Estimado cliente,

La adecuación a los requerimientos del Reglamento General de Protección de Datos supone un cambio sustancial con respecto de la normativa anterior (Ley Orgánica 15/1999 de Protección de Datos).

Le resumimos los cambios que se desarrollan en la documentación y le informamos que nuestro departamento técnico/jurídico está a su entera disposición para aclarar cualquier duda que os puede surgir.

• Procedimiento general de protección de datos.

Este primer documento pretende realizar un resumen de la empresa e identificar los tratamientos que hace con respecto de los datos de carácter personal. Para ello hemos:

– Identificado los procesos de la empresa

– Analizado los flujos de los datos

– Identificado los riesgos y brechas de seguridad

• Medidas y procedimientos.

Una vez analizado el sector de actividad de la empresa e identificado los procesos, establecemos las primeras medidas y procedimientos relacionados con:

• La identificación del Delegado de Protección de Datos
• Guía de cómo identificar usuarios a nivel internos (privilegios de acceso, altas y bajas)
• Identificación de encargados del tratamiento
• Guía para la custodia de datos en soporte papel

• Documentación legal

En los siguientes epígrafes se detallan las cláusulas que debe adoptar la empresa en el tratamiento de datos:

• Consentimiento explícito con clientes (a incorporar en ficha de alta o contratos)
• Cláusula informativa web
• Protocolo con empleados: deber de secreto y confidencialidad
• Contratos con encargados del tratamiento (empresas que traten datos confidenciales por cuenta de la empresa):
  • Asesor contable y fiscal

– Cláusula en correos electrónicos

– Tratamiento cámaras de seguridad

– Etc.

Para cualquier aclaración no dude en ponerse en contacto con nosotros,

Saludos,

DOCUMENTACION Y PASOS A SEGUIR CON LA DOCUMENTACIÓN DE ADECUACIÓN AL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS

• Procedimiento general de protección de datos.

Este primer documento pretende realizar un resumen de la empresa e identificar los tratamientos que hace con respecto de los datos de carácter personal. Para ello hemos:

– Identificado los procesos de la empresa

– Analizado los flujos de los datos

– Identificado los riesgos y brechas de seguridad

• Medidas y procedimientos.

Una vez analizado el sector de actividad de la empresa e identificado los procesos, establecemos las primeras medidas y procedimientos relacionados con:

– La identificación del Delegado de Protección de Datos

– Notificaciones al Delegado de Protección de Datos. Entregamos al cliente una guía de cómo debe comunicarse con nosotros en caso de brecha de seguridad, infracción o registro por parte de la Autoridad de Control.

– Guía de cómo identificar usuarios a nivel internos (privilegios de acceso, altas y bajas). Es importante que la relación de usuarios autorizados esté en todo momento actualizado.

– Identificación de encargados del tratamiento. La identificación de los encargados del tratamiento se realiza con los datos que se obtienen en la toma de datos por parte del consultor y debe actualizarse cada vez que se cambie de asesor laboral, asesor fiscal, asesor contable, etc. Como consultores en protección de datos nosotros mismos podemos realizar esa actualización bajo petición expresa del cliente.

– Guía para la custodia de datos en soporte papel.

• Documentación legal

En los siguientes epígrafes se detallan las cláusulas que debe adoptar la empresa en el tratamiento de datos (según necesidades de cada cliente):

– Consentimiento explícito con clientes (a incorporar en ficha de alta o contratos)

• Cláusula informativa web
• Protocolo con empleados: deber de secreto y confidencialidad
• Contratos con encargados del tratamiento (empresas que traten datos confidenciales por cuenta de la empresa):
  • Asesor contable y fiscal
  • Mantenimiento equipos informáticos
  • Mantenimiento página web
  • Gestión dominio
• Cláusula en correos electrónicos
• Cláusula de respuesta a currículos
• Cláusula para el tratamiento de datos de salud
• Información cámaras seguridad
• Etc.

• Evaluación de impacto

La evaluación de impacto es un proceso de calidad en el que se identifican las brechas de seguridad identificadas y se establecen las medidas correctoras. Cada tratamiento en la empresa genera unos riesgos y su incumplimiento unas sanciones que la evaluación pretende ponderar a partir del riesgo y la gravedad.

Nosotros, tras el análisis de vuestra empresa, os preparamos un documento en el que podéis ver de forma resumida vuestro tratamiento de datos y cómo debemos proceder a revisar y mejorar la forma de trabajar con respecto del tratamiento de datos y políticas de privacidad.

Nuestro departamento de seguridad jurídica y legal estará a vuestra entera disposición en este proceso de adaptación a las nuevas directivas europeas.

Se pueden poner en contacto con nosotros en cualquier momento en el teléfono 630 953 225.

Aprovechamos la ocasión para saludarles atentamente.

Implantación del

Reglamento (UE) 2016/679 de Protección de Datos.

Y la

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

JORGE MERCADER ESTEVE

Octubre 2019

1. INTRODUCCIÓN

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante RGPD), y por el que se deroga de la Directiva 95/46/CE, tiene por objeto armonizar los tratamientos de datos personales de todos los ciudadanos de los Estados miembros mediante la aplicación de una norma única, que garantice un nivel coherente de protección de las personas en toda la UE, así como evitar divergencias que dificulten la libre circulación de datos dentro del mercado interior.

El RGPD proporciona seguridad jurídica y transparencia a los operadores económicos, incluidas las micro, pequeñas y medianas empresas, y ofrece a las personas físicas de todos los Estados miembros el mismo nivel de derechos y obligaciones protegidos jurídicamente y el mismo nivel de responsabilidades para los Responsables y Encargados de Tratamiento, con el fin de garantizar una supervisión coherente del tratamiento de datos personales. Asimismo, proporciona sanciones equivalentes para todos los Estados miembros, así como también la cooperación efectiva de las Autoridades de Control.

El 25 de mayo de 2016 entró en vigor el RGPD aunque no es de plena aplicación hasta el 25 de mayo de 2018. La publicación del RGPD conlleva la derogación de la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, a los dos años de la fecha de su entrada en vigor. En este sentido, tal y como se establece en el apartado ”Introducción” del presente Sistema de Gestión de la Privacidad, los responsables de tratamiento ubicados en territorio español o aquellos que procedan a realizar tratamientos de datos en territorio español, deberán estar atentos a lo previsto en la Ley Orgánica 15/1999 de 13 de diciembre de Protección de datos de carácter personal, así como a otras regulaciones de ámbito nacional que puedan convivir durante el periodo de 2 años que establece el RGPD.

La Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales 3/2018  ha sido aprobada el pasado 5 de diciembre de 2018. La nueva normativa, que adapta el derecho español al modelo establecido por el Reglamento General de Protección de Datos (RGPD), introduce novedades mediante el desarrollo de materias contenidas en el mismo.

La Ley facilita que los ciudadanos puedan ejercitar sus derechos al exigir, en particular, que los medios para hacerlo sean fácilmente accesibles. Además, se regula el modo en que debe informarse a las personas acerca del tratamiento de sus datos optándose, específicamente en el ámbito de internet, por un sistema de información por capas que permita al ciudadano conocer de forma clara y sencilla los aspectos más importantes del tratamiento, pudiendo acceder a los restantes a través de un enlace directo.

El objeto del presente documento es recopilar la normativa de Jorge Mercader Esteve referente a las medidas de seguridad de aplicación a las operaciones de tratamiento realizadas por ésta. Las normas que se establecen en el mismo, serán consideradas de obligado cumplimiento para todo el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información.

Debido a la continua evolución y cambios intrínsecos de los sistemas de información y a la propia complejidad de la organización, el documento intentará ser un marco estable y, al mismo tiempo, flexible, en lugar de una descripción estática, por la que se vería sometido a continuas actualizaciones. En esta línea, el documento incluye referencias a otros documentos que conforman la política de seguridad establecida en la organización y, en ocasiones, en lugar de incluir relaciones estáticas se describe el procedimiento para obtener las citadas relaciones en el momento en que sean necesarias.

El presente documento se mantendrá en todo momento actualizado por el Delgado de Protección de Datos y en su defecto, por el Responsable de Privacidad. Debe ser revisado siempre que se produzcan cambios relevantes en el sistema de información, en la organización del mismo o en la organización de Jorge Mercader Esteve.

Del mismo modo, las Medidas y Procedimientos, se adecuarán en todo momento, a las disposiciones vigentes en materia de privacidad de los datos de carácter personal, tanto a nivel nacional como a nivel europeo.

2. ÁMBITO DE APLICACIÓN DE LAS MEDIDAS Y PROCEDIMIENTOS

Las distintas Medidas y Procedimientos desarrollados en este documento, tienen como finalidad proteger el tratamiento de datos personales de toda persona física en el transcurso de su actividad profesional o comercial, para cuando esos datos sean tratados de forma automatizada o manual por parte de un tercero, ya sea en calidad de Responsable o de Encargado de Tratamiento, en el desarrollo de su actividad profesional o laboral dentro del territorio de la Unión Europea.

A su vez, también pretende dotar de seguridad todas aquellas actuaciones relacionadas con el tratamiento de datos personales que lleve a cabo Jorge Mercader Esteve en el desarrollo de sus actuaciones, para que este puede desempeñar sus funciones con normalidad y estando acorde con las normativas vigentes en materia de protección de datos.

Para ello, las Medidas y Procedimientos que se detallan, buscan proteger la privacidad y confidencialidad de todas aquellas categorías de datos susceptibles de tratamiento. Estos datos de carácter personal pueden encontrarse contenidos en ficheros, aplicaciones, herramientas de actualización y consulta, recursos del sistema informático, redes de telecomunicaciones, soportes y equipos informáticos que sean o puedan ser susceptibles de ser gestionados por Jorge Mercader Esteve o sus Encargados de Tratamiento.

Jorge Mercader Esteve ha establecido una relación de recursos protegidos, los cuales les serán de aplicación todas las Medidas y Procedimientos previstos en este documento.

3. RECURSOS PROTEGIDOS

Los recursos protegidos comprendidos dentro del ámbito de aplicación de este documento lo conforman todos los datos de carácter personal que componen las categorías de datos desarrollados en la normativa vigente en materia de protección de datos, así como las aplicaciones y sistemas que los tratan, los equipos informáticos que los soportan y los locales donde se ubican.

Son, por tanto, los diferentes conjuntos de datos que trata Jorge Mercader Esteve en el desempeño de su actividad empresarial. El RGPD establece la obligatoriedad de identificar los diferentes recursos protegidos para proceder a establecer una política de calidad en cada uno de ellos. Adicionalmente se han establecido niveles de protección en función del tipo de dato que se maneja:

 Categorías especiales de datos personales: son los datos personales que revelan el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, así como los datos genéticos, los datos biométricos que permiten la identificación unívoca de una persona (huella) y los datos relativos a la salud o la vida y orientación sexual de la persona.

Categorías de datos relativos a condenas v delitos penales: lo forman todos aquellos datos personales relativos a condenas y 3 delitos penales, relativos a la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

Categorías de datos meramente identificativos: conjunto de datos para los cuales un responsable somete a tratamiento datos personales que no requieren la identificación de un interesado.

A continuación, se describen los recursos de Jorge Mercader Esteve que contienen datos de carácter personal y que componen las distintas categorías de datos utilizados por Jorge Mercader Esteve y que son objeto de regulación en las presentes Medidas y Procedimientos.

4. IDENTIFICACIÓN DEL RESPONSABLE DE TRATAMIENTO

El responsable del tratamiento será siempre la empresa o profesional propietario de la información.

Sus obligaciones será custodiar adecuadamente la información y tratar debidamente los datos, tanto a nivel informático como a nivel físico.

5. ESTRUCTURA Y ROLES EN EL ÁMBITO DE LA PRIVACIDAD

De acuerdo con todo aquello previsto en la normativa vigente de protección de datos Jorge Mercader Esteve, a fin de organizar y gestionar adecuadamente sus políticas de protección de datos, ha estructurado su organización en base a distintos roles, a los cuales se les atribuyen distintas funciones en materia de privacidad.

5.1. FUNCIONES Y OBLIGACIONES DEL PERSONAL

A fin de establecer las funciones atribuidas a cada rol de privacidad, Jorge Mercader Esteve las ha definido tal y como se describe a continuación:

– Delegado de Protección de Datos: se encargará de coordinar las medidas de seguridad definidas en el presente manual de Medidas y Procedimientos. Esta delegación, sin embargo, no exime de la responsabilidad jurídica en lo que refiere a seguridad de los datos, que sigue recayendo sobre el Responsable de Tratamiento.

Funciones específicas atribuidas:

• Asesorar e informar a Jorge Mercader Esteve de las obligaciones que le incumben en materia de privacidad.

• Supervisar el cumplimiento normativo de Jorge Mercader Esteve en el tratamiento de datos personales.

• Supervisar la implementación y aplicación de las políticas de Jorge Mercader Esteve en materia de protección de datos personales.

• Supervisar el análisis de las operaciones de tratamiento de datos personales.

• Supervisar el análisis de las categorías de datos que trata la Organización.

• Supervisar el análisis de los riesgos que puedan derivarse de las operaciones de tratamiento llevadas a cabo por Jorge Mercader Esteve

• Facilitar el asesoramiento al Responsable de Privacidad en materia de protección de datos.

• Impartir el plan formativo al personal de Jorge Mercader Esteve que realice tratamiento de datos.

• Intermediar entre Jorge Mercader Esteve y la Autoridad de Control.

• Realizar las notificaciones requeridas por la Autoridad de Control.

• Supervisar la realización de la Evaluación de Impacto de protección de datos personales.

• Supervisar la realización de las auditorías correspondientes.

• Responsable de Privacidad o de Seguridad: será la persona designada por el Delegado de Protección de Datos o en su defecto, por la dirección de Jorge Mercader Esteve para coordinar todos los aspectos relacionados y definidos en las presentes Medidas y Procedimientos.

Funciones específicas atribuidas:

• Actualizar el manual de Medidas y Procedimientos y adecuación del mismo a la normativa vigente

• Implantar el plan de formación en materia de protección de datos para los empleados

• Adoptar las medidas necesarias para que el personal conozca las normas en materia de seguridad que afectan al desarrollo de sus funciones y de las consecuencias que pudieran incurrir en caso de incumplimiento

• Adoptar las medidas correctoras como consecuencia de las deficiencias detectadas en un proceso de auditoría y aprobadas por la entidad

• Mantener una relación del personal autorizado para conceder, anular o alterar los derechos de acceso, conforme con los criterios establecidos

• Mantener una relación del personal con acceso autorizado al lugar donde se almacenan las copias de seguridad

• Mantener una relación del personal autorizado para acceder a los locales donde se encuentren ubicados los sistemas de información

• Establecer protocolos de comunicación con el Delegado de Protección de Datos por parte de los empleados

• Adoptar protocolos para el cumplimiento de las medidas de seguridad

• Realizar protocolos para el diseño de flujos de tratamiento de datos

• Informar de las consecuencias del incumplimiento del manual de Medidas y Procedimientos

Responsable de sistemas: se encargará de administrar o mantener el entorno operativo de las categorías de datos. Se relacionará explícitamente a este personal, ya que por sus tareas desarrolladas pueden utilizar herramientas de administración que permitan el acceso a datos no requeridos para sus tareas, en el caso de no haberse creado este rol dentro de la entidad, sus obligaciones recaerán sobre el Delegado de Protección de Datos.

• Funciones específicas atribuidas:

• Será el responsable de administrar y mantener el entorno operativo de las categorías de datos.

• Supervisar la correcta instalación del software de acceso a las categorías de datos.

• Supervisar la configuración del sistema informático de la organización, con especial atención a las conexiones de red local, así como cualquier otra conexión externa.

• Establecer mecanismos que impidan el acceso al sistema desde cualquier punto, ya sea local o remoto, no autorizado. Velando por la implantación de tantas medidas de seguridad como las aprobadas en el presente manual de Medidas y Procedimientos.

• Mantener una relación del personal autorizado con acceso al sistema, anotando aquellos requisitos mínimos establecidos en el manual de Medidas y Procedimientos.

• Implantar todas aquellas medidas necesarias, previstas en el manual de Medidas y Procedimientos, en lo que refiere a pruebas con datos reales.

• Comunicar al Responsable de Tratamiento, o en su caso al personal al cual se haya delegado, todos aquellos cambios que puedan resultar significativos del entorno del sistema informático.

• Responsables administrativos de los sistemas de tratamiento: se encargarán de administrar y coordinar el cumplimiento de medidas técnicas y organizativas, así como de cualquier obligación legal que se desprenda del tratamiento de los mismos. En el caso de no haberse creado el presente lugar de trabajo, sus obligaciones recaerán sobre el Responsable de Privacidad.

• Usuarios del sistema: serán aquellos que usualmente utilizan el sistema de información, tanto a nivel de categorías de datos automatizadas como de no automatizadas.

•  Empleados sin acceso a tratamientos automatizados: personal que desarrolla tareas en Jorge Mercader Esteve, pero que por sus funciones no requiere de acceso al sistema informático.

Jorge Mercader Esteve designará a un Delegado de Protección de Datos, atendiendo a sus cualidades profesionales y conocimientos especializados de la legislación y prácticas en materia de protección de datos. En ausencia de este cargo, sus funciones serán asumidas por el Responsable de Privacidad o Seguridad o en su defecto por el representante legal de Jorge Mercader Esteve

En todo caso, la dirección de Jorge Mercader Esteve velará y respaldará que el Delegado de Protección de Datos participe adecuada y debidamente en todas las cuestiones relativas a la protección de datos personales, facilitando tanto los recursos necesarios para el desempeño de dichos cometidos, como el acceso a los datos personales y a las operaciones de tratamiento, así como para mantener sus conocimientos especializados.

Los interesados podrán ponerse en contacto con el Delegado de Protección de Datos para tratar todas las cuestiones relativas al tratamiento de datos que les corresponda y al ejercicio de los derechos que les confiere la normativa vigente en protección de datos.

Ciertas de las funciones que se atribuyen al Delegado de Protección de Datos, podrán ser delegadas a otros empleados designados al efecto, siempre y cuando se haga constar en el manual de Medidas y Procedimientos a las personas habilitadas para otorgar estas delegaciones, así como aquellas en las que recae dicha delegación. En ningún caso esta designación supone una delegación de la responsabilidad que corresponde al Responsable de Tratamiento.

6. PROTOCOLOS PARA EL CUMPLIMIENTO DE LAS MEDIDAS DE SEGURIDAD

REGISTRO DE LAS CATEGORÍAS DE ACTIVIDADES DE TRATAMIENTO

De conformidad con la normativa vigente en materia de protección de datos, Jorge Mercader Esteve y, en su caso su representante, llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a continuación:

• El nombre y los datos de contacto de Jorge Mercader Esteve y, en su caso, del corresponsable, del representante de Jorge Mercader Esteve y de su Delegado de Protección de Datos
• Los fines del tratamiento
• Una descripción de las categorías de interesados y de las categorías de datos personales
• Las categorías de destinatarios a quienes se han comunicado o se comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales
• En su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional

Con el objeto de cumplir con esta obligación, Jorge Mercader Esteve ha diseñado e implantado, un registro de las actividades de tratamiento de los datos personales de las que es responsable.

Las actividades de tratamiento de datos, que se relacionan a continuación son responsabilidad de Jorge Mercader Esteve, con domicilio en C/ Josep Maria Folch i Torres, 1 Esc 4 4-2, 43480 Vila-seca.

Jorge Mercader Esteve no está obligado a nombrar un Delegado de Protección de Datos, por lo que sus funciones recaerán en la Responsable de Seguridad en el titular del negocio.

NORMATIVA DE SEGURIDAD

Jorge Mercader Esteve ha realizado una Evaluación de Impacto y su respectivo mapa de riesgos de sus procedimientos de tratamiento de datos personales. Considerando los resultados de los mismos ha aplicado las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo plasmado en la Evaluación de Impacto. Estas medidas de seguridad consideran, en especial los siguientes aspectos:

• Se han tenido particularmente en cuenta los riesgos que presentan los tratamientos de datos, de acuerdo con los tratamientos previstos, en particular como consecuencia de la destrucción, pérdida, alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

• Jorge Mercader Esteve ha tomado todas aquellas medidas necesarias para garantizar que cualquier persona que actúe bajo su autoridad y tenga acceso a datos personales sólo pueda tratar dichos datos siguiendo las instrucciones previstas en este documento.

Para garantizar el nivel de protección adecuada y exigido por la normativa vigente en protección de datos, en Jorge Mercader Esteve serán de aplicación las siguientes normas, procedimientos y estándares relacionados con la seguridad de los datos de los sistemas de Jorge Mercader Esteve

A) Acceso a datos a través de redes de comunicación

Cuando en Jorge Mercader Esteve existan Encargados de Tratamiento que tengan permitido el acceso remoto a sus sistemas de información, estas conexiones deberán permitir la aplicación de las mismas medidas de seguridad, equivalentes a una conexión en área local, medidas descritas en las presentes Medidas y Procedimientos.

B) Categorías especiales de datos

En el momento en que Jorge Mercader Esteve trate datos personales de carácter especial, encriptará estos datos o bien utilizará cualquier otro mecanismo que garantice que la información no podrá ser inteligible ni manipulada por terceros.

C) Régimen de trabajo fuera de los locales de ubicación de los sistemas de tratamiento

En el caso de que se proceda a incorporar dispositivos portátiles en Jorge Mercader Esteve y que se proceda al tratamiento de datos en sus unidades lógicas, estos tratamientos deberán ser autorizados previamente por el Delegado de Protección de Datos.

Los empleados de Jorge Mercader Esteve que dispongan de un dispositivo portátil asignado serán informados de la prohibición, excepto excepciones autorizadas, de almacenar datos de carácter personal en las unidades lógicas de los dispositivos portátiles y de la obligación de trabajar con datos de carácter personal únicamente sobre las unidades lógicas definidas en el servidor local.

D) Identificación y autenticación

El procedimiento seguido en Jorge Mercader Esteve para la identificación y autenticación de los usuarios cuando intentan acceder al sistema, la red o las aplicaciones está basado en la combinación de un código de identificación de usuario y una contraseña que el propio sistema informático cotejará en cada intento de acceso a fin de comprobar que dicho acceso sea autorizado o no.

A cada usuario le ha sido asignada una identificación única e intransferible tanto para el acceso al sistema como para el acceso a las aplicaciones.

En Jorge Mercader Esteve existe una política de asignación, distribución y almacenamiento de usuarios y contraseñas que garantiza su confidencialidad e integridad, estableciéndose en esta política también la periodicidad en la que será requerido el cambio de las contraseñas.

E) Control de acceso

Los usuarios de Jorge Mercader Esteve recibirán sus derechos de acceso siguiendo la política de mínimo privilegio, asignándoles un único código de identificación. Es decir, únicamente accederán a aquellos datos y recursos informáticos que precisan para el desarrollo de sus funciones.

El Responsable de Privacidad o aquellos empleados que les haya sido atribuida esta labor, determinarán las aplicaciones que serán accesibles para cada usuario.

Cuando para la prestación de un servicio a Jorge Mercader Esteve por parte de personal de terceras empresas, este personal tenga acceso a los recursos de Jorge Mercader Esteve, estará sometido a las mismas condiciones y obligaciones de seguridad que el personal propio de Jorge Mercader Esteve

F) Gestión de soportes

En Jorge Mercader Esteve los soportes que contengan datos de carácter personal serán etiquetados permitiendo su identificación. Del mismo modo serán inventariados y almacenados en las instalaciones dónde se ubican los sistemas de información (servidores y equipos de comunicación). Este lugar se considerará de acceso restringido y sólo podrá ser accedido por el personal autorizado por el Responsable de Tratamiento.

Asimismo, en Jorge Mercader Esteve existen diferentes perfiles de empleados. Todos los empleados que requieren del acceso a soportes informáticos que contienen datos de carácter personal, les es autorizada en el momento de la firma del contrato laboral con la compañía.

Incluso para el envío y recepción de correos electrónicos con documentos anexos.

De esta forma, se entenderá por autorizado el acceso en soportes a partir del momento que el empleado suscribe el contrato laboral con Jorge Mercader Esteve

Esta autorización se entenderá como vigente, siempre que el contrato laboral siga en vigor. En el momento que cese la relación laboral con el empleado se entenderá como extinguida la autorización.

G) Procedimientos de copias de seguridad y recuperación

Jorge Mercader Esteve ha establecido un procedimiento para la realización de copias de respaldo con periodicidad mínima semanal, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.

El mencionado procedimiento para la recuperación de los datos debe garantizar en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.

Únicamente, en el caso de que la pérdida o destrucción, afectase a categorías de datos o tratamientos parcialmente automatizados y siempre que la existencia de documentación permita alcanzar el objetivo al que se refiere el párrafo anterior, se procederá a grabar manualmente los datos.

 El procedimiento establece una verificación como mínimo semestral para asegurar la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.

H) Inventario de aplicaciones informáticas

Jorge Mercader Esteve ha elaborado un inventario de aplicaciones informáticas con el fin de poder gestionar e indicar la ubicación de las categorías de datos existentes dentro de los sistemas informáticos.

I) Procedimientos de tratamientos no automatizados

Se entiende como tratamiento no automatizado todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales ya sea aquél centralizado, descentralizado, repartido de forma funcional o geográfica. De modo genérico se considerará tratamiento no automatizado a todo documento en el que se encuentren datos de carácter personal en formato no informático (facturas, presupuestos, albaranes, contratos. currículums vitae, etc…).

Serán de aplicación para las categorías de datos no automatizadas, las medidas de seguridad descritas anteriormente para las categorías de datos automatizadas.

J) Contratos de prestación de servicios

Jorge Mercader Esteve ha procedido a la contratación de distintos proveedores de servicios que realizan tratamientos de datos bajo su responsabilidad, Jorge Mercader Esteve ha documentado la «Relación de Encargados de Tratamiento”.

De estos deberá constar la siguiente información:

•  Encargado de Tratamiento
• Denominación Social
• NIF
• Fines del tratamiento
• Categorías de interesados y categorías de datos personales
• Medidas técnicas y organizativas de seguridad

7. PROTOCOLOS DE COMUNICACIÓN CON EL DPO

De acuerdo con los Roles de Privacidad establecidos en el punto 5 de las presentes Medidas y Procedimientos, y con el objeto de establecer un canal fluido de comunicación con el DPO, se ha marcado un procedimiento para ello. En este sentido cualquier persona de la empresa podrá dirigirse al Delegado de Protección de Datos para sugerir, comunicar o consultar cualquier cuestión que haga referencia a las Medidas y Procedimientos de seguridad establecidas y que afecten a los datos personales que se quieran proteger en Jorge Mercader Esteve

Dicha comunicación con el DPO será potestativa en el caso de que se tengan sospechas o indicios de que se ha producido una violación o brecha de la seguridad de los datos personales que pueda dar lugar a un alto riesgo para los derechos y libertades de los interesados y que podría ser susceptible de producir alguna de las situaciones siguientes:

• Problemas de discriminación
• Usurpación de identidad o fraude
• Pérdidas económicas
• Menoscabo de la reputación
• Pérdida de confidencialidad de datos sujetos al secreto profesional
• Cualquier otro perjuicio económico o social significativo

8. PROCEDIMIENTO DE GESTIÓN DE INCIDENCIAS Y VIOLACIONES O BRECHAS DE SEGURIDAD DE DATOS

Se considerarán incidencias y violación de la seguridad de datos, toda situación que comprometa la seguridad de los datos de carácter personal objeto de tratamiento, que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

En este sentido, Jorge Mercader Esteve registrará las incidencias que puedan afectar a la seguridad de los sistemas de información y que afecten a los datos personales objeto de tratamiento. Sin embargo, Jorge Mercader Esteve revisará cualquier normativa de desarrollo que pudiera afectar a la normativa vigente a fin de proceder a comunicar estas situaciones a la Autoridad de Control pertinente, sin demora injustificada y, a ser posible, a más tardar 72 horas después de tener constancia de ello; de no realizarse en dicho plazo deberá ir acompañado de una justificación motivada.

Esta comunicación deberá contener como mínimo los siguientes extremos:

• Descripción de la naturaleza de la violación de seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados y las categorías y el número aproximado de registros de datos de que se trate

• Nombre y datos de contacto del Delegado de Protección de Datos y en su defecto del Responsable de Privacidad

• Descripción de las posibles consecuencias de la violación de seguridad de los datos personales

• Descripción de las medidas adoptadas por Jorge Mercader Esteve, a fin de subsanar esta caída de seguridad de los sistemas de información, incluyendo, si procede, las adoptadas para mitigar los posibles efectos negativos

En todo caso Jorge Mercader Esteve procederá a documentar cualquier incidencia, brecha o violación de seguridad de los datos personales, indicando su contexto, sus efectos y las medidas correctivas adoptadas. Esta documentación estará a disposición de la Agencia Española de Protección de Datos. Esta labor recaerá sobre el Delegado de Protección de Datos y, en su defecto, se responsabilizará el responsable de Privacidad o Seguridad.

El procedimiento establecido por Jorge Mercader Esteve preverá aquellas situaciones en las cuales sea probable que la violación de seguridad de los datos personales vaya a dar lugar a un alto riesgo para los derechos y libertades de los interesados. Jorge Mercader Esteve comunicará al interesado, sin demora injustificada, la violación de seguridad de los datos personales. Esta describirá en un lenguaje claro y sencillo la naturaleza de la violación de seguridad de los datos personales y contendrá, al menos, la información y las recomendaciones comentadas anteriormente.

9. PROCEDIMIENTO DE GESTIÓN DE LOS DERECHOS DE LOS INTERESADOS

En la normativa vigente de protección de datos se regula tanto los derechos que puede ejercer el interesado como los mecanismos de ejercicio de tales derechos ante el Responsable de Tratamiento de los datos.

Los derechos que puede ejercer el interesado de los datos son los siguientes:

• Derecho de acceso: es el derecho del interesado a obtener del Responsable de Tratamiento confirmación de si se están tratando o no datos personales que le conciernen, y en caso de que se confirme el tratamiento se le deberá de facilitar el acceso a los datos y a la información de que dispone

• Derecho de rectificación: el interesado tendrá derecho a obtener del Responsable de Tratamiento sin demora injustificada la rectificación de los datos personales que le conciernen cuando tales datos resulten inexactos. Habida cuenta de los fines para los cuales se hayan tratado los datos, el interesado tendrá derecho a que se completen los datos personales cuando estos resulten incompletos, en particular por medio de la entrega de una declaración adicional

• Derecho a la limitación del tratamiento: es el derecho a obtener del Responsable de Tratamiento la limitación del tratamiento de datos personales

• Derecho a la supresión («derecho al olvido”): hace referencia al derecho del interesado a obtener del Responsable de Tratamiento la supresión de los datos personales que le conciernen sin demora injustificada, y el Responsable de Tratamiento tendrá la obligación de suprimir los datos personales sin demora injustificada cuando se cumplan con los requisitos exigidos en el artículo 17 del Reglamento

• Derecho a la portabilidad de los datos: consiste en el derecho a recibir los datos personales que le incumban, que haya facilitado a un Responsable de Tratamiento, en un formato estructurado y de uso habitual y de lectura mecánica y a transmitirles a otro Responsable de Tratamiento sin que lo impida el Responsable de Tratamiento al que se hubieran facilitado los datos

• Derecho de oposición: el interesado podrá oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernen sean objeto de un tratamiento para el cumplimiento de un interés público o para la satisfacción de un interés legítimo, inclusive la elaboración de perfiles sobre la base de dichas disposiciones

Plazos de respuesta:

Los plazos son los siguientes:

– EI Responsable de Tratamiento facilitará al interesado el ejercicio de sus derechos y la información sobre las actuaciones solicitadas y realizadas sin demora y, a más tardar, en el plazo de un mes para el derecho de acceso y diez días para los derechos de rectificación, oposición y cancelación o supresión a partir de la recepción de la solicitud.

El interesado podrá ejercer sus derechos en materia de protección de datos de manera gratuita.

En estos casos será Jorge Mercader Esteve quien asumirá la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud.

En todo caso, toda solicitud deberá ir acompañada de:

• Nombre, apellidos del interesado y copia del DNI. En los excepcionales casos en que se admita la representación, será también necesaria la identificación por el mismo medio de la persona que le representa, así como el documento acreditativo de la representación. La fotocopia del DNI podrá ser sustituida siempre que se acredite la identidad por cualquier otro medio válido en derecho.

• Petición en que se concreta la solicitud. (Ejercicio que se solicita o información a la que se quiere acceder). Si no hace referencia a un fichero concreto se le facilitará toda la información que se tenga de la empresa a su nombre Si solicita información de un fichero en concreto, sólo la información de este fichero. Si solicita información relativa a un tercero nunca se podrá facilitar. Si lo solicita por teléfono se le indicará que lo haga por escrito y se le informará de cómo lo puede hacer y la dirección a la que tiene que enviarlo. Nunca se le dará información por teléfono.

• Domicilio a efecto de notificaciones.

• Fecha y firma del solicitante.

• Documentos acreditativos de la petición que formula.

Medidas y procedimientos

JORGE MERCADER ESTEVE

Octubre 2019

ANEXO A. NOMBRAMIENTO DE ROLES

A.1. NOMBRAMIENTO DEL RESPONSABLE DE SEGURIDAD

En Vila-seca, a 1 de octubre de 2019

Yo, Jorge Mercader Esteve, con NIF 73201269C, como titular del negocio, de acuerdo con la normativa vigente de Protección de Datos, asumo las funciones del Responsable de Seguridad, haciéndome cargo de las tareas relacionadas a continuación:

. Actualizar el manual de Medidas y Procedimientos y adecuación del mismo a la normativa vigente.

. Implantar el plan de formación en materia de protección de datos para los empleados

. Adoptar las medidas necesarias para que el personal conozca las normas en materia de seguridad que afectan al desarrollo de sus funciones y de las consecuencias que pudieran incurrir en caso de incumplimiento

. Adoptar las medidas correctoras como consecuencia de las deficiencias detectadas en un proceso de auditoría y aprobadas por la entidad

. Mantener una relación del personal autorizado para conceder, anular,  alterar los derechos de acceso, conforme con los criterios establecidos

. Mantener una relación del personal con acceso autorizado al lugar dónde se almacenan las copias de seguridad

. Mantener una relación del personal autorizado para acceder a los locales dónde se encuentren ubicados los sistemas de información

. Protocolos de comunicación con el Delegado de Protección de Datos por parte de los empleados

. Adoptar protocolos para el cumplimiento de las medidas de seguridad

. Realizar protocolos para el diseño de flujos de tratamiento de datos

. Informar de las consecuencias del incumplimiento del manual de Medidas y Procedimientos

Jorge Mercader Esteve                                                                   

ANEXO B. COMUNICACIÓN CON EL DPO

Todas las comunicaciones internas que se realicen al DPO por parte de los directivos, empleados o agentes de la empresa, quedarán registradas por orden numérico de entrada seguido del año en que se realice la comunicación. Dicho registro de entrada será la que se corresponderá con el número de comunicación.

Una vez recibida la comunicación por parte del DPO, el empleado quedará liberado totalmente de cualquier responsabilidad al respecto y será plena responsabilidad del DPO proceder a su inmediato análisis o comprobación para determinar la relación de los hechos u operaciones comunicadas.

Para el caso de que se trate de una comunicación de violación de seguridad de los datos personales se procederá de inmediato a restablecer las Medidas y Procedimientos establecidos en este documento dependiendo de los datos de que se trate.

Cualquiera que sea el criterio adoptado se informará al comunicante del curso dado a su comunicación.

MODELO DE COMUNICACIÓN INTERNA CON EL DPO

ANEXO C. MODELO DE COMUNICACIÓN DE LA RESOLUCIÓN ANTE LA VIOLACIÓN O BRECHA DE SEGURIDAD

ANEXO D. GESTIÓN DE USUARIOS

Alta de usuarios

Únicamente el Responsable de Seguridad tiene competencias para dar de alta los identificadores de usuarios y asociarlos a los perfiles definidos por los diferentes niveles de acceso a las aplicaciones y a las categorías de datos.

Será la Dirección de la entidad quien tenga la última decisión sobre los derechos de acceso de los usuarios.

Para el primer acceso del usuario al sistema, el Responsable de Seguridad deberá comunicar de forma confidencial su identificador y su contraseña de acceso inicial, según las indicaciones en la norma sobre gestión de contraseñas.

Se tendrán en cuenta las siguientes normas en la asignación de identificadores:

– No se reutilizará nunca un identificador

– Utilizar al menos cuatro caracteres en la composición del identificador del usuario

Baja de usuarios

Jorge Mercader Esteve, se encargará de cancelar el usuario y sus derechos de acceso.

El Responsable de Privacidad o Seguridad almacenará información descriptiva sobre los perfiles de acceso de los usuarios que se den de baja, durante el tiempo requerido para el cumplimiento de las obligaciones legales.

Modificación de los perfiles de acceso de los usuarios

La modificación de los derechos o permisos de acceso de un usuario requerirá de la misma autorización jerárquica, diferenciada para cada tipología de usuarios, ya descrita en el protocolo de alta. Por esto, el procedimiento anunciado en el apartado de alta será extensible a este punto de modificación de permisos.

Reactivación de usuarios

La reactivación de usuarios exige un procedimiento diferenciado respecto al resto de protocolos enunciados anteriormente, dado que parte de la premisa de la existencia de una alta previa que no requiere de un cambio de permisos del usuario en el sistema.

En aquellos casos en los que el acceso del usuario al sistema se haya revocado por causas accidentales, como el olvido de la contraseña, un periodo prolongado de inactividad o un excesivo número de intentos fallidos, la reactivación del usuario exigirá su comunicación al Responsable de Seguridad, para resolver la situación.

Registros

Jorge Mercader Esteve mantendrá actualizada la documentación en lo referente a:

– Perfiles de acceso e identificadores asociados por el usuario

– Alta, baja, revocación y modificación de usuario por fechas

– Datos sobre usuarios

– Nombre y apellidos completos

– Área, departamento y servicio, donde se especificará el departamento y/o unidad en qué trabaja el usuario

Cualquiera de estos datos se podrá utilizar para la reactivación de usuarios revocados, para su control, uso o modificación.

Usuarios del sistema

Con la intención de evitar efectuar modificaciones en el documento Medidas y Procedimientos y para mantener su actualización, se describirá el procedimiento a seguir para la obtención de la relación de los usuarios con acceso autorizado a los sistemas, así como los derechos que tienen concedidos.

Este procedimiento se basa en la asignación del identificador de usuario que se compone del nombre del mismo usuario. En el caso de encontrar otro usuario con el mismo identificador se establecerán otras combinaciones aleatorias.

Para la contraseña de cada usuario se establecerá otra de aleatoria que podrá ser cambiada por el usuario cuando crea conveniente. Se debe tener en cuenta que en ningún caso la contraseña podrá ser utilizada por un plazo superior a un año natural, pasado el cual se deberá cambiar obligatoriamente.

Relación de usuarios

Jorge Mercader Esteve mantiene una relación de usuarios actualizada con acceso autorizado al sistema de información e identificando las categorías de datos tratados:

ANEXO E. RELACIÓN DE ENCARGADOS DEL TRATAMIENTO

Jorge Mercader Esteve dispone de una relación actualizada de todos aquellos prestadores de servicios, que por los servicios que vienen prestando en condición de Encargado de Tratamiento, disponen de un acceso a datos de carácter personal bajo la responsabilidad de Jorge Mercader Esteve

PRESTADOR DE SERVICIO 1

PRESTADOR DE SERVICIO 2

PRESTADOR DE SERVICIO 3

PRESTADOR DE SERVICIO 4

ANEXO F. PROCEDIMIENTOS DE COPIAS DE SEGURIDAD Y RECUPERACIÓN

Jorge Mercader Esteve ha establecido todos aquellos procedimientos necesarios a fin de:

Disponer de una copia de respaldo diaria y encriptada, así como de disponer de procedimientos para la recuperación de los datos que garanticen en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.

Disponer de un proceso de verificación cada seis meses para la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.

ANEXO G. OPERACIONES DE TRATAMIENTO NO AUTOMATIZADAS

Criterio de archivo

El archivo de los soportes o documentos se realiza de acuerdo con los criterios previstos en su respectiva legislación. Estos criterios garantizan la correcta conservación de los documentos, la localización y consulta de la información y posibilitan el ejercicio de los derechos de los interesados.

En aquellos casos en los que no exista norma aplicable, Jorge Mercader Esteve  deberá establecer los criterios y procedimientos de actuación que se seguirán para el archivo de la documentación en soporte papel. Así, los contratos, albaranes, presupuestos, facturas, currículum vitae cualesquiera otros documentos que contengan datos de carácter personal se archivarán en compartimentos cerrados con llave a los que sólo tenga acceso personal autorizado y que permitan a su vez, su fácil y pronta recuperación para el caso en que se requiera.

Dispositivos de almacenamiento

Los dispositivos de almacenamiento de los documentos que contengan datos de carácter personal deberán disponer de mecanismos que obstaculicen su apertura. Cuando las características físicas de aquéllos no permitan adoptar esta medida, el Responsable de Tratamiento adoptará medidas que impidan el acceso de personas no autorizadas.

Custodia de soportes

Mientras la documentación con datos de carácter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el punto anterior, por estar en proceso de revisión o tramitación, ya sea previo o posterior a su archivo, la persona que se encuentre al cargo de la misma deberá custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada.

Destrucción documental

Las empresas deberán destruir los documentos de carácter confidencial mediante sistemas que aseguren su inutilidad. Generalmente se aceptarán los sistemas de destrucción del papel (destructora) así como servicios externos que certifiquen la destrucción del papel mediante medidas de cumplimiento normativo.

Documentos y cláusulas legales

JORGE MERCADER ESTEVE

Octubre 2019