PROCEDIMIENTO GENERAL

RAZÓN SOCIAL DE LA
GESTIÓN Y CONTROL DE DATOS DE CARÁCTER PERSONAL
EMPRESA
Código PG-13 Edición 0

Índice:

1. TABLA RESUMEN..................................................................................... 2
2. OBJETO................................................................................................... 2
3. ALCANCE................................................................................................. 2
4. RESPONSABILIDADES ............................................................................ 3
5. ENTRADAS .............................................................................................. 4
6. SALIDAS ................................................................................................. 4
7. PROCESOS RELACIONADOS .................................................................... 4
8. DIAGRAMA DE FLUJO.............................................................................. 5
9. DESARROLLO .......................................................................................... 6
9.1. GESTIÓN Y CONTROL DE LOS DATOS................................................ 6
10. ARCHIVO ............................................................................................ 13
11. DEFINICIONES ................................................................................... 13
12. FORMATOS Y REFERENCIAS ................................................................ 14

FECHA DE ENTRADA EN VIGOR:

Realizado: Revisado y aprobado:

1
 PROCEDIMIENTO GENERAL
RAZÓN SOCIAL DE LA
GESTIÓN Y CONTROL DE DATOS DE CARÁCTER PERSONAL
EMPRESA
Código PG-13 Edición 0

1. TABLA RESUMEN
SECTORES TODOS, EN GENERAL

TIPOLOGÍA DEL PROCESO GENERAL

GESTIÓN Y CONTROL DE DATOS DE

PROCESO CARÁCTER PERSONAL

RESPONSABLE PROCESO GERENCIA

PROCESOS RELACIONADOS TODOS LOS PROCESOS

ENTRADAS: NECESIDAD DE
ADAPTARSE A REQUISITOS LEGALES
RESPONSABLE: GERENCIA
DE PROTECCIÓN DE DATOS
PERSONALES

SALIDAS: CUMPLIMIENTO DE LA
RESPONSABLE: RESPONSABLE DE
LOPD EN TODOS LOS ÁMBITOS DE LA
SEGURIDAD
EMPRESA

2. OBJETO
En este procedimiento se describe la sistemática a seguir para llevar a cabo la
adaptación de una empresa a la normativa sobre protección de datos personales,
teniendo como resultado final el cumplimiento de dichos requisitos legales.

3. ALCANCE
El proceso empieza con la determinación de la situación actual en materia de
protección de datos de carácter personal, incluyendo la identificación de aquellos
ficheros, en soporte informático o de otro tipo, afectados por la ley orgánica de
protección de datos de carácter personal.

Actividades a las que afecta este proceso:

• Todas las actividades.

2
 PROCEDIMIENTO GENERAL
RAZÓN SOCIAL DE LA
GESTIÓN Y CONTROL DE DATOS DE CARÁCTER PERSONAL
EMPRESA
Código PG-13 Edición 0

4. RESPONSABILIDADES
-Empresa responsable del tratamiento:

• Responsable de seguridad:
- Inscripción de los ficheros en el Registro General de la Protección de Datos.
Artículo 26 LOPD. Artículos 5 y 6 R.D. 1332/1994, de 20 de Junio.

- Redacción de los contratos, formularios y cláusulas necesarias para la

recogida de datos, los tratamientos por terceros y las cesiones o
comunicaciones de datos.

- Informar al titular de los datos sobre la existencia y finalidad del fichero,

quién es el responsable del mismo y de que forma puede ejercer los
derechos de acceso, rectificación, oposición y cancelación.
- Obtener el consentimiento del afectado en los casos en que sea preceptivo.

- Respetar la calidad y exactitud de los datos y su utilización exclusivamente

para el fin para el que se recogieron.

-Empresa encargada del tratamiento:

• Responsable de seguridad:
- Adoptar y hacer cumplir al personal que debido a su trabajo tenga acceso
a los ficheros las obligaciones establecidas en el contrato como el deber de
secreto y las medidas de seguridad observadas.

- Aplicar y promover el cumplimiento de las medidas de seguridad detalladas

en el Documento de Seguridad.

- Formación del personal usuario de los ficheros de datos de carácter

personal.

- Destrucción o devolución de los soportes que contengan datos de carácter

personal a la empresa responsable del tratamiento al finalizar el servicio.

3
 PROCEDIMIENTO GENERAL
RAZÓN SOCIAL DE LA
GESTIÓN Y CONTROL DE DATOS DE CARÁCTER PERSONAL
EMPRESA
Código PG-13 Edición 0

• Personal usuario de datos de carácter personal:

- Seguir las prácticas descritas en el Documento de Seguridad en lo que
afecte a su trabajo, especialmente en cuanto a sus funciones y obligaciones,
el procedimiento de notificación, gestión y respuestas ante las incidencias y
las instrucciones relativas al registro de soportes (inventario), copias de
seguridad, incidencias, autorizaciones firmadas para la salida o recuperación
de datos, etc.

- Deber de guardar secreto sobre los datos que contengan los ficheros.

• Gerencia:
- Asignar un Responsable de Implantación de Protección de datos, que
puede coincidir o no con el Responsable de seguridad o tratarse de una
empresa externa.

- Nombramiento y/o Visto Bueno a la persona que ejerce como Responsable

de Seguridad.

- Gestión de la formación del Responsable de Seguridad.

5. ENTRADAS
El proceso da comienzo con el estudio, evaluación y clasificación de los ficheros de
datos personales existentes en la empresa.

6. SALIDAS
El proceso finaliza con la adecuación de la organización a los requisitos de la
legislación existente sobre la protección de datos personales.

7. PROCESOS RELACIONADOS
• Todos los procesos de la organización.

4
 PROCEDIMIENTO GENERAL
RAZÓN SOCIAL DE LA
GESTIÓN Y CONTROL DE DATOS DE CARÁCTER PERSONAL
EMPRESA
Código PG-13 Edición 0

8. DIAGRAMA DE FLUJO

NOTA: El número que aparece en cada etapa indica el punto del apartado 9 del
procedimiento, DESARROLLO al que pertenece.

5
 PROCEDIMIENTO GENERAL
RAZÓN SOCIAL DE LA
GESTIÓN Y CONTROL DE DATOS DE CARÁCTER PERSONAL
EMPRESA
Código PG-13 Edición 0

9. DESARROLLO

9.1. GESTIÓN Y CONTROL DE LOS DATOS

A. ESTUDIO, EVALUACIÓN Y CLASIFICACIÓN DE LOS FICHEROS

En primer lugar el Responsable de Implantación realizará un diagnóstico inicial

sobre la situación de partida de la empresa., en cuanto a los datos de carácter
personal que se manejan.

Inicialmente se estudiarán los ficheros existentes, viendo:

• su cantidad (número de ficheros existentes).

• dentificando la titularidad de los ficheros de datos.

Para la identificación de aquellos ficheros de datos de carácter personal, ha de

cumplirse que contengan una relación de datos a partir de la que se pueda
identificar a una persona. Así, por ejemplo, un listado de nombres de personas no
es un fichero, pero un listado donde se detalle el nombre y el D.N.I., nombre y
teléfono, etc., sí lo es.

Asimismo se ha de tener en cuenta que la extensión del fichero no es relevante,

sino el número de ficheros que contengan datos de carácter personal susceptibles
de ser protegidos.

Los ficheros de datos personales pueden encontrarse en soporte informático o en

soporte papel.

En soporte informático se pueden encontrar como bases de datos, hojas de excel,

archivos de Word, etc. Generalmente los ficheros informáticos existentes con datos
de carácter personal son aquellos relativos al propio personal de la organización, los
relativos a empresas clientes y los relacionados con los proveedores.

En soporte papel es habitual encontrar nóminas, presupuestos, albaranes, facturas,

contratos, etc. siempre que incluyan datos de carácter personal. En el caso de que
este tipo de archivos estén afectados por la Ley, se separan físicamente de otros
documentos y se guardan bajo llave, de la que sólo dispone el personal autorizado.

6
 PROCEDIMIENTO GENERAL
RAZÓN SOCIAL DE LA
GESTIÓN Y CONTROL DE DATOS DE CARÁCTER PERSONAL
EMPRESA
Código PG-13 Edición 0

IDENTIFICACIÓN DE AQUELLOS FICHEROS PARA LOS QUE EXISTA

TRATAMIENTO DE DATOS POR TERCEROS

La empresa que gestiona una prestación de servicios a un cliente, donde se

incluyan, entre otros elaboración de nóminas, contratación, tramitación de
documentación ante la Seguridad Social, etc. estará trabajando con datos
personales, por lo que es considerado como Encargado del Tratamiento de los datos
según la LOPD, mientras que la empresa cliente a la que presta servicio es
considerada Responsable del Tratamiento.

El tratamiento de datos por terceros deberá estar regulado en un contrato que

habrá de constar por escrito o en alguna otra forma que permita acreditar su
celebración y contenido.

En dicho contrato, consensuado entre ambas partes, se ha de hacer mención

expresa a lo siguiente:

- Descripción detallada de las prestaciones a realizar.

- Finalidad de la prestación.

- Indicación de que la empresa como encargadada del tratamiento,

únicamente tratará los datos conforme a las instrucciones de la empresa
cliente y no los aplicará o utilizará con fin distinto al que figure en dicho
contrato, ni los comunicará, ni siquiera para su conservación, a otras
personas.

- Indicación de las medidas de seguridad que la empresa encargada del

tratamiento está obligada a implementar. Debe tenerse en cuenta que la Ley
establece unas medidas de seguridad de mínimos, pudiendo pactarse
medidas de seguridad más estrictas que las contempladas en el Reglamento
de Medidas de Seguridad (Real Decreto 994/1999, de 11 de junio). Lo
aconsejable es que estas medidas se pacten con un nivel aceptable de
detalle intentando alejarse de generalidades, ya que a la hora de dirimir
responsabilidades esta circunstancia será de gran ayuda.

- Referencia a la obligación de la empresa de guardar secreto profesional

respecto a los datos objeto de tratamiento mientras está en curso la
prestación y una vez finalizada ésta.

- Referencia a que una vez realizado el servicio o bien en el supuesto de su

resolución, los datos de carácter personal que pudieran permanecer en
poder del Encargado del Tratamiento, deberán ser destruidos o devueltos al
Responsable del Fichero, al igual que cualquier soporte o documento en que
conste algún dato de carácter personal objeto del tratamiento.

El cliente como responsable del fichero, debe promover la realización del contrato,
aunque la LOPD no determina quién lo debe promover, puesto que es el garante de
los datos que posteriormente "presta" al encargado del tratamiento.

En último caso, lo importante es que el contrato tiene que existir, ya que es una
obligación legal, por lo que el encargado del tratamiento debería preocuparse de 7
realizarlo en el caso de que el responsable del fichero no lo haga, ya que en el
 PROCEDIMIENTO GENERAL
RAZÓN SOCIAL DE LA
GESTIÓN Y CONTROL DE DATOS DE CARÁCTER PERSONAL
EMPRESA
Código PG-13 Edición 0

supuesto de un conflicto ante la Agencia Española de Protección de Datos es posible

que las sanciones se extendieran a las dos figuras.

IDENTIFICACIÓN DE AQUELLOS FICHEROS PARA LOS QUE EXISTA CESIÓN

DE DATOS

En el caso de que exista cesión de ficheros con datos de carácter personal entre dos
organizaciones, no es obligatoria la realización de un contrato entre ambas.

En este caso se habrán de redactar y aplicar las cláusulas necesarias para recabar
el consentimiento de los afectados/interesados, es decir, de los cedentes de datos
personales que les conciernen. La empresa que recibe los datos también tendrá que
registrar estos ficheros en la Agencia de Protección de Datos, al igual que la
empresa cedente.

A la hora de registrar el fichero, la empresa cedente de los datos detallará el titular

del fichero, la finalidad de los datos, a quién se ceden y por qué motivo, y en donde
pueden los afectados ejercer sus derechos de acceso, cancelación, oposición y
rectificación.

No es necesario el consentimiento del afectado para la cesión o comunicación de los

datos, entre otros, en los siguientes casos:

- Cuando la cesión esté autorizada por una Ley.

- Cuando se trate de datos recogidos de fuentes accesibles al público.

- Cuando la comunicación que deba efectuarse tenga por destinatario al

Defensor del Pueblo, el Ministerio Fiscal, los Jueces, Tribunales o el Tribunal
de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco
será preciso el consentimiento cuando la comunicación tenga como
destinatario a instituciones autonómicas con funciones análogas al Defensor
del Pueblo o al Tribunal de Cuentas.

- Cuando la cesión se produzca entre Administraciones Públicas y tenga por

objeto el tratamiento posterior de los datos con fines históricos, estadísticos
o científicos.

- Cuando la cesión de datos de carácter personal relativos a la salud sea

necesaria para solucionar una urgencia que requiera acceder a un fichero o
para realizar los estudios epidemiológicos en los términos establecidos en la
legislación sobre sanidad estatal o autonómica.

OBLIGACIONES DE LA EMPRESA ENCARGADA DEL TRATAMIENTO

La empresa está obligada a tratar los datos conforme a las instrucciones dadas por
el cliente responsable del tratamiento, no pudiendo destinar los datos a otra
finalidad distinta a la establecida en el contrato, ni ceder los datos a terceros, ni
siquiera para su conservación. En este caso será considerada, también, responsable
del tratamiento, respondiendo de las infracciones en que hubiera incurrido
personalmente.
8
 PROCEDIMIENTO GENERAL
RAZÓN SOCIAL DE LA
GESTIÓN Y CONTROL DE DATOS DE CARÁCTER PERSONAL
EMPRESA
Código PG-13 Edición 0

En cuanto a la inscripción de ficheros en el Registro General de Protección de

Datos, la obligación de notificar los ficheros para su inscripción recae sobre la
responsable del fichero.

Asimismo, hay que indicar que la empresa además de estar obligada a adoptar y
cumplir las adecuadas medidas de seguridad, debe comunicar y hacer cumplir entre
sus trabajadores aquellas obligaciones que se establecen en el contrato, como, por
ejemplo, las relativas al deber de secreto y las medidas de seguridad que se deben
observar.

Por último, hay que mencionar que la empresa encargada del tratamiento una vez
concluida la prestación, debe destruir o devolver a la empresa responsable del
tratamiento los soportes o documentos en que conste algún dato de carácter
personal.

OBLIGACIONES QUE RECAEN SOBRE EL CLIENTE COMO RESPONSABLE DEL

FICHERO:

Entre ellas se encuentra la de presentar la solicitud de inscripción en el Registro

General de Protección de Datos indicando en ella, entre otras cuestiones, la
existencia de una prestación de servicios, con la necesidad de identificar a
encargada do tratamento.

Muchas veces el responsable del tratamiento pone de manifiesto la existencia de

varios encargados para un mismo fichero. En estos casos, la Agencia Española de
Protección de Datos recomienda especificar como encargado del tratamiento a la
entidad principal que realice dichas funciones.

Un error habitual que se produce en la práctica al cumplimentar el modelo de

notificación consiste en considerar como encargado del tratamiento al personal que
trabaja por cuenta del responsable del fichero. En estos casos, la Agencia Española
de Protección de Datos ha reiterado que una persona que trabaja bajo la
dependencia o autoridad directa del responsable (el abogado, el economista, el
graduado social, etc.), debido a una relación contractual dentro del ámbito del
derecho laboral, no tiene la consideración de encargado del tratamiento.

Eso no significa que no se puedan exigir responsabilidades a un miembro de la

empresa encargada do tratamento, ya que en el marco de la relación laboral el
trabajador tiene una serie de obligaciones y responsabilidades en materia de
protección de datos, como, por ejemplo, el deber de guardar secreto.

NIVEL DE SEGURIDAD ASOCIADO A UN FICHERO

Se establecerá el nivel de seguridad aplicable a los ficheros que contengan datos de

carácter personal.

En el reglamento de medidas de seguridad de los archivos automatizados que

contengan datos de carácter personal (Real Decreto 994/1999) se detallan los
requisitos mínimos de los niveles básico, medio o alto y que se han recogido en el
Anexo I al presente procedimiento.
9
 PROCEDIMIENTO GENERAL
RAZÓN SOCIAL DE LA
GESTIÓN Y CONTROL DE DATOS DE CARÁCTER PERSONAL
EMPRESA
Código PG-13 Edición 0

Aquellos datos relativos a cuentas bancarias, embargo, morosidad, etc. se pueden

clasificar como de nivel medio.

B. VERIFICACIÓN DE MEDIDAS DE SEGURIDAD FÍSICAS Y LÓGICAS

El responsable de implantación verificará el cumplimiento actual de la LOPD (Ley

Orgánica de Protección de Datos) en la empresa, y comprobará la adecuación de los
ficheros a medidas de seguridad del reglamento, determinando:

- Qué política de contraseñas se va a adoptar de manera que el personal

designado pueda acceder a aquellos ficheros a los que tenga acceso.

- Validación en el servidor (que el servidor reconozca al personal designado

a través de su contraseña y le dé permiso para acceder únicamente a los
archivos que le correspondan).

Asimismo determinará las medidas de seguridad físicas a adoptar, en el sentido de

la forma de segregar dichos ficheros (por ejemplo, en una habitación cerrada con
llave) y también verificará que el acceso a los ficheros sólo lo puedan realizar las
personas autorizadas.

También procederá a la verificación de que se cumple el procedimiento sobre la

realización de copias de seguridad: ejecución periódica (como mínimo semanal,
aunque se recomienda diaria) y su registro, siguiendo las directrices del
procedimiento "Control de los documentos".

C. REDACCIÓN DEL DOCUMENTO DE SEGURIDAD

El responsable de implantación y/o el responsable de seguridad redactará las

medidas de seguridad a aplicar sobre los ficheros existentes, las cuales se
concretarán en el Documento de Seguridad.

El Documento de Seguridad recogerá las medidas adoptadas por parte del

encargado del tratamiento en cuanto a la protección de los ficheros de datos de
carácter personal, que se determinarán en función del nivel correspondiente,
estando a disposición de la Agencia de Protección de Datos.

Este documento es la pieza clave en la adaptación de las organizaciones a la LOPD

y sobre la que va a versar la actuación de la persona que se designe como
responsable de seguridad.

El contenido principal de este Documento queda estructurado como sigue:

-Ámbito de aplicación.

-Medidas, normas, procedimientos, reglas y estándares encaminados a

garantizar los niveles de seguridad exigidos.

-Procedimiento general de información al personal.

-Funciones y obligaciones del personal. 10

 PROCEDIMIENTO GENERAL
RAZÓN SOCIAL DE LA
GESTIÓN Y CONTROL DE DATOS DE CARÁCTER PERSONAL
EMPRESA
Código PG-13 Edición 0

-Procedimiento de notificación, gestión y respuestas ante las incidencias.

-Procedimientos de revisión.

-Consecuencias del incumplimiento del Documento de Seguridad.

-Anexo I. Aspectos específicos relativos a los diferentes ficheros.

-Anexo I a. Aspectos relativos al fichero (nombre del fichero a)

-Anexo I b. Aspectos relativos al fichero (nombre del fichero b)

-etc.

-Anexo II. Nombramientos.

-Anexo III. Autorizaciones firmadas para la salida o recuperación de datos.

-Anexo IV. Inventario de soportes (si se gestiona en papel).

-Anexo V. Registro de Incidencias (si se gestiona en papel).

-Anexo VI. Contratos o cláusulas de encargados de tratamiento, si existen,

de acuerdo con lo indicado en el artículo 12 de la LOPD.

-Anexo VII: Registro de entrada y salida de soportes.

Para la redacción de las medidas y procedimientos del documento se seguirá el

modelo de la Agencia Española de Protección de Datos, disponible en la página web
www.agpd.es.

El responsable de seguridad deberá mantener actualizado el Documento de

Seguridad de forma permanente, modificándolo total o parcialmente si se produce
cualquier modificación relevante en los sistemas de información, automatizados o
no, en la organización de los mismos, o en las disposiciones vigentes en materia de
seguridad de los datos de carácter personal, lo que conllevará la revisión de la
normativa incluida.

11
 PROCEDIMIENTO GENERAL
RAZÓN SOCIAL DE LA
GESTIÓN Y CONTROL DE DATOS DE CARÁCTER PERSONAL
EMPRESA
Código PG-13 Edición 0

D. COMUNICACIÓN DE LOS FICHEROS DE LA ENTIDAD A LA AGENCIA DE

PROTECCIÓN DE DATOS.

El cliente que contrata los servicios de responsable del tratamiento, está obligado
por la legislación a notificar a la Agencia de Protección de Datos la existencia de los
ficheros.

La persona designada por la Gerencia llevará a cabo el registro de ficheros,

elaborando la documentación necesaria para la inscripción/es de los ficheros
existentes en el Registro General de la Agencia de Protección de Datos.

Serán objeto de inscripción en el Registro General de Protección de Datos los

siguientes ficheros:

- Los de titularidad privada.

- Las autorizaciones de transferencias internacionales de datos de carácter

personal con destino a países que no presten un nivel de protección
equiparable al que presta la LOPD a que se refiere el art. 33.1 de la LOPD.

- Los códigos tipo, a que se refiere el artículo 32 de la LOPD.

- Los datos relativos a los ficheros que sean necesarios para el ejercicio de
los derechos de los ciudadanos de información, acceso, rectificación,
cancelación y oposición de los datos.

La notificación se puede realizar telemáticamente o mediante los formularios

normalizados de notificación de ficheros en formato papel, cada uno de los que se
enviará a la Agencia Española de Protección de Datos, junto con hoja de solicitud
firmada por persona con representación suficiente. En ambos casos, para realizar la
inscripción de los ficheros, se recurrirá a descargas gratuitas desde la página de la
Agencia (www.agpd.es), en el primer caso el programa gratuito de ayuda y en el
segundo el formulario, junto con las instrucciones de cumplimentación.

E. AUDITORÍA

La legislación obliga a la realización de auditorías, para ficheros informatizados de

datos de carácter personal, de forma periódica, cada 2 años.

En el caso de ficheros de nivel básico, aunque no sea exigible legalmente, es

recomendable llevar a cabo, también con carácter bianual, auditorías.

La legislación obliga a las organizaciones a someter los sistemas e instalaciones a

auditoría y a que los informes de auditoría sean analizados por el responsable de
seguridad, que elevará las conclusiones al responsable del fichero para que adopte
las medidas correctoras adecuadas y quedarán a disposición de la Agencia Española
de Protección de Datos. De ello se desprende que, una vez elaborado el informe de
auditoría, el responsable de seguridad deberá comunicar sus resultados al
responsable del fichero, que adoptará las medidas pertinentes.

12
 PROCEDIMIENTO GENERAL
RAZÓN SOCIAL DE LA
GESTIÓN Y CONTROL DE DATOS DE CARÁCTER PERSONAL
EMPRESA
Código PG-13 Edición 0

10. ARCHIVO
Toda la documentación resultante de la gestión y control de los datos de carácter
personal será archivada y controlada de acuerdo a lo dispuesto en la legislación, y
por el personal autorizado para ello.

11. DEFINICIONES
• Protección de datos: Derecho de todo ciudadano a que sus datos no sean
utilizados sin la autorización ni protección debida.

• Fichero de datos: Conjunto organizado de datos, cualquiera que sea la

manera en que esté organizado.

• Usuario: Sujeto o proceso autorizado para acceder a los datos.

• Datos de Nivel básico: Ficheros que contengan datos de carácter personal.

• Datos de Nivel medio: Ficheros que contengan datos relativos a la comisión

de infracciones administrativas o penales, Hacienda Pública, servicios
financieros y los que se rijan por el artículo 29 de la LOPD (prestación de
servicios de solvencia y crédito).

• Datos de Nivel alto: Ficheros que contengan datos de ideología, religión,

creencias, origen racial, salud o vida sexual así como los recabados para
fines policiales sin consentimiento de las personas afectadas.

• Documento de Seguridad: Es el documento mediante el que se elaboran y

adoptan las medidas técnicas y organizativas necesarias para garantizar la
seguridad de los datos de carácter personal. Dichas medidas son de obligado
cumplimiento para el responsable del archivo, o, en caso de existir, para el
encargado del tratamiento.

• Responsable del fichero o tratamiento: la empresa que contrata los servicios

externos. Ésta es considerada como la responsable del fichero de datos,
siempre y cuando decida sobre la finalidad, contenido y uso del tratamiento
de los datos. En el caso de que la finalidad, el contenido y el uso del
tratamiento de los datos sea determinada no por la empresa, sino por la
asesoría o gestoría, nos encontraríamos formalmente ante una cesión o
comunicación de datos y no ante una prestación de servicios (la Ley lo llama
acceso a los datos por cuenta de terceros).

• Encargado del tratamiento: Encargado del tratamiento es aquella persona

física o jurídica que sola o conjuntamente con otros, trata datos de carácter
personal por cuenta del responsable del tratamiento, conforme a sus
instrucciones.

13
 PROCEDIMIENTO GENERAL
RAZÓN SOCIAL DE LA
GESTIÓN Y CONTROL DE DATOS DE CARÁCTER PERSONAL
EMPRESA
Código PG-13 Edición 0

• Agencia de Protección de Datos: Ente de Derecho Público, que tiene como

fin velar por el cumplimiento de la normativa sobre la protección de datos
personales informatizados y controlar su aplicación.

También realiza otras funciones, como:

- Administrar el Registro General de Protección de Datos, que es el

órgano al que corresponde velar por la publicidad de la existencia de
datos de carácter personal.

- Realiza inspecciones en las empresas a instancia de los afectados o

de oficio.

- Dicta instrucciones y recomendaciones.

- Instruye y resuelve los expedientes sancionadores por la comisión

de las infracciones previstas en la Ley.

• Códigos tipo: Son códigos deontológicos o de buena conducta o práctica

profesional. Dichos códigos establecen la política concreta que una
determinada empresa va a seguir en lo que se refiere a la protección de
datos (más información en la página web de la Agencia, www.agpd.es,
donde se publican códigos inscriptos en el Registro General de Protección de
datos, entre ellos de distintas asociaciones profesionales y de Telefónica,
S.A.). Su elaboración es voluntaria, puesto que para cumplir con los
preceptos de la ley sólo hace falta respetar lo en ella establecido.

12. FORMATOS Y REFERENCIAS

• Resumen de medidas de seguridad.

14
 PROCEDIMIENTO GENERAL
RAZÓN SOCIAL DE LA
GESTIÓN Y CONTROL DE DATOS DE CARÁCTER PERSONAL
EMPRESA
Código PG-13 Edición 0

RESUMEN DE MEDIDAS DE SEGURIDAD

Medidas mínimas de seguridad de los archivos que contengan datos de

carácter personal (RD/994/1999)

NIVEL BÁSICO
CARACTERÍSTICAS DEL DOCUMENTO DE SEGURIDAD
- Ámbito de aplicación.

- Medidas, normas, procedimientos, reglas y estándares de seguridad.

- Funciones y obligaciones del personal.

- Estructura y descripción de archivos y sistemas de información.

- Procedimiento de notificación, gestión y respuesta ante incidencias.

- Proced. realización copias de respaldo y recuperación de datos.

PERSONAL QUE TRABAJA CON DATOS DE NIVEL BÁSICO
- Funciones y obligaciones claramente definidas y documentadas.

- Difusión entre el personal de las normas que les afecten y de las consecuencias
por incumplimiento.
INCIDENCIAS QUE SE PRODUZCAN
- Registrar tipo de incidencia, momento en que se producieron, persona que la
notifica, persoa a la que se le comunica y efectos derivados.
MEDIDAS DE IDENTIFICACIÓN Y AUTENTIFICACIÓN DEL PERSONAL
- Relación actualizada de usuarios y accesos autorizados.

- Procedimientos de identificación y autentificación.

- Criterios de accesos.

- Procedimientos de asignación y gestión de contraseñales y periodicidad con que

se cambian.

- Almacenamiento ininteligible de contraseñales activas.

CONTROL Y ACCESO A USUARIOS
- Cada usuario accederá unicamente a los datos y recursos precisos para el
desarrollo de sus funciones.

- Mecanismos que eviten el acceso a datos o recursos con derechos distintos de los
autorizados.

- Concesión de permisos de acceso sólo por el personal autorizado.

15
 PROCEDIMIENTO GENERAL
RAZÓN SOCIAL DE LA
GESTIÓN Y CONTROL DE DATOS DE CARÁCTER PERSONAL
EMPRESA
Código PG-13 Edición 0

GESTIÓN DE LOS SOPORTES UTILIZADOS

- Identificar el tipo de información que contiene.

- Inventario.

- almacenamiento con acceso restringido.

- Salida de soportes autorizada por el responsable del archivo.

COPIAS DE RESPALDO/SEGURIDAD
- Verificar la definición y aplicación de los procedimientos de copias y recuperación.

- Garantizar la reconstrucción de los datos en el estado en que se encontraban en

el momento de producirse la pérdida o destrucción.

- Copia de respaldo, por lo menos semanal.

NIVEL MEDIO
CARACTERÍSTICAS DEL DOCUMENTO DE SEGURIDAD
- Identificación del responsable de seguridad.

- Control periódico del cumplimiento del documento.

- Medidas a adoptar en caso de reutilización o destrucción de soportes.

INCIDENCIAS QUE SE PRODUZCAN
- Registrar realización de procedimientos de recuperación de los datos, persona que
lo ejecuta, datos restaurados y grabados manualmente.

- Autorización por escrito del responsable del archivo para su recuperación.

MEDIDAS DE IDENTIFICACIÓN Y AUENTIFICACIÓN DEL PERSONAL
- Se estblecerá el mecanismo que permita la identificación de forma inequívoca y
personalizada de todo usuario y la verificación de que está autorizado.

- Límite de intentos reiterados de acceso no autorizado.

CONTROL DE ACCESO A USUARIOS
- Control de acceso físico a los locales donde se encuentren situados los sistemas
de información.
GESTIÓN DE LOS SOPORTES UTILIZADOS
- Registro de entrada y salida de soportes.

- Medidas para impedir la recuperación posterior de información de un soporte que

va a ser rechazado o reutilizado.

- Medidas que impidan la recuperación indebida de la información almacenada en

un soporte que va a salir como consecuencia de operaciones de mantenimiento.

16
 PROCEDIMIENTO GENERAL
RAZÓN SOCIAL DE LA
GESTIÓN Y CONTROL DE DATOS DE CARÁCTER PERSONAL
EMPRESA
Código PG-13 Edición 0

RESPONSABLE
- Uno o varios nombrados por el responsable del archivo.

- Encargado de coordinar y controlar las medidas del documento.

- No supone delegación de responsabilidad del responsable del archivo.

PRUEBAS
- Sólo se realizarán si se asegura el nivel de seguridad correspondiente al tipo de
archivo tratado.
AUDITORÍA
- Por lo menos cada dos años, interna o externa.

- Adecuación de las medidas y controles.

- Deficencias y propuestas correctoras.

- Análisis del responsable de seguridad y conclusiones al responsable del archivo.

- Adopción de las medidas correctoras adecuadas.

NIVEL ALTO
GESTIÓN DE LOS SOPORTES UTILIZADOS
- Cifrado de datos en la distribución de soportes.
COPIA DE RESPALDO/SEGURIDAD
- Copia de respaldo y procedimientos de recuperación en lugar diferente del que se
encuentren los equipos.
REGISTRO DE ACCESOS
- Registrar usuario, hora, archivo, tipo acceso y registro accedido.

- Control del responsable de seguridad. Informe mensual.

- Conservación 2 años.
TELECOMUNICACIONES
- Transmisión de datos cifrada.
• Los niveles son acumulativos y tienen la condición de mínimo esigibles.
• Los accesos a través de redes de telecomunicacións deben garantizar un nivel de
seguridad equivalente al de los accesos en modo local.
• La ejecución de trabajos fuera de los locales del emplazamiento del archivo debe ser
expresamente autorizada por el responsable del archivo a garantizar el nivel de
seguridad.
• Los archivos temporales deberán cumplir el nivel de seguridad correspondiente y
serán borrados una vez que dejen de ser necesarios
• Los archivos de nivel básico que contengan datos que permitan obtener una
evaluación da personalidad del individuo deberán garantizar, además de las medidas
de nivel básico, las de nivel medio relativas a auditoría, identificación y autenticación,
control de acceso físico y gestión de soportes.

17