, debe estar perfectamente identificada de forma inequívoca. Los sistemas informáticos de acceso a los tratamientos con datos de carácter personal deberán tener su acceso restringido mediante un código de usuario y una contraseña. El código de usuario será asignado por el responsable de seguridad, siguiendo los criterios del responsable del tratamiento. En cada sistema de información, la identidad de cada persona autorizada como usuario está asociada al código de usuario que se le ha asignado. Todos los usuarios autorizados, deberán tener un código de usuario que será único, y que estará asociado a la contraseña correspondiente, que sólo será conocida por el propio usuario. La contraseña tendrá carácter secreto y estará formada por una cadena alfanumérica introducida por el usuario. Sólo la podrá conocer él y en todo caso, el responsable de seguridad. Tras este proceso, la identificación de la persona a través de “usuario” y “contraseña”, será obligatoria en: a) Inicio de sesión en su puesto de trabajo b) Acceso a redes locales c) Anulación de protectores de pantalla. La política de asignación de contraseñas, dependiendo de que el Sistema Operativo lo permita, será la siguiente: Se asignará una contraseña de forma transitoria hasta que el usuario se conecte por primera vez. Momento éste en que el sistema procederá a solicitar una nueva. Si el sistema no lo permite, será el responsable de seguridad quien la cree y comunique al usuario. Al menos con periodicidad anual, el sistema propondrá de forma automática al usuario el cambio de contraseña, obligando a que la nueva sea diferente a la última. También se cambiarán las contraseñas cuando lo solicite el interesado, cuando haya una incidencia que comprometa la seguridad. Se cancelará la contraseña cuando haya un cambio de funciones o se produzca un cese en el cargo. En el caso de que el sistema no lo permita, el responsable de seguridad cambiará las palabras de paso de todos los usuarios, comunicándoselas personalmente. Las contraseñas deben tener al menos seis caracteres. Estarán formadas por letras mayúsculas y minúsculas, no todas iguales, o por cadenas que contengan conjuntamente caracteres alfabéticos y números. No se dejará la contraseña en blanco. No se usará como contraseña el código de usuario No se guardará la contraseña por escrito en ningún documento, ni en papel, ni en documentos electrónicos legibles. No se proporcionará la contraseña a otro usuario. Cuando por razones de fuerza mayor, un usuario deba facilitar su contraseña a otro, comunicará el hecho al responsable de seguridad, que lo reflejará en el registro de incidencias y asignará una nueva contraseña a la cuenta en cuanto finalicen las circunstancias que motivaron el hecho. De la misma forma se procederá en el caso de que ocurra cualquier otra incidencia que pudiera afectar al secreto de la contraseña. Los sistemas de información mantendrán internamente cada contraseña en formato cifrado y asociada al código de usuario correspondiente. Únicamente el responsable de seguridad tendrá acceso a esta asociación. Las cuentas de acceso a los sistemas de información no podrán ser compartidas, con el fin de que todo aquel usuario que intente acceder al sistema pueda ser identificado de forma inequívoca y personalizada y el sistema pueda verificar que está autorizado. El responsable de seguridad habilitará los medios técnicos disponibles para que el usuario no pueda eludir las normas de identificación y autenticación. En los casos en los que esto no sea posible, será responsabilidad del usuario su observación y cumplimiento. En la medida que la técnica lo permita, el sistema controlará el número de intentos de acceso, limitándolo a tres. Si el usuario supera el número de intentos, el sistema bloqueará el puesto de trabajo, teniendo que ser el responsable de seguridad, o el Administrador de Sistemas, quien lo desbloquee. En este caso, el responsable de seguridad, tras analizar las causas, anotará el hecho en el registro de Incidencias. Cuando un usuario tenga que abandonar su puesto de trabajo, cerrará o bloqueará su sesión en el ordenador personal. Además, todos los ordenadores personales tendrán activado un protector de pantalla o cualquier otro sistema que impida la utilización del sistema si transcurrieran quince minutos sin que se realice ninguna operación. Una vez activado este sistema, será necesaria la introducción de una contraseña para desactivarlo. Todo ordenador personal que se utilice fuera de las dependencias, además de las normas de bloqueo de sesión relacionadas en el punto anterior, tendrá activada una protección por contraseña previa a la carga en memoria del sistema operativo (en el set-up). Este punto será especialmente observado en los ordenadores portátiles que salen fuera de la oficina y almacenan datos personales. 7.2.5.- Control de Acceso El personal sólo accederá a aquellos datos y recursos que precise para el desarrollo de sus funciones. El responsable del tratamiento establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. A la hora de crear un nuevo usuario, o si con posterioridad se realizara algún cambio autorizado, el responsable del tratamiento, junto con el responsable de seguridad, definirá los accesos permitidos. Una vez definidos sus accesos, a través de la configuración de los puestos de trabajo (sistemas operativos, escritorio, entorno de red y acceso a aplicaciones), se establecen los permisos y limitaciones. Es por este sistema, por el que para acceder al puesto de trabajo y por tanto a los sistemas informáticos de la empresa por lo que siempre se obliga a la identificación y autenticación de la persona que accede. Exclusivamente el responsable de seguridad está autorizado para conceder, alterar o anular el acceso autorizado sobre los datos y los recursos, conforme a los criterios establecidos por el responsable del tratamiento. En el documento de seguridad figura el procedimiento de alta, modificación y/o baja de usuarios. El responsable de seguridad mantendrá una relación de usuarios de los sistemas de información con especificación de los accesos autorizados para cada uno de ellos. Esta relación estará siempre actualizada. El responsable de seguridad comprobará, con una periodicidad al menos trimestral, que la lista de usuarios autorizados se corresponde con la lista de los usuarios realmente autorizados en la aplicación de acceso al tratamiento. En relación a tratamientos no automatizados, el responsable de seguridad adoptará las medidas necesarias para impedir que personas sin la debida autorización tengan acceso a la misma. En el caso de que personal ajeno a la empresa, tuviera que tener acceso a tratamientos que contengan datos de carácter personal, se le deberá exigir el cumplimiento de las mismas medidas de seguridad, que el personal propio. 7.2.6.- Control de Acceso físico Los locales donde se ubiquen los ordenadores que contienen los tratamientos con datos de carácter personal, deberán ser objeto de especial protección que garantice la disponibilidad y confidencialidad de los datos protegidos frente a riesgos que pudieran producirse como consecuencia de incidencias fortuitas o intencionadas. Exclusivamente el personal con acceso permitido podrá tener acceso a los locales, dependencias o despachos, donde se encuentren ubicados los tratamientos y los sistemas de información con los que se tratan. (sala de Servidores, armarios con documentación en papel, sala de archivo, … etc.). Se considera espacio de acceso restringido la sala de servidores y equipos críticos. Solo están autorizados para acceder al citado espacio, las personas autorizadas y las empresas de mantenimiento informático que tengan firmado un contrato de confidencialidad. En la puerta de la sala de acceso restringido se colocarán carteles advirtiendo del carácter restringido del acceso. Todos los accesos excepcionales a la sala de acceso restringido serán comunicados por la persona que realizó el acceso, al responsable de seguridad, que los anotará en el registro de incidencias. En el caso de que fuera imprescindible que personal no autorizado tenga acceso a dichos locales, donde se encuentren ubicados tratamientos, se realizará en presencia del responsable de seguridad o de quien él delegue. En la medida de que esto no sea posible (personal de limpieza), el responsable del Departamento será responsable de mantener los tratamientos debidamente archivados en armarios y/o cajones cerrados con llave y de no dejar ninguna carpeta o tratamiento fuera de su armario correspondiente. 7.3.- GESTIÓN DE SOPORTES Soportes informáticos son todos aquellos medios de grabación y recuperación de datos que se utilizan para almacenar datos o realizar copias o pasos intermedios en los procesos de la aplicación que gestiona el tratamiento. Los soportes informáticos que contienen datos de carácter personal se identificarán mediante etiquetas que permitan identificar el tipo de información que contienen. Se mantendrá un inventario de los soportes informáticos que contengan datos de carácter personal. Para cada soporte se especificará al menos: código del soporte, fecha de copia, tipo de soporte y responsable. El inventario podrá gestionarse por medios informáticos. Todo soporte que contenga información especialmente sensible estará codificado con criterios de etiquetado que serán comprensibles y con significado para los usuarios autorizados, permitiéndoles identificar su contenido, y que sin embargo dificultan la identificación para el resto de las personas. Para la codificación de soportes, se seguirá el procedimiento que el responsable de seguridad defina, que por razones de seguridad y para evitar que personal no autorizado pueda llegar a conocerlo, solo será conocido por él y el personal encargado del control de soportes. Los soportes serán almacenados en lugar donde nadie, no autorizado, pueda tener acceso. En el anexo al documento de seguridad figuran las personas con acceso a los soportes. En el caso de soportes tipo disquetes, cds, dvds, cintas, discos duros externos, llaves USB, etc., serán almacenados en armarios cerrados, con llave y en la medida que sea posible, ignífugos. De esta forma, además de garantizar que nadie pueda acceder a ellos, garantiza su seguridad ante incendios. Las entradas y salidas de tratamientos con datos de carácter personal que se realicen a través de sistemas de telecomunicación (correo electrónico, ftp, o cualquier otro) deberán cumplir la normativa de entrada / salida de soportes de información, incluirán el cifrado de datos si el tratamiento contiene datos incluidos en el Art. 9 del RGPD EU 679/2016. 7.3.1.- Salidas de Soportes y Documentos La salida de soportes y documentos que contengan datos de carácter personal, fuera de los locales bajo el control del responsable del tratamiento, deberá ser autorizada por el responsable del tratamiento o por el responsable de seguridad. Para ello, se solicitará autorización al responsable de seguridad, rellenando el impreso habilitado a tal efecto. Se distinguen tres tipos de autorizaciones: a) Periódicas Continuas: Salidas de datos que se producen con una periodicidad concreta (Mensual, anual, etc.). Solo se requerirá una autorización. b) Ordinarias: Salidas de información que se realizan de forma repetitiva, pero sin periodo de tiempo definido. Como en el caso anterior, bastará con una sola autorización para cada tipo de salida. c) Extraordinarias: Salida de datos puntual. Se necesita una autorización para cada salida. En cada escrito de autorización deberá constar, al menos, el tipo de autorización, el sistema del que procede el tratamiento, el responsable de realizar el envío, el destino, el tipo de soporte, la forma de envío y el motivo de la salida. En todo caso se guardará anexada a este documento de seguridad una relación actualizada de las autorizaciones concedidas La persona responsable de la recepción de soportes que contengan datos de carácter personal deberá estar autorizada por el responsable de los tratamientos 7.3.2.- Entradas de Soportes y Documentos Toda entrada de soporte y documentos, antes de ser introducido en el sistema de información de la empresa, deberá ser autorizada por el responsable de seguridad para lo que se deberá cumplimentar el documento correspondiente. Las entradas pueden ser de los mismos 3 tipos que los indicados en el apartado anterior (periódicas, ordinarias o extraordinarias), por lo que se seguirá el mismo procedimiento ya descrito. 7.3.3.- Cifrado en la distribución de Soportes Aquellos tratamientos que deben salir de la empresa, por email, o sea de la forma que fuere, que contengan datos de carácter personal de carácter sensible, serán previamente cifrados para garantizar que dicha información no pueda ser accesible o manipulada durante el transporte. Para el cifrado de tratamientos, se utilizará un software que permita introducir una palabra que mediante un algoritmo matemático, impida que nadie que no la conozca, pueda tener acceso al contenido del mismo. La salida de tratamientos automatizados de este tipo puede ser de 2 tipos: a) Trasladado por el propio personal autorizado de la empresa. En este caso, la contraseña solo será conocida por la persona que traslada el tratamiento b) Enviado a un destinatario: En este caso, la clave necesaria para desencriptar el tratamiento solo podrá darse al destinatario de forma personal, con el fin de asegurar de que solo él sea que pueda tener acceso a su contenido. 7.3.4.- Destrucción de Soportes y Documentos Nunca se utilizará como mecanismo de eliminación de papeles o soportes informáticos con datos, los sistemas de papeleras y residuos, ya que éstos tienen que ser destruidos de forma que queden totalmente ininteligibles previamente. Solamente el responsable de seguridad puede eliminar y/o autorizar la destrucción de soportes, equipos informáticos, carpetas o cualquier otro tipo de soporte. Cuando un usuario vea la necesidad de que un soporte que almacene información deja de ser útil y operativo, se procederá a su sustitución y/o eliminación y se efectuaran los siguientes pasos: El usuario lo comunicará al encargado de seguridad y será incluido al registro de incidencias. El encargado de seguridad autorizará la destrucción y se asegurará de eliminar la información y/o destrucción del soporte/equipo. Incluirá la acción y las medidas de seguridad adoptadas en el registro de incidencias y en el informe periódico. Además, dará de baja el soporte del inventario correspondiente. 7.3.5.- Reutilización de soportes informáticos El procedimiento a seguir, por parte del responsable, en los casos de destrucción o reutilización de soportes será el siguiente: La reutilización de un soporte informático, que en su día fue utilizado para almacenar una copia de seguridad de tratamientos con datos de carácter personal, no es aconsejable. La simple grabación de datos sobre los datos antiguos no garantiza el borrado real de los mismos ni la imposibilidad de su recuperación. Para poder aprovechar un soporte (Cinta, CD-DVD regrabable, disco duro, memoria USB, etc.) y garantizar el borrado total de los datos almacenados, es obligatorio la realización de un formateo "a bajo nivel", con las herramientas que así lo permitan. De esta forma, el borrado se realizará de forma completa y no existirá ninguna forma de recuperación total o parcial de los datos contenidos en el mismo. 7.3.6.- Destrucción de soportes informáticos En el caso de que un soporte informático vaya a ser desechado (tirado a la basura), también deberá realizarse el formateo a bajo nivel, asegurando de esta manera el borrado total de los datos. Hay que tener en cuenta que el hecho de desechar o reutilizar un soporte, debe ser reflejado en el inventario correspondiente, que lleve el responsable de seguridad. En el caso de desechar CDs y/o DVDs no regrabables, deberán ser destruidos físicamente con algún sistema similar al de una destructora de CDs. 7.3.7.- Destrucción de soportes en papel. En el caso de destrucción de carpetas conteniendo información en papel, con datos de carácter personal, deberán ser destruidas mediante destructoras de documentos, con el fin de impedir cualquier recuperación parcial o total de su contenido. En el caso de destrucción masiva de documentos, por haber vencido el plazo legal de archivo, podrá emplearse empresas especializadas, con su correspondiente certificación, que garantizan la destrucción total y segura de los documentos que se les entrega. 7.3.8.- Criterios de archivo de documentos manuales El archivo de los soportes o documentos se realizará de forma que se cumplan los siguientes criterios: Ejercicio de Derechos. El sistema de archivo debe permitir, de forma sencilla, poder responder en los plazos previstos, a todos los datos de una persona, en el momento que solicite ejercitar sus derechos de acceso, rectificación, cancelación, oposición, limitación y portabilidad. Para ello, la documentación deberá archivarse de forma alfabética, o bien mediante un identificador. Plazo de Conservación y destrucción de la información Dado que la ley obliga a la eliminación de la documentación, una vez hayan concluido los plazos legales de conservación, será imprescindible que la documentación se encuentre archivada de una forma que permita cumplir esta obligación. De todas formas, como norma general, se seguirá el siguiente criterio: Se archivarán las carpetas o el contenido de los tratamientos de forma alfabética. En el caso de que el documento tenga fecha y por lo tanto deba ser eliminado, una vez transcurrido el plazo legal, se marcará con un color que identifique el año. De esta forma, el criterio de eliminación se podrá cumplir de forma sencilla (se eliminarán todos los documentos del archivo de un color). 7.3.9.- Almacenamiento de tratamientos manuales Todos los tratamientos conteniendo datos de carácter personal, estarán archivados en armarios, cajoneras o cualquier otro soporte, dotado de medidas de seguridad que impidan el acceso a los mismos al personal no autorizado. La utilización de llaves en los soportes, despachos o almacenes con llave, o cualquier otro medio que impida el acceso de forma libre, podrán ser medios válidos. Las llaves de acceso a estos lugares de almacenamiento, solo estará en poder de las personas debidamente autorizadas. En el caso de tratamientos conteniendo datos de carácter sensible, los armarios, archivadores u otros elementos además de deber permanecer cerrados de forma permanente, es conveniente que se encuentren en áreas dotadas con puertas dotadas con sistemas de apertura mediante llave y solo serán abiertos para sacar o almacenar el tratamiento correspondiente. En el caso de ser esto imposible, las personas autorizadas para el tratamiento de dichos tratamientos, que figuran en los anexos correspondientes, antes de salir del local o despacho, se asegurarán de que ningún tratamiento pueda quedar fuera de los archivadores habilitados a tal efecto. 7.3.10.- Custodia de Soportes Mientras la documentación extraída de los sistemas de almacenamiento permanezca fuera de los mismos, se mantendrá bajo la supervisión del responsable de la misma, impidiendo que cualquier persona no autorizada pueda tener acceso a la misma. Por lo tanto, es responsabilidad de la persona autorizada al tratamiento del tratamiento, no dejar el contenido del mismo en mesas o cualquier otro lugar de libre acceso a personas no autorizadas. 7.3.11.- Copia o reproducción de tratamientos manuales Como norma general, no está permitida la copia o reproducción de tratamientos manuales. Es el responsable del tratamiento a través del responsable de seguridad el que, analizando la necesidad, autorizará de forma temporal o continua a ciertas personas para su realización. Sobre dicha copia o reproducción, se aplicarán las mismas medidas de seguridad que sobre el documento original. Una vez que ya no sea útil, deberá procederse a su destrucción de forma que se evite el acceso a la información que contenía, siguiendo los procedimientos definidos a tal efecto. 7.3.12.- Traslado de documentación Cualquier traslado de documentación que se realice deberá garantizar que nadie sin la debida autorización, pueda tener acceso a su contenido, así como la sustracción o pérdida. En la medida que sea posible, y una vez recibida la autorización para la salida de información, el traslado se realizará de forma personal. En el caso de no ser posible, se seguirá el siguiente procedimiento: A. Deberá realizarse en sobre, caja o soporte, cerrado, que impida el acceso a su contenido. B. Deberá ir dirigida de forma concreta a la persona destinataria y debidamente identificada en el Registro de Salida. C. En el caso de no poder ser entregada en propia mano por la persona autorizada de la empresa, se enviará por un medio de transporte que garantice la seguridad en el traslado. 7.4.- DISPOSITIVOS PORTÁTILES Los datos de carácter sensible que estén contenidos en los dispositivos portátiles serán cifrados mientras se encuentren fuera de las instalaciones de la que estén bajo el control del responsable del tratamiento. Como norma general, deberá evitarse el tratamiento de datos de carácter personal en dispositivos portátiles que no permitan su cifrado. En caso de que sea estrictamente necesario se hará constar motivadamente en el documento de seguridad y se adoptarán medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos. 7.5.- ACCESO POR REDES DE TELECOMUNICACIONES Solo el responsable de seguridad podrá autorizar el acceso a datos a través de redes de comunicaciones. En el caso de que sea necesario, se deberá solicitar la autorización correspondiente, y tras el análisis de la necesidad del mismo y de las medidas de seguridad que en cada caso se tengan que establecer, será autorizado o no. En el caso de que eso no sea posible, se deberán adoptar medidas para que la transmisión del tratamiento sea codificada, garantizando de esta forma, que la información sea ininteligible ni manipulada por terceros. Salvo que la red de comunicaciones sea de tipo seguro, no se realizarán tratamientos de datos de carácter sensible, mediante sistemas que no puedan garantizar el tránsito. Por lo tanto, en estos casos, en vez de tratar los datos a través de la red, se procederá a enviar el tratamiento codificado o encriptado, contando con la debida autorización del responsable de seguridad, para ser tratado en el destino del mismo. 7.6.- RÉGIMEN DE TRABAJO FUERA DE LOS LOCALES Solo el responsable de seguridad puede autorizar la realización de tratamientos, conteniendo datos de carácter personal, fuera de los locales de la empresa, tanto en soportes portátiles como en otro tipo de sistemas. Por lo tanto, en el caso de que forma temporal o de forma continua, se tenga que autorizar a una persona de la empresa este tipo de trabajo o tratamiento, deberá contar con la autorización del responsable de Seguridad y ser anotado en el impreso correspondiente. 7.7.- TRATAMIENTOS TEMPORALES Los tratamientos temporales o copias de documentos creados exclusivamente para trabajos temporales o auxiliares (p.ej. listados o fotocopias para punteo), se les aplicarán las mismas medidas de seguridad que las que se aplican a los tratamientos de los que se extraen, tanto para el control de accesos como para su destrucción. Una vez hayan dejado de ser útiles, se procederá a su inmediata destrucción. En el caso de que, por cualquier razón, se tuviera que crear un tratamiento temporal con una finalidad diferente a la del tratamiento origen, deberá ser autorizada expresamente por el responsable del tratamiento. En este caso, el responsable del tratamiento, previa a su creación, deberá analizar si existe autorización de los interesados para tal finalidad y la modificación de la declaración del tratamiento, tanto a la Agencia como en el Documento de Seguridad. 7.8.- COPIAS DE SEGURIDAD El responsable de seguridad o la persona(s) encargada(s) a tal efecto, realizarán las copias de seguridad de los tratamientos de la empresa que contengan datos de carácter personal. En el ANEXO se indica el procedimiento de copias de seguridad. Las Copias se deben realizar al menos semanalmente, excepto cuando no existan cambios en los datos. Así mismo, y con una periodicidad semestral se revisarán los procedimientos de copia de seguridad. 7.9.- DESIGNACIÓN DEL RESPONSABLE DE SEGURIDAD El responsable de seguridad es el encargado de coordinar y controlar las medidas definidas para salvaguardar los datos de carácter personal. Se designará, al menos, un responsable de seguridad, cooperando con el responsable del tratamiento y en su caso con el Delegado de Protección de Datos En ningún caso, la designación supone una exoneración de la responsabilidad que corresponde al responsable del tratamiento. El responsable de seguridad desempeñará las funciones encomendadas, en tanto en cuanto no se designe a otra persona. 7.10.- GESTIÓN DE INCIDENCIAS El presente documento y la documentación vinculada a éste contienen las especificaciones correspondientes en materia operativa: procedimiento de notificación y de gestión de las incidencias. En cualquier caso y ante una incidencia que o bien no esté especificada o bien la interpretación del procedimiento a seguir no le sea entendible para el usuario, éste elevará la consulta al responsable de seguridad. El responsable del tratamiento anotará las distintas incidencias que se produzcan en el tratamiento de los tratamientos o en el ámbito organizativo o de seguridad empleando para ello un Libro Registro de Incidencias. En dicho libro se registra el identificador de la incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quién se la comunica, atención que ha recibido la incidencia y los efectos que se hubieran derivado de la misma (detallando informe en caso de necesidad). Una incidencia es cualquier evento que pueda producirse esporádicamente y que pueda suponer un peligro para la seguridad del tratamiento, entendida bajo sus tres vertientes de confidencialidad, integridad y disponibilidad de los datos. El mantenimiento de un registro de las incidencias que comprometan la seguridad de un tratamiento es una herramienta imprescindible para la prevención de posibles ataques a esa seguridad, así como para persecución de los responsables de los mismos. Tendrá la consideración de incidencia cualquier violación o brecha de seguridad que se produzca en el sistema de información, incluyendo los archivos en papel. 8.- FUNCIONES DEL PERSONAL 8.1. – RESPONSABLE DEL TRATAMIENTO El responsable de los tratamientos es la persona física o jurídica, encargada jurídicamente de la seguridad de los tratamientos, por lo que decide sobre la finalidad, su contenido y el tratamiento de los mismos. La obligación principal es implantar las medidas de seguridad establecidas en este documento y asimismo deberá garantizar la difusión de este documento entre todo el personal que vaya a utilizar los tratamientos. Deberá mantenerlo actualizado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo. Deberá adecuar en todo momento el contenido del mismo a las disposiciones vigentes en materia de seguridad de datos. Deberá designar uno o varios responsables de seguridad. Sus funciones principales serán: 1) Elaborar e implantar la normativa de seguridad que garanticen la seguridad e integridad de los datos contenidos en los tratamientos, de los que es responsable y establecer un documento de seguridad donde estén contenidas, siguiendo, en todo momento, la normativa vigente. Para llevar a cabo esta función, el responsable del tratamiento ha de ser asesorado por el responsable de seguridad, por el administrador del sistema y por otras personas con responsabilidades o experiencia en el ámbito de la seguridad (sean internos o externos de la empresa). Éstos dotarán al responsable del tratamiento de las herramientas necesarias para la elaboración del documento. 2) Aprobar la creación, modificación de tratamientos, conteniendo datos de carácter personal y notificarlos a la Agencia de Protección de datos, previamente a su utilización. 3) Designar a la persona que actuará como su enlace en materia de seguridad y cuya existencia es condición específica y necesaria en dicha materia: el responsable o responsables de seguridad, encargados de coordinar y controlar las medidas definidas en el documento de seguridad. 4) Implantar los procedimientos de información, ante la recogida de datos y asegurarse de su cumplimiento. 5) Adoptar las medidas necesarias para que el personal conozca las normas de seguridad que afectan al desarrollo de sus funciones, así como las consecuencias en que pudiera incurrir en caso de incumplimiento. A tal efecto, aprobará formalmente los planes de concienciación y divulgación de las normas, obligaciones y procedimientos de seguridad. 6) Establecer las medidas para que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema de información. 7) Establecer un mecanismo que permita la identificación y autenticación, de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado, impidiendo, de esta manera un usuario pueda acceder a información o recursos con derechos distintos de los autorizados 8) Establecer los procedimientos de copias y restauración de copias de seguridad, así como las políticas de encriptación y externalización de las mismas. 9) Aprobar las medidas correctoras que se puedan derivar de los informes de auditoría. El responsable del tratamiento debe prestar atención a los siguientes puntos: A. Centros de tratamiento y locales Los locales u oficinas deberán contar con los medios mínimos de seguridad que eviten los riesgos de indisponibilidad de los tratamientos que pudieran producirse como consecuencia de incidencias fortuitas o intencionadas. El acceso a los locales donde se encuentre el tratamiento deberá estar restringido exclusivamente a los administradores del sistema que deban realizar labores de mantenimiento para las que sea imprescindible el acceso físico. B. Entorno corporativo y de comunicaciones El sistema operativo y de comunicaciones del tratamiento deberá tener al menos un responsable. En el caso más simple, como es que el tratamiento se encuentre ubicado en un ordenador personal y accedido mediante una aplicación local mono puesto, el administrador del sistema operativo podrá ser el mismo usuario que accede usualmente al tratamiento. C. Sistema Informático o aplicaciones de acceso al tratamiento Los sistemas informáticos de acceso al tratamiento deberán tener su acceso restringido mediante un código de usuario y una contraseña. Todos los usuarios autorizados para acceder al tratamiento deberán tener un código de usuario que será único, y que estará asociado a la contraseña correspondiente, que sólo será conocida por el propio usuario. En función de las posibilidades técnicas, se limitará el acceso de cada usuario al mínimo conjunto de recursos que necesite para desempeñar su trabajo, configurando de manera adecuada la aplicación y/o el sistema operativo. D. Salvaguarda y protección de las contraseñas personales Sólo las personas autorizadas podrán tener acceso a los datos del tratamiento. La norma anterior se aplica también a los administradores del sistema, incluyendo aquél personal técnico externo que de manera habitual pudiera colaborar en la administración de los sistemas. E. Gestión de soportes La salida de soportes informáticos que contengan datos del tratamiento fuera de los locales donde está ubicado el tratamiento deberá ser expresamente autorizada por el responsable del mismo. El responsable del tratamiento mantendrá un Libro de registro de entradas y salidas donde se guardarán los formularios de entradas y de salidas de soportes, con indicación de tipo de soporte, fecha y hora, emisor, número de soportes, tipo de información que contienen, forma de envío, destinatario, o persona responsable de la recepción que deberán estar debidamente autorizadas. F. Entrada y salida de datos por red Todas las entradas y salidas de datos del tratamiento que se efectúen mediante correo electrónico se realizarán desde una dirección de correo controlada por un usuario autorizado por el responsable del tratamiento. Igualmente si se realiza la entrada o salida de datos mediante sistemas de transferencia de tratamientos por red, únicamente un usuario o administrador estará autorizado para realizar esas operaciones. Se guardarán copias de todos los correos electrónicos que involucren entradas o salidas de datos del tratamiento, en directorios protegidos y bajo el control del responsable citado. Se mantendrán copias de esos correos durante al menos dos años. También se guardará durante un mínimo de dos años, en directorios protegidos, una copia de los tratamientos recibidos o transmitidos por sistemas de transferencia de tratamientos por red, junto con un registro de la fecha y hora en que se realizó la operación y el destino del tratamiento enviado. G. Copias de respaldo y recuperación Será necesaria la autorización por escrito del responsable del tratamiento para la ejecución de los procedimientos de recuperación de los datos, y deberá dejarse constancia en el registro de incidencias de las manipulaciones que hayan debido realizarse para dichas recuperaciones, incluyendo la persona que realizó el proceso, los datos restaurados y los datos que hayan debido ser grabados manualmente en el proceso de recuperación. H. Controles periódicos de verificación del cumplimiento El responsable del tratamiento junto con el responsable de seguridad, analizarán con periodicidad al menos trimestral las incidencias registradas en el libro correspondiente para, independientemente de las medidas particulares que se hayan adoptado en el momento que se produjeron, adoptar las medidas correctoras que limiten esas incidencias en el futuro. Se recomienda realizar cada año una auditoria, externa o interna, que dictamine el correcto cumplimiento y la adecuación de las medidas del presente documento de seguridad o las exigencias del RGPD EU 679/2016, identificando las deficiencias y proponiendo las medidas correctoras necesarias. 8.2.- RESPONSABLE DE SEGURIDAD El responsable de seguridad es el encargado de coordinar y controlar las medidas definidas para salvaguardar los datos de carácter personal, contenidos en los tratamientos. El responsable de seguridad coordinará la puesta en marcha de las medidas de seguridad, colaborará con el responsable del tratamiento en la difusión de las mismas y cooperará con el responsable del tratamiento controlando el cumplimiento de las mismas. A. Sistema Informático o aplicaciones de acceso al tratamiento En los tratamientos que contengan datos de carácter personal, el responsable dispondrá de una lista de usuarios o personal con acceso a dichos datos. B. Gestión de incidencias El responsable de seguridad habilitará un Libro de Incidencias a disposición de todos los usuarios y administradores del tratamiento con el fin de que se registren en él cualquier incidencia que pueda suponer un peligro para la seguridad del mismo. El responsable de seguridad se ocupará de gestionar cada incidencia para resolver los problemas que plantee de la mejor manera posible, en colaboración con el responsable del tratamiento. C. Copias de Seguridad El responsable de seguridad se encargará de que se realicen, con la periodicidad establecida en el documento de seguridad, copias de seguridad de los tratamientos con datos de carácter personal que garanticen su reconstrucción en caso de pérdida de los mismos. D. Gestión de soportes En lo referente a la gestión de soportes, el responsable de seguridad se ocupará de: • Hay que asegurar que los soportes que contengan datos de carácter personal estén claramente identificados con una etiqueta externa que indique de que tratamiento se trata, qué tipo de datos contiene, y proceso que los ha originado y fecha de creación. • Verificar que aquellos medios que sean reutilizables, y que hayan contenido copias de datos de los tratamientos, deberán ser borrados físicamente antes de su reutilización, de forma que los datos que contenían no sean recuperables. • Encargarse de que los soportes que contengan datos de carácter personal serán almacenados en lugares a los que no tengan acceso personas no autorizadas para el uso de los datos. • Mantendrá un libro de registro de entradas y salidas donde se guardarán los formularios de entradas y de salidas de soportes informáticos, con indicación del tipo de soporte, fecha y hora, emisor, número de soportes, tipo de información que contienen, forma de envío, destinatario, o persona responsable de la recepción que deberán estar debidamente autorizadas. • Hay que asegurar que la distribución de los soportes que contengan datos de carácter personal afectados se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que dicha información no sea inteligible ni manipulada durante su transporte. D. Controles periódicos de verificación del cumplimiento El responsable de seguridad comprobará, con una periodicidad al menos trimestral, que la lista de usuarios autorizados se corresponde con la lista de los usuarios realmente autorizados en la aplicación de acceso al tratamiento, para lo que recabará la lista de usuarios de la aplicación y sus identificadores al administrador. De igual manera, comprobará que los niveles de acceso de cada usuario se corresponden con las medidas técnicas habilitadas para limitar este acceso (restricción de funciones de las aplicaciones, configuración de permisos de carpetas, etc.). También comprobará que se realizan de manera adecuada los procedimientos de gestión de usuarios y contraseñas, especialmente la renovación periódica de las contraseñas. Además de estas comprobaciones periódicas, el administrador comunicará al responsable de seguridad, en cuanto se produzca, cualquier alta o baja de usuarios con acceso autorizado al tratamiento. Se comprobará también al menos con periodicidad trimestral, la existencia de copias de respaldo correctas que permitan la recuperación de tratamiento. A su vez, y también con periodicidad al menos trimestral, los administradores l comunicarán al responsable de seguridad cualquier cambio que se haya realizado en los datos técnicos de los sistemas, como por ejemplo cambios en el software o hardware, base de datos o aplicación de acceso al tratamiento, procediendo igualmente a la actualización de dichos datos en el Registro de Sistemas y resto de documentos. También se comprobará, con periodicidad al menos trimestral, que las configuraciones hardware y software de los puestos documentadas se corresponden con las existentes en la realidad, verificando que no se hayan instalado programas sin autorización. Se hará hincapié en verificar que no hay instalados programas especiales como herramientas de utilidad que permitan el acceso no controlado a los tratamientos de datos. Se comprobará con periodicidad al menos trimestral que efectivamente no se están almacenando documentos con datos personales en los ordenares de usuarios no autorizados. De igual manera se comprobará que se eliminan los tratamientos temporales, tanto en los ordenadores de los usuarios como en el/los servidor/es. El responsable de seguridad verificará, con una periodicidad al menos trimestral, el cumplimiento de lo previsto en relación con las entradas y salidas de datos, sean por red, en soporte magnético o archivo papel. El responsable del tratamiento junto con el responsable de seguridad, analizarán con periodicidad al menos trimestral las incidencias registradas en el libro correspondiente para, independientemente de las medidas particulares que se hayan adoptado en el momento que se produjeron, adoptar las medidas correctoras que limiten esas incidencias en el futuro. El responsable de seguridad revisará periódicamente la información de control registrada en el registro de accesos, y elaborará un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes. 8.3.- PERSONAL AUTORIZADO El personal que, para el correcto desarrollo de su labor, tiene autorizado acceso a datos personales, tiene las siguientes obligaciones: 1.- Obligaciones generales a) Guardar el necesario secreto respecto a cualquier tipo de información de carácter personal conocida en función del trabajo desarrollado, incluso una vez concluida la relación laboral con la organización. b) Guardar todos los soportes físicos y/o documentos que contengan información con datos de carácter personal en un lugar seguro, cuando estos no sean usados, particularmente fuera de la jornada laboral. c) Queda prohibido el traslado de cualquier soporte, listado o documento con datos de carácter personal en los que se almacene información titularidad de la organización fuera de los locales de la misma, sin autorización previa del responsable de seguridad. En el supuesto de existir traslado o distribución de soportes y documentos se realizará cifrando dichos datos, o mediante otro mecanismo que el acceso o manipulación de la información por terceros. d) Tratamientos de carácter temporal o copias de documentos son aquellos en los que se almacenan datos de carácter personal, generados para el cumplimiento de una necesidad determinada o trabajos temporales y auxiliares, siempre y cuando su existencia no sea superior a un mes. Estos tratamientos de carácter temporal o copias de documentos deben ser borrados una vez hayan dejado de ser necesarios para los fines que motivaron su creación y, mientras estén vigentes, deberán cumplir con los niveles de seguridad asignados por el responsable de seguridad. Si, transcurrido el mes, el usuario necesita continuar utilizando la información almacenada en el tratamiento, deberá comunicarlo al responsable de seguridad, para adoptar las medidas oportunas sobre el mismo. e) Únicamente las personas autorizadas en un listado de Usuarios podrán introducir, modificar o anular los datos contenidos en los tratamientos o documentos objeto de protección. Los permisos de acceso de los usuarios son concedidos por el responsable de seguridad. En el caso de que cualquier usuario requiera, para el desarrollo de su trabajo, acceder a tratamientos o documentos a cuyo acceso no está autorizado, deberá ponerlo en conocimiento del responsable de seguridad correspondiente. f) Comunicar al responsable de seguridad, conforme al procedimiento de notificación, las incidencias de seguridad de las que tenga conocimiento. g) Comunicar, de forma inmediata al responsable de seguridad cualquier conocimiento de una solicitud de derechos por parte de los interesados. 2.- Obligaciones con respecto a Tratamientos Automatizados a) Cambiar las contraseñas a petición del sistema. b) Mantener en secreto sus claves de acceso al sistema, debiendo poner en conocimiento del responsable de seguridad cualquier hecho que pueda haber comprometido el secreto. Las contraseñas de acceso al sistema son personales e intransferibles, siendo el usuario el único responsable de las consecuencias que pudieran derivarse de su mal uso, divulgación o pérdida c) Cerrar o bloquear todas las sesiones al término de la jornada laboral o en el supuesto de ausentarse temporalmente de su puesto de trabajo, a fin de evitar accesos no autorizados. d) No copiar la información contenida en los tratamientos en los que se almacenen datos de carácter personal al ordenador personal, disquetes, portátil o a cualquier otro soporte sin autorización expresa del responsable de seguridad correspondiente. e) Guardar todos los tratamientos con datos de carácter personal en la carpeta indicada por el responsable de seguridad correspondiente, a fin de facilitar la aplicación de las medidas de seguridad que les correspondan. f) Cada usuario que mande un listado a una impresora sea ésta propia o compartida, se deberá asegurar que no quede ningún documento en la bandeja de salida, que contengan datos protegidos. Además deberá retirar los documentos, conforme vayan saliendo, con el fin de evitar que mientras se imprimen, puedan ser leídos por personas no autorizadas. g) Los usuarios tienen prohibido el envío de información de carácter personal de carácter sensible, salvo autorización expresa del responsable de seguridad que tenga asignada esta tarea. En todo caso, este envío únicamente podrá realizarse si se adoptan los mecanismos necesarios para evitar que la información no sea inteligible ni manipulada por terceros. h) Los usuarios no podrán, salvo autorización expresa del responsable de seguridad, instalar cualquier tipo de programas informáticos o dispositivos ni en los servidores centrales ni en el ordenador empleado en el puesto de trabajo. i) Queda prohibido: 1) Emplear identificadores y contraseñas de otros usuarios para acceder al sistema. 2) Intentar modificar o acceder al registro de accesos habilitado por el responsable de seguridad competente. 3) Burlar las medidas de seguridad establecidas en el sistema informático, intentando acceder a tratamientos o programas cuyo acceso no le haya sido permitido. 4) Enviar correos masivos (spam) empleando la dirección de correo electrónico corporativa. 5) El uso del correo electrónico para fines no relacionados con las funciones laborales encomendadas. El empleo del nombre o apellidos de los trabajadores junto al dominio de la organización en las direcciones de correo no significa la asignación por la organización de un correo personal, esto se realiza únicamente por motivos organizativos internos de asignación de áreas y puestos de trabajo. 6) Utilizar Internet para tareas que no estén relacionadas directamente con las funciones asignadas al usuario. La organización regulará las modalidades de acceso y las restricciones o limitaciones del mismo. Queda prohibida la descarga de software o tratamientos de cualquier tipo desde Internet, sin consentimiento expreso de la organización, y ello aunque resulte de un acceso consentido por motivos de trabajo. 7) Introducir contenidos en la red corporativa y/o ordenador personal que no guarden relación con la actividad y objetivos de la entidad. 8) Y en general, el empleo de la red corporativa, sistemas informáticos y cualquier medio puesto al alcance del usuario vulnerando el derecho de terceros, los propios de la organización, o bien para la realización de actos que pudieran ser considerados ilícitos. Estas obligaciones sólo serán exigibles a los usuarios de tratamientos automatizados, en tanto en cuanto la organización disponga los medios adecuados en cada caso. 3. Obligaciones con respecto a Tratamientos No Automatizados. El personal que, para el correcto desarrollo de su labor, tiene autorizado acceso a datos personales en soporte papel, tiene las siguientes obligaciones: a) Guardar el necesario secreto respecto a cualquier tipo de información de carácter personal conocida en función del trabajo desarrollado, incluso una vez concluida la relación laboral con la entidad. b) Mantener debidamente custodiadas las llaves de acceso a la residencia, a sus despachos y a los armarios, archivadores u otros elementos que contenga tratamientos no automatizados con datos de carácter personal, debiendo poner en conocimiento del responsable de seguridad cualquier hecho que pueda haber comprometido esa custodia. c) Cerrar con llave las puertas de los despachos al término de la jornada laboral o cuando deba ausentarse temporalmente de esta ubicación, a fin de evitar accesos no autorizados. d) Comunicar al responsable de seguridad, conforme al procedimiento de notificación, las incidencias de seguridad de las que tenga conocimiento. e) Queda prohibido el traslado de cualquier listado o documento análogo con datos de carácter personal en los que se almacene información titularidad de la entidad fuera de los locales de la misma. f) Guardar todos los soportes físicos o documentos que contengan información con datos de carácter personal en un lugar seguro, cuando estos no sean usados, particularmente fuera de la jornada laboral. g) Asegurarse de que no quedan documentos impresos que contengan datos protegidos impresos en la bandeja de salida de la impresora. h) Únicamente las personas autorizadas para ello en el listado de accesos podrán introducir, modificar o anular los datos contenidos en los tratamientos objeto de protección. Los permisos de acceso de los usuarios a los diferentes tratamientos son concedidos por el responsable de seguridad. En el caso de que cualquier usuario requiera, para el desarrollo de su trabajo, acceder a tratamientos a cuyo acceso no está autorizado, deberá ponerlo en conocimiento del responsable de seguridad. i) Tratamientos de carácter temporal son aquellos en los que se almacenan datos de carácter personal, generados para el cumplimiento de una necesidad determinada, siempre y cuando su existencia no sea superior a un mes. Los tratamientos de carácter temporal deben ser destruidos una vez hayan dejado de ser necesarios para los fines que motivaron su creación y, mientras estén vigentes, deberán contemplarse las medidas de seguridad contenidas en este documento. Si el usuario, además de sus funciones, tiene privilegios para la administración de equipos informáticos, deberá conocer las obligaciones que le corresponden como personal informático. Debido al especial acceso que tiene el personal informático se le atribuyen unas responsabilidades complementarias: 1) Guardar secreto de toda la información de carácter personal, o que afecte a ésta, de la que tenga conocimiento en el desarrollo de su de trabajo, aún después de acabada la relación con la organización. 2) Aunque debido a sus funciones disponga de un acceso privilegiado a ciertos recursos, se compromete a acceder únicamente a los datos necesarios para desarrollar sus funciones. 3) En el caso que detecten, deficiencias de seguridad en el sistema de información, lo deberán comunicar al responsable de seguridad correspondiente. 4) Colaborar con el responsable/s de Seguridad en la resolución de las incidencias que se le encarguen. 5) Desempeñar sus funciones con estricta observancia de las obligaciones dispuestas por la legislación sobre protección de datos. 8.4.- ADMINISTRACIÓN DE SISTEMAS INFORMÁTICOS El administrador del sistema informático es la persona responsable de la configuración y el control del funcionamiento de los sistemas informáticos de la empresa y siempre estará bajo la supervisión del responsable del tratamiento y del responsable de seguridad. Debido al especial acceso que puede tener sobre los sistemas informáticos, se le atribuyen unas obligaciones genéricas que son: 1) Guardar secreto de toda la información de carácter personal, o que afecte a ésta, de la que tenga conocimiento en el desarrollo de su de trabajo, aún después de acabada la relación con la organización. 2) Aunque debido a sus funciones disponga de un acceso privilegiado a ciertos recursos, se compromete a acceder únicamente a los datos necesarios para desarrollar sus funciones. 3) En el caso que detecten, deficiencias de seguridad en el sistema de información, lo deberán comunicar al responsable de seguridad correspondiente. 4) Poner al día al responsable de seguridad sobre las nuevas aplicaciones o programas que permitan el acceso a los tratamientos, cuál es su funcionalidad y si presenta nuevos riesgos o funciones que modifiquen las conductas del resto de usuarios. 5) Junto con el responsable de seguridad, analizará las incidencias registradas, relacionadas con los sistemas informáticos, para extraer las causas y adoptar o recomendar soluciones a las mismas. A. Entorno Operativo y de Comunicaciones Ninguna herramienta o programa de utilidad que permita el acceso a un tratamiento deberá ser accesible a ningún usuario o administrador no autorizado. En la norma anterior se incluye cualquier medio de acceso en bruto, es decir no elaborado o editado, a los datos del tratamiento, como los llamados editores universales, analizadores de tratamientos, herramientas de acceso de bajo nivel al disco duro, etc., que deberán estar bajo el control de los administradores autorizados. El administrador deberá responsabilizarse de guardar en lugar protegido las copias de seguridad y respaldo del tratamiento, de forma que ninguna persona no autorizada tenga acceso a las mismas. Si la aplicación o sistema de acceso al tratamiento utilizase usualmente tratamientos temporales, tratamientos de "logging", o cualquier otro medio en el que pudiesen ser grabados copias de los datos protegidos, el administrador deberá asegurarse de que esos datos no son accesibles posteriormente por personal no autorizado. Si el ordenador en el que está ubicado el tratamiento está integrado en una red de comunicaciones de forma que desde otros ordenadores conectados a la misma sea posible acceso al tratamiento, el administrador responsable del sistema deberá asegurarse de que este acceso no se permite a personas no autorizadas. En cualquier caso, deberá identificarse de manera única a las personas que hacen el acceso remoto. B. Sistema Informático o aplicaciones de acceso a los Tratamientos Si la aplicación informática que permite el acceso al tratamiento no cuenta con un control de acceso, deberá ser el sistema operativo, donde se ejecuta esa aplicación, el que impida el acceso no autorizado, mediante el control de los citados códigos de usuario y contraseñas. En cualquier caso se controlarán los intentos de acceso fraudulento al tratamiento, limitando el número máximo de intentos fallidos, y cuando sea técnicamente posible, guardando en un tratamiento auxiliar la fecha, hora, código y clave errónea que se han introducido, así como otros datos relevantes que ayuden a descubrir la autoría de esos intentos de acceso fraudulentos. En función de las posibilidades técnicas, se limitará el acceso de cada usuario al mínimo conjunto de recursos que necesite para desempeñar su trabajo, configurando de manera adecuada la aplicación y/o el sistema operativo. En casos de ausencia o sustitución de usuarios por compañeros, a instancias del responsable de seguridad, deberá configurar para los sustitutos, nuevos perfiles que habrá que eliminar en cuanto finalice la sustitución. Si durante las pruebas anteriores a la implantación o modificación de la aplicación de acceso al tratamiento se utilizasen datos reales, se deberá aplicar a esos tratamientos de prueba el mismo tratamiento de seguridad que se aplica al mismo tratamiento. C. Salvaguarda y protección de las contraseñas personales Los identificadores de usuario y las contraseñas se asignarán y se cambiarán mediante el mecanismo y periodicidad que se determinan en los procedimientos descritos en este documento, asegurando que se mantiene la confidencialidad de ambos. El archivo donde se almacenen las contraseñas deberá estar protegido y cifrado, y bajo la responsabilidad del administrador del sistema. D. Entrada y salida de datos por red Todas las entradas y salidas de datos del tratamiento que se efectúen mediante correo electrónico se realizarán desde una única cuenta o dirección de correo controlada por un usuario especialmente autorizado por el responsable del tratamiento. Igualmente si se realiza la entrada o salida de datos mediante sistemas de transferencia de tratamientos por red, únicamente un usuario o administrador estará autorizado para realizar esas operaciones. Se guardarán copias de todos los correos electrónicos que involucren entradas o salidas de datos del tratamiento, en directorios protegidos y bajo el control del responsable citado. Se mantendrán copias de esos correos durante al menos dos años. También se guardará durante un mínimo de dos años, en directorios protegidos, una copia de los tratamientos recibidos o transmitidos por sistemas de transferencia de tratamientos por red, junto con un registro de la fecha y hora en que se realizó la operación y el destino del tratamiento enviado. E. Copias de respaldo y recuperación Existirá una persona, bien sea el administrador o bien otro usuario expresamente designado, que será responsable de obtener periódicamente una copia de seguridad del tratamiento, a efectos de respaldo y posible recuperación en caso de fallo. Estas copias de seguridad deberán realizarse con una periodicidad, al menos, semanal, salvo en el caso de que no se haya producido ninguna actualización de los datos. Se evitará desgastar en exceso los soportes donde se realizan las copias de seguridad, rotándolos y renovándolos de forma periódica transcurridos un número determinado de grabaciones o un periodo de tiempo largo. Los soportes destinados a copias de seguridad seguirán todas las normas definidas para la gestión de soportes (identificación, reutilización y eliminación, etc.). En caso de fallo del sistema con pérdida total o parcial de los datos del tratamiento existirá un procedimiento, informático o manual, que partiendo de la última copia de respaldo y del registro de las operaciones realizadas desde el momento de la copia, reconstruya los datos del tratamiento al estado en que se encontraban en el momento del fallo. F. Controles periódicos de verificación del cumplimiento El responsable de seguridad del tratamiento comprobará, con una periodicidad al menos trimestral, que la lista de usuarios autorizados se corresponde con la lista de los usuarios realmente autorizados en la aplicación de acceso al tratamiento, para lo que recabará la lista de usuarios de la aplicación y sus identificadores al administrador o administradores del tratamiento. De igual manera, comprobará que los niveles de acceso de cada usuario se corresponden con las medidas técnicas habilitadas para limitar este acceso (restricción de funciones de las aplicaciones, configuración de permisos de carpetas, etc.). También comprobará que se realizan de manera adecuada los procedimientos de gestión de usuarios y contraseñas, especialmente la renovación periódica de las contraseñas. Además de estas comprobaciones periódicas, el administrador comunicará al responsable de seguridad, en cuanto se produzca, cualquier alta o baja de usuarios con acceso autorizado al tratamiento. Se comprobará también al menos con periodicidad trimestral, la existencia de copias de respaldo correctas que permitan la recuperación de tratamiento. A su vez, y también con periodicidad al menos trimestral, los administradores del tratamiento comunicarán al responsable de seguridad cualquier cambio que se haya realizado en los datos técnicos de los sistemas, como por ejemplo cambios en el software o hardware, base de datos o aplicación de acceso al tratamiento, procediendo igualmente a la actualización de dichos datos en el Registro de Sistemas y resto de documentos. También se comprobará, con periodicidad al menos trimestral, que las configuraciones hardware y software de los puestos se corresponden con las existentes en la realidad, verificando que no se hayan instalado programas sin autorización. Se verificará especialmente que no hay instalados programas especiales como herramientas de utilidad que permitan el acceso no controlado a los tratamientos de datos. El responsable de seguridad verificará, con periodicidad al menos trimestral, el cumplimiento de lo previsto en relación con las entradas y salidas de datos, sean por red o en soporte magnético. 9.- INCUMPLIMIENTO El incumplimiento de las obligaciones y medidas de seguridad establecidas en el presente documento, por parte del personal infractor, podrá ser considerado, dependiendo de las consecuencias que ello conlleve, como falta muy grave. Las sanciones e indemnizaciones que le pudieran ser impuestas a la empresa, como consecuencia del incumplimiento, deliberado o negligente, por parte de un usuario de cualquier medida, norma, procedimiento, regla u obligación establecida en el presente Documento, conforme al artículo 1904 del Código Civil, serán repetidas por parte de la empresa contra el usuario infractor. También se advierte que, en cualquier caso, los afectados titulares de los datos de carácter personal pueden dirigir sus acciones civiles, e incluso penales, directamente contra el infractor causante del daño, con independencia de su condición de responsable de los tratamientos o simple usuario.