Professional Documents
Culture Documents
RAZN SOCIAL DE LA
EMPRESA
GESTIN
Cdigo
PG-13
Edicin
ndice:
1. TABLA RESUMEN..................................................................................... 2
2. OBJETO................................................................................................... 2
3. ALCANCE................................................................................................. 2
4. RESPONSABILIDADES ............................................................................ 3
5. ENTRADAS .............................................................................................. 4
6. SALIDAS ................................................................................................. 4
7. PROCESOS RELACIONADOS .................................................................... 4
8. DIAGRAMA DE FLUJO.............................................................................. 5
9. DESARROLLO .......................................................................................... 6
9.1. GESTIN Y CONTROL DE LOS DATOS................................................ 6
10. ARCHIVO ............................................................................................ 13
11. DEFINICIONES ................................................................................... 13
12. FORMATOS Y REFERENCIAS ................................................................ 14
Realizado:
Revisado y aprobado:
PROCEDIMIENTO GENERAL
RAZN SOCIAL DE LA
EMPRESA
GESTIN
Cdigo
PG-13
Edicin
1. TABLA RESUMEN
SECTORES
TODOS, EN GENERAL
GENERAL
PROCESO
RESPONSABLE PROCESO
GERENCIA
PROCESOS RELACIONADOS
ENTRADAS: NECESIDAD DE
ADAPTARSE A REQUISITOS LEGALES
RESPONSABLE: GERENCIA
DE PROTECCIN DE DATOS
PERSONALES
SALIDAS: CUMPLIMIENTO DE LA
RESPONSABLE: RESPONSABLE DE
LOPD EN TODOS LOS MBITOS DE LA
SEGURIDAD
EMPRESA
2. OBJETO
En este procedimiento se describe la sistemtica a seguir para llevar a cabo la
adaptacin de una empresa a la normativa sobre proteccin de datos personales,
teniendo como resultado final el cumplimiento de dichos requisitos legales.
3. ALCANCE
El proceso empieza con la determinacin de la situacin actual en materia de
proteccin de datos de carcter personal, incluyendo la identificacin de aquellos
ficheros, en soporte informtico o de otro tipo, afectados por la ley orgnica de
proteccin de datos de carcter personal.
Actividades a las que afecta este proceso:
PROCEDIMIENTO GENERAL
RAZN SOCIAL DE LA
EMPRESA
GESTIN
Cdigo
PG-13
Edicin
4. RESPONSABILIDADES
-Empresa responsable del tratamiento:
Responsable de seguridad:
- Inscripcin de los ficheros en el Registro General de la Proteccin de Datos.
Artculo 26 LOPD. Artculos 5 y 6 R.D. 1332/1994, de 20 de Junio.
- Redaccin de los contratos, formularios y clusulas necesarias para la
recogida de datos, los tratamientos por terceros y las cesiones o
comunicaciones de datos.
- Informar al titular de los datos sobre la existencia y finalidad del fichero,
quin es el responsable del mismo y de que forma puede ejercer los
derechos de acceso, rectificacin, oposicin y cancelacin.
- Obtener el consentimiento del afectado en los casos en que sea preceptivo.
- Respetar la calidad y exactitud de los datos y su utilizacin exclusivamente
para el fin para el que se recogieron.
Responsable de seguridad:
- Adoptar y hacer cumplir al personal que debido a su trabajo tenga acceso
a los ficheros las obligaciones establecidas en el contrato como el deber de
secreto y las medidas de seguridad observadas.
- Aplicar y promover el cumplimiento de las medidas de seguridad detalladas
en el Documento de Seguridad.
- Formacin del personal usuario de los ficheros de datos de carcter
personal.
- Destruccin o devolucin de los soportes que contengan datos de carcter
personal a la empresa responsable del tratamiento al finalizar el servicio.
PROCEDIMIENTO GENERAL
RAZN SOCIAL DE LA
EMPRESA
GESTIN
Cdigo
PG-13
Edicin
Gerencia:
- Asignar un Responsable de Implantacin de Proteccin de datos, que
puede coincidir o no con el Responsable de seguridad o tratarse de una
empresa externa.
- Nombramiento y/o Visto Bueno a la persona que ejerce como Responsable
de Seguridad.
- Gestin de la formacin del Responsable de Seguridad.
5. ENTRADAS
El proceso da comienzo con el estudio, evaluacin y clasificacin de los ficheros de
datos personales existentes en la empresa.
6. SALIDAS
El proceso finaliza con la adecuacin de la organizacin a los requisitos de la
legislacin existente sobre la proteccin de datos personales.
7. PROCESOS RELACIONADOS
PROCEDIMIENTO GENERAL
RAZN SOCIAL DE LA
EMPRESA
GESTIN
Cdigo
PG-13
Edicin
8. DIAGRAMA DE FLUJO
NOTA: El nmero que aparece en cada etapa indica el punto del apartado 9 del
procedimiento, DESARROLLO al que pertenece.
PROCEDIMIENTO GENERAL
RAZN SOCIAL DE LA
EMPRESA
GESTIN
Cdigo
PG-13
Edicin
9. DESARROLLO
9.1. GESTIN Y CONTROL DE LOS DATOS
A. ESTUDIO, EVALUACIN Y CLASIFICACIN DE LOS FICHEROS
En primer lugar el Responsable de Implantacin realizar un diagnstico inicial
sobre la situacin de partida de la empresa., en cuanto a los datos de carcter
personal que se manejan.
Inicialmente se estudiarn los ficheros existentes, viendo:
PROCEDIMIENTO GENERAL
RAZN SOCIAL DE LA
EMPRESA
GESTIN
Cdigo
PG-13
Edicin
PROCEDIMIENTO GENERAL
RAZN SOCIAL DE LA
EMPRESA
GESTIN
Cdigo
PG-13
Edicin
PROCEDIMIENTO GENERAL
RAZN SOCIAL DE LA
EMPRESA
GESTIN
Cdigo
PG-13
Edicin
PROCEDIMIENTO GENERAL
RAZN SOCIAL DE LA
EMPRESA
GESTIN
Cdigo
PG-13
Edicin
10
PROCEDIMIENTO GENERAL
RAZN SOCIAL DE LA
EMPRESA
GESTIN
Cdigo
PG-13
Edicin
11
PROCEDIMIENTO GENERAL
RAZN SOCIAL DE LA
EMPRESA
GESTIN
Cdigo
PG-13
Edicin
12
PROCEDIMIENTO GENERAL
RAZN SOCIAL DE LA
EMPRESA
GESTIN
Cdigo
PG-13
Edicin
10. ARCHIVO
Toda la documentacin resultante de la gestin y control de los datos de carcter
personal ser archivada y controlada de acuerdo a lo dispuesto en la legislacin, y
por el personal autorizado para ello.
11. DEFINICIONES
13
PROCEDIMIENTO GENERAL
RAZN SOCIAL DE LA
EMPRESA
GESTIN
Cdigo
PG-13
Edicin
14
PROCEDIMIENTO GENERAL
RAZN SOCIAL DE LA
EMPRESA
GESTIN
Cdigo
PG-13
Edicin
15
PROCEDIMIENTO GENERAL
RAZN SOCIAL DE LA
EMPRESA
GESTIN
Cdigo
PG-13
Edicin
NIVEL MEDIO
CARACTERSTICAS DEL DOCUMENTO DE SEGURIDAD
- Identificacin del responsable de seguridad.
- Control peridico del cumplimiento del documento.
- Medidas a adoptar en caso de reutilizacin o destruccin de soportes.
INCIDENCIAS QUE SE PRODUZCAN
- Registrar realizacin de procedimientos de recuperacin de los datos, persona que
lo ejecuta, datos restaurados y grabados manualmente.
- Autorizacin por escrito del responsable del archivo para su recuperacin.
MEDIDAS DE IDENTIFICACIN Y AUENTIFICACIN DEL PERSONAL
- Se estblecer el mecanismo que permita la identificacin de forma inequvoca y
personalizada de todo usuario y la verificacin de que est autorizado.
- Lmite de intentos reiterados de acceso no autorizado.
CONTROL DE ACCESO A USUARIOS
- Control de acceso fsico a los locales donde se encuentren situados los sistemas
de informacin.
GESTIN DE LOS SOPORTES UTILIZADOS
- Registro de entrada y salida de soportes.
- Medidas para impedir la recuperacin posterior de informacin de un soporte que
va a ser rechazado o reutilizado.
- Medidas que impidan la recuperacin indebida de la informacin almacenada en
un soporte que va a salir como consecuencia de operaciones de mantenimiento.
16
PROCEDIMIENTO GENERAL
RAZN SOCIAL DE LA
EMPRESA
GESTIN
Cdigo
PG-13
Edicin
RESPONSABLE
- Uno o varios nombrados por el responsable del archivo.
- Encargado de coordinar y controlar las medidas del documento.
- No supone delegacin de responsabilidad del responsable del archivo.
PRUEBAS
- Slo se realizarn si se asegura el nivel de seguridad correspondiente al tipo de
archivo tratado.
AUDITORA
- Por lo menos cada dos aos, interna o externa.
- Adecuacin de las medidas y controles.
- Deficencias y propuestas correctoras.
- Anlisis del responsable de seguridad y conclusiones al responsable del archivo.
- Adopcin de las medidas correctoras adecuadas.
NIVEL ALTO
GESTIN DE LOS SOPORTES UTILIZADOS
- Cifrado de datos en la distribucin de soportes.
COPIA DE RESPALDO/SEGURIDAD
- Copia de respaldo y procedimientos de recuperacin en lugar diferente del que se
encuentren los equipos.
REGISTRO DE ACCESOS
- Registrar usuario, hora, archivo, tipo acceso y registro accedido.
- Control del responsable de seguridad. Informe mensual.
- Conservacin 2 aos.
TELECOMUNICACIONES
- Transmisin de datos cifrada.
La ejecucin de trabajos fuera de los locales del emplazamiento del archivo debe ser
expresamente autorizada por el responsable del archivo a garantizar el nivel de
seguridad.
Los archivos de nivel bsico que contengan datos que permitan obtener una
evaluacin da personalidad del individuo debern garantizar, adems de las medidas
de nivel bsico, las de nivel medio relativas a auditora, identificacin y autenticacin,
control de acceso fsico y gestin de soportes.
17