Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PG-13 Xestion e Control Dos Datos de Caracter Persoal PDF
PG-13 Xestion e Control Dos Datos de Caracter Persoal PDF
RAZÓN SOCIAL DE LA
GESTIÓN Y CONTROL DE DATOS DE CARÁCTER PERSONAL
EMPRESA
Código PG-13 Edición 0
Índice:
1. TABLA RESUMEN..................................................................................... 2
2. OBJETO................................................................................................... 2
3. ALCANCE................................................................................................. 2
4. RESPONSABILIDADES ............................................................................ 3
5. ENTRADAS .............................................................................................. 4
6. SALIDAS ................................................................................................. 4
7. PROCESOS RELACIONADOS .................................................................... 4
8. DIAGRAMA DE FLUJO.............................................................................. 5
9. DESARROLLO .......................................................................................... 6
9.1. GESTIÓN Y CONTROL DE LOS DATOS................................................ 6
10. ARCHIVO ............................................................................................ 13
11. DEFINICIONES ................................................................................... 13
12. FORMATOS Y REFERENCIAS ................................................................ 14
1. TABLA RESUMEN
SECTORES TODOS, EN GENERAL
ENTRADAS: NECESIDAD DE
ADAPTARSE A REQUISITOS LEGALES
RESPONSABLE: GERENCIA
DE PROTECCIÓN DE DATOS
PERSONALES
SALIDAS: CUMPLIMIENTO DE LA
RESPONSABLE: RESPONSABLE DE
LOPD EN TODOS LOS ÁMBITOS DE LA
SEGURIDAD
EMPRESA
2. OBJETO
En este procedimiento se describe la sistemática a seguir para llevar a cabo la
adaptación de una empresa a la normativa sobre protección de datos personales,
teniendo como resultado final el cumplimiento de dichos requisitos legales.
3. ALCANCE
El proceso empieza con la determinación de la situación actual en materia de
protección de datos de carácter personal, incluyendo la identificación de aquellos
ficheros, en soporte informático o de otro tipo, afectados por la ley orgánica de
protección de datos de carácter personal.
2
PROCEDIMIENTO GENERAL
RAZÓN SOCIAL DE LA
GESTIÓN Y CONTROL DE DATOS DE CARÁCTER PERSONAL
EMPRESA
Código PG-13 Edición 0
4. RESPONSABILIDADES
-Empresa responsable del tratamiento:
• Responsable de seguridad:
- Inscripción de los ficheros en el Registro General de la Protección de Datos.
Artículo 26 LOPD. Artículos 5 y 6 R.D. 1332/1994, de 20 de Junio.
• Responsable de seguridad:
- Adoptar y hacer cumplir al personal que debido a su trabajo tenga acceso
a los ficheros las obligaciones establecidas en el contrato como el deber de
secreto y las medidas de seguridad observadas.
3
PROCEDIMIENTO GENERAL
RAZÓN SOCIAL DE LA
GESTIÓN Y CONTROL DE DATOS DE CARÁCTER PERSONAL
EMPRESA
Código PG-13 Edición 0
- Deber de guardar secreto sobre los datos que contengan los ficheros.
• Gerencia:
- Asignar un Responsable de Implantación de Protección de datos, que
puede coincidir o no con el Responsable de seguridad o tratarse de una
empresa externa.
5. ENTRADAS
El proceso da comienzo con el estudio, evaluación y clasificación de los ficheros de
datos personales existentes en la empresa.
6. SALIDAS
El proceso finaliza con la adecuación de la organización a los requisitos de la
legislación existente sobre la protección de datos personales.
7. PROCESOS RELACIONADOS
• Todos los procesos de la organización.
4
PROCEDIMIENTO GENERAL
RAZÓN SOCIAL DE LA
GESTIÓN Y CONTROL DE DATOS DE CARÁCTER PERSONAL
EMPRESA
Código PG-13 Edición 0
8. DIAGRAMA DE FLUJO
NOTA: El número que aparece en cada etapa indica el punto del apartado 9 del
procedimiento, DESARROLLO al que pertenece.
5
PROCEDIMIENTO GENERAL
RAZÓN SOCIAL DE LA
GESTIÓN Y CONTROL DE DATOS DE CARÁCTER PERSONAL
EMPRESA
Código PG-13 Edición 0
9. DESARROLLO
6
PROCEDIMIENTO GENERAL
RAZÓN SOCIAL DE LA
GESTIÓN Y CONTROL DE DATOS DE CARÁCTER PERSONAL
EMPRESA
Código PG-13 Edición 0
- Finalidad de la prestación.
El cliente como responsable del fichero, debe promover la realización del contrato,
aunque la LOPD no determina quién lo debe promover, puesto que es el garante de
los datos que posteriormente "presta" al encargado del tratamiento.
En último caso, lo importante es que el contrato tiene que existir, ya que es una
obligación legal, por lo que el encargado del tratamiento debería preocuparse de 7
realizarlo en el caso de que el responsable del fichero no lo haga, ya que en el
PROCEDIMIENTO GENERAL
RAZÓN SOCIAL DE LA
GESTIÓN Y CONTROL DE DATOS DE CARÁCTER PERSONAL
EMPRESA
Código PG-13 Edición 0
En el caso de que exista cesión de ficheros con datos de carácter personal entre dos
organizaciones, no es obligatoria la realización de un contrato entre ambas.
En este caso se habrán de redactar y aplicar las cláusulas necesarias para recabar
el consentimiento de los afectados/interesados, es decir, de los cedentes de datos
personales que les conciernen. La empresa que recibe los datos también tendrá que
registrar estos ficheros en la Agencia de Protección de Datos, al igual que la
empresa cedente.
La empresa está obligada a tratar los datos conforme a las instrucciones dadas por
el cliente responsable del tratamiento, no pudiendo destinar los datos a otra
finalidad distinta a la establecida en el contrato, ni ceder los datos a terceros, ni
siquiera para su conservación. En este caso será considerada, también, responsable
del tratamiento, respondiendo de las infracciones en que hubiera incurrido
personalmente.
8
PROCEDIMIENTO GENERAL
RAZÓN SOCIAL DE LA
GESTIÓN Y CONTROL DE DATOS DE CARÁCTER PERSONAL
EMPRESA
Código PG-13 Edición 0
Asimismo, hay que indicar que la empresa además de estar obligada a adoptar y
cumplir las adecuadas medidas de seguridad, debe comunicar y hacer cumplir entre
sus trabajadores aquellas obligaciones que se establecen en el contrato, como, por
ejemplo, las relativas al deber de secreto y las medidas de seguridad que se deben
observar.
Por último, hay que mencionar que la empresa encargada del tratamiento una vez
concluida la prestación, debe destruir o devolver a la empresa responsable del
tratamiento los soportes o documentos en que conste algún dato de carácter
personal.
-Ámbito de aplicación.
-Procedimientos de revisión.
-etc.
11
PROCEDIMIENTO GENERAL
RAZÓN SOCIAL DE LA
GESTIÓN Y CONTROL DE DATOS DE CARÁCTER PERSONAL
EMPRESA
Código PG-13 Edición 0
El cliente que contrata los servicios de responsable del tratamiento, está obligado
por la legislación a notificar a la Agencia de Protección de Datos la existencia de los
ficheros.
- Los datos relativos a los ficheros que sean necesarios para el ejercicio de
los derechos de los ciudadanos de información, acceso, rectificación,
cancelación y oposición de los datos.
E. AUDITORÍA
12
PROCEDIMIENTO GENERAL
RAZÓN SOCIAL DE LA
GESTIÓN Y CONTROL DE DATOS DE CARÁCTER PERSONAL
EMPRESA
Código PG-13 Edición 0
10. ARCHIVO
Toda la documentación resultante de la gestión y control de los datos de carácter
personal será archivada y controlada de acuerdo a lo dispuesto en la legislación, y
por el personal autorizado para ello.
11. DEFINICIONES
• Protección de datos: Derecho de todo ciudadano a que sus datos no sean
utilizados sin la autorización ni protección debida.
13
PROCEDIMIENTO GENERAL
RAZÓN SOCIAL DE LA
GESTIÓN Y CONTROL DE DATOS DE CARÁCTER PERSONAL
EMPRESA
Código PG-13 Edición 0
14
PROCEDIMIENTO GENERAL
RAZÓN SOCIAL DE LA
GESTIÓN Y CONTROL DE DATOS DE CARÁCTER PERSONAL
EMPRESA
Código PG-13 Edición 0
NIVEL BÁSICO
CARACTERÍSTICAS DEL DOCUMENTO DE SEGURIDAD
- Ámbito de aplicación.
- Difusión entre el personal de las normas que les afecten y de las consecuencias
por incumplimiento.
INCIDENCIAS QUE SE PRODUZCAN
- Registrar tipo de incidencia, momento en que se producieron, persona que la
notifica, persoa a la que se le comunica y efectos derivados.
MEDIDAS DE IDENTIFICACIÓN Y AUTENTIFICACIÓN DEL PERSONAL
- Relación actualizada de usuarios y accesos autorizados.
- Criterios de accesos.
- Mecanismos que eviten el acceso a datos o recursos con derechos distintos de los
autorizados.
15
PROCEDIMIENTO GENERAL
RAZÓN SOCIAL DE LA
GESTIÓN Y CONTROL DE DATOS DE CARÁCTER PERSONAL
EMPRESA
Código PG-13 Edición 0
- Inventario.
NIVEL MEDIO
CARACTERÍSTICAS DEL DOCUMENTO DE SEGURIDAD
- Identificación del responsable de seguridad.
16
PROCEDIMIENTO GENERAL
RAZÓN SOCIAL DE LA
GESTIÓN Y CONTROL DE DATOS DE CARÁCTER PERSONAL
EMPRESA
Código PG-13 Edición 0
RESPONSABLE
- Uno o varios nombrados por el responsable del archivo.
NIVEL ALTO
GESTIÓN DE LOS SOPORTES UTILIZADOS
- Cifrado de datos en la distribución de soportes.
COPIA DE RESPALDO/SEGURIDAD
- Copia de respaldo y procedimientos de recuperación en lugar diferente del que se
encuentren los equipos.
REGISTRO DE ACCESOS
- Registrar usuario, hora, archivo, tipo acceso y registro accedido.
- Conservación 2 años.
TELECOMUNICACIONES
- Transmisión de datos cifrada.
• Los niveles son acumulativos y tienen la condición de mínimo esigibles.
• Los accesos a través de redes de telecomunicacións deben garantizar un nivel de
seguridad equivalente al de los accesos en modo local.
• La ejecución de trabajos fuera de los locales del emplazamiento del archivo debe ser
expresamente autorizada por el responsable del archivo a garantizar el nivel de
seguridad.
• Los archivos temporales deberán cumplir el nivel de seguridad correspondiente y
serán borrados una vez que dejen de ser necesarios
• Los archivos de nivel básico que contengan datos que permitan obtener una
evaluación da personalidad del individuo deberán garantizar, además de las medidas
de nivel básico, las de nivel medio relativas a auditoría, identificación y autenticación,
control de acceso físico y gestión de soportes.
17