PROCEDIMIENTO GENERAL

RAZN SOCIAL DE LA
EMPRESA

GESTIN

CONTROL DE DATOS DE CARCTER PERSONAL

Cdigo

PG-13

Edicin

ndice:
1. TABLA RESUMEN..................................................................................... 2
2. OBJETO................................................................................................... 2
3. ALCANCE................................................................................................. 2
4. RESPONSABILIDADES ............................................................................ 3
5. ENTRADAS .............................................................................................. 4
6. SALIDAS ................................................................................................. 4
7. PROCESOS RELACIONADOS .................................................................... 4
8. DIAGRAMA DE FLUJO.............................................................................. 5
9. DESARROLLO .......................................................................................... 6
9.1. GESTIN Y CONTROL DE LOS DATOS................................................ 6
10. ARCHIVO ............................................................................................ 13
11. DEFINICIONES ................................................................................... 13
12. FORMATOS Y REFERENCIAS ................................................................ 14

FECHA DE ENTRADA EN VIGOR:

Realizado:

Revisado y aprobado:

PROCEDIMIENTO GENERAL
RAZN SOCIAL DE LA
EMPRESA

GESTIN

CONTROL DE DATOS DE CARCTER PERSONAL

Cdigo

PG-13

Edicin

1. TABLA RESUMEN
SECTORES

TODOS, EN GENERAL

TIPOLOGA DEL PROCESO

GENERAL

PROCESO

GESTIN Y CONTROL DE DATOS DE

CARCTER PERSONAL

RESPONSABLE PROCESO

GERENCIA

PROCESOS RELACIONADOS

TODOS LOS PROCESOS

ENTRADAS: NECESIDAD DE
ADAPTARSE A REQUISITOS LEGALES
RESPONSABLE: GERENCIA
DE PROTECCIN DE DATOS
PERSONALES
SALIDAS: CUMPLIMIENTO DE LA
RESPONSABLE: RESPONSABLE DE
LOPD EN TODOS LOS MBITOS DE LA
SEGURIDAD
EMPRESA

2. OBJETO
En este procedimiento se describe la sistemtica a seguir para llevar a cabo la
adaptacin de una empresa a la normativa sobre proteccin de datos personales,
teniendo como resultado final el cumplimiento de dichos requisitos legales.

3. ALCANCE
El proceso empieza con la determinacin de la situacin actual en materia de
proteccin de datos de carcter personal, incluyendo la identificacin de aquellos
ficheros, en soporte informtico o de otro tipo, afectados por la ley orgnica de
proteccin de datos de carcter personal.
Actividades a las que afecta este proceso:

Todas las actividades.

PROCEDIMIENTO GENERAL
RAZN SOCIAL DE LA
EMPRESA

GESTIN

CONTROL DE DATOS DE CARCTER PERSONAL

Cdigo

PG-13

Edicin

4. RESPONSABILIDADES
-Empresa responsable del tratamiento:

Responsable de seguridad:
- Inscripcin de los ficheros en el Registro General de la Proteccin de Datos.
Artculo 26 LOPD. Artculos 5 y 6 R.D. 1332/1994, de 20 de Junio.
- Redaccin de los contratos, formularios y clusulas necesarias para la
recogida de datos, los tratamientos por terceros y las cesiones o
comunicaciones de datos.
- Informar al titular de los datos sobre la existencia y finalidad del fichero,
quin es el responsable del mismo y de que forma puede ejercer los
derechos de acceso, rectificacin, oposicin y cancelacin.
- Obtener el consentimiento del afectado en los casos en que sea preceptivo.
- Respetar la calidad y exactitud de los datos y su utilizacin exclusivamente
para el fin para el que se recogieron.

-Empresa encargada del tratamiento:

Responsable de seguridad:
- Adoptar y hacer cumplir al personal que debido a su trabajo tenga acceso
a los ficheros las obligaciones establecidas en el contrato como el deber de
secreto y las medidas de seguridad observadas.
- Aplicar y promover el cumplimiento de las medidas de seguridad detalladas
en el Documento de Seguridad.
- Formacin del personal usuario de los ficheros de datos de carcter
personal.
- Destruccin o devolucin de los soportes que contengan datos de carcter
personal a la empresa responsable del tratamiento al finalizar el servicio.

PROCEDIMIENTO GENERAL
RAZN SOCIAL DE LA
EMPRESA

GESTIN

CONTROL DE DATOS DE CARCTER PERSONAL

Cdigo

PG-13

Edicin

Personal usuario de datos de carcter personal:

- Seguir las prcticas descritas en el Documento de Seguridad en lo que
afecte a su trabajo, especialmente en cuanto a sus funciones y obligaciones,
el procedimiento de notificacin, gestin y respuestas ante las incidencias y
las instrucciones relativas al registro de soportes (inventario), copias de
seguridad, incidencias, autorizaciones firmadas para la salida o recuperacin
de datos, etc.
- Deber de guardar secreto sobre los datos que contengan los ficheros.

Gerencia:
- Asignar un Responsable de Implantacin de Proteccin de datos, que
puede coincidir o no con el Responsable de seguridad o tratarse de una
empresa externa.
- Nombramiento y/o Visto Bueno a la persona que ejerce como Responsable
de Seguridad.
- Gestin de la formacin del Responsable de Seguridad.

5. ENTRADAS
El proceso da comienzo con el estudio, evaluacin y clasificacin de los ficheros de
datos personales existentes en la empresa.

6. SALIDAS
El proceso finaliza con la adecuacin de la organizacin a los requisitos de la
legislacin existente sobre la proteccin de datos personales.

7. PROCESOS RELACIONADOS

Todos los procesos de la organizacin.

PROCEDIMIENTO GENERAL
RAZN SOCIAL DE LA
EMPRESA

GESTIN

CONTROL DE DATOS DE CARCTER PERSONAL

Cdigo

PG-13

Edicin

8. DIAGRAMA DE FLUJO

NOTA: El nmero que aparece en cada etapa indica el punto del apartado 9 del
procedimiento, DESARROLLO al que pertenece.

PROCEDIMIENTO GENERAL
RAZN SOCIAL DE LA
EMPRESA

GESTIN

CONTROL DE DATOS DE CARCTER PERSONAL

Cdigo

PG-13

Edicin

9. DESARROLLO
9.1. GESTIN Y CONTROL DE LOS DATOS
A. ESTUDIO, EVALUACIN Y CLASIFICACIN DE LOS FICHEROS
En primer lugar el Responsable de Implantacin realizar un diagnstico inicial
sobre la situacin de partida de la empresa., en cuanto a los datos de carcter
personal que se manejan.
Inicialmente se estudiarn los ficheros existentes, viendo:

su cantidad (nmero de ficheros existentes).

dentificando la titularidad de los ficheros de datos.

Para la identificacin de aquellos ficheros de datos de carcter personal, ha de

cumplirse que contengan una relacin de datos a partir de la que se pueda
identificar a una persona. As, por ejemplo, un listado de nombres de personas no
es un fichero, pero un listado donde se detalle el nombre y el D.N.I., nombre y
telfono, etc., s lo es.
Asimismo se ha de tener en cuenta que la extensin del fichero no es relevante,
sino el nmero de ficheros que contengan datos de carcter personal susceptibles
de ser protegidos.
Los ficheros de datos personales pueden encontrarse en soporte informtico o en
soporte papel.
En soporte informtico se pueden encontrar como bases de datos, hojas de excel,
archivos de Word, etc. Generalmente los ficheros informticos existentes con datos
de carcter personal son aquellos relativos al propio personal de la organizacin, los
relativos a empresas clientes y los relacionados con los proveedores.
En soporte papel es habitual encontrar nminas, presupuestos, albaranes, facturas,
contratos, etc. siempre que incluyan datos de carcter personal. En el caso de que
este tipo de archivos estn afectados por la Ley, se separan fsicamente de otros
documentos y se guardan bajo llave, de la que slo dispone el personal autorizado.

PROCEDIMIENTO GENERAL
RAZN SOCIAL DE LA
EMPRESA

GESTIN

CONTROL DE DATOS DE CARCTER PERSONAL

Cdigo

PG-13

Edicin

IDENTIFICACIN DE AQUELLOS FICHEROS PARA LOS QUE EXISTA

TRATAMIENTO DE DATOS POR TERCEROS
La empresa que gestiona una prestacin de servicios a un cliente, donde se
incluyan, entre otros elaboracin de nminas, contratacin, tramitacin de
documentacin ante la Seguridad Social, etc. estar trabajando con datos
personales, por lo que es considerado como Encargado del Tratamiento de los datos
segn la LOPD, mientras que la empresa cliente a la que presta servicio es
considerada Responsable del Tratamiento.
El tratamiento de datos por terceros deber estar regulado en un contrato que
habr de constar por escrito o en alguna otra forma que permita acreditar su
celebracin y contenido.
En dicho contrato, consensuado entre ambas partes, se ha de hacer mencin
expresa a lo siguiente:
- Descripcin detallada de las prestaciones a realizar.
- Finalidad de la prestacin.
- Indicacin de que la empresa como encargadada del tratamiento,
nicamente tratar los datos conforme a las instrucciones de la empresa
cliente y no los aplicar o utilizar con fin distinto al que figure en dicho
contrato, ni los comunicar, ni siquiera para su conservacin, a otras
personas.
- Indicacin de las medidas de seguridad que la empresa encargada del
tratamiento est obligada a implementar. Debe tenerse en cuenta que la Ley
establece unas medidas de seguridad de mnimos, pudiendo pactarse
medidas de seguridad ms estrictas que las contempladas en el Reglamento
de Medidas de Seguridad (Real Decreto 994/1999, de 11 de junio). Lo
aconsejable es que estas medidas se pacten con un nivel aceptable de
detalle intentando alejarse de generalidades, ya que a la hora de dirimir
responsabilidades esta circunstancia ser de gran ayuda.
- Referencia a la obligacin de la empresa de guardar secreto profesional
respecto a los datos objeto de tratamiento mientras est en curso la
prestacin y una vez finalizada sta.
- Referencia a que una vez realizado el servicio o bien en el supuesto de su
resolucin, los datos de carcter personal que pudieran permanecer en
poder del Encargado del Tratamiento, debern ser destruidos o devueltos al
Responsable del Fichero, al igual que cualquier soporte o documento en que
conste algn dato de carcter personal objeto del tratamiento.
El cliente como responsable del fichero, debe promover la realizacin del contrato,
aunque la LOPD no determina quin lo debe promover, puesto que es el garante de
los datos que posteriormente "presta" al encargado del tratamiento.
En ltimo caso, lo importante es que el contrato tiene que existir, ya que es una
obligacin legal, por lo que el encargado del tratamiento debera preocuparse de
realizarlo en el caso de que el responsable del fichero no lo haga, ya que en el

PROCEDIMIENTO GENERAL
RAZN SOCIAL DE LA
EMPRESA

GESTIN

CONTROL DE DATOS DE CARCTER PERSONAL

Cdigo

PG-13

Edicin

supuesto de un conflicto ante la Agencia Espaola de Proteccin de Datos es posible

que las sanciones se extendieran a las dos figuras.
IDENTIFICACIN DE AQUELLOS FICHEROS PARA LOS QUE EXISTA CESIN
DE DATOS
En el caso de que exista cesin de ficheros con datos de carcter personal entre dos
organizaciones, no es obligatoria la realizacin de un contrato entre ambas.
En este caso se habrn de redactar y aplicar las clusulas necesarias para recabar
el consentimiento de los afectados/interesados, es decir, de los cedentes de datos
personales que les conciernen. La empresa que recibe los datos tambin tendr que
registrar estos ficheros en la Agencia de Proteccin de Datos, al igual que la
empresa cedente.
A la hora de registrar el fichero, la empresa cedente de los datos detallar el titular
del fichero, la finalidad de los datos, a quin se ceden y por qu motivo, y en donde
pueden los afectados ejercer sus derechos de acceso, cancelacin, oposicin y
rectificacin.
No es necesario el consentimiento del afectado para la cesin o comunicacin de los
datos, entre otros, en los siguientes casos:
- Cuando la cesin est autorizada por una Ley.
- Cuando se trate de datos recogidos de fuentes accesibles al pblico.
- Cuando la comunicacin que deba efectuarse tenga por destinatario al
Defensor del Pueblo, el Ministerio Fiscal, los Jueces, Tribunales o el Tribunal
de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco
ser preciso el consentimiento cuando la comunicacin tenga como
destinatario a instituciones autonmicas con funciones anlogas al Defensor
del Pueblo o al Tribunal de Cuentas.
- Cuando la cesin se produzca entre Administraciones Pblicas y tenga por
objeto el tratamiento posterior de los datos con fines histricos, estadsticos
o cientficos.
- Cuando la cesin de datos de carcter personal relativos a la salud sea
necesaria para solucionar una urgencia que requiera acceder a un fichero o
para realizar los estudios epidemiolgicos en los trminos establecidos en la
legislacin sobre sanidad estatal o autonmica.
OBLIGACIONES DE LA EMPRESA ENCARGADA DEL TRATAMIENTO
La empresa est obligada a tratar los datos conforme a las instrucciones dadas por
el cliente responsable del tratamiento, no pudiendo destinar los datos a otra
finalidad distinta a la establecida en el contrato, ni ceder los datos a terceros, ni
siquiera para su conservacin. En este caso ser considerada, tambin, responsable
del tratamiento, respondiendo de las infracciones en que hubiera incurrido
personalmente.

PROCEDIMIENTO GENERAL
RAZN SOCIAL DE LA
EMPRESA

GESTIN

CONTROL DE DATOS DE CARCTER PERSONAL

Cdigo

PG-13

Edicin

En cuanto a la inscripcin de ficheros en el Registro General de Proteccin de

Datos, la obligacin de notificar los ficheros para su inscripcin recae sobre la
responsable del fichero.
Asimismo, hay que indicar que la empresa adems de estar obligada a adoptar y
cumplir las adecuadas medidas de seguridad, debe comunicar y hacer cumplir entre
sus trabajadores aquellas obligaciones que se establecen en el contrato, como, por
ejemplo, las relativas al deber de secreto y las medidas de seguridad que se deben
observar.
Por ltimo, hay que mencionar que la empresa encargada del tratamiento una vez
concluida la prestacin, debe destruir o devolver a la empresa responsable del
tratamiento los soportes o documentos en que conste algn dato de carcter
personal.
OBLIGACIONES QUE RECAEN SOBRE EL CLIENTE COMO RESPONSABLE DEL
FICHERO:
Entre ellas se encuentra la de presentar la solicitud de inscripcin en el Registro
General de Proteccin de Datos indicando en ella, entre otras cuestiones, la
existencia de una prestacin de servicios, con la necesidad de identificar a
encargada do tratamento.
Muchas veces el responsable del tratamiento pone de manifiesto la existencia de
varios encargados para un mismo fichero. En estos casos, la Agencia Espaola de
Proteccin de Datos recomienda especificar como encargado del tratamiento a la
entidad principal que realice dichas funciones.
Un error habitual que se produce en la prctica al cumplimentar el modelo de
notificacin consiste en considerar como encargado del tratamiento al personal que
trabaja por cuenta del responsable del fichero. En estos casos, la Agencia Espaola
de Proteccin de Datos ha reiterado que una persona que trabaja bajo la
dependencia o autoridad directa del responsable (el abogado, el economista, el
graduado social, etc.), debido a una relacin contractual dentro del mbito del
derecho laboral, no tiene la consideracin de encargado del tratamiento.
Eso no significa que no se puedan exigir responsabilidades a un miembro de la
empresa encargada do tratamento, ya que en el marco de la relacin laboral el
trabajador tiene una serie de obligaciones y responsabilidades en materia de
proteccin de datos, como, por ejemplo, el deber de guardar secreto.
NIVEL DE SEGURIDAD ASOCIADO A UN FICHERO
Se establecer el nivel de seguridad aplicable a los ficheros que contengan datos de
carcter personal.
En el reglamento de medidas de seguridad de los archivos automatizados que
contengan datos de carcter personal (Real Decreto 994/1999) se detallan los
requisitos mnimos de los niveles bsico, medio o alto y que se han recogido en el
Anexo I al presente procedimiento.

PROCEDIMIENTO GENERAL
RAZN SOCIAL DE LA
EMPRESA

GESTIN

CONTROL DE DATOS DE CARCTER PERSONAL

Cdigo

PG-13

Edicin

Aquellos datos relativos a cuentas bancarias, embargo, morosidad, etc. se pueden

clasificar como de nivel medio.
B. VERIFICACIN DE MEDIDAS DE SEGURIDAD FSICAS Y LGICAS
El responsable de implantacin verificar el cumplimiento actual de la LOPD (Ley
Orgnica de Proteccin de Datos) en la empresa, y comprobar la adecuacin de los
ficheros a medidas de seguridad del reglamento, determinando:
- Qu poltica de contraseas se va a adoptar de manera que el personal
designado pueda acceder a aquellos ficheros a los que tenga acceso.
- Validacin en el servidor (que el servidor reconozca al personal designado
a travs de su contrasea y le d permiso para acceder nicamente a los
archivos que le correspondan).
Asimismo determinar las medidas de seguridad fsicas a adoptar, en el sentido de
la forma de segregar dichos ficheros (por ejemplo, en una habitacin cerrada con
llave) y tambin verificar que el acceso a los ficheros slo lo puedan realizar las
personas autorizadas.
Tambin proceder a la verificacin de que se cumple el procedimiento sobre la
realizacin de copias de seguridad: ejecucin peridica (como mnimo semanal,
aunque se recomienda diaria) y su registro, siguiendo las directrices del
procedimiento "Control de los documentos".
C. REDACCIN DEL DOCUMENTO DE SEGURIDAD
El responsable de implantacin y/o el responsable de seguridad redactar las
medidas de seguridad a aplicar sobre los ficheros existentes, las cuales se
concretarn en el Documento de Seguridad.
El Documento de Seguridad recoger las medidas adoptadas por parte del
encargado del tratamiento en cuanto a la proteccin de los ficheros de datos de
carcter personal, que se determinarn en funcin del nivel correspondiente,
estando a disposicin de la Agencia de Proteccin de Datos.
Este documento es la pieza clave en la adaptacin de las organizaciones a la LOPD
y sobre la que va a versar la actuacin de la persona que se designe como
responsable de seguridad.
El contenido principal de este Documento queda estructurado como sigue:
-mbito de aplicacin.
-Medidas, normas, procedimientos, reglas y estndares encaminados a
garantizar los niveles de seguridad exigidos.
-Procedimiento general de informacin al personal.
-Funciones y obligaciones del personal.

10

PROCEDIMIENTO GENERAL
RAZN SOCIAL DE LA
EMPRESA

GESTIN

CONTROL DE DATOS DE CARCTER PERSONAL

Cdigo

PG-13

Edicin

-Procedimiento de notificacin, gestin y respuestas ante las incidencias.

-Procedimientos de revisin.
-Consecuencias del incumplimiento del Documento de Seguridad.
-Anexo I. Aspectos especficos relativos a los diferentes ficheros.
-Anexo I a. Aspectos relativos al fichero (nombre del fichero a)
-Anexo I b. Aspectos relativos al fichero (nombre del fichero b)
-etc.
-Anexo II. Nombramientos.
-Anexo III. Autorizaciones firmadas para la salida o recuperacin de datos.
-Anexo IV. Inventario de soportes (si se gestiona en papel).
-Anexo V. Registro de Incidencias (si se gestiona en papel).
-Anexo VI. Contratos o clusulas de encargados de tratamiento, si existen,
de acuerdo con lo indicado en el artculo 12 de la LOPD.
-Anexo VII: Registro de entrada y salida de soportes.
Para la redaccin de las medidas y procedimientos del documento se seguir el
modelo de la Agencia Espaola de Proteccin de Datos, disponible en la pgina web
www.agpd.es.
El responsable de seguridad deber mantener actualizado el Documento de
Seguridad de forma permanente, modificndolo total o parcialmente si se produce
cualquier modificacin relevante en los sistemas de informacin, automatizados o
no, en la organizacin de los mismos, o en las disposiciones vigentes en materia de
seguridad de los datos de carcter personal, lo que conllevar la revisin de la
normativa incluida.

11

PROCEDIMIENTO GENERAL
RAZN SOCIAL DE LA
EMPRESA

GESTIN

CONTROL DE DATOS DE CARCTER PERSONAL

Cdigo

PG-13

Edicin

D. COMUNICACIN DE LOS FICHEROS DE LA ENTIDAD A LA AGENCIA DE

PROTECCIN DE DATOS.
El cliente que contrata los servicios de responsable del tratamiento, est obligado
por la legislacin a notificar a la Agencia de Proteccin de Datos la existencia de los
ficheros.
La persona designada por la Gerencia llevar a cabo el registro de ficheros,
elaborando la documentacin necesaria para la inscripcin/es de los ficheros
existentes en el Registro General de la Agencia de Proteccin de Datos.
Sern objeto de inscripcin en el Registro General de Proteccin de Datos los
siguientes ficheros:
- Los de titularidad privada.
- Las autorizaciones de transferencias internacionales de datos de carcter
personal con destino a pases que no presten un nivel de proteccin
equiparable al que presta la LOPD a que se refiere el art. 33.1 de la LOPD.
- Los cdigos tipo, a que se refiere el artculo 32 de la LOPD.
- Los datos relativos a los ficheros que sean necesarios para el ejercicio de
los derechos de los ciudadanos de informacin, acceso, rectificacin,
cancelacin y oposicin de los datos.
La notificacin se puede realizar telemticamente o mediante los formularios
normalizados de notificacin de ficheros en formato papel, cada uno de los que se
enviar a la Agencia Espaola de Proteccin de Datos, junto con hoja de solicitud
firmada por persona con representacin suficiente. En ambos casos, para realizar la
inscripcin de los ficheros, se recurrir a descargas gratuitas desde la pgina de la
Agencia (www.agpd.es), en el primer caso el programa gratuito de ayuda y en el
segundo el formulario, junto con las instrucciones de cumplimentacin.
E. AUDITORA
La legislacin obliga a la realizacin de auditoras, para ficheros informatizados de
datos de carcter personal, de forma peridica, cada 2 aos.
En el caso de ficheros de nivel bsico, aunque no sea exigible legalmente, es
recomendable llevar a cabo, tambin con carcter bianual, auditoras.
La legislacin obliga a las organizaciones a someter los sistemas e instalaciones a
auditora y a que los informes de auditora sean analizados por el responsable de
seguridad, que elevar las conclusiones al responsable del fichero para que adopte
las medidas correctoras adecuadas y quedarn a disposicin de la Agencia Espaola
de Proteccin de Datos. De ello se desprende que, una vez elaborado el informe de
auditora, el responsable de seguridad deber comunicar sus resultados al
responsable del fichero, que adoptar las medidas pertinentes.

12

PROCEDIMIENTO GENERAL
RAZN SOCIAL DE LA
EMPRESA

GESTIN

CONTROL DE DATOS DE CARCTER PERSONAL

Cdigo

PG-13

Edicin

10. ARCHIVO
Toda la documentacin resultante de la gestin y control de los datos de carcter
personal ser archivada y controlada de acuerdo a lo dispuesto en la legislacin, y
por el personal autorizado para ello.

11. DEFINICIONES

Proteccin de datos: Derecho de todo ciudadano a que sus datos no sean

utilizados sin la autorizacin ni proteccin debida.

Fichero de datos: Conjunto organizado de datos, cualquiera que sea la

manera en que est organizado.

Usuario: Sujeto o proceso autorizado para acceder a los datos.

Datos de Nivel bsico: Ficheros que contengan datos de carcter personal.

Datos de Nivel medio: Ficheros que contengan datos relativos a la comisin

de infracciones administrativas o penales, Hacienda Pblica, servicios
financieros y los que se rijan por el artculo 29 de la LOPD (prestacin de
servicios de solvencia y crdito).

Datos de Nivel alto: Ficheros que contengan datos de ideologa, religin,

creencias, origen racial, salud o vida sexual as como los recabados para
fines policiales sin consentimiento de las personas afectadas.

Documento de Seguridad: Es el documento mediante el que se elaboran y

adoptan las medidas tcnicas y organizativas necesarias para garantizar la
seguridad de los datos de carcter personal. Dichas medidas son de obligado
cumplimiento para el responsable del archivo, o, en caso de existir, para el
encargado del tratamiento.

Responsable del fichero o tratamiento: la empresa que contrata los servicios

externos. sta es considerada como la responsable del fichero de datos,
siempre y cuando decida sobre la finalidad, contenido y uso del tratamiento
de los datos. En el caso de que la finalidad, el contenido y el uso del
tratamiento de los datos sea determinada no por la empresa, sino por la
asesora o gestora, nos encontraramos formalmente ante una cesin o
comunicacin de datos y no ante una prestacin de servicios (la Ley lo llama
acceso a los datos por cuenta de terceros).

Encargado del tratamiento: Encargado del tratamiento es aquella persona

fsica o jurdica que sola o conjuntamente con otros, trata datos de carcter
personal por cuenta del responsable del tratamiento, conforme a sus
instrucciones.

13

PROCEDIMIENTO GENERAL
RAZN SOCIAL DE LA
EMPRESA

GESTIN

CONTROL DE DATOS DE CARCTER PERSONAL

Cdigo

PG-13

Edicin

Agencia de Proteccin de Datos: Ente de Derecho Pblico, que tiene como

fin velar por el cumplimiento de la normativa sobre la proteccin de datos
personales informatizados y controlar su aplicacin.
Tambin realiza otras funciones, como:
- Administrar el Registro General de Proteccin de Datos, que es el
rgano al que corresponde velar por la publicidad de la existencia de
datos de carcter personal.
- Realiza inspecciones en las empresas a instancia de los afectados o
de oficio.
- Dicta instrucciones y recomendaciones.
- Instruye y resuelve los expedientes sancionadores por la comisin
de las infracciones previstas en la Ley.

Cdigos tipo: Son cdigos deontolgicos o de buena conducta o prctica

profesional. Dichos cdigos establecen la poltica concreta que una
determinada empresa va a seguir en lo que se refiere a la proteccin de
datos (ms informacin en la pgina web de la Agencia, www.agpd.es,
donde se publican cdigos inscriptos en el Registro General de Proteccin de
datos, entre ellos de distintas asociaciones profesionales y de Telefnica,
S.A.). Su elaboracin es voluntaria, puesto que para cumplir con los
preceptos de la ley slo hace falta respetar lo en ella establecido.

12. FORMATOS Y REFERENCIAS

Resumen de medidas de seguridad.

14

PROCEDIMIENTO GENERAL
RAZN SOCIAL DE LA
EMPRESA

GESTIN

CONTROL DE DATOS DE CARCTER PERSONAL

Cdigo

PG-13

Edicin

RESUMEN DE MEDIDAS DE SEGURIDAD

Medidas mnimas de seguridad de los archivos que contengan datos de

carcter personal (RD/994/1999)
NIVEL BSICO
CARACTERSTICAS DEL DOCUMENTO DE SEGURIDAD
- mbito de aplicacin.
- Medidas, normas, procedimientos, reglas y estndares de seguridad.
- Funciones y obligaciones del personal.
- Estructura y descripcin de archivos y sistemas de informacin.
- Procedimiento de notificacin, gestin y respuesta ante incidencias.
- Proced. realizacin copias de respaldo y recuperacin de datos.
PERSONAL QUE TRABAJA CON DATOS DE NIVEL BSICO
- Funciones y obligaciones claramente definidas y documentadas.
- Difusin entre el personal de las normas que les afecten y de las consecuencias
por incumplimiento.
INCIDENCIAS QUE SE PRODUZCAN
- Registrar tipo de incidencia, momento en que se producieron, persona que la
notifica, persoa a la que se le comunica y efectos derivados.
MEDIDAS DE IDENTIFICACIN Y AUTENTIFICACIN DEL PERSONAL
- Relacin actualizada de usuarios y accesos autorizados.
- Procedimientos de identificacin y autentificacin.
- Criterios de accesos.
- Procedimientos de asignacin y gestin de contraseales y periodicidad con que
se cambian.
- Almacenamiento ininteligible de contraseales activas.
CONTROL Y ACCESO A USUARIOS
- Cada usuario acceder unicamente a los datos y recursos precisos para el
desarrollo de sus funciones.
- Mecanismos que eviten el acceso a datos o recursos con derechos distintos de los
autorizados.
- Concesin de permisos de acceso slo por el personal autorizado.

15

PROCEDIMIENTO GENERAL
RAZN SOCIAL DE LA
EMPRESA

GESTIN

CONTROL DE DATOS DE CARCTER PERSONAL

Cdigo

PG-13

Edicin

GESTIN DE LOS SOPORTES UTILIZADOS

- Identificar el tipo de informacin que contiene.
- Inventario.
- almacenamiento con acceso restringido.
- Salida de soportes autorizada por el responsable del archivo.
COPIAS DE RESPALDO/SEGURIDAD
- Verificar la definicin y aplicacin de los procedimientos de copias y recuperacin.
- Garantizar la reconstruccin de los datos en el estado en que se encontraban en
el momento de producirse la prdida o destruccin.
- Copia de respaldo, por lo menos semanal.

NIVEL MEDIO
CARACTERSTICAS DEL DOCUMENTO DE SEGURIDAD
- Identificacin del responsable de seguridad.
- Control peridico del cumplimiento del documento.
- Medidas a adoptar en caso de reutilizacin o destruccin de soportes.
INCIDENCIAS QUE SE PRODUZCAN
- Registrar realizacin de procedimientos de recuperacin de los datos, persona que
lo ejecuta, datos restaurados y grabados manualmente.
- Autorizacin por escrito del responsable del archivo para su recuperacin.
MEDIDAS DE IDENTIFICACIN Y AUENTIFICACIN DEL PERSONAL
- Se estblecer el mecanismo que permita la identificacin de forma inequvoca y
personalizada de todo usuario y la verificacin de que est autorizado.
- Lmite de intentos reiterados de acceso no autorizado.
CONTROL DE ACCESO A USUARIOS
- Control de acceso fsico a los locales donde se encuentren situados los sistemas
de informacin.
GESTIN DE LOS SOPORTES UTILIZADOS
- Registro de entrada y salida de soportes.
- Medidas para impedir la recuperacin posterior de informacin de un soporte que
va a ser rechazado o reutilizado.
- Medidas que impidan la recuperacin indebida de la informacin almacenada en
un soporte que va a salir como consecuencia de operaciones de mantenimiento.

16

PROCEDIMIENTO GENERAL
RAZN SOCIAL DE LA
EMPRESA

GESTIN

CONTROL DE DATOS DE CARCTER PERSONAL

Cdigo

PG-13

Edicin

RESPONSABLE
- Uno o varios nombrados por el responsable del archivo.
- Encargado de coordinar y controlar las medidas del documento.
- No supone delegacin de responsabilidad del responsable del archivo.
PRUEBAS
- Slo se realizarn si se asegura el nivel de seguridad correspondiente al tipo de
archivo tratado.
AUDITORA
- Por lo menos cada dos aos, interna o externa.
- Adecuacin de las medidas y controles.
- Deficencias y propuestas correctoras.
- Anlisis del responsable de seguridad y conclusiones al responsable del archivo.
- Adopcin de las medidas correctoras adecuadas.
NIVEL ALTO
GESTIN DE LOS SOPORTES UTILIZADOS
- Cifrado de datos en la distribucin de soportes.
COPIA DE RESPALDO/SEGURIDAD
- Copia de respaldo y procedimientos de recuperacin en lugar diferente del que se
encuentren los equipos.
REGISTRO DE ACCESOS
- Registrar usuario, hora, archivo, tipo acceso y registro accedido.
- Control del responsable de seguridad. Informe mensual.
- Conservacin 2 aos.
TELECOMUNICACIONES
- Transmisin de datos cifrada.

Los niveles son acumulativos y tienen la condicin de mnimo esigibles.

Los accesos a travs de redes de telecomunicacins deben garantizar un nivel de
seguridad equivalente al de los accesos en modo local.

La ejecucin de trabajos fuera de los locales del emplazamiento del archivo debe ser
expresamente autorizada por el responsable del archivo a garantizar el nivel de
seguridad.

Los archivos temporales debern cumplir el nivel de seguridad correspondiente y

sern borrados una vez que dejen de ser necesarios

Los archivos de nivel bsico que contengan datos que permitan obtener una
evaluacin da personalidad del individuo debern garantizar, adems de las medidas
de nivel bsico, las de nivel medio relativas a auditora, identificacin y autenticacin,
control de acceso fsico y gestin de soportes.

17