Tema 1. Qué son datos de carácter personal.

Requisitos para su
recogida y tratamiento

¿Por qué conocer la LOPD?
Las nuevas tecnologías cada día nos ofrecen más posibilidades y herramientas
para ayudarnos a realizar nuestro trabajo más fácil y eficazmente. Actualmente
la mayoría de los trámites, y solicitudes de distinto tipo quedan registrados de
alguna forma con nuestros datos personales en cualquier tienda, servicio de
atención de alguna administración pública, etc.
El correcto uso de estos avances ha de realizarse de forma que se garantice
nuestra intimidad, que no se produzca un uso abusivo o incorrecto de los datos,
que nuestros datos estén seguros y que no pasen a manos no deseadas.
La Ley Orgánica de Protección de Datos de Carácter Personal persigue este
fin, especificando las medidas de seguridad oportunas para cada tipo de datos,
obligando a proporcionar información para que la obtención de datos se realice de forma transparente y
estableciendo los derechos sobre los datos personales que cada uno de nosotros poseemos.
Conocer y estar al día sobre la legislación vigente en materia de protección de datos de carácter personal
nos interesa tanto como propietarios de nuestros datos personales, para poder ejercer nuestros
derechos, como posibles trabajadores con datos personales, pues cada día es más normal que tengamos
necesidad de acceder a ficheros con datos de carácter personal para realizar nuestro trabajo.
La Administración Pública, y nosotros como representantes de ella, debemos ser los primeros en dar
ejemplo del correcto uso de la información de la que disponemos y mostrarnos respetuosos al respecto.
Éste es el objetivo de este curso, proporcionarnos las nociones suficientes para ser capaces de catalogar
un archivo con datos de carácter personal y de actuar con diligencia ante cualquier parte de un proceso
de tratamiento de datos de carácter personal en el que participemos.

Introducción
En virtud de tu cargo de responsable de una Jefatura
de Servicio de la Consejería, has recibido el encargo
de gestionar la selección de personal voluntario para
el programa de jóvenes voluntarios "Parques de tu
ciudad".
Este programa consiste en la realización de distintas
actividades de conservación y de disfrute de los
parques de la ciudad, desde el conocimiento de la
riqueza y diversidad de la flora y fauna de los
parques, hasta la organización de eventos para todas
las edades. Es un programa que también pretende promover la participación de las mujeres víctimas de
la violencia de género, para las cuales se reserva un 25% de las plazas. Para empezar, te dispones a
elaborar un formulario que sirva de solicitud en la selección:
Consciente de que tanto la recogida de datos como el tratamiento posterior que reciban debe realizarse
de acuerdo con la normativa sobre protección de datos vigente, decides echar un vistazo a la
Legislación básica de protección de datos:
Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD).
Real Decreto 1720/2007, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica
15/1999 de Protección de Datos de Carácter Personal (RDLOPD).
Decides comenzar analizando los formularios en cuestión, la información que contendrán y la forma de
recaudación de estos datos. Para ello cuentas con varios modelos de selecciones anteriores en los que
basarte.

1 de 12

Calidad de los datos
Tras el estudio de la normativa, apuntas los principios referentes a la
calidad de los datos, para aplicarlos en el diseño del cuestionario. Estos
principios: exactitud, finalidad, adecuación, caducidad y legalidad
abarcan todos los aspectos necesarios para garantizar la calidad de los
datos y los procesos que con ellos se realizan.
Principio de Exactitud o Calidad
Los datos recogidos han de ser exactos y deben mantenerse al día para
el fin para el que se recabaron.
Es decir, has de asegurarte que los datos recogidos den una imagen fiel del candidato para la selección.
Así que haces un listado de los datos que han de proporcionar para tener una imagen exacta del
candidato:
Nombre, apellidos, dirección, teléfono y dirección de correo electrónico.
Estudios cursados.
Conocimientos relacionados con las actividades a realizar.
Interés por participar en el programa.
Principio de Finalidad o Unicidad
Los datos captados responderán a la finalidad del fichero, sin que puedan difundirse o tratarse fuera de
ella.
Este apartado no te presenta dificultad alguna respecto a la difusión, pues no hay previsto ningún otro
tratamiento ni ninguna otra finalidad distinta del necesario para realizar la selección.
Principio de Adecuación.
Los datos recogidos serán los pertinentes y no excesivos, teniendo en cuenta la finalidad del fichero, y no
serán utilizados para finalidades incompatibles con aquellas para las que fueron solicitados.
AUTOEVALUACIÓN

Los datos que a continuación se exponen, no figuran en tu listado inicial pero sí en los
distintos formularios que te sirven de modelo. Indica si son necesarios o excesivos:

a) NIF

Elige una respuesta...
Excesivo Necesario

b) Nombre de padre y madre

Elige una respuesta...
Excesivo Necesario

c) Violencia de género

Elige una respuesta...
Excesivo Necesario

d) Edad

Elige una respuesta...
Excesivo Necesario

e) Religión

Elige una respuesta...
Excesivo Necesario

f)

Elige una respuesta...
Excesivo Necesario

Tiempo disponible para el voluntariado

2 de 12

Principio de Caducidad
Los datos personales incorporados a un fichero no se han de conservar en el mismo más tiempo del
necesario para cumplir su finalidad.
De acuerdo con esto, dado que la normativa de la convocatoria establece que no tienes por qué
conservar las solicitudes más allá de 5 años, una vez realizada la selección y transcurridos 5 años,
tendrás que eliminar los datos.
Principio de Legalidad
Este principio atañe a la forma en la que se obtienen los datos. Ha de actuarse en todo momento de
forma leal, y se prohibe cualquier recogida de datos por medios fraudulentos, desleales o ilícitos.
Para profundizar más lo referente a la calidad de datos.

Datos que se pueden recabar
De la búsqueda y estudio de la normativa sobre la recaudación de datos, te
queda claro que lo primero en la recaudación de datos de carácter personal es
informar al interesado y tener su consentimiento inequívoco. La forma en la que
se realiza esta tarea depende del tipo de dato de carácter personal, por lo que
buscas una definición de dato de carácter personal y una clasificación.
Por datos de carácter personal, se entiende cualquier información concerniente a
personas físicas identificadas o identificables (Art. 3 LOPD). Según la naturaleza
de los datos y de quién realice la recogida, será necesario un tipo de
consentimiento más riguroso, como el expreso por escrito, o menos; existiendo
casos justificados en el que el consentimiento no es necesario.
La declaración de un dato como de carácter personal, no siempre es obvia. Existen casos, como el
número de teléfono, en que se ha discutido sobre su clasificación. La argumentación de esta discusión se
realiza entorno a dos puntos:

La facilidad para identificar una persona a raíz de este dato. La Audiencia Nacional
especificó: "para que exista dato de carácter personal (en contraposición con dato
disociado) no es imprescindible una plena coincidencia entre dato y una persona concreta,
sino que es suficiente con que tal identificación pueda realizarse sin esfuerzos
desproporcionados..."
También según la Audiencia Nacional, la posibilidad de identificación ha de ser real: "para
determinar si una persona es identificable, hay que considerar el conjunto de los medios
que pueden ser razonablemente utilizados por el responsable del tratamiento o por
cualquier persona, para identificar a dicha persona".
Así, por ejemplo, se decidió que el uso de una guía telefónica para averiguar datos personales es una
finalidad distinta a la del fichero, y es necesario solicitar el consentimiento expreso para ello.
AUTOEVALUACIÓN

Según lo visto, ¿crees que se considera dato de carácter personal los archivos de imagen y
sonido procedentes de las grabaciones de seguridad en el control de acceso a la Consejería?:

a) Verdadero
b) Falso

3 de 12

Como es de esperar, no todos los tipos de datos de carácter personal reciben un mismo tratamiento. La
legislación existente otorga un trato especial a determinadas categorías de datos, al considerar que
afectan a la esfera más sensible de la persona, al hacer alusión a su ideología, religión, creencias,
afiliación sindical, origen racial , vida sexual y salud. Esta especial protección se recoge en el (artículo 7
de la LOPD), afectando sobre todo a los asuntos relacionados con el consentimiento.
También el reglamento de medidas de seguridad, que desarrolla el principio de seguridad de la ley,
recoge esta especial protección de ciertos datos y clasifica los ficheros con datos de carácter personal en
tres niveles, según la información que incorporen:

Datos que requieren medidas básicas de protección: Todos los datos de carácter personal
necesitan unas medidas de Seguridad mínimas, que se establecen en el R.D. 1720/2007. A
medida que se incrementa el nivel de intimidad de los datos tratados, la LOPD y el
Reglamento establecen medidas de seguridad adicionales, que se superponen a estas, como
veremos a continuación.
Datos que requieren medidas de seguridad media: Datos relativos a la comisión de
infracciones administrativas o penales, Hacienda Pública, gestores seguridad social, mutuas,
servicios financieros y los ficheros de prestación de servicios de información sobre solvencia
patrimonial y crédito. Así mismo, los conjuntos de datos de carácter personal con
información que permitan obtener una evaluación de la personalidad del individuo entran en
este grupo.
Datos que requieren medidas de seguridad alta: Datos de ideología, religión, creencias,
origen racial, salud o vida sexual así como los que contengan datos recabados para fines
policiales sin consentimiento de las personas afectadas y los relativos a la violencia de
genéro.
AUTOEVALUACIÓN
Tras el estudio realizado de los distintos tipos de datos, ya estás en condiciones de
clasificar la información de los formularios que queréis almacenar. ¿A qué tipo corresponden?

a) Datos con medidas de seguridad básica
b) Datos con medidas de seguridad media
c) Datos con medidas de seguridad especiales
d) Datos con medidas de seguridad alta

Para los datos especialmente protegidos, es fundamental saber que para garantizar el derecho
constitucional que establece que "nadie podrá ser obligado a declarar sobre su ideología, religión o
creencias" (Art. 16.2 Constitución), es obligatorio advertir al interesado, al solicitar su consentimiento,
acerca de su derecho a no prestar declaración.
Es más, para garantizar la protección de los datos especialmente sensibles, quedan prohibidos los
ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la
ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual. (Art. 7)

4 de 12

Clasificación de ficheros con datos de carácter personal
A continuación, antes de leer el resto del apartado, piensa en posibles datos
de carácter personal y apúntalos en una lista; luego, ve comprobando al ir
leyendo este apartado, en qué categoría de datos los agruparías y de qué
nivel sería el fichero que los contuviera.

Nivel básico
Entre los datos más corrientes con nivel de protección básico figuran los
siguientes:

Identificativos: DNI / NIF, Nº Seguridad Social / mutualidad, nombre y apellidos,
dirección, teléfono, firma / huella, imagen / voz, marcas físicas.
Características personales: Datos de estado civil, familia, fecha / lugar de nacimiento,
características físicas / antropométricas, sexo, nacionalidad, lengua materna.
Circunstancias sociales: características de alojamiento / vivienda, situación militar,
propiedades / posesiones, aficiones y estilo de vida, pertenencia a clubes o
asociaciones, licencias, permisos, autorizaciones.
Académicos y profesionales: Formación, titulaciones, historial de estudiante,
experiencia profesional, pertenencia a asociaciones profesionales.
Empleo y Carrera administrativa: Profesión, puestos de trabajo, datos no económicos
de nómina, historial del trabajador.
Información comercial: Actividades y negocios, licencias comerciales, suscripciones a
publicaciones / medios de comunicación, creaciones artísticas, literarias, científicas o
técnicas.
Económico Financiera: Ingresos, rentas, inversiones, bienes patrimoniales, créditos,
préstamos, avales, datos bancarios, planes de pensión / jubilación, datos económicos
de nómina, seguros, hipotecas, subsidios, beneficios, historial de créditos, tarjetas de
crédito.
Transacciones: Bienes y Servicios suministrados y / o recibidos por el afectado,
transacciones financieras, compensaciones / indemnizaciones.
Nivel medio
Además de los que contengan datos personales que, en su conjunto, puedan revelar el perfil de las
personas, se requiere el nivel de seguridad medio para ficheros con datos sobre:

Hacienda Pública: Administración Pública que ostente potestades en materia tributaria.
Servicios Financieros: seguros y planes de seguros, intermediación monetaria, las
actividades relacionadas con la Banca Central, Bancos, Cajas y Cooperativas,
actividades de arrendamiento financiero.
Solvencia Patrimonial y Crédito: Ficheros de morosos.
Infracciones Penales y Administrativas: Expedientes disciplinarios, multas, sanciones.
Entidades Gestoras y Servicios Comunes de Seguridad Social.
Mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
Operadores de comunicaciones electrónicas: Datos de tráfico y localización.
Nivel alto
Los ficheros que contienen datos relativos a:

Ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual y
de los que no se contemple la posibilidad de adoptar el nivel básico. (Ver siguiente
‘bombillita’).
Los recabados con fines policiales sin consentimiento de las personas afectadas.
Los derivados de actos de violencia de género.
Datos de salud que se refieran exclusivamente al grado o condición de discapacidad.

5 de 12

En cuanto a los datos de discapacidad, según el art. 81.6 del RDLOPD, podrán implantarse las
medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la
salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de
discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.

AUTOEVALUACIÓN

A la vista de lo aprendido, relaciona cada dato con su nivel de seguridad:

a) NIF

Elige una respuesta... Nivel
básico Nivel medio Nivel
alto

b) Casilla de aportación, en el IRPF, de un
contribuyente a la Iglesia Católica

Elige una respuesta... Nivel
básico Nivel medio Nivel
alto

c) Violencia de género

Elige una respuesta... Nivel
básico Nivel medio Nivel
alto

d) Solvencia económica

Elige una respuesta... Nivel
básico Nivel medio Nivel
alto

e) Ser fumador, para reservar una habitación de hotel Elige una respuesta... Nivel
básico Nivel medio Nivel
alto
f)

Drogodependencias

Elige una respuesta... Nivel
básico Nivel medio Nivel
alto

Aunque estos datos no proporcionan a simple vista el perfil de una persona, hay que ser muy
cuidadoso, pues en cuanto tenemos un conjunto de datos de una persona, con frecuencia nos
encontramos que podemos obtener a partir de ellos más información acerca de la persona.
El siguiente ejemplo ilustra muy bien cómo de una serie de datos básicos se puede sacar el perfil de una
persona: a partir de un fichero que contenga datos de compras con tarjeta de crédito realizadas por una
persona, que es de nivel básico, se puede obtener información acerca de sus gustos, hábitos de consumo,
locales que le gusta frecuentar, etc.

6 de 12

Información previa al interesado
Asimismo, el deber de información al afectado, anterior a la recogida y tratamiento de los datos de
carácter personal es uno de los derechos básicos y principales de los ciudadanos, regulado en la Ley
Orgánica 15/1999, de Protección de Datos de Carácter Personal (Art. 5).
Así, se informará a través del medio elegido para la recogida de los datos de forma expresa, precisa e
inequívoca:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la
recogida de éstos y de los destinatarios de la información.
AUTOEVALUACIÓN

Indica la finalidad de la recogida de datos en tu caso y los destinatarios de la información. Al
finalizar, compara tu respuesta con la dada:

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
AUTOEVALUACIÓN

En el caso que estás tratando, ¿quién es el responsable del fichero y dónde se ubica?. Al
finalizar, compara tu respuesta con la dada:

No será obligatorio la información dispuesta en los apartados b), c) y d) si se deduce claramente de los
datos que se solicitan, o de las circunstancias en que se recaban.
Es obvio que los datos de la solicitud se recaban para realizar la selección, por lo que no habrá de
indicarse expresamente.
Además de lo anterior, tomas nota de la siguiente información, por si fuera aplicable a algún archivo de
tu Servicio y te hiciera falta más adelante: Si los datos no han sido recabados del interesado, éste deberá
ser informado en el plazo de tres meses, salvo casos concretos como que hubiera sido informado con
anterioridad, cuando el tratamiento esté previsto en una ley, tenga fines históricos, estadísticos o
científicos, cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de
publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le
informará del origen de los datos y de la identidad del responsable del tratamiento así como de los
derechos que le asisten.
La información previa que se le debe proporcionar al interesado se recoge en el artículo 5 de la LOPD
15/1999.

7 de 12

Adecuación de formularios
Has visto que la Ley indica que, cuando se utilicen cuestionarios u otros impresos para la recogida,
figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado
anterior. ¡Justo acabas de obtener la forma de proporcionar la información completa a los ciudadanos
sobre los derechos mencionados en la LOPD en la recogida de información!
Hay que añadir en el formulario a través del que se recogen los datos, un texto que informe a la persona
que cumplimenta el formulario que:

Sus datos van a ser almacenados en un fichero para su tratamiento.
La finalidad de la recogida de los datos.
El destinatario de los datos recogidos.
Cómo y dónde puede ejercer los derechos de acceso, modificación, cancelación y oposición.
Aunque actualmente el formato del que se trata es en papel, sabes que se está planificando la
incorporación a los servicios a través de la web de la Consejería, por lo que, adelantándote al futuro,
decides preparar el párrafo que correspondería al formato electrónico.
Elaboras varias cláusulas genéricas a modo de ejemplo:
Papel
En cumplimiento de lo dispuesto en la Ley Orgánica 15/1999 de Protección de Datos de
Carácter Personal, la Consejería, le informa que sus datos personales obtenidos
mediante la cumplimentación de este documento / impreso / formulario, van a ser
incorporados para su tratamiento en un fichero.
Asimismo, se le informa que la recogida y tratamiento de dichos datos tienen como finalidad la selección
de voluntarios para el programa Parques de tu Ciudad. Si lo desea, puede ejercitar los derechos de
acceso, rectificación, cancelación y oposición, previstos por la Ley, dirigiendo un escrito a la (Incluir la
dirección que figura en la declaración que del fichero se ha realizado a la Agencia Española de Protección
de Datos).
Formato electrónico
En el caso del formato electrónico, podrá optarse por incorporar en todas esas
páginas un texto o un botón o enlace adecuadamente etiquetado que, al ser
seleccionado mediante un clic, permita obtener la citada información. No
obstante, se considera más adecuada una opción según la cual la lectura de dicha
información se presente como ineludible (y no optativa) dentro del flujo de
acciones que deba ejecutar el usuario para expresar la aceptación definitiva de la
transmisión de sus datos a la entidad que los está recabando.
Ejemplo 1:
Mediante la presente, se informa a los titulares de los datos de carácter personal que forman parte de los
ficheros cuyo Responsable es (Incluir el que corresponda) acerca de su Política de Protección de Datos de
Carácter Personal, de manera que los citados titulares determinen libre y voluntariamente si desean
facilitar a la Consejería los datos personales que se les puedan requerir o que se puedan obtener como
consecuencia de los servicios ofrecidos.
La Consejería se reserva el derecho a modificar la presente Política para adaptarla a novedades
legislativas o jurisprudenciales. En dichos supuestos la Consejería incluirá en el presente documento los
cambios introducidos con razonable antelación a su puesta en práctica.
Ejemplo 2:
Al cumplimentar este formulario de datos de carácter personal el titular consiente que la Consejería
realice tratamientos de sus datos personales en conformidad con lo que a continuación se expone:

La recogida y tratamiento de los Datos Personales tiene como finalidad la selección de
voluntarios para el programa Parques de tu Ciudad.
Los titulares de los datos tienen reconocidos, y podrán ejercitar los derechos de acceso,
cancelación, rectificación y oposición, así como tienen reconocido el derecho a ser
informados de las cesiones realizadas contactando con la Consejería a través del correo
electrónico (e-mail correspondiente), siempre con firma electrónica, o bien por correo
ordinario en la dirección (Incluir la que corresponda).

8 de 12

La Consejería ha adoptado los niveles de seguridad de protección de los Datos Personales
legalmente requeridos, y ha instalado todos los medios y medidas técnicas a su alcance
para evitar la pérdida, mal uso, alteración, acceso no autorizado y robo de los datos.
Por último, tener en consideración que si sólo una parte de los datos que se recojan son imprescindible
para el fin con el que se recaban, se deberá informar de qué parte es obligatoria y qué parte voluntaria.
Y en el caso de que se tengan previstas cesiones de datos, se deberá hacer constar la finalidad de la
cesión y la identidad del cesionario con objeto de obtener el previo consentimiento de los afectados.
Es conveniente aclarar qué se entiende por cesión y qué por tratamiento tal y como la propia ley lo
distingue:

Por cesión o comunicación de datos se entiende toda revelación de datos realizada a una
persona distinta del interesado. Por ejemplo, el hecho de enviar los datos de las solicitudes
a la Consejería de Agricultura y Pesca para que les envíen información acerca de los cursos
relacionados con el medio ambiente que pongan en marcha, sería considerada una cesión.
Y por tratamiento de datos todas las operaciones y procedimientos técnicos, que permitan la
recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así
como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y
transferencias. Así, si la Consejería tiene contratada una empresa de grabación de datos que
introduzca la información en la aplicación, este proceso es un proceso de tratamiento de
datos.
Según el artículo 11 de la LOPD se eximen de esta demanda, entre otros, los siguientes casos:
a) Cuando la cesión está autorizada en una ley.
b) Cuando se trate de datos recogidos de fuentes accesibles al público.
c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo
desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con
ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que
la justifique.
d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el
Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que
tiene atribuidas.

Consentimiento del interesado
Consciente de la necesidad de recabar el consentimiento inequívoco del afectado en la recaudación de
datos, decides analizar en qué consiste exactamente. Averiguas que dependiendo del caso el
consentimiento puede ser tácito, expreso, expreso y por escrito o incluso puede no tener que
recabarse.
En cualquiera de estos casos, es muy importante saber que el afectado podrá revocar el consentimiento
otorgado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.
No será preciso el consentimiento:

Para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de
sus competencias. Lo que quiere decir esto es que no es necesario el consentimiento
cuando la Administración ejerza la potestad pública, como en el caso de una expropiación o
una sanción administrativa por incumplimiento de una norma. Sin embargo, en este caso
actúa como gestora de una prestación, por lo que no está exenta de recoger ese
consentimiento.
Cuando se refieren a las partes de un contrato o precontrato de una relación de negocio,
laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento.
Cuando los datos figuren en fuentes accesibles al público.
Por legítimo interés del responsable del tratamiento o cesionario.
Cuando sean necesarios para el cumplimiento de un deber jurídico.

9 de 12

Por consentimiento tácito se entiende aquel que aunque no está expresado formalmente, se supone o
infiere por la actuación del titular de los datos. Así por ejemplo, en nuestro caso, si una persona ha
entregado una solicitud es porque consiente que tratemos sus datos.
De todo esto trata el artículo 6 de la LOPD.
El consentimiento expreso se reserva para los datos de carácter personal que hagan referencia al origen
racial, a la salud y a la vida sexual. En este caso sólo podrán ser recabados, tratados y cedidos cuando,
por razones de interés general, así lo disponga una ley o el afectado consienta expresamente, aunque no
hace falta que sea escrito, por ejemplo una grabación de tu voz en la que consientes en ese tratamiento,
como hacen las operadoras telefónicas en los bancos y otras entidades. Accede al artículo 7.3.
Por último, el consentimiento expreso y por escrito, está indicado siempre para los datos especialmente
protegidos: que revelen la ideología, afiliación sindical, religión y creencias. A excepción de los ficheros
mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y
asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica,
religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros. Los datos de carácter
personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados,
tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta
expresamente. Accede al artículo 7.2.
Recordamos que quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de
carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o
vida sexual.

Derechos de los ciudadanos
Al igual que el derecho a la información, que debe proporcionarse a los ciudadanos antes de proceder a
recabar sus datos, existen una serie de derechos de los ciudadanos en lo concerniente a sus datos,
como son los derechos de Acceso, de Rectificación, de Cancelación y de Oposición sobre los datos que
sobre ellos se almacenen en cualquier archivo. Los derechos mencionados son conocidos como los
derechos ARCO.
El titular de los datos es el ciudadano al que le corresponden, y no, como erróneamente se puede pensar,
el dueño del archivo. Así pues, como único titular del los datos, es lógico que se le confiera al ciudadano
los medios necesarios para recabar información acerca de quién posee datos sobre él, para rectificar
algún dato que no sea exacto o haya cambiado y para borrar sus datos de algún archivo.
La LOPD facilita el ejercicio de estos derechos estableciendo la gratuidad de los mismos, un plazo breve
de respuesta por parte del Organismo ante el que se ejercen y el deber del personal de proporcionar
información y orientación sobre el ejercicio de estos derechos a cualquier persona que lo solicite. Como
persona responsable de la Jefatura de Servicio, interesada en prestar la mejor atención al ciudadano,
tomas nota de estos derechos y sus requisitos para tomar las medidas necesarias y para incluir en el plan
de formación de tu personal la información sobre los derechos a los ciudadanos que deben conocer.
Derecho de acceso
Cualquier ciudadano tiene derecho a solicitar y obtener gratuitamente información de sus datos de
carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones
realizadas o que se prevén hacer de los mismos. Este es el derecho de acceso, que se ejercerá mediante
petición o solicitud dirigida al responsable del fichero, formulada por cualquier medio que garantice la
identificación del afectado y en la que conste el fichero o ficheros a consultar.
En el plazo máximo de un mes el responsable deberá resolver sobre la solicitud de acceso, teniendo 10
días a partir de la notificación de la resolución para hacer efectivo el acceso.
Existen algunos casos, como cuando el afectado esté siendo objeto de actuaciones inspectoras por parte
de la Hacienda Pública en el que se puede denegar el acceso a los datos.
En cualquier caso, el interesado no podrá solicitar un nuevo acceso a los datos en los próximos 12 meses,
salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrán ejercitarlo antes.

10 de 12

En la página web de la Agencia Española de Protección de Datos se puede obtener el
modelo para ejercer el derecho de acceso:
1. Para conseguirlo, haz clic sobre ‘Canal del Ciudadano’ y a continuación, escoge el apartado
‘Derechos'.
2. Pulsa sobre ‘Principales Derechos’; aquí puedes consultar información relevante sobre los
mismos.
3. En particular, pica sobre ‘Contenido del derecho de acceso y formularios para su ejercicio’.
4. Lee la información que se ofrece y examina los documentos en “pdf” que se pueden
descargar: Modelos para el ejercicio del Derecho de Acceso, para solicitar la Tutela de
Derechos e instrucciones para cumplimentar ambos modelos.
Derecho de rectificación y cancelación
Cuando los datos del afectado son inexactos o incompletos, inadecuados o excesivos, éste podrá solicitar
del responsable del fichero la rectificación o, en su caso, cancelación de los mismos.
La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las
Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas
del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a
la supresión.
No obstante, si existe una normativa que impide que se puedan cancelar los datos o que permite u obliga
a conservarlos, puede denegarse la cancelación de los mismos, haciéndoselo saber al reclamante.
El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o
cancelación del interesado en el plazo de diez días.
Al igual que en el caso del derecho de acceso, podemos encontrar el modelo correspondiente en la página
web de la Agencia Española de Protección de Datos.
Derecho de oposición
El derecho de oposición es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos
de carácter personal o se cese en el mismo.
Lógicamente, el derecho se podrá otorgar cuando no exista normativa o compromisos previos que
justifiquen el tratamiento de los datos. Así, por ejemplo, no se nos otorgará el derecho si lo que
queremos es oponernos a que nos sea tramitada una multa o a que se nos incluya en los ficheros de
contribuyentes.

El ejercicio de este derecho suele estar ligado a cuando los datos se recaban sin nuestro
conocimiento previo, por ejemplo, a través de listas o información accesibles al público. Es el caso
típico de cuando nos llega publicidad a nuestro buzón particular o recibimos llamadas comerciales
en nuestro domicilio; ejerciendo el derecho de oposición ante la correspondiente empresa
podemos obligar a cesar ese tratamiento.
Además de en los artículos 4 y 16 del Título III de la LOPD y los artículos 31, 32 y 33 del R.D.
1720/2007, puedes encontrar mucha información en el Canal del ciudadano de la página web de la
Agencia Española de Protección de Datos.

Otros derechos
En la misma línea que los objetivos de los derechos que acabas de estudiar, existen también otros
derechos como los derechos de consulta al Registro General de Protección de Datos, oposición,
impugnación de valores, indemnización, etc. Es importante que también los conozcas.

Derecho de consulta al Registro General de Protección de Datos
Este derecho garantiza el conocimiento por parte de cualquier persona interesada, de los tratamientos a
los que son sometidos sus datos, la finalidad de estos tratamientos y sus responsables, solicitando esta
información al Registro General de Protección de datos. El Registro General es de consulta pública y
gratuita.
Para facilitar este derecho, descubres que la página web de la Agencia Española de Protección de Datos
permite consultar los ficheros y tratamientos inscritos en el Registro de Protección de Datos.

11 de 12

Derecho de oposición
En el caso del cuestionario que estamos tratando necesitamos, como hemos visto, recabar el
consentimiento del interesado. En los casos que contempla la ley en los que no es necesario recabar el
consentimiento previo del interesado, este puede oponerse, cuando existan motivos fundados y legítimos
relativos a una concreta situación personal.
Por ejemplo, Hacienda tiene legislación que le habilita a tratar nuestros datos fiscales sin nuestro
consentimiento, pero siempre que sean pertinentes. Si nos encontrásemos con que el ayuntamiento usa
datos de nuestra declaración del IRPF para la gestión del Impuesto de Bienes Inmuebles, podríamos
oponernos a ese tratamiento por ser datos que no están habilitados para tratar sin nuestro
consentimiento (no así en el caso de la Hacienda del Estado, que como acabamos de mencionar está
habilitada para hacerlo).
Este derecho se recoge en el Art. 6.4. de la LOPD, y la Agencia Española de Protección de datos también
proporciona información y servicios sobre este derecho.

Derecho de impugnación de valores
El Art. 13 de la LOPD reconoce el derecho a no verse sometidos a decisiones basadas únicamente en un
tratamiento de datos destinado exclusivamente a evaluar determinados aspectos de su personalidad.
El afectado podrá impugnar los actos administrativos o decisiones privadas que impliquen una valoración
de su comportamiento, cuyo único fundamento sea un tratamiento de datos de carácter personal que
ofrezca una definición de sus características o personalidad.
La valoración sobre el comportamiento de los ciudadanos, basada en un tratamiento de datos,
únicamente podrá tener valor probatorio a petición del afectado.
Por ejemplo, si una persona resultase excluida en un proceso selectivo automatizado de personal de la
Administración en base a datos de la Consejería de Educación en que se viese que tardó muchos años en
aprobar la carrera y por eso se concluyese que es incapaz para desempeñar el puesto podría impugnar
esa valoración en base a este derecho.

Derecho de indemnización
Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el
responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tendrán
derecho a ser indemnizados.
También en este caso la Agencia Española de Protección de Datos ofrece a través de internet el modelo
para la denuncia:

Para más información acerca de los derechos de los ciudadanos, puedes consultar la Sección Derechos
del Canal del ciudadano de la Agencia Española de Protección de datos.

12 de 12

Tema 2. Creación de un fichero con datos de carácter personal

Decisión de creación de un fichero
Una vez cerrado el plazo de admisión de solicitudes, estáis satisfechos de la
buena acogida que ha tenido el programa y de la cantidad de solicitudes que
habéis recibido. Tras analizar la forma en la que se iban a almacenar y gestionar
los datos de la selección, y estudiando la necesidad de realizar distintas
selecciones con frecuencia, tu Servicio, con el consentimiento de la Consejería, ha
puesto en marcha el proyecto Encuentra.
Recuerda que antes de recoger las solicitudes es necesario haber creado
previamente el fichero, mediante publicación en BOJA e inscripción en el registro
general de la AEPD.
El proyecto consiste en desarrollar una aplicación, Encuentra, para gestionar la
selecciones de candidatos que la Consejería lleve a cabo. La funcionalidad no será complicada. Las tareas
que Encuentra permite son:

Establecer el baremo de la selección.
Introducir los datos de los candidatos
Puntuar a los candidatos lanzando un proceso automático una vez introducidos baremo y
candidatos.
Consultar el estado de la selección y candidatos: plazo abierto, cerrado, pendiente de
puntuar, puntuado y asignado.
Emitir informes.
Los datos se almacenarán en una base de datos, en uno de los servidores de Servicios Centrales. Esta
aplicación se usará tanto en los Servicios Centrales como en las Delegaciones Territoriales.
A la aplicación se accede a través de un navegador web, autentificándose cada uno con un usuario
personal. Cada persona tendrá un usuario asignado según su perfil y provincia. Los perfiles previstos son:

Grabador: únicamente puede grabar las solicitudes en la aplicación.
Gestor: valida las baremaciones y asigna las plazas.
Administrador: da de alta a los usuarios y les asigna los perfiles correspondientes.
Consulta: Usuarios de la oficina de atención al usuario, que entran en la aplicación para
dar información de las validaciones.
Consciente de que las Consejerías de la Junta de Andalucía han de tener todos los ficheros lógicos que
manejen datos de carácter personal identificados, creados mediante Orden en el BOJA e inscritos y
notificados al Registro General de Protección de Datos (RGPD) según establece la Ley, te dispones a
recopilar toda la información necesaria acerca del procedimiento para informar a tu Director General.
Es de destacar la definición proporcionada por la LOPD de fichero: todo conjunto organizado de datos
de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento,
organización y acceso. Y también el hecho de que los artículos 1, 20 y 26 al hablar de ficheros, no
especifican si se trata de ficheros automatizados o no.
¡Los ficheros en papel también están afectados por la normativa de protección de datos de carácter
personal!
Así, aunque no hubieseis decidido crear la aplicación Encuentra, el archivo de las solicitudes en papel se
considera un fichero con datos de carácter personal sujeto a la normativa de protección de datos y debe
ser igualmente inscrito en el RGPD. Lee el artículo 56.2 del RDLOPD.
El Registro General de Protección de Datos es responsabilidad de la Agencia Española de
Protección de Datos, que es el ente de derecho público, con personalidad jurídica propia, y plena
capacidad pública y privada, que establece la LOPD para velar por el cumplimiento de la legislación sobre
protección de datos, controlar su aplicación y ejercer la potestad sancionadora en los términos previstos.

1 de 10

Datos para la creación de un fichero
La LOPD distingue entre ficheros de titularidad pública y de titularidad privada. La información
necesaria la encuentras en el artículo 20, relativo a la creación, modificación y supresión de ficheros de
titularidad pública.
En él, además de especificarse que la creación, modificación o supresión de los ficheros de las
Administraciones públicas sólo podrán hacerse por medio de disposición general publicada en el Boletín
Oficial del Estado o Diario oficial correspondiente (en el caso de Andalucía, BOJA), se numeran las
indicaciones que debe contener cualquier disposición de creación o modificación.
Tomas nota de todas ellas y vas apuntando la información que hay que notificar:

1. La finalidad del fichero y los usos previstos para el mismo.
Esta respuesta es fácil, la finalidad del fichero es realizar una selección de personal
voluntario para el programa de voluntariado juvenil Parques de tu ciudad, una iniciativa
conjunta de las Consejerías de Protección Ambiental y de Bienestar Social. También se
enviarán boletines informativos a los interesados que marquen la casilla del formulario para
recibir información de campañas de la Consejería de Protección Ambiental similares a estas.
2. Las personas o colectivos sobre los que se pretenda obtener datos de carácter
personal o que resulten obligados a suministrarlos.
Las solicitudes han sido presentadas por jóvenes andaluces de entre 16 y 26 años con
interés en participar en el programa de voluntariado Parques de tu ciudad
3. El procedimiento de recogida de los datos de carácter personal.
Habéis procedido a la recogida de solicitudes presentadas por los interesados. Mediante
formulario de solicitud rellenado por el interesado/a.
4. La estructura básica del fichero y la descripción de los tipos de datos de carácter
personal incluidos en el mismo.
Nuestros ficheros son las tablas de la base de datos que almacenarán los datos de la
selección.
5. Las cesiones de datos de carácter personal y, en su caso, las transferencias de
datos que se prevean a países terceros.
En el caso de nuestra selección, no se prevé ninguna cesión, los datos estarán únicamente
al Servicio de la Consejería de Protección Ambiental. Aunque si las hubiera habría que
declararlas y especificarlas en este apartado.
6. Los órganos de las Administraciones responsables del fichero.
El fichero pertenece a la Dirección General de Educación Medioambiental, de la Consejería
de Protección Ambiental.
7. Los servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso,
rectificación, cancelación y oposición.
Estos derechos se podrán ejercer en cualquier unidad de la Dirección General de Educación
Medioambiental, que es la responsable.
8. Las medidas de seguridad con indicación del nivel básico, medio o alto exigible.
De momento sabes que tu fichero, por contener datos acerca de violencia de género es de
nivel alto, y así lo detallas, pero no tienes detalladas las medidas de seguridad aplicables.
Para hacerte mejor a la idea, decides consultar un BOJA anterior que contenga la publicación de la
creación de un nuevo archivo con datos de carácter personal.

2 de 10

Medidas de seguridad aplicables
Dada la reciente creación de tu Consejería, la
aplicación de la normativa de protección de datos
de carácter personal no está desarrollada. A raíz de
vuestro interés por aplicar correctamente la
normativa, el informático que trabajaba en la
seguridad contigo, ha sido ascendido y forma parte
del Comité de Seguridad de la Consejería, por lo
que está muy contento.
El Comité de Seguridad es el máximo órgano
consultivo y coordinador de las actuaciones que, en
materia de Seguridad de DCPs (datos de carácter personal), se establezcan en la Consejería.
Actualmente se está encargando el diseño y la planificación de estas medidas. Mientras, y en contacto a
través del informático, continuáis con la labor de estudio de las medidas de seguridad que afectan a
vuestra aplicación.
El art. 9 de la LOPD expone lo que se conoce como principio de seguridad: los responsables del fichero y
tratamiento deberán adoptar las medidas necesarias que garanticen la seguridad de los datos, no
registrando ningún dato en un fichero que no contemple estas medidas. Junto a ésas, el Real Decreto
1720/2007, de 11 de junio, aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999. Desarrolla
el principio de seguridad que figura en art. 9 de la LOPD. A él te remites para determinar las medidas de
seguridad aplicables al fichero de solicitudes de participación en el programa Parques de tu ciudad.
Cada nivel de seguridad tiene unas medidas de seguridad aplicables, y debe adoptar además, las
medidas de seguridad especificadas para los niveles inferiores si las hay. Así, en caso de un fichero que
tiene medidas de nivel alto, además de cumplir con las normas de seguridad de nivel alto, debemos
también cumplir las medidas de los niveles básico y medio.
Las medidas de seguridad especificadas en la normativa son las condiciones mínimas exigibles.
Debemos atender las indicaciones de seguridad extra y buen uso que la herramienta informática o el
sentido común nos aconsejen.

Documento de seguridad
El artículo 88.1 del RDLOPD indica que el responsable del fichero o
tratamiento elaborará un documento de seguridad que recogerá las
medidas de índole técnica y organizativa acordes a la normativa de
seguridad vigente que será de obligado cumplimiento para el personal
con acceso a los sistemas de información.
Así, el documento de seguridad recoge las normas, procedimientos e
instrucciones de seguridad en general para trabajar con los ficheros con
datos de carácter personal.
En relación con el propio documento de seguridad, y dependiendo del nivel de seguridad del fichero, el
RDLOPD nos indica lo siguiente:

Nivel básico
El responsable del fichero elaborará e implantará la normativa de seguridad mediante un documento de
obligado cumplimiento para el personal con acceso a los datos de carácter personal y a los sistemas de
información.
Este documento deberá mantenerse doblemente actualizado: respecto de los cambios que se produzcan
en los ficheros y sistemas de información y respecto a la normativa vigente.
El artículo 88 del RDLOPD trata sobre esto.

Nivel medio
Para los ficheros de nivel medio, el documento de seguridad deberá identificar al responsable o
responsables de seguridad, figura que se encarga de coordinar y controlar las medidas definidas en el
documento de seguridad.

3 de 10

Esta designación no supone una delegación de la responsabilidad, que corresponde al responsable del
fichero.

Además deberá incorporar controles periódicos para verificar el cumplimiento del contenido del
documento y las medidas a adoptar cuando un soporte vaya a ser desechado o reutilizado.
El nivel alto de seguridad no incluye nuevas medidas para el documento de seguridad.
Existen unas prácticas comunes en la Junta de Andalucía a la hora de elaborar un documento de
seguridad. Una Consejería puede abordar la elaboración de la implantación de las medidas y la
elaboración del documento de seguridad de varias formas:

Crear un documento de seguridad para cada fichero que contenga datos de carácter
personal.
Crear distintos documentos de seguridad agrupando ficheros o tratamientos según el
sistema de tratamiento utilizado para su organización, o bien atendiendo a criterios
organizativos del responsable.
Crear un único documento que dé cobertura a todos los ficheros de la Consejería.
Esta última opción es la recomendada, pues de esta forma se unifica la forma de actuar, y se facilita el
conocimiento, mantenimiento y difusión entre el personal de la Consejería.
Independientemente de lo anterior, para documentos al menos de nivel medio, los sistemas de
información y las instalaciones deberán someterse a una auditoría en los siguientes términos:
1. Los sistemas de información e instalaciones de tratamiento de datos se someterán a una auditoría
interna o externa, que verifique el cumplimiento del presente Reglamento, de los procedimientos e
instrucciones vigentes en materia de seguridad de datos, al menos, cada dos años.
2. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles al presente
Reglamento, identificar sus deficiencias y proponer las medidas correctoras o complementarias
necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los
dictámenes alcanzados y recomendaciones propuestas.
3. Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará
las conclusiones al responsable del fichero para que adopte las medidas correctoras adecuadas y
quedarán a disposición de la Agencia Española de Protección de Datos.

Medidas que afectan al personal
Las funciones y obligaciones de cada una de las personas con acceso a los datos de carácter personal y
a los sistemas de Información estarán claramente definidas y documentadas en el documento de
seguridad. Encuentra tiene muy bien definidas las distintas funciones en cada uno de los perfiles vistos.
Cada persona tiene un perfil asignado a su usuario y no existen usuarios genéricos.
Además el responsable del fichero adoptará las medidas necesarias para que el personal conozca las
normas de seguridad que afecten al desarrollo de sus funciones, así como las consecuencias en que
pudiera incurrir en caso de incumplimiento.
Lo mejor para realizar la formación del personal será la impartición de charlas y la redacción de un
manual de fácil comprensión que esté al alcance de todo el personal. Si este manual se publica en la
Intranet de la Consejería estará siempre a mano y se podría actualizar siempre que se necesite.
Identificación y autentificación
Nivel básico
Debe existir una relación actualizada de usuarios que tengan acceso autorizado al sistema de
información.
Se establecerán procedimientos de identificación y autentificación de los accesos.

4 de 10

El mecanismo debe identificar de forma inequívoca y personalizada a todo usuario que intente acceder.
Esto implica por ejemplo, que no se podrán usar cuentas de acceso genérica ni compartir un mismo
usuario para varias personas. Afortunadamente, estas medidas son básicas y ya se contemplan. Tras tres
intentos fallidos de acceso a la aplicación, el usuario queda bloqueado automáticamente.
Si estos procedimientos se establecen en base a contraseñas, la asignación, distribución y almacenado
deberá garantizar la confidencialidad de éstas. Además deberán cambiarse con periodicidad.
Existe un administrador que se encarga de la creación y mantenimiento de los usuarios de la aplicación.
El informático se va a encargar de hablar con el administrador de las contraseñas para establecer la
frecuencia de actualización del listado de usuarios. El control de acceso se realiza mediante contraseña
confidencial y personalizada, con caducidad a los tres meses, por lo que habrá que renovarla antes. En
principio, te parece un buen sistema de confidencialidad.
Nivel medio
Además se limitará el intento reiterado de acceso fallido al sistema.
De nuevo el nivel alto considera adecuadas las medidas de los niveles anteriores y no establece ninguna
nueva.
Control y registro de acceso
Nivel básico
Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el
desarrollo de sus funciones, estableciendo mecanismos que eviten el acceso a otros datos.
La relación de usuarios especificada en el apartado anterior contendrá el acceso autorizado para cada
usuario.
Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o
anular el acceso autorizado sobre los datos y recursos.
En caso de que exista personal ajeno al responsable del fichero que tenga acceso a los recursos deberá
estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio.
Nivel medio
Este nivel establece el control de acceso físico a los locales donde están ubicados los sistemas de
información con datos de carácter personal, permitiéndolo sólo al personal autorizado en el documento
de seguridad.
A la entrada de la Consejería hay un puesto de seguridad en el que las visitas deben identificarse antes
de acceder. Para el personal hay unas barreras que dejan paso al introducir la tarjeta identificativa que se
le proporciona a cada persona. ¡Otra cosa solucionada!
Nivel alto
Se añade al control de acceso a ficheros automatizados el registro en los siguientes términos:

De cada acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en
que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.
En el caso de que el acceso haya sido autorizado, será preciso guardar la información que
permita identificar el registro accedido.
Todos los datos de registro se conservarán durante dos años.
Los mecanismos de registro estarán bajo control y revisión periódica del responsable de
seguridad competente, quien realizará un informe de las revisiones y los problemas
detectados al menos mensualmente.
Estos controles no se pueden desactivar bajo ningún concepto. Ahora bien, puede no haber
registro de accesos cuando concurran las siguientes circunstancias:
Que el responsable del fichero o del tratamiento sea una persona física.
Que el responsable del fichero o del tratamiento garantice que únicamente él tiene
acceso y trata los datos personales.
Dichas circunstancias deberán hacerse constar expresamente en el documento de seguridad.
Además, en cuanto a ficheros y tratamientos no automatizados, se establece:

El acceso a la documentación se limitará exclusivamente al personal autorizado.

5 de 10

Activar mecanismos que permitan identificar los accesos realizados en el caso de
documentos que puedan ser utilizados por múltiples usuarios.
El acceso de personas no incluidas en el párrafo anterior deberá quedar adecuadamente
registrado de acuerdo con el procedimiento establecido al efecto en el documento de
seguridad.
Apuntas estas condiciones para comentarlas en la próxima reunión con el equipo de desarrollo de la
aplicación, a ver cómo las podéis implementar.

Registro de incidencias
Por incidencia se entiende cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.
El reglamento establece el registro y documentación de las incidencias que acontezcan en el nivel
básico, y refuerza estas medidas para los ficheros de nivel medio (y por lo tanto, también para ficheros
de nivel alto).
Nivel básico
Las incidencias se recogerán en un registro en el que conste el tipo de incidencia, momento en el que se
produce, la persona que realiza la notificación y la que la recibe y todos los efectos que se hubieran
derivado de la misma, así como las medidas correctoras.
Nivel medio
En el registro deberán consignarse además, los procedimientos realizados de recuperación de los datos,
indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido
necesario grabar manualmente en el proceso de recuperación.
Será necesaria la autorización por escrito del responsable del fichero para la ejecución de los
procedimientos de recuperación de los datos.
Es obligatorio tener un registro de incidencias y sería muy conveniente que estuviese automatizado,
aunque uno en papel también cumple la ley. Este fichero de control de incidencias contendría DCP’s, pero
no hay problema porque las incidencias del archivo de incidencias se lleven en un mismo archivo.
AUTOEVALUACIÓN

Indica si son o no, casos susceptibles de ser considerados como incidencia:

a) Actualización de sistemas operativos

Elige una respuesta...
Incidencia No incidencia

b) Solicitud de alta de usuario

Elige una respuesta...
Incidencia No incidencia

c) Sospechas de uso indebido de contraseña:
utilización de la contraseña por otra persona
distinta del usuario titular de la misma.

Elige una respuesta...
Incidencia No incidencia

d) Pérdida de soportes informáticos con DCPs

Elige una respuesta...
Incidencia No incidencia

e) Grabación de nuevos datos

Elige una respuesta...
Incidencia No incidencia

f)

Elige una respuesta...
Incidencia No incidencia

Accesos de personas no autorizadas a
dependencias que contienen SS.II. con DCPs.

6 de 10

Gestión de soportes
Para la gestión de soportes (es decir, CD’S, DVD’S, dispositivos de memoria portátil, ordenadores que
tengan en sus discos duros información con DCP's, etc.) que contengan información de carácter
personal, el nivel básico establece la necesidad de identificarlos, tanto a los soportes como a sus
contenidos; el nivel medio conlleva la creación de un registro de movimiento de estos soportes y el
nivel alto obliga al cifrado del contenido si se ha de distribuir.
Nivel básico
Los soportes informáticos que contengan datos de carácter personal, como por ejemplo el correo
electrónico, deberán permitir identificar el tipo de información que contienen, ser inventariados y
almacenarse en un lugar con acceso restringido al personal autorizado para ello en el documento de
seguridad.
La salida de soportes informáticos que contengan datos de carácter personal, fuera de los locales en los
que esté ubicado el fichero, únicamente podrá ser autorizada por el responsable del fichero.
Además, en el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción,
pérdida o acceso indebido a la información durante su transporte.
En caso de desechar cualquier documento o soporte que contenga datos de carácter personal deberá
procederse a su destrucción o borrado, evitando siempre el acceso a la información contenida en el
mismo o su recuperación posterior.
Sumado a lo anterior, los ficheros no automatizados que por estar en proceso de revisión o tramitación
no se encuentren archivados, la persona encargada de los mismos deberá custodiarlos e impedir en todo
momento que pueda ser accedida por no autorizados.
Nivel medio
Deberá establecerse un sistema de registro de entrada y otro de salida de soportes informáticos que
permita, directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el emisor en el caso de
entrada o el destinatario para la salida, el número de soportes, el tipo de información que contienen, la
forma de envío y la persona responsable de la recepción en el caso de entrada o de la entrega para la
salida que deberá estar debidamente autorizada.
Cuando un soporte vaya a ser desechado o reutilizado, se adoptarán las medidas necesarias para impedir
cualquier recuperación posterior de la información almacenada en él, previamente a que se proceda a su
baja en el inventario.
También se tomarán medidas similares para los soportes que salgan como consecuencia de operaciones
de mantenimiento para impedir la recuperación indebida de la información almacenada en ellos.
Nivel alto
La distribución de los soportes, como por ejemplo los portátiles, que contengan datos de carácter
personal se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que
dicha información no sea inteligible ni manipulada durante su transporte.
Los servicios informáticos son habitualmente responsables de la distribución y control de la mayoría del
material informático; alguna persona de estos servicios podrá asesorarte sobre los requisitos existentes
en tu organismo para un correcto uso de los distintos soportes y dispositivos.
No olvides que también a través de correo electrónico podemos, sin que medie dispositivo físico
alguno, enviar y recibir ficheros con datos de carácter personal. A estos efectos, el correo electrónico
se considera como un “dispositivo virtual” que debe estar sujeto a similares restricciones y condiciones
de uso que el resto de dispositivos cuando sirvan de elemento de transmisión de este tipo de datos.

7 de 10

Copias de respaldo y recuperación y otras medidas
Copias de respaldo y recuperación
El nivel básico encarga al responsable de fichero de verificar semestralmente la definición y correcta
aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.
Estos procedimientos garantizarán la reconstrucción en el estado en que se encontraban al tiempo de
producirse la pérdida o destrucción de los datos y deberán realizarse al menos semanalmente, salvo que
no se hubiera producido ninguna actualización de los datos.
El nivel alto decreta el almacenamiento de las copias de respaldo y los procedimientos de recuperación
en lugares distintos del de la ubicación de los equipos informáticos que los tratan.
Pruebas con datos reales
En las medidas de seguridad de nivel básico se prohíbe ya el uso de datos reales en las pruebas
anteriores a la implantación o modificación de los sistemas de información, salvo que se asegure el nivel
de seguridad correspondiente al tipo de fichero tratado.
Telecomunicaciones
Para los ficheros de nivel alto, la transmisión de datos de carácter personal a través de redes de
telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que
garantice que la información no sea inteligible ni manipulada por terceros.
Una Intranet, siempre que se desenvuelva en un ámbito privado, sin acceso a usuarios externos que
utilicen redes públicas de telecomunicaciones, no estaría sujeta a este requisito, y por ella podrían
circular datos sin necesidad de encriptarlos.

El informático comenta que para otras aplicaciones que se utilizan en la Consejería existen procesos
automáticos que realizan copias de seguridad que después se almacenan en una habitación blindada con
medidas de seguridad antiincendios. Debéis hablar con el Servicio de informática y el de desarrollo de
Encuentra para adoptar estas medidas.

Establecimiento de responsabilidades
Al analizar las medidas de seguridad necesarias te has dado cuenta de que aunque hay un único
responsable del fichero, intervienen muchas otras personas, como el responsable de seguridad y
decides hacer un esquema que las contemple a todas (ten en cuenta que dependiendo de la
organización particular de cada consejería dicho esquema puede ser diferente a este que te planteamos
como ejemplo):
Responsable de seguridad: Encargado de coordinar y controlar las medidas definidas en el
documento de seguridad.
Administrador de la contraseñas.
Responsable de seguridad de acceso al edificio.
El encargado de las copias de seguridad.
Aunque la responsabilidad sobre el fichero no se pueda delegar, sí que es posible delegar competencias o
nombrar encargadas de alguna parte a terceras personas.
La delegación de competencias debe llevarse a cabo a través de la formalización de un documento por
parte del Responsable del fichero, que se incluirá en el Documento de Seguridad.
Siguiendo las prácticas comunes en la Junta de Andalucía y el modelo de otras Consejerías, decides que
sería necesario establecer las siguientes responsabilidades:

El responsable de seguridad, escogido por la Comisión de seguridad, es el Secretario
General Técnico.
Cada centro directivo es responsable de sus ficheros, asumiendo el Director de cada centro
las tareas asociadas al Responsable de Fichero.

8 de 10

Por otra parte, cada unidad usuaria de los Servicios de Información tendrá como
responsable a los Jefes de Servicio de los distintos Centros Directivos, tanto en Servicios
Centrales como en las Delegaciones Territoriales (o Delegaciones del Gobierno). Estos se
encargarán de comunicar las necesidades de la unidad, como la administración de usuarios,
la recuperación de datos, etc.
Estas figuras y sus responsabilidades deberán estar perfectamente definidas en el documento de
seguridad. Decides que más adelante las tratarás en profundidad.
AUTOEVALUACIÓN

Una vez tratadas las distintas responsabilidades, ¿sabrías decir de quién es la titularidad de
los datos de carácter personal?:

a) El responsable de seguridad designado.
b) La persona a la que pertenecen los datos.
c) El responsable de fichero lo es de los datos que contiene el fichero.
d) El responsable de la unidad usuaria lo es de los datos que maneja la unidad.

Como veremos también más adelante, el que existan responsables no quiere decir que el resto de las
personas en contacto con los datos, como los usuarios de la aplicación, no tengan obligaciones y
responsabilidades.

Inscripción del fichero
En general hay que dejar muy claro que en las Administraciones públicas, la inscripción del fichero tiene
dos partes: la publicación en boletín oficial de la disposición con carácter general de creación, con un
pequeño conjunto de datos sobre el fichero, y por otra parte y posteriormente la solicitud de inscripción
a la AEPD, a la que se le facilita una información más amplia sobre el fichero
Recordemos que la creación, modificación o supresión de los ficheros de las Administraciones públicas
tiene dos partes: la publicación sólo podrá hacerse por medio de disposición general publicada en el
Boletín Oficial del Estado o Diario oficial correspondiente. Y la posterior solicitud de inscripción del fichero
en la Agencia Española de Protección de Datos de Carácter Personal. En el apartado Datos para la
creación de un fichero recogimos la información correspondiente a nuestro archivo que la ley obliga a
especificar. Ahora, para la inscripción del archivo se necesitará esta información, ampliada en algunos
casos.
En la publicación, se especificará:
1. La finalidad del fichero y los usos previstos para el mismo.
2. Las personas o colectivos sobre los que se pretenda obtener datos de carácter personal o que resulten
obligados a suministrarlos.
3. El procedimiento de recogida de los datos de carácter personal.
4. La estructura básica del fichero y la descripción de los tipos de datos de carácter personal incluidos en
el mismo.
5. Las cesiones de datos de carácter personal y, en su caso, las transferencias de datos que se prevean a
países terceros.
6. Los órganos de las Administraciones responsables del fichero.

9 de 10

7. Los servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso, rectificación,
cancelación y oposición.
8. Las medidas de seguridad con indicación del nivel básico, medio o alto exigible. (esto ya lo estuvimos
haciendo antes para nuestro fichero)
Acuerdas con el responsable de seguridad de tu Consejería el día del envío a BOJA para su publicación, y
también que ese mismo día inscribiréis en el Registro y enviaréis a la Agencia Española de Protección de
Datos el formulario de creación y la hoja de solicitud, que te encargarás tú de preparar.
La Agencia Española de Protección de Datos facilita a las organizaciones que deben notificar ficheros de
titularidad pública, la herramienta DISPONE , que ayuda a la elaboración de la disposición reguladora de
los correspondientes ficheros, con el fin de facilitar la realización del acto previo a la solicitud de
inscripción.
La labor de notificar la creación, modificación o supresión de un archivo de datos de carácter personal al
Registro General de Protección de Datos corresponde habitualmente al responsable de seguridad, aunque
el responsable del fichero podría asignarla a otra persona.
La comunicación de creación o de modificación de ficheros se efectúan mediante el modelo proporcionado
por la Agencia Española de Protección de Datos. Se puede descargar desde esta página de la AEPD, en
formato pdf (acceder a documento para ficheros de titularidad pública). En la misma web se encuentra
información de cómo realizar la gestión.
Para inscribir el fichero hay que remitir (manual o electrónicamente) este formulario junto con la hoja de
solicitud, firmada por persona con representación suficiente, a la Agencia Española de Protección de
Datos.
La presentación de las solicitudes de inscripción de ficheros podrá realizarse indistintamente en soporte
papel, informático o telemático, aunque en cualquiera de los casos, su cumplimentación debe realizarse a
través del formulario electrónico de NOtificaciones Telemáticas a la AEPD (NOTA). Las hojas de solicitudes
correspondientes a las notificaciones de ficheros enviadas por Internet pueden ser firmadas
electrónicamente.
En resumen, el formulario NOTA es un documento PDF auto-rellenable y firmable con certificado digital,
que se puede utilizar desde el mismo navegador sin tener que instalar ningún software adicional.

Cesión o transferencia de datos
Se distingue entre la transferencia a terceros dentro del territorio nacional, y la internacional.
Para poder realizar una transmisión de datos internacional, el país destinatario debe especificar en su
legislación unas medidas de seguridad similares a las vigentes en España. Si no es así, la transmisión se
podrá realizar, previa autorización del Director de la Agencia Española de Protección de Datos, que sólo
podrá otorgarla si se obtienen garantías adecuadas.
En nuestro caso no hay cesión de datos. Pero si hubiéramos cedido a Cultura los datos de la selección,
para que informara de otros programas de voluntariado, habría que declararlo.

10 de 10

Tema 3. Documento de Seguridad

Introducción
La legislación de protección de datos de carácter personal establece que todas
las organizaciones que traten este tipo de datos deben dotarse a sí mismas de unas
normas básicas en materia de seguridad. Estas normas constituyen el llamado
documento de seguridad. La legislación no deja al criterio de cada uno lo que debe
contener este documento, sino que marca unos contenidos mínimos que varían según
el nivel de los datos que estamos tratando.
El documento de seguridad es un documento de obligado cumplimiento para el
personal con acceso a los datos automatizados de carácter personal y a los sistemas
de información.
Ha de mantenerse en todo momento actualizado y deberá ser revisado siempre que
se produzcan cambios que puedan afectar en los sistemas de información, o que cambie la normativa de
seguridad vigente.
Los documentos relativos a la seguridad, como el Documento de Seguridad, y los datos que en ellos
se tratan, son propiedad de la Consejería y, por tanto, tienen carácter confidencial. Únicamente está
permitida su utilización y difusión con carácter interno y por personal autorizado.
El documento de seguridad debe contener todo el plan de seguridad, que contemplará obviamente lo
dispuesto en la normativa vigente. Además, detallará las medidas para ponerlo en marcha y los factores
de control que garanticen el correcto cumplimiento de lo anterior. Esto incluye desde la especificación de
las funciones y obligaciones del personal, a la descripción de los Servicios de Información y el inventario
de ficheros, el manejo de los soportes y copias de seguridad, la gestión de incidencias, etc.
La estructura recomendada, en la Junta de Andalucía, para el documento de seguridad es la que
seguiremos a lo largo de este tema y la exponemos a continuación:

Ámbito de Aplicación del Documento
Directrices Generales de Seguridad
Organización de la Seguridad
Sistemas de Información
Normativas, Procedimientos y Anexos

Ámbito de aplicación
El ámbito de aplicación del Documento de Seguridad abarca a los Sistemas de Información,
instalaciones informáticas y redes de comunicaciones que se encuentren bajo la gestión y
responsabilidad de la Consejería.
Incluye también a todo el personal que tenga acceso a datos de carácter personal y/o a los Sistemas de
Información, en mayor o menor medida dependiendo de la función que desempeñen.
Los usuarios, por ejemplo, son responsables de asegurar que las aplicaciones, recursos informáticos y los
datos propios de la Consejería o bajo su supervisión, sean usados únicamente para el desarrollo de la
operativa propia para la que fueron creados e implantados y sin incurrir en actividades que puedan ser
consideradas ilícitas o ilegales o que infrinjan los derechos de la Consejería o de terceros.
Al ver esto, se te viene a la cabeza el recuerdo de los comentarios que se produjeron en la planta, el otro
día, cuando una persona descubrió a su vecino en la base de datos de la aplicación con la que trabajaba.
Aparte de mirar sus datos, puso a sus compañeros al corriente de la historia de este vecino. En este
sentido, no podemos olvidar que estamos manipulando información sobre una persona e infringiendo las
medidas de seguridad. De ahí que sea necesaria una gran labor de concienciación para que todos seamos
más cuidadosos con los datos que tenemos a nuestro alcance.
El Comité de Seguridad es el máximo órgano consultivo y coordinador de las actuaciones que, en materia
de Seguridad de Datos de Carácter Personal, se establezcan en la Consejería.

1 de 9

El Comité de Seguridad establecerá las funciones y obligaciones del personal y detallará las
responsabilidades de cada uno. Más adelante estudiaremos con más detenimiento este órgano.
AUTOEVALUACIÓN

Señala las personas que creas que tienen obligaciones y/o responsabilidades en materia de
Seguridad de Datos de Carácter Personal

a) Jefe del Servicio de Seguridad en materia de LOPD
b) Guardia de seguridad
c) Personal de limpieza
d) Personal de atención al público

Directrices generales de seguridad
Los requerimientos de seguridad especificados en la normativa vigente tratados en el tema anterior,
son las exigencias mínimas para salvaguardar la confidencialidad y calidad de los datos de carácter
personal. No es nada fuera de lo corriente que cualquier entidad adopte medidas más estrictas, para
garantizar la seguridad de los datos de carácter personal.
Así, la Consejería ha elaborado las siguientes directrices de seguridad. Muchas de ellas afectan a todo el
personal, pero todas son medidas lógicas que no nos resultan extrañas. El objetivo de estas directrices es
proteger la información confidencial, perteneciente o confiada a la Consejería, así como a sus sistemas
de Información y Comunicación de accesos indeseados.
Estas directrices tratan los siguientes aspectos por separado:

Confidencialidad de la información
Propiedad intelectual
Control de acceso físico
Responsabilidades de los usuarios
Responsabilidades del personal de SS.II.
Salidas de información
Incidencias
Uso apropiado de los recursos
Software
Hardware
Conectividad a Internet
Correo electrónico
En el Área de Material de Apoyo está el documento que las contiene y puedes consultar. De todas
formas exponemos a continuación los principales aspectos.

Los usuarios y contraseñas de identificación son personales e intransferibles. No deberán revelarse a
terceros ni usar otros distintos a los suyos.
Se hará un uso apropiado de los recursos. Por uso apropiado de los recursos entendemos: utilización
correcta del PC, uso únicamente del software y hardware instalados por el Servicio de Informática y con
la debida licencia, no intentar introducir virus o material que no tenga que ver con el trabajo. No
almacenar datos de carácter personal en el PC, siempre en el directorio especificado para ello. No
manipular los sistemas informáticos ni las medidas de seguridad.

2 de 9

También se usarán diligentemente el correo electrónico y el acceso a internet, usándolos sólo para
cuestiones de trabajo.
Así mismo, se notificará mediante la correspondiente incidencia cualquier sospecha de uso o
comportamiento indebido que tengamos.
Los usuarios de los Servicios de Información administrarán los usuarios, asignando únicamente a cada
usuario los privilegios necesarios para el desempeño de su trabajo. Cuidarán de la confidencialidad, de la
renovación automática de contraseñas al menos cada 70 días, y del bloqueo de usuarios inactivos, etc.
Nunca abusarán de su posición de administradores para acceder a los datos.
Las salidas de información deberán realizarse siempre por personal autorizado y con la autorización del
responsable del fichero. Si las salidas se hacen de forma periódica, se puede realizar una única
autorización para todas.
Recordar que las salidas de los datos especialmente protegidos deberán realizarse cifradas.
AUTOEVALUACIÓN

Tras sacar informes y estadísticas de las solicitudes de información de contribuyentes de tu
Servicio, guardas en tu portátil esos documentos para seguir trabajando en casa, porque ya
se te ha hecho tarde. ¿Es este procedimiento correcto?:

a) El único inconveniente que veo es que no es bueno trabajar en casa.
b) No puedo hacer eso, porque estaría almacenando información de carácter
personal en mi equipo, en contra de las directrices de seguridad de la Junta
de Andalucía.
c) Eso sería realizar una salida de datos de carácter personal no autorizada, por
lo que no sería correcto.
d) Las respuestas b) y c) son correctas.

La comunicación, gestión y resolución de las incidencias de seguridad se tramita mediante el Sistema de
Gestión de incidencias que la Consejería ha habilitado para ese fin. En nuestro caso, se registrarán en
una tabla de la base de datos de la aplicación Encuentra.
Las actuaciones que hay que seguir en la comunicación y resolución de las incidencias, tanto por parte de
los usuarios como por parte de las unidades resolutoras, están recogidas en el Procedimiento de
Notificación y Gestión de Incidencias del Documento de Seguridad, que veremos más adelante.
Para garantizar el correcto uso de los datos la Consejería, si lo estima conveniente, realizará
comprobaciones de la seguridad con medios formales y técnicos como la monitorización, el correcto uso
de los Servicios Informáticos y medidas de seguridad.
Estas directrices irán actualizándose para adaptarse a la normativa o a las nuevas necesidades que se
detecten, por lo que es recomendable revisarlas periodicamente, tanto para mantenernos al día como
para reflexionar y analizar si las cumplimos.

Organización de la seguridad
La organización de la seguridad de la Consejería no es responsabilidad de ningún organismo aislado,
sino que intervienen múltiples áreas.
Un ejemplo claro es el caso de nuestra aplicación. El Servicio de Conservación de Zonas Verdes y
Espacios de Ocio es responsable de que se implanten las medidas de seguridad en el diseño de la
aplicación Encuentra, pero no de la seguridad física de los equipos, o del control de acceso al edificio.
Por ello se establecen diferentes figuras responsables en las distintas unidades, y se coordinan desde el
Comité de Seguridad de la Consejería, que como ya hemos mencionado, es el máximo órgano consultivo
y coordinador de las actuaciones en materia de Seguridad de Datos de Carácter Personal.

3 de 9

En la Junta de Andalucía, la creación del Comité de Seguridad está regulada por el Decreto 1/2011, de 11
de enero, por el que se establece la política de seguridad de las tecnologías de la información y
comunicaciones en la Administración de la Junta de Andalucía. En este Decreto, se establece, en su
Artículo 10, que para cada entidad de la Administración de la Junta de Andalucía y de sus entidades
instrumentales se creará un Comité de Seguridad TIC, como órgano colegiado de dirección y seguimiento
en materia de seguridad de los activos TIC de su titularidad o cuya gestión tenga encomendada.
AUTOEVALUACIÓN

¿Recuerdas quién era el responsable de vuestro fichero?

a) Tú como Jefa de Servicio y encargada del diseño de Encuentra
b) El informático, porque debe ser alguien del Servicio de Informática
c) El Director General al que pertenece tu Servicio
d) La Consejera de Protección Medioambiental

Respecto a Encuentra, las responsabilidades que hasta ahora hemos visto son las siguientes:
En la Consejería, el Secretario General es el responsable de seguridad: cuida del cumplimiento de la
normativa en materia de seguridad, establece junto con el Comité de Seguridad las medidas de
seguridad y su vigilancia.
El responsable de la base de datos de Encuentra, el fichero con datos de carácter personal que nos
ocupa, es el Director de nuestra Dirección General.
Él delegó en ti, como Jefa de Servicio de Conservación de Zonas Verdes y de Ocio, en donde se
estaba diseñando y desarrollando la aplicación de selección de candidatos Encuentra, la responsabilidad
de implantar las medidas de seguridad que observa la Ley respecto a los datos de carácter personal y
verificar su cumplimiento.
En el informático, del Servicio Informático, recayó el papel de responsable de seguridad de la Consejería,
y por tanto debe asesorarte en la parte técnica de la implantación de las medidas de seguridad y verificar
su cumplimiento.
También en la parte técnica, se asignó al administrador de la base de datos como administrador de
usuarios, de forma que él lleva el registro de usuarios, contraseñas y privilegios, siempre bajo las
indicaciones del responsable del fichero o personas en las que delegue a los efectos de designar los
usuarios que han de ser dados de alta o baja en el sistema, así como de asignarles los privilegios de
acceso.
La realización de las copias de seguridad, que se prevé realizar mediante procesos automáticos
nocturnos, queda a cargo del informático, que designará el personal de informática necesario para la
realización de las mismas (y de las eventuales restauraciones de la copia de seguridad).
Las medidas de seguridad físicas, como el acceso físico al edificio corresponde al personal de seguridad.
Además, el acceso a los servidores y salas de informática está protegido mediante un medio de
identificación.
Por último, existe una persona de tu servicio al cargo de informar de las incidencias de seguridad de la
aplicación, y de la respuesta a las solicitudes de acceso, rectificación, cancelación y oposición.

4 de 9

El Comité de Seguridad
Cada organización puede, cumpliendo con los requisitos mínimos establecidos por la normativa de
protección de datos de carácter personal y lo dispuesto en el Decreto 1/2011, de 11 de enero, antes
mencionado, establecer un modelo de Comité de Seguridad adaptado a sus características y sus
necesidades. A continuación se expone un modelo que, con pequeñas variantes en cada caso, es de los
más utilizados:
El Comité está compuesto por:
El/la titular del Centro Directivo Gestor de los SS.II..
El Responsable de Seguridad de la Consejería.
Un representante (Responsable de Fichero) de cada Centro Directivo
Un/a representante de las Delegaciones del Gobierno o Delegaciones Territoriales.
Responsables de los SS.II. sensibles o críticos
Las principales funciones del Comité son:

Estudio y análisis de las estrategias de seguridad a seguir por la Consejería. Incluyendo
también las modificaciones que proponga el responsable de seguridad y las correcciones
sugeridas en el informe de auditoría.
Seguimiento de los diferentes Planes de Seguridad definidos. Además, el Comité revisará
tanto los informes de verificación del correcto cumplimiento de lo dispuesto en el
Documento de Seguridad que emita el Responsable de Seguridad, como los informes
derivados de las incidencias que afecten de manera grave a los Sistemas de Información.
Son los miembros del Comité los que nombran al Responsable de Seguridad, que pasará a ser parte del
Comité.
Además de las responsabilidades propias del Comité, cada miembro tiene una serie de responsabilidades
de acuerdo con la posición que ocupa dentro de su Organismo.

El responsable de Seguridad
El Responsable de Seguridad de la Consejería, es el responsable último y por
eso tiene atribuidas un gran número de funciones. Generalmente, se encarga de la
organización, coordinación y supervisión de las tareas en materia de seguridad.
Mediante el seguimiento de estas normas asegura su cumplimiento.
El responsable de seguridad prepara la publicación en BOJA de la creación,
modificación o supresión de un fichero. Tras la publicación en BOJA, lo notifica al
RGPD y mantiene el Inventario de ficheros y aplicaciones de la Consejería.
Además, colabora en la definición de los distintos perfiles de una aplicación y
establece su administración. Él es quien solicita al responsable del fichero la
autorización de salida de información o la recuperación de datos.
Así mismo, participa en las fases de diseño e implantación de aplicaciones, asesorando sobre la definición
de requisitos en materia de seguridad y supervisando su implantación.
Mantiene actualizadas las normas y procedimientos que en materia de seguridad afecten a los ficheros de
la Consejería, así como los mismos ficheros y datos de carácter personal.
Verifica el cumplimiento de lo dispuesto en el Documento de Seguridad, revisando los controles
establecidos, elaborando los informes.
Encarga y controla las auditorías de seguridad, dando a conocer sus resultados al Comité de Seguridad y
a los responsables de los ficheros, y proponiendo las medidas correctoras pertinentes que de la auditoría
se deriven.
Un punto de obligado cumplimiento, según el Art. 103 del Reglamento, para los casos de archivos de
nivel de seguridad alto, es revisar periódicamente la información de control registrada sobre los accesos
de los usuarios a los Sistemas de Información y elaborar periódicamente (al menos una vez al mes) un
informe de las revisiones realizadas y los problemas detectados.

5 de 9

En la Junta de Andalucía, el Decreto 1/2011, de 11 de enero, por el que se establece la política de
seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de
Andalucía, obliga en su Artículo 11 a la existencia en cada entidad del “Responsable de Seguridad TIC”,
que entre otras funciones, tiene las correspondientes al Responsable de Seguridad de acuerdo con la
normativa de protección de datos de carácter personal.

Los Directores de los Órganos Responsables de Ficheros
Asumen la realización de las tareas asociadas al Responsable de Fichero dentro de su Dirección
General. Estas tareas son:
Autorizar los siguientes procesos:

Altas, bajas y modificaciones de acceso de usuarios
Salidas de soportes informáticos con datos de carácter personal
La ejecución de procesos de recuperación de datos
El uso de datos reales de pruebas, siempre que se cumplan las debidas medidas de
seguridad.
Garantizar la ejecución de los derechos de acceso, rectificación, cancelación y oposición que ejerzan los
propietarios de los datos, así como el conocimiento por parte de las unidades usuarias de las normas que
afectan al desarrollo de sus funciones, y las consecuencias en que pueden incurrir en caso de
incumplimiento.
Adoptar las medidas correctoras pertinentes para solventar las deficiencias que en materia de
seguridad DCPs se detecten tras la realización de las auditorías de seguridad.
Incluir en los formularios, documentos e impresos de recogida de DCPs el texto informativo de
tratamiento de datos en Ficheros y de ejecución de los derechos de los titulares de los datos.
Incluir en los contratos de prestación de servicios que impliquen acceso a DCPs las cláusulas que
establezcan las obligaciones de las empresas de servicios en la seguridad de los datos.
Estas tareas pueden ser delegadas, aunque como hemos visto, el responsable del fichero sigue
conservando la responsabilidad.

De hecho, tanto la inclusión de los textos correspondientes como la orden de alta de los usuarios están a
tu cargo, puesto que tú eres la persona encargada de la selección y del personal que trabaja con la
aplicación.

Los Responsables de las Unidades Usuarias
En este caso, como muchas veces ocurre, los responsables de las Unidades Usuarias coinciden con los
Jefes de Servicio de los distintos Centros Directivos.
La misión del responsable de la Unidad Usuaria es comunicarle al responsable de Fichero las necesidades
en materia de seguridad: alta y baja de usuarios, autorizaciones de salidas de soportes, etc, y hacerse
cargo de las responsabilidades que se le hayan delegado.
Además, nombra al responsable de gestión de soportes, que en este caso recae sobre el informático, del
Servicio de Informática. Él se encargará de:
Mantener un inventario actualizado de los soportes que contienen datos de carácter personal y
registrar las Entradas o Salidas de los mismos.
Los soportes de la aplicación Encuentra son: las tablas de la base de datos y las cintas de las copias de
seguridad, que se almacenan en el cuarto habilitado para ello en los Servicios Centrales de la
Consejería.

6 de 9

Supervisar y autorizar la emisión y recepción de soportes que contienen datos de carácter personal
desde/a otras entidades.
Para ello el informático cuenta con una autorización múltiple del Director General.
Supervisar el cumplimiento de las normas de etiquetado y sanitización de los soportes.
De nuevo, te sientes identificada, y te apuntas tus deberes para no olvidarlos, a pesar de que ya los
conocías.
Con independencia de lo expresado anteriormente, hay que tener en cuenta que si los usuarios de la
aplicación tuviesen la posibilidad de extraer información (por ejemplo, mediante alguna opción de
informes), habría que prever que la posible salida de esa información (por ejemplo mediante correo
electrónico o CD) quedara registrada de alguna forma. Es responsabilidad del Responsable del Fichero
prever esta posibilidad y definir un procedimiento para autorizar estas salidas así como su registro en el
caso de que sea necesario y, por supuesto, para que los usuarios conozcan estas normas.

El Centro Directivo Gestor de los Sistemas de Información
El Centro Directivo Gestor de los Sistemas de Información, normalmente a través del Servicio de
Informática, es el Órgano que da soporte a la operativa de los Sistemas de Información de la Consejería.
Las principales funciones que tiene encomendadas son:

Provisión de recursos informáticos.
Administración, desarrollo y mantenimiento de los Sistemas de Información.
Administración de usuarios con acceso a los Sistemas de Información, siguiendo las
instrucciones de los responsables de las aplicaciones, que son también responsables de la
designación de los usuarios de las mismas.
Para la aplicación Encuentra se ha designado al administrador de la base de datos, que
pertenece al Servicio de Informática.

Gestión del respaldo de los datos, aplicaciones y equipos informáticos.
Igualmente, la persona al frente de los procesos automáticos que está al frente de esta tareas
pertenece al Servicio de Informática

Gestión de la seguridad informática.
Elaboración de normas, procedimientos y estándares informáticos.
Es conveniente especificar en el Documento de Seguridad las secciones o departamentos componentes
del Servicio de Informática y detallar las funciones que cada uno de ellos tiene asignadas en materia de
seguridad de los Datos de Carácter Personal.
Tu Servicio pertenece a los Servicios Centrales de tu Consejería, que tiene la siguiente organización:
Jefatura de Informática:
1.- Departamento de Desarrollo
1.1 Jefes de proyecto
1.2 Analistas
1.3 Programadores
2.- Departamento de Sistemas
2.1 Tecnicos de Sistemas
2.2 Analistas de sistemas
3.- Departamento de Explotación

7 de 9

3.1 Asesores de microinformática
3.2 Operadores de consola

Sistemas de Información
Este apartado del Documento de Seguridad está destinado a la descripción de los Sistemas de
Información de la Consejería, de los ficheros con Datos de Carácter Personal y de las aplicaciones que
acceden a ellos.

Descripción básica de los SS.II. de la Consejería
Los aspectos técnicos se detallan en los inventarios y documentación técnica de la Consejería, aquí se
enumeran sólo los aspectos básicos.
Esta descripción se estructura en:

Ubicaciones físicas: características del Centro de Proceso de Datos, tanto en Servicios
Centrales como en las Delegaciones Provinciales, salas de almacenamiento y armarios
ignífugos.
Tanto los Servicios Centrales como las Delegaciones disponen de locales de almacenamiento
donde se alojan los servidores de aplicaciones, los de bases de datos y los servidores de
ficheros. Estas salas cuentas con medidas de seguridad adecuadas, como Sistemas de
Alimentación ininterrumpida, detección y extinción de incendios, puertas de acceso
restringidas y permanentemente cerradas, cámaras de vigilancia, etc.
Entornos tecnológicos corporativos, que soportan los Sistemas de Información,
especificando los sistemas operativos, versiones de bases de datos y plataformas software
básicas en las que se encuentran almacenados los ficheros con datos de carácter personal.
Servidores de Red.
PC de usuario: Aquí, además de las establecidas en las directrices generales, se nombran
las normas de obligado cumplimiento concernientes a los PCs de usuario, como el uso
salvapantallas con contraseña que se activará pasados unos minutos de inactividad.
Red de comunicaciones: Se deberá describir la estructura de comunicaciones utilizada en la
Consejería, que debe utilizar los servicios y recursos suministrados desde la Red Corporativa
de la Junta de Andalucía: tipo de líneas de comunicaciones en Servicios Centrales y en las
sedes provinciales, elementos de conexión entre redes, sistemas de seguridad empleados en
las mismas, tipo de conexión a Internet, etc. Igualmente se deberán describir las estructuras
de red internas a cada una de las sedes que componen la Consejería y los elementos que las
componen.

Ficheros con Datos de Carácter Personal de la Consejería
Este apartado refleja el número de ficheros, sus responsables, el número de registro, la publicación, el
responsable, nivel de seguridad, etc.
Se pueden realizar distintos inventarios, como por ejemplo, uno con el número de archivos por cada
Centro Directivo. También es conveniente un listado por cada Centro directivo con los nombres de los
ficheros con Datos de Carácter Personal, el nivel de seguridad, nº de BOJA en el que se publicó y número
de inscripción en la Agencia Española de Protección de Datos:
FICHERO

NIVEL

8 de 9

BOJA


AEPD

Aplicaciones que acceden a los ficheros con Datos de Carácter
Personal
Además de inventariar los ficheros con Datos de Carácter Personal, es conveniente hacer un listado de
los ficheros a los que acceden las distintas aplicaciones usadas por la Consejería.
Aunque en nuestro caso la aplicación accede a un único fichero, no siempre ocurre así, una misma
aplicación puede acceder a varios ficheros, como por ejemplo, las aplicaciones de contabilidad acceden a
ficheros generados por Júpiter. Del mismo modo, varias aplicaciones pueden acceder a un fichero, un
ejemplo muy claro de este último caso lo representa un censo de contribuyentes, es un archivo al que
acceden muchas aplicaciones para comprobar si un contribuyente figura o no.
FICHERO

NIVEL APLICACIONES

Normativas y procedimientos
Este capítulo recoge la descripción de las normas y procedimientos que la Consejería precisa para
realizar las actividades y tareas asociadas a los SS.II., con el objeto de garantizar el nivel de seguridad
exigido por el Reglamento.
La relación de normas y procedimientos incluidos es la siguiente:

Normativa de Seguridad en Comunicaciones
Normativa de Identificación y Autenticación de Usuarios.
Normativa de Control y Cumplimiento del Reglamento.
Normativa para la realización de Auditorias.
Normativa para el Tratamiento de Ficheros Temporales.
Normativa para la utilización de Datos Reales en Pruebas.
Normativa de Identificación de Soportes.
Normativa de Sanitización de Soportes.
Normativa de Control de Acceso Físico.
Procedimiento de Administración de Usuarios.
Procedimiento de Notificación y Gestión de Incidencias.
Procedimiento de Copias de Respaldo y Recuperación.
Procedimiento de Control de E/S de Soportes.
Procedimiento de Actualización del Documento de Seguridad.
Procedimiento de Ejecución de los Derechos de acceso, rectificación y cancelación de los
datos de carácter personal
Procedimiento de Creación, Modificación y Supresión de Ficheros que contengan Datos de
Carácter personal.
Todas estas normas y procedimientos han de incorporar las medidas, de acuerdo con el nivel del fichero,
señaladas en el Título VIII del RDLOPD.

9 de 9

Tema 4. Formación y concienciación del personal implicado

Plan de formación
Vuestro Director General os ha felicitado a Paco y a ti por la buena labor desarrollada: la aplicación
Encuentra ya está lista para su implantación y gracias a Paco y a ti y a la ayuda del Comité de
Seguridad de la Consejería, además cumple perfectamente con todos los requisitos de seguridad de
la LOPD:

está inscrita en el Registro de la Agencia Española de Protección de Datos
se publicó en BOJA
se incluyó en el Documento de Seguridad de la Consejería
y se tomaron todas las medidas de seguridad: definición de perfiles, registros de accesos,
etc.
Aprovechando que es necesario formar al personal de tu Servicio en el uso de Encuentra queréis incluir
la formación en materia de Seguridad que se ha implantado en la aplicación y en la Consejería, pues la
formación en materia de seguridad está contemplada en la legislación y en la metodología de
implantación que se está desarrollando en la Consejería, y que sigue el siguiente esquema:

Para poder asumir la responsabilidad que les corresponde y cumplir lo establecido en la normativa es
fundamental que todas las personas que de una u otra forma trabajen o tengan acceso a ficheros con
datos de carácter personal estén al tanto de la normativa, de sus obligaciones y conozcan la organización
de la seguridad en la Consejería.
Es necesario establecer un plan de formación en materia de seguridad, tanto para el nuevo personal que
se incorpora como para actualizar los conocimientos de los que ya están trabajando con datos de carácter
personal.
Igual de importante que la elaboración del documento de seguridad es la difusión del plan de formación y
de las medidas de seguridad. No sirve de nada un documento de seguridad que nadie consulta.
Tan importante es el conocimiento de las medidas de seguridad por parte del personal que el artículo
89.2 del R.D. 1720/2007 establece la obligatoriedad del responsable de seguridad del fichero de "adoptar
las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo
de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento".

1 de 8

La formación debe versar sobre la LOPD, el Reglamento de Medidas de Seguridad y sus
implicaciones para la organización, además de aquellas medidas concretas que se hayan reflejado en el
documento para cada organización concreta. También es importante el conocimiento de las sanciones
previstas para los casos de incumplimiento. En el caso de la Administración Pública las sanciones no son
económicas, sino que conllevan las actuaciones disciplinarias establecidas en la legislación sobre régimen
disciplinario de las Administraciones Públicas.
Esta formación es imprescindible para la mentalización del personal que va a trabajar con datos de
carácter personal sobre la seguridad y confidencialidad de la información tratada.
Además del personal nuevo que se incorpora al trabajo en la Consejería, debe establecerse una
actualización periódica de conocimientos para todo el personal, e informar de los cambios en la
normativa o en los procedimientos de actuación de la Consejería. Esta es una buena ocasión para repasar
los aspectos más relevantes de la LOPD.
Por ejemplo, es normal que surjan cambios en la organización de la seguridad de la Consejería tras las
auditorías periódicas a las que debe someterse la Consejería al menos cada dos años.

Establecimiento de perfiles
Los resultados que se persiguen con la formación son la sensibilización general de los Responsables,
Técnicos y Usuarios sobre la importancia de la protección de los datos de carácter personal y la
disminución del riesgo de que el personal provoque de forma involuntaria situaciones críticas.
El personal debe tomar conciencia a través de la formación de la normativa, procedimientos y directrices
de seguridad establecidas por la Consejería.
La formación se puede organizar en dos bloques, uno común con las nociones que todo el mundo debe
conocer y un segundo bloque, adaptado a las distintas tareas que se realizan con un archivo de datos de
carácter personal. Una posible distinción puede ser:

Personal de atención al público susceptible de recibir las solicitudes de acceso, rectificación,
cancelación y oposición.
Personal técnico
Usuarios finales de las aplicaciones
Personal subcontratado

2 de 8

AUTOEVALUACIÓN
Asigna el personal de Servicio al perfil de formación que consideres adecuado:

a) Personal susceptible de recibir solicitudes

Elige la respuesta...
Personal de Registro
Teleoperadores Personal
técnico Usuarios de
aplicaciones

b) Administrador de base de datos

Elige la respuesta...
Personal de Registro
Teleoperadores Personal
técnico Usuarios de
aplicaciones

c) Validador de solicitudes de Encuentra

Elige la respuesta...
Personal de Registro
Teleoperadores Personal
técnico Usuarios de
aplicaciones

d) Soporte técnico

Elige la respuesta...
Personal de Registro
Teleoperadores Personal
técnico Usuarios de
aplicaciones

e) Encargado de supervisar el proceso de selección
de Encuentra

Elige la respuesta...
Personal de Registro
Teleoperadores Personal
técnico Usuarios de
aplicaciones

f)

Elige la respuesta...
Personal de Registro
Teleoperadores Personal
técnico Usuarios de
aplicaciones

Personal susceptible de recibir solicitudes
telefónicas

El personal susceptible de recibir las solicitudes de ejercicio de derechos por parte de los ciudadanos debe
conocer minuciosamente la información que debe facilitar y ser capaz de resolver las dudas que le
planteen. Así mismo, debe dominar el procedimiento de ejecución de los derechos de acceso,
rectificación, cancelación y oposición de los Datos de Carácter Personal.
Por otra parte, el personal de Servicios informáticos, dependiendo de su labor debe conocer el
Procedimiento de Administración de Usuarios, los procedimientos relacionados con el manejo de
soportes, etc.

3 de 8

Los usuarios de las aplicaciones deben estar al tanto de los procedimientos en los que participan, como el
de confirmación de usuario de la aplicación, o petición de alta o baja de usuarios en el caso de ser
además el responsable de esa Unidad Usuaria.

AUTOEVALUACIÓN
Señala los procedimientos que debe conocer un usuario final:

a) Normativa para la utilización de Datos Reales en
Pruebas

Elige la respuesta... SI NO

b) Procedimiento de copias de respaldo y
recuperación

Elige la respuesta... SI NO

c) Normativa para el tratamiento de ficheros
temporales

Elige la respuesta... SI NO

d) Procedimiento de notificación y gestión de
incidencias

Elige la respuesta... SI NO

e) Procedimiento de decision sobre la propuesta de
modficiación del Documento de seguridad

Elige la respuesta... SI NO

Formación común
En el bloque común debe explicarse lo que se considera datos de carácter personal y la clasificación
según el nivel de seguridad que requieren, la normativa que los rige, la función de la Agencia Española
de protección de datos, los derechos de los titulares de los datos: información en la recogida de datos,
de acceso, rectificación, cancelación y oposición, y el procedimiento establecido por la Consejería para
cumplir con esos derechos.
Este es el momento idóneo para dar a conocer las directrices de seguridad de la Consejería, de obligado
cumplimiento para todo el personal. Si se explica junto con las normas de seguridad, el personal
entenderá el por qué de estas directrices y estarán más dispuestos a aceptarlas.
También se puede incluir en este bloque de aprendizaje la organización de seguridad, para que en caso
de necesidad, todos sepan a qué responsable o figura acudir.
Es conveniente que todo el mundo conozca el procedimiento de notificación de incidencias, para saber
cómo actuar en caso de encontrarse frente a una de ellas en alguna ocasión. Incluso si la aplicación lleva
tiempo funcionando, es conveniente aprovechar la experiencia adquirida y nombrar las incidencias que
con más frecuencia se pueden presentar y la solución que para ellas se tiene prevista.
Es conveniente dar a conocer la Agencia Española de Protección de Datos, su naturaleza, capacidad de
inspección y sanción, etc. Además siempre podremos dirigirnos a la Agencia para aclarar cualquier duda
que se nos plantee acerca de la aplicación de la normativa sobre LOPD. Una buena forma de conocerla
puede ser a través de la visita de su página web: http://www.agpd.es que contiene mucha información
muy bien estructurada.
Además de todo lo mencionado anteriormente, los tipos de sanciones en las que se puede incurrir y las
sanciones que ellas conllevan ayudan a hacerse una idea de la importancia de la seguridad.
Desglosaremos más adelante los distintos tipos.
Este tipo de formación común se puede llevar a cabo de forma presencial o a distancia. Además se puede
entregar, o publicar en la Intranet, un resumen del documento de seguridad que abarque todos los
puntos que se traten en el bloque común.

4 de 8

Independientemente de la formación común, cada persona, según su perfil, deberá completar su
formación con la formación especificada para ese perfil.

Actualización de conocimientos
Una vez realizada la formación inicial hay que realizar actualizaciones periódicas de conocimientos en
materia de seguridad y dejar una línea de formación continua abierta.
Estas actualizaciones, además de informar sobre los cambios en la normativa o en las modificaciones de
las medidas de la seguridad realizadas en la Consejería, deben centrarse en las buenas prácticas con
ejemplos concretos de las aplicaciones o tareas que se desempeñen, y transmitir los fallos o debilidades
detectadas.
A estos efectos se pueden concretar reuniones de proyectos que evalúen e informen de los aspectos
transmitidos por el Comité de seguridad, o el responsable de una aplicación en particular.
Sobre todo, el ejemplo en el trabajo diario por parte de los distintos responsables es fundamental para
que el personal adquiera los hábitos deseados para el correcto cumplimiento de la normativa de
seguridad.

La Agencia Española de Protección de Datos
La Agencia Española de Protección de Datos es un ente de derecho público, con personalidad
jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las
Administraciones públicas en el ejercicio de sus funciones.
Integrado en la Agencia se encuentra el Registro General de Protección de Datos, de consulta abierta y
gratuita como ya hemos visto, y donde deberán inscribirse todos los ficheros que contengan datos de
carácter personal.
La Agencia es el órgano de control de la Ley de Protección de Datos. Su misión se puede resumir en velar
por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo
relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos.
Entre sus funciones principales destacan las de atender las peticiones y reclamaciones formuladas por los
afectados, proporcionar información sobre los derechos reconocidos en la LOPD, ejercer la potestad
inspectora y sancionadora de acuerdo con lo dispuesto en la Ley, emitir autorizaciones previstas en la
Ley, requerir medidas de corrección y ordenar, en caso de ilegalidad, el cese en el tratamiento y la
cancelación de los datos.
Tanto el apartado de Funciones como el desglose de la composición de la Agencia en el apartado
Estructura proporcionan una idea de las labores de la Agencia y quienes la desempeñan.
La LOPD dedica su Título VI a la descripción de la Agencia Española de Protección de Datos.
La LOPD habilita a las comunidades autónomas a la creación de autoridades de control propias (artículos
41 y 42); hasta la fecha solo 3 comunidades han creado las correspondientes autoridades de control para
la protección de datos de carácter personal: Cataluña, Madrid y País Vasco. No obstante, a finales de
2012 se publicó un Proyecto de Ley de Medidas Fiscales y Administrativas para el año 2013 en cuyo
articulado se incluía la extinción de la Agencia de Protección de Datos de Datos de la Comunidad de
Madrid (APDCM), que en la actualidad ya no se encuentra operativa.
En el ámbito de la Unión Europea, el Supervisor Europeo de Protección de Datos es una autoridad
supervisora independiente que tiene como objetivo principal garantizar que las instituciones y órganos
europeos respeten el derecho a la intimidad y la protección de datos cuando tratan datos de carácter
personal y desarrollan nuevas políticas.
Si bien, hasta ahora, Andalucía no cuenta con autoridad propia en protección de datos, el reciente
proyecto de Ley de Transparencia Pública de Andalucía, aprobado por el Consejo de Gobierno el 18 de
febrero de 2014, incluye la creación del Consejo de Transparencia y Protección de Datos como autoridad
independiente de control en materia de Protección de Datos y de Transparencia en la Comunidad
Autónoma de Andalucía, y con las competencias previstas para los posibles órganos de control
autonómicos en el artículo 41 de la LOPD.

5 de 8

Según el proyecto de Ley, este Consejo, que dispondrá de una Dirección y una Comisión consultiva,
ejercerá, entre otras, funciones de representación, asesoramiento, control e incoación de expedientes
disciplinarios o sancionadores, tanto en materia de Transparencia como de Protección de Datos.

En particular, deberá aclarar -seguramente en gran número de ocasiones- las posibles
discrepancias o dudas que se planteen en la aplicación de la propia Ley de Transparencia, que
obliga a la difusión de información, respecto de los condicionantes que pueda imponer la LOPD en
relación con dicha difusión.

Infracciones
Los tipos de infracciones se catalogan según la gravedad en leves, graves y muy graves. Las más
relevantes son las siguientes:

Leves
1. No remitir a la AEPD las notificaciones requeridas.
2. No solicitar la inscripción de ficheros en el Registro General de Protección de Datos.
3. Incumplir el deber de información sobre el tratamiento de datos cuando se recaben del
interesado.
4. Transmisión de datos a un encargado de tratamiento sin dar cumplimento LOPD.

Graves
1.
2.
3.
4.
5.
6.
7.

Crear ficheros públicos o iniciar la recogida de datos sin publicarlo en disposición oficial.
Tratar DCP’s sin consentimiento del interesado cuando sea necesario.
Vulnerar el deber de guardar secreto.
Impedir u obstaculizar el ejercicio de derechos ARCO.
No mantener las medidas de seguridad reglamentarias.
No atender los requerimientos o apercibimientos de la AEPD.
La cesión inadecuada de datos (salvo que sea muy grave).

Muy Graves
1.
2.
3.
4.

Recogida de datos en forma engañosa o fraudulenta.
Tratar o ceder inadecuadamente datos de nivel alto (y algunos de nivel medio).
Continuar en el tratamiento en contra de un previo requerimiento de la AEPD.
Transferencia internacional de datos a países sin un nivel de garantías sin el permiso de
AEPD.

En el artículo 44 de la LOPD pueden consultarse la totalidad de las infracciones en su redacción completa.
La formulación original de dicho artículo, así como de los correspondientes al régimen sancionador, fue
modificada por la disposición final quincuagésima sexta de la Ley 2/2011, de 4 de marzo, de Economía
Sostenible.
En determinados casos de infracciones graves o muy graves, y con independencia de la potestad
sancionadora que se estudiará más adelante, la AEPD puede proceder a la inmovilización de los ficheros
afectados, de modo que se cese en su utilización.
Los periodos de prescripción de estas infracciones son de tres años para las muy graves, dos años para
las de carácter grave y un año por infracciones leves, como expone el artículo 47 de la LOPD.
Según datos obtenidos de la Memoria de la Agencia Española de Protección de Datos del año 2011,
ámbitos en los que se ha concentrado el mayor número de infracciones fueron videovigilancia,
empresas de telecomunicaciones y el sector financiero. Se detecta cada vez más un incremento de
reclamaciones de la ciudadanía para solicitar ante la AEPD la tutela en la cancelación de datos
Internet, y/o evitar que sus datos aparezcan en buscadores.

los
las
las
en

Las infracciones más frecuentes suelen corresponder con un incumplimiento de los artículos 5, 6, 10 y 11
de la LOPD, es decir, aquellos relativos a la información y el consentimiento del afectado para el
tratamiento de datos, así como al deber de secreto sobre los datos y a la obligación de no ceder datos a
terceros salvo en las condiciones que permite la ley.

6 de 8

Sanciones
Es importante conocer que es diferente el régimen sancionador que se establece en la LOPD para
ficheros de titularidad pública (art. 46) y para ficheros de titularidad privada (art. 45)
En el caso de ficheros de titularidad privada las sanciones son económicas, oscilando entre los siguientes
intervalos según la gravedad de las infracciones:

Leves, entre 900 € y 40.000 €
Graves, entre 40.001 y 300.000 €
Muy graves, entre 300.001 y 600.000 €
Hay casos, contemplados en la ley, en que puede aplicarse una sanción correspondiente a un nivel
inferior al correspondiente a la infracción; por ejemplo, si por parte de la empresa o entidad afectada se
produce diligencia en la regularización o si se reconoce espontáneamente la culpabilidad.
Además, el importe de la sanción puede graduarse según diferentes factores: carácter continuado de la
infracción, volumen de los tratamientos incorrectos efectuados, beneficios obtenidos por la comisión de la
infracción, grado de intencionalidad, reincidencia, etc.
Excepcionalmente, puede no acordarse apertura de procedimiento sancionador y dictar solo un
apercibimiento y la adopción de medidas en un determinado plazo por parte del infractor, en el caso de
infracciones leves o graves sin que haya existido sanción o apercibimiento anterior a dicho infractor.
Cuando las infracciones sean cometidas en ficheros de los que sean responsables las Administraciones
Públicas, no se imponen sanciones económicas. El Director de la Agencia Española de Protección de Datos
dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los
defectos de la infracción, pudiendo además proponer, si procediera, la iniciación de actuaciones
disciplinarias. Se exige además una respuesta a la AEPD por parte de la Administración afectada sobre
las medidas adoptadas.
Las resoluciones de la Agencia Española de Protección de Datos relativas a los procedimientos
sancionadores, tanto de ficheros de titularidad pública como privada, pueden consultarse a través del
sitio web de la citada Agencia.

Incidencias
Es obligación de todo el personal con acceso a los Servicios de Información de la Consejería comunicar
cualquier incidencia que se produzca y esté relacionada con los Servicios de Información o con cualquier
otro recurso informático propiedad de la Consejería o confiado a ésta.
La comunicación, gestión y resolución de las incidencias de seguridad se tramita mediante el Sistema de
Gestión de incidencias que la Consejería ha habilitado para ese fin. El Área de Explotación, y a través
de dicho Sistema, mantiene un Registro actualizado en el que se refleja la información relativa a las
incidencias que acontecen y que pueden afectar a la seguridad de los DCP.
A modo de referencia, algunas de las incidencias que se pueden dar son:

Sospechas de uso indebido de contraseña: utilización de la contraseña por otra persona
distinta del usuario titular de la misma.
Pérdida de soportes informáticos con DCP.
Accesos de personas no autorizadas a dependencias que contienen sistemas de información
con DCP.
Ataques a la red.
Recuperación de DCP.
Infección de los SS.II. por virus.
Las actuaciones que se siguen en la comunicación y resolución de las incidencias, tanto por parte de los
usuarios como por parte de las unidades resolutoras, están recogidas en el Procedimiento de
Notificación y Gestión de Incidencias del Documento de Seguridad.

7 de 8

Tras notificar la incidencia, el responsable de Seguridad la estudiará y la asignará para su resolución. Una
vez comunicada la resolución, deberá comprobarla e informar al usuario que la inició (si lo hubiera) para
que confirme la resolución.
El Registro de Incidencias de Seguridad debe contener:

Datos de la apertura:
Número identificativo de la incidencia.
Código de tipo de incidencia.
Descripción de la incidencia y efectos de la misma.
Persona que notifica la incidencia.
Unidad a la que pertenece.
Fecha y hora en que se detectó la incidencia.
Fecha y hora de la apertura de la incidencia en la aplicación.
Datos de la asignación (si proceden):
Persona que realiza la asignación.
Servicio / unidad asignada para la resolución.
Fecha y hora de asignación de la resolución.
Datos de la resolución (si proceden):
Acciones resolutoras realizadas.
En caso de recuperación de DCP: datos restaurados, datos grabados manualmente (si
fuera necesario).
Persona que informa la resolución.
Fecha y hora de la resolución.
Datos del cierre de la incidencia:
Persona que cierra la incidencia.
Fecha y hora del cierre de la incidencia.
Curso de Protección de Datos en la Administración Pública

8 de 8

Tema 5. Actualización y mantenimiento

Introducción
Una vez desarrolladas e implantadas las medidas de seguridad se alcanza un nivel de
cumplimiento de la normativa óptimo por parte de la Consejería. Pero este éxito no
es permanente, y requiere de un seguimiento continuo para que se mantenga este
nivel. De lo contrario, los procesos y normas elaborados quedarían rápidamente
desfasados, y volveríamos a la situación inicial, antes de implantar dichas medidas.

El tratamiento de datos de carácter personal es un mundo extremadamente dinámico. Además de la
posibilidad de cambio en normativa vigente, debemos barajar los cambios que habitualmente se
producen en las aplicaciones, entornos y personal de la Consejería.
Todo ellos conlleva la necesidad de establecer unas medidas de mantenimiento y actualización de las
medidas de seguridad, y de ellas trataremos en este tema.

Mantenimiento de los ficheros con datos de carácter personal
Una vez que la Consejería haya actualizado todos sus ficheros con DCP y haya
generado e implantado las Normativas, Procedimientos y Directrices que figuren en
el Documento de Seguridad, será preciso realizar un mantenimiento periódico, que
garantice en todo momento la conservación de la situación de adecuación ideada
durante el análisis inicial de seguridad.
La función de mantenimiento es primordial para llevar el control del estado de las
Medidas de Seguridad establecidas en el Documento de Seguridad. Esta función de
mantenimiento incluye así mismo la revisión periódica de los ficheros y aplicaciones
con DCP y sus medidas de seguridad.
Al igual que en el estudio previo de las medidas de seguridad, hace falta concretar
los objetivos que se deben alcanzar mediante el mantenimiento, determinar los procedimientos para
ello, estudiar si se va a realizar con recursos externos o se va a asumir con los recursos internos con los
que contamos, etc. En cualquiera de estos casos habrá que prestar atención a los informes del Comité de
Seguridad y a las conclusiones de las auditorías externas cuando se realicen, reformándose las labores
de mantenimiento según convenga.

1 de 8

Es necesario definir y coordinar los equipos de trabajo, las distintas participaciones y responsabilidades.
Esta labor, puede realizarla el responsable de la unidad usuaria (por ejemplo, el Jefe de Servicio) donde
se trabaje con el fichero, manteniendo informado de su desarrollo al Responsable del fichero de su
Centro Directivo. Este último deberá supervisar las labores de mantenimiento.
AUTOEVALUACIÓN
En el caso del fichero y la aplicación Encuentra, establece las responsabilidades del
mantenimiento

a) Asesora a la Jefa de Servicio en estas labores

Elige... Jefa de Servicio
Jefe del Servicio de
Informática Jefe de la
Dirección General

b) Supervisión tareas de mantenimiento

Elige... Jefa de Servicio
Jefe del Servicio de
Informática Jefe de la
Dirección General

c) Responsable de mantenimiento

Elige... Jefa de Servicio
Jefe del Servicio de
Informática Jefe de la
Dirección General

Los principales objetivos que deben alcanzarse a través de las tareas de mantenimiento son:

Revisión periódica del Inventario de ficheros. Establecer el circuito para garantizar el
mantenimiento y adecuación permanente en la regularización de los Ficheros con DCP de la
Consejería.
Formación continuada al personal en materia de legislación sobre protección de
datos, adecuándose a la legislación vigente.
Revisiones periódicas de las Medidas y Directrices de seguridad implantadas y su
adecuación a la legislación de protección de datos.
Revisiones periódicas de los Documentos y Normativas de Seguridad.

Actividades para desarrollar en el fichero y por el responsable
del fichero
Aunque hay que revisar todos los aspectos en materia de seguridad, es conveniente realizar
periódicamente y mantener actualizados los aspectos que a continuación detallamos, agrupados por
materia.

Ficheros con DCP
Revisión de los Niveles de seguridad actuales de los ficheros en relación con lo
declarado en su momento a la AEPD. En nuestro caso, al ser de nivel alto, difícilmente
va a variar el nivel de seguridad, pero no es poco frecuente que aplicaciones o ficheros que
en principio tenían datos de nivel básico o medio, se amplíen y pasen a tener datos
correspondientes a niveles de seguridad superiores. Estos casos están previstos, y lo que
hay que hacer es notificar a la AEPD, mediante el formulario de modificación
correspondiente, los cambios que se hayan producido. En caso de tratarse de ficheros
públicos, previa a la notificación, hay que publicar la modificación y/o supresión en un
diario oficial igual que se hizo con la creación.

2 de 8

Regularización (si procede) de Ficheros obsoletos. Es asombrosa la facilidad con la
que un fichero se convierte en fichero con datos de carácter personal, la cantidad de
ficheros temporales que se manejan. Es muy recomendable revisar los ficheros que se
manejan periódicamente, para detectar nuevos ficheros o ficheros obsoletos que deban
regularizarse y proceder a la eliminación de ficheros temporales que ya no sean necesarios.
Mantenimiento actualizado del Inventario de ficheros (Ficheros declarados a la APD,
situación de los ficheros en el BOJA, Aplicaciones que tratan dichos ficheros, usuarios que
acceden a los mismos, etc.). Esta función es responsabilidad de la persona al frente de la
Unidad usuaria del fichero, como vimos en el Documento de Seguridad.
Ejercicio de los Derechos por parte de los ciudadanos (Información de los derechos,
Control de cesiones, Contratos con terceros, etc.) Es imprescindible, dada la rapidez de
respuesta requerida por la Ley, que todo el mundo esté al tanto de cómo proceder para
garantizar el ejercicio de los derechos de los ciudadanos, y llevar un seguimiento de las
solicitudes atendidas, las que estén pendientes de atender, etc.
Estas funciones requerirán la Delegación de tareas en distintas personas, pero el Responsable de
ficheros del Centro Directivo debe estar al corriente, supervisar su realización e informar cuando
corresponda al Responsable de Seguridad de la Consejería.

Responsable/s de Fichero
Verificación de la continuidad de las personas físicas o jurídicas definidas a la
AEPD como tales: No es extraño que el personal de un Departamento, Servicio, etc
cambie. Si el Administrador de la Base de Datos, en nuestro caso, mantiene al día los
usuarios y el perfil de los usuarios (con permisos y privilegios) en los ficheros y
aplicaciones, nos ayudará a detectar cambios en las personas responsables notificadas a la
AEPD.
Verificación de las medidas técnicas y organizativas establecidas en su momento
por el Responsable del fichero para garantizar la seguridad de los datos: Para ello
se definen en el Documento de Seguridad las tareas que hay que llevar a cabo de
seguimiento y control y a quién corresponde cada parte. Sin evaluación de la seguridad no
se puede saber si se está obrando correctamente o no.
Verificación del conocimiento de las funciones y obligaciones por parte del
personal que trata ficheros con DCP: Como ya hemos visto en el tema dedicado a la
formación y mentalización del personal, es fundamental el conocimiento por parte de todos
los implicados de la normativa de seguridad para garantizar la seguridad. Por ello no hay
que escatimar esfuerzos en la continua difusión y actualización de estos conocimientos.
Adopción de medidas de actualización del Documento de Seguridad (si proceden).
Deberán atenderse las indicaciones dictadas por el Comité de seguridad, aunque también
puede contribuirse a la mejora de la seguridad comunicando cualquier deficiencia que se
detecte.

Otras actividades de mantenimiento
Responsable/s de Seguridad
Verificación de las Medidas de Seguridad establecidas en el Documento de Seguridad.
Verificación de la vigencia de las listas de usuarios autorizados a acceder a los SS.II. que
tratan ficheros con DCP.
Revisión y análisis mensual de los registros de accesos autorizados. Elaboración de un
informe sobre la situación analizada.
Revisión de las incidencias ocurridas en los SS.II. y adopción de las medidas correctoras
pertinentes.
Elaboración de informes periódicos para auditoría sobre la situación de las medidas de
seguridad.

3 de 8

Según hemos visto, la LOPD permite delegar tareas de seguridad, aunque eso no exime al Responsable
de Seguridad de su responsabilidad. En el Documento de Seguridad hemos visto cómo se detallan y en
quién se delegan distintas tareas: responsable/s de ficheros, de las unidades usuarias, de los Servicios de
Información etc.
La supervisión de todo el conjunto de medidas de seguridad recae en última instancia en el Responsable
o Responsables de Seguridad, puesto que suya es la responsabilidad final. Para ello contarán con la
ayuda del Comité de Seguridad, todos los informes y las auditorías.

Auditorías
La auditoría debe analizar los aspectos técnicos: equipos, entornos, locales, instalaciones, etc, los
aspectos organizativos, directrices, normas, etc y también los aspectos jurídicos, encaminados a
que se conozca en la Consejería la normativa vigente.
Esta lista de verificaciones contiene la parte más importante de seguridad y que indispensablemente se
debe tratar en la Auditoría. No obstante, se pueden añadir o modificar aspectos.

Verificación del cumplimiento de todas las Normas, Procedimientos, Medidas de Seguridad,
etc. establecidas en el Documento de Seguridad.
Revisión de los informes elaborados por el Responsable de Seguridad.
Seguridad física y lógica
Verificación de las medidas establecidas de control de acceso físico a las instalaciones.
Verificación de que las personas autorizadas a acceder al CPD son las establecidas en el
Documento de Seguridad.
Verificación de la existencia y vigencia de las medidas de seguridad definidas en el
Documento de Seguridad relativas a los SS.II. Corporativos, Departamentales, Puestos de
trabajo PC, Redes de comunicaciones, etc.
Verificación de la no existencia de ficheros con DCP en puestos de trabajo PC de usuarios no
autorizados, obtenidos mediante barrido de aplicaciones.
Verificación de la vigencia de los perfiles de usuario, de los procedimientos de identificación
y autenticación, así como del cambio periódico de las contraseñas.
Verificación de los intentos de acceso fallidos a los SS.II.
Verificación del cumplimiento de la ejecución de las copias de respaldo y seguridad
establecidas en el Documento de Seguridad.
Verificación del cumplimiento de las Normativas y Procedimientos establecidos para el
etiquetado, inventario, almacenamiento y Registro de soportes.
Verificación de la no existencia de ficheros temporales en los SS.II. que efectúan
tratamiento con DCP.

Aplicaciones que tratan DCP
Verificación de que no han existido modificaciones en la estructura de las aplicaciones, y
que sigue vigente la información relativa a las mismas reflejada en el Documento de
Seguridad.
Verificación de que los nombres y tipos de las bases de datos así como de que los nombres
de las Tablas o Ficheros son los reflejados en el Documento de Seguridad.
En las aplicaciones "vivas", que están en continuo desarrollo y cambio, es fundamental en el mecanismo
de actualización y cambios, establecer una revisión periódica de estos aspectos. Más adelante
profundizaremos en la revisión de aplicaciones.

4 de 8

Actualización de ficheros
Debido a la propia evolución de la tecnología, de las amenazas de seguridad, y a
las nuevas aportaciones legales en la materia, la Consejería puede modificar
entornos tecnológicos, directrices de seguridad, etc.
También pueden ser necesarias actualizaciones si se producen cambios en la
normativa, en el fichero o se detecta algún Servicio o Departamento que no está
al día en materia de seguridad de datos de carácter personal.
Los cambios realizados serán divulgados a todos las personas con acceso a los
Sistemas de Información utilizando los medios que se consideren pertinentes. Es
responsabilidad de cada una de éstas la lectura y conocimiento de las Directrices
Generales de Seguridad más recientes de la Consejería.
Los objetivos que se persiguen en la actualización inicial de una Consejería para la incorporación de las
normas de seguridad que indica la Ley son:

Inventariado y revisión de todos los Ficheros con DCP de la Consejería
Publicación en el BOJA de todos los ficheros a inscribir y posterior notificación a la AEPD.
Revisión y adecuación a lo establecido por la LOPD de los Documentos de Seguridad,
Normativas, Procedimientos, etc., existentes en la actualidad en la Consejería.
Elaboración en su caso de un nuevo Documento de Seguridad.
Revisión y adecuación a lo establecido por la LOPD de todas las medidas de seguridad,
físicas, lógicas y de comunicaciones de los SS.II. de la Consejería.
Mentalización del personal sobre las funciones y obligaciones que deben cumplir en el
tratamiento de los ficheros con DCP.
Determinación de los puntos débiles detectados en seguridad LOPD y definición de Planes
de acción a efectuar.

Plan de actualización
Los análisis de los datos, estudios de la seguridad en la aplicación y en el almacenamiento de datos, la
implantación de las medidas de seguridad que marca la normativa y el Documento de Seguridad de la
Consejería, la publicación en BOJA y la inscripción en el Registro de la Agencia Española de Protección
de Datos que hay que realizar con todas las aplicaciones y archivos de la Consejería se puede llevar a
cabo con la puesta en marcha de un plan de actualización.
Este plan de actualización puede tener medidas de distintos tipos:

Medidas organizativas, donde se recogerían las actuaciones de tipo organizativo y
normativo necesarias para la adecuación a la LOPD.
Estarían dirigidas a la organización de la implantación de la Normativa y los Procedimientos
contemplados en el Documento de Seguridad, como la de regularización de ficheros
mediante su publicación en BOJA y la correspondiente inscripción en el Registro General de
Protección de Datos, el nombramiento de los responsables implicados en la seguridad,
difundir las Directrices de Seguridad, el diseño de la notificación y gestión de incidencias,
implementación de los procedimientos de normativa de acceso por parte de terceros, de
recuperación de datos, estudio de las condiciones de prueba con datos reales, etc.
Medidas en los SS.II. donde se recogerían las actuaciones en Materia de seguridad en los
SS.II.
Estas medidas irían encaminadas a implementar sistema/s de gestión de usuarios y
contraseñas, procedimiento de Identificación y Autenticación de usuarios para poder
asegurar la confidencialidad de la información y que sólo el personal autorizado acceda
únicamente a los datos que necesita.

5 de 8

También los Servicios de Información deben realizar el diagnóstico de seguridad y el
inventario de ficheros y soportes.
Medidas en los entornos operativos, donde se recogerían las actuaciones en materia de
seguridad en los entornos operativos, desde los que se manejan DCP o dan soporte a los
SS.II. con DCP.
Estos entornos incluyen los PC de los usuarios, servidores corporativos y departamentales,
el cifrado de la información en los distintos soportes (obligatorio si se trata de ficheros con
medidas de seguridad alta) y la seguridad de las telecomunicaciones en las líneas
corporativas.
Medidas de seguridad física, con las actuaciones en materia de seguridad de tipo físico
que impidan el acceso indebido a soportes y sistemas y garanticen su protección.
Estas medidas pasan por adquirir un procedimiento de inventariado, etiquetado,
almacenamiento, saneamiento y registro de los soportes con datos de carácter general.

Inventario y Revisión de las aplicaciones y plataformas
Sabemos que es obligatorio mantener un inventario de ficheros que contienen datos de carácter
personal. Dada la importancia de este fichero, recogemos los datos que es aconsejable que contenga y
que hay que mantener actualizados en todo momento.
Por cada aplicación identificada (corporativa, departamental, propia, adquirida...) que utilice datos de
carácter personal, deberá incluirse en el inventario de ficheros:

Nombre de la aplicación
Operativa que soporta
Funcionalidades que incluye
Si dispone de funcionalidad de seguridad, deberán detallarse sus características, quién da
los privilegios, registros de 'log' que deja y control de los accesos
Dónde está instalada
Responsable de los datos
Datos de carácter personal que maneja
Para la ejecución del Inventario de Ficheros deberán tenerse en cuenta además los siguientes puntos:

Planificar entrevistas con los Responsables de los SS.II. y otros que se determinen de la
Consejería para recabar toda la información relativa a la situación de los ficheros
(plataforma, aplicaciones que tratan los ficheros, medidas de seguridad establecidas, etc.).
Diseñar un Cuestionario (es una herramienta conveniente si la Consejería tiene un gran
número de personas y tiene instalaciones dispersas en el territorio) a circular entre todos
los departamentos de la Consejería para recabar la información referente al manejo de
información de carácter personal en fichero automatizado.
Analizar la información recogida mediante entrevistas y cuestionarios, y compararla con la
situación declarada a la APD.

6 de 8

Descripción de la Plataforma
Es muy oportuno recopilar información técnica sobre la aplicación y los entornos existentes, pues nos
proporcionará información muy valiosa a la hora de determinar las medidas de seguridad pertinentes. A
modo de ejemplo, citamos una serie de información útil:

La plataforma hardware y software base (S.O.) de la instalación.
La plataforma software de la instalación.
La plataforma de comunicaciones de la instalación.
Otras: Internet, servidores de correo, firewall's, etc.
Herramientas para administración de redes, monitorización del sistema, ayuda a la
producción, servicios internos.
Entorno de desarrollo. Lenguajes de programación utilizados, estándares que se mantienen,
etc.
Entorno de pruebas. Si se utilizan procesos para bajar datos de carácter real, si estos datos
se alteran para que no aparezcan informaciones reales, etc.
Control de entornos: Pase de programas a producción, mantenimiento de versiones
históricas de programas, calidad sobre lo que se pasa a producción, personal con privilegios
para realizar los pases, procedimiento de pase.
Entorno de producción. Cómo se realiza (procesos batch y on-line); quiénes acceden a los
datos en producción, con qué privilegios, qué trazas quedan en el sistema, etc.

Estado de adecuación
Tanto en el mantenimiento como en la actualización, puede ayudar a realizar un seguimiento de la
seguridad el realizar por Servicios o Departamentos un gráfico de seguimiento del estado de
adecuación, que refleje, con una puntuación del 0 al 10, la adecuación en los distintos puntos que
establece la LOPD. Una posibilidad es la siguiente:

Tablas más específicas pueden desarrollarse para los distintos aspectos y respecto a las medidas y
procedimientos acordados.

7 de 8

Actualización del Documento de Seguridad
El mismo Documento de Seguridad de la Consejería contempla un procedimiento para su actualización.
La actualización del Documento de Seguridad es responsabilidad del Responsable de Seguridad y del
Comité de Seguridad, quienes deberán revisarlo, para decidir si procede su actualización, siempre que se
presente uno de los siguientes supuestos:

Creación, supresión o modificación de ficheros que contienen DCP.
Otras necesidades de actualización consecuencia de:
Cambios en la Organización de Seguridad.
Cambios en las normativas o procedimientos.
Cambios en los Sistemas de Información.
Cambios en las disposiciones legales.
Las actualizaciones al Documento de Seguridad motivadas por la creación, modificación o supresión de
ficheros que contienen DCP se realizan tras la publicación en el BOJA de la correspondiente Disposición.
El procedimiento de actualización es sencillo. El Responsable de Seguridad, ante alguno de los sucesos
anteriores, revisa el Documento de Seguridad y elabora una propuesta de modificación que presenta
posteriormente al Comité de Seguridad. Éste, tras estudiar la propuesta de modificación del Responsable
de Seguridad, decide si la autoriza o no.
Una vez aprobada la propuesta de modificación del Documento de Seguridad, el Responsable de
Seguridad realiza las modificaciones oportunas en el Documento y se encarga de la Difusión de la nueva
versión del documento.
Curso de Protección de Datos en la Administración Pública

8 de 8

Tema 6. Manual de comportamiento

¿Por qué establecer normas de comportamiento?
Desde que has comenzado el temario has podido comprobar la importancia
de que adoptes un tratamiento cuidadoso, ágil y eficiente de los archivos
con datos personales, manteniendo las medidas de seguridad oportunas
para cada tipo de datos, entonces ... ¿Sólo debes proteger los archivos con
datos personales? ¿Ningún otro tipo de archivo, documento o recurso debes
asegurar?
En tu día a día en la consejería manejas el ordenador, determinadas aplicaciones,
Internet, el correo electrónico, etc., pero... ¿los usas adecuadamente?

Con la extensión de las nuevas tecnologías en la Administración de la Junta
de Andalucía, se ha puesto a disposición de sus trabajadores una serie de
recursos informáticos, cuyo uso debe ser ordenado y enfocado al desempeño de su
actividad laboral.
Por ello, es necesario que, como empleado público, conozcas cuál es el modo correcto de utilización de
las nuevas tecnologías en el ámbito de la Junta de Andalucía, con el fin de que:

Obtengas un uso más eficiente de las mismas en el desarrollo de tus tareas.
Prevengas las prácticas abusivas, al hacer uso particular de los medios informáticos
públicos, y aquellas que pongan en riesgo la seguridad de los sistemas informáticos.
Garantices la legalidad, eficacia y eficiencia de la utilización de los sistemas de
información.
Garantices la fluidez de las comunicaciones informáticas, internas y externas en la
Administración de la Junta de Andalucía.
Protejas las bases de datos que contengan datos personales de las ciudadanas y
ciudadanos, y aquellos otros archivos sensibles para el funcionamiento de la Administración
Andaluza.
Asegures la utilización de los distintos programas informáticos respetando las condiciones
establecidas en sus licencias de uso, garantizando de esta manera los derechos de los
proveedores que participan en el desarrollo informático de la Junta de Andalucía.
En definitiva, resulta imprescindible que asumas unas pautas de comportamiento de
utilización de los sistemas y equipos informáticos de la Administración.

En la Administración de la Junta de Andalucía, existe una norma que regula la utilización por parte del
personal de los medios informáticos y telemáticos. Se trata de la Resolución de 27 de septiembre de
2004, de la Secretaría General para la Administración Pública, por la que se establece el manual de
comportamiento de los empleados públicos en el uso de los sistemas informáticos y redes de
comunicaciones de la Administración de la Junta de Andalucía.

1 de 10

¿A quienes afectan dichas normas?
Miras a los dos lados antes de cruzar una calle, echas las cortinas de las ventanas o bajas las
persianas para resguardar tu intimidad, no comes alimentos que consideras dudosos, pones
antirrobo al coche, etc.
Todos los días acostumbras a tomar ciertas precauciones o actitudes, en definitiva, pequeñas acciones
que pones en marcha con la intención de procurarte una mayor seguridad en tu vida, entonces ¿Por qué
no lo haces también con la información y los recursos informáticos que manejas? ¿Por qué empiezas a
preocuparte sólo cuando te ocurre algún problema, que en ocasiones suponen un pequeño fastidio, pero
que en otras tienen poco remedio?

Es por eso, que debes saber que los recursos corporativos y toda aquella
información sensible o valiosa que la Consejería custodia o maneja, resulta esencial
protegerla mediante estrictas medidas de control.
Tú, como personal de la consejería, que manejas el sistema de información ¡eres una pieza vital en la
implantación de medidas de seguridad!
Reflexiona y te darás cuenta que, a veces, el mayor riesgo "está dentro de casa":

Empleados que poseen documentación confidencial
Técnicos que conocen absolutamente todas las claves de acceso de la organización
Falta de recursos para automatizar la identificación de cada trabajador
Múltiples contraseñas que acaban apuntadas en algún papel
Despistes u olvidos de bajas de ex-empleados por parte de los administradores
Etc.
Incluso el mejor plan de seguridad puede verse seriamente comprometido sin una colaboración
activa por tu parte y de todas las personas involucradas en el sistema de información. Por lo que de
tu implicación depende en buena medida el éxito o fracaso de las medidas de seguridad.

La seguridad de la información es asunto TUYO.

Los medios informáticos y su uso
Virus, troyanos, robo de información crítica, ataques de denegación de servicio, y malware en
general, son amenazas que como observarás se están convirtiendo en incidentes casi cotidianos,
por tanto hay que actuar para minimizarlos o eliminarlos ¿cómo?
Las diversas situaciones en las que puedes encontrarte por no tener una mínima seguridad en tu trabajo
pueden ser realmente preocupantes, incluso aunque no las percibas en ese momento.
Quizás sospechas que tu equipo está infectado con un virus y piensas que con el formateo del disco duro
que el técnico informático hace es suficiente ¿Y si no te das cuenta de la infección? ¿Y si cuando te das
cuenta ya es demasiado tarde y mientras tanto tu equipo ha sido utilizado para la expansión del virus?
También, puedes pensar que si los hackers entran en tu equipo, éstos tampoco van a ver nada
interesante ¿Y si el hacker te utiliza para atacar a otros sitios "más importantes" del sistema?

En resumen, son muchas posibilidades que deben hacerte reflexionar y tomar en consideración
el tema de la seguridad que te lleven a asumir un comportamiento responsable.
Con una adecuada práctica contribuyes a disminuir los riesgos y a minimizar los daños en los
activos de información, si alguno de los riesgos llega a materializarse.

2 de 10

¿Qué debo saber sobre los equipos informáticos?
Te encargaron, como titular de la Jefatura de Servicio de Conservación de
Zonas Verdes y de Ocio, la selección de personal voluntario para el programa
"Parques de tu ciudad", cuyo cometido has gestionado mediante el empleo de
tecnologías informáticas.
Así pues, utilizando tu pendrive para la entrada-almacenamiento-salida de información ¿sería
responsable llevar la contabilidad de tu casa en el mismo equipo?
El equipo informático que utilizas para trabajar, ten en cuenta que la Junta de Andalucía te lo ha
proporcionado con el único fin del cumplimiento de tu actividad laboral y no para el uso personal.
Por ello, no deberías modificarlo o manipularlo, como cambiar su aspecto físico, acceder al interior,
conectarlo a otros equipos. Haz uso de tu PC tal cual te lo instalan y configuran.
También, resulta esencial como parte del adecuado manejo de tu equipo que mientras tengas
información importante en la pantalla no lo dejes desatendido. De modo que si vas a ausentarte de tu
puesto de trabajo durante más de 5 minutos nunca olvides bloquear la sesión, así tienes la seguridad
que sólo tú podrás acceder a la información puesto que es necesario introducir tu contraseña para
desbloquear la sesión.
AUTOEVALUACIÓN

¿Puedes utilizar tu equipo de la consejería para llevar la contabilidad de tu casa?

a) Sí, siempre que no le reste tiempo y productividad a mi trabajo
b) No, sólo debo utilizarlo para el cumplimiento de mi actividad laboral, no
para el uso personal

3 de 10

El uso de aplicaciones informáticas
¿Qué crees que pasaría si todo el personal de la consejería accediera y
manejara la aplicación "Encuentra", cuya base de datos son datos
personales? Si lo piensas te darás cuenta que en caso de deterioro o mal
funcionamiento de la aplicación, repercutirá directamente en el óptimo
desarrollo del proyecto, pudiendo producirse incluso "males" mayores de
pérdida de datos, accesos no autorizados, publicación de datos
personales, etc.
Como observarás, tu equipo tiene unas aplicaciones informáticas concretas,
que no puedes cambiar ni desactivar, pues sólo la Junta puede configurar
el sistema operativo de tu equipo, definir el software de uso estandarizado
y proceder a su instalación o desinstalación.

En cualquier caso, debes hacer un uso de las aplicaciones con fines profesionales, no
personales o privados.
Por tanto, no puedes desactivar el antivirus o instalar una versión diferente del programa original, así
como instalar o visualizar salvapantallas, fotos, videos, comunicaciones u otros medios con contenidos
ofensivos, violentos, amenazadores, obscenos o, en general, aquellos que agredan la dignidad de la
persona.

AUTOEVALUACIÓN

¿Puedes instalar en tu equipo el software Adobe PhotoShop?

a) Sí, puesto que en mi equipo puedo instalar o desinstalar las aplicaciones
que considere oportuno
b) No, sólo la Junta puede configurar el sistema operativo de mi equipo
c) Sólo si tiene una finalidad profesional, aunque tengo que solicitarlo al
servicio de informática

Sabías que...
El Consejo General del Poder Judicial redactó y publicó en BOE la Instrucción 2/2003, de 26 de febrero, del
Pleno General del Poder Judicial, sobre Código de Conducta para usuarios de equipos y sistemas
informáticos al servicio de la Administración de Justicia, que, en particular, afecta también al personal de la
Junta de Andalucía que accede a los sistemas judiciales..

4 de 10

La información que manejas
En el desarrollo del proyecto "Parques de tu ciudad" estás manejando datos personales,
documentación, archivos, etc., que junto a otros proyectos que también gestionas (estudios,
estadísticas, etc), resulta un volumen de información considerable.
Sabías que...
La información es el principal patrimonio de cualquier administración, máxime cuando se trata de
organismos públicos, por lo que su protección y seguridad resulta imprescindible, comenzando desde tu
propia actividad que contribuye reduciendo riesgos.
Cada día son más las organizaciones y empresas que consideran su información como el motor del
negocio que es, un activo estratégico que verás cómo a diario es sometido a nuevos y más graves
riesgos, siendo necesario vencer la inseguridad y la desconfianza que esto genera. Virus, hackers,
averías, incendios, personal descontento, errores humanos, etc., son miles las amenazas que tienen
efectos devastadores, y que generan:

Falta de Disponibilidad: Cuando no puedes acceder a la información siendo esta
necesaria para tomar de decisiones, por inoperatividad de las infraestructuras tecnológicas.
Falta de Confidencialidad: Información accedida por personas no autorizadas. Robo de
datos de clientes, espionaje, filtraciones, fraude.
Pérdida de Integridad: Alteración de la información intencionada o por error al no existir
controles.
Ausencia de identificación: Imposibilidad de identificar al responsable de cada acceso a
la información para la consulta, adición, supresión o modificación de datos.
La seguridad en los sistemas de información surge con el acelerado desarrollo de las tecnologías de la
información (TICs), que junto a la rápida implantación de Internet, ha conllevado que cantidades
enormes de información (en muchos casos confidencial) estén a disposición de cualquiera.
Esta escasa seguridad que hubo en los orígenes del boom de Internet hizo saltar la alarma, de tal forma
que la seguridad de la información empezó a tomarse en serio, tanto en el ámbito empresarial,
como comercial y por supuesto jurídico-legal.

Así pues, la Seguridad de los sistemas debe garantizar la confidencialidad, integridad
y disponibilidad de la información, así como el acceso identificado a la misma.
Estos principios en la protección de los recursos y sistemas de información
constituyen las normas básicas que deben regir el desenvolvimiento de tus tareas
en tu puesto de trabajo.

Propiedad de la información
En el desarrollo de tu actividad laboral dentro de la Consejería manejas
diversa información, tales como: Estudios, memorias, estadísticas, etc.
Llegados a un punto en el que el grado de tu implicación en la
elaboración o desarrollo de determinada documentación sea fruto de tu
actividad, puedes dudar si ¿la documentación final que has elaborado te
pertenece?...
Ten en cuenta que toda la información albergada en los servidores de la
Administración de la Junta de Andalucía, o que circule a través de su red
mediante elementos de comunicación o transmisión, que sean de su propiedad
o le hayan sido confiada, tiene carácter confidencial. Así queda recogido en el
punto 6.1. del Manual de Comportamiento de los empleados públicos,
establecido en la RESOLUCIÓN de 27 de septiembre de 2004.
Aunque cabe matizar que aunque se dice "toda la información", se refiere evidentemente a aquella que
no es pública, pues también existe información que es publicada en BOJA.

5 de 10

De modo que la información corporativa que conozcas y manejes para tu desempeño no implica que
sea de tu propiedad, titularidad o tengas derecho de copia, por lo que debes usarla de modo
estrictamente oficial y profesional, de acuerdo con tus funciones del servicio al que perteneces,
excluyendo cualquier actividad ilícita o ilegal.
De hecho, en caso de finalizar tu relación funcionarial o laboral con la Administración de la Junta de
Andalucía o si te trasladas de puesto de trabajo, debes dejar sin perjudicar todas las aplicaciones
informáticas, ficheros, información, datos y documentos electrónicos que hayas utilizado en tu actividad
profesional.
AUTOEVALUACIÓN

Has elaborado un informe en el que recopilas diversa información y estadísticas acerca de la
situación actual, tomadas de fuentes corporativas ¿De quién crees que es esa información?

a) De la persona que elabora las estadísticas
b) De ti, la persona autora del informe
c) Del organismo al que pertenezco

Modos de acceso
Cuando entraste a formar parte del personal de la Junta te asignaron un
nombre de usuario y una contraseña ¿Puedes compartirlos?
Tus credenciales, a modo de autorización, te permiten acceder a la información
de los sistemas. Ahora bien, nunca olvides que dichas credenciales son
personales e intransferibles, de modo que debes asegurarlas e ir cambiando
la clave periódicamente, motivo por el que tienen un periodo de vigencia que te
exige dicho cambio.

Custodia convenientemente tu usuario y contraseña, sin compartirlas con nadie, puesto que la
única persona responsable de toda la actividad relacionada con tu acceso personal autorizado
serás tú. Esta recomendación es especialmente importante en el caso del uso de certificados
digitales.
De ahí que no sea recomendable que escribas o guardes en ningún formato tus credenciales
personales. De igual manera, si sospechas que tu acceso (usuario y/o contraseña) está siendo utilizado
por otra persona, debes cambiar la contraseña inmediatamente y comunicar la correspondiente
incidencia al responsable de Seguridad de la Información de tu Centro Directivo.
AUTOEVALUACIÓN

¿Puedes escribir todas tus credenciales en un documento Word?

a) No es recomendable
b) Sí, para que mis compañeros de servicio puedan acceder si yo no me
encuentro

6 de 10

Tratando la información
La Consejería te ha asignado determinados privilegios que te permiten acceder y hacer uso de
información corporativa. Pues bien, en este sentido, resulta imprescindible que asumas activamente la
protección de toda información corporativa que manejas, evitando en todo momento el
acceso y/o visualización no autorizado tanto internamente como en el exterior de la
Consejería.

Recuerda que, además, el tratamiento de datos personales está regulado por una Ley Orgánica
(LOPD) y su protección es un derecho fundamental de las personas, por lo que has de tener
una especial consideración de confidencialidad con los archivos que contengan datos
de carácter personal.
Al mismo tiempo, el carácter confidencial de la información y los datos a los que
tienes acceso exige que los protejas de cualquier acción que pueda dañarlos,
debiendo utilizar para ello las salvaguardas que la Junta de Andalucía pone a
tu disposición y notificar cualquier incidente o anomalía que detectes que
pueda comprometer el buen uso y funcionamiento de los sistemas de información.

Introduciendo información
En cuanto a los ficheros, cualquiera que introduzcas en la red corporativa o en tu
puesto de trabajo a través de soporte automatizado, Internet, correo electrónico o
cualquier otro medio, ten en cuenta que debe cumplir los requisitos
establecidos en estas normas y, en especial, las referidas a la propiedad intelectual, el control
antivirus y la protección de datos de carácter personal.

Exportando información
Por otro lado, no olvides que toda salida de información que contenga datos de carácter personal, en
cualquier soporte, sólo puede hacerla el personal autorizado formalmente por el responsable del
fichero, siempre cumpliendo la normativa vigente que garantiza los niveles de protección.

Redes de comunicación
Al conectarte a la red corporativa no olvides que no puedes hacerlo por otros medios distintos a los
definidos y administrados por la Junta de Andalucía, así que no debes hacerlo con cualquier equipo
informático distinto a los instalados para tal fin por la administración.
Si eres personal externo debes conectarte a los entornos corporativos desde tu equipo, previa
autorización y, en su caso, la supervisión del responsable de los sistemas de información pertinente.

Recuerda que tienes prohibido intentar obtener otros derechos o accesos distintos a los
que te han asignado, así como distorsionar o falsear los registros «logs» de los sistemas de
información.

Uso de Internet y correo electrónico
Recientemente te han actualizado el antivirus de tu equipo, se trata de una
versión más completa que contempla procedimientos para detectar los virus
registrados recientemente. Consciente de ello, revisando tu correo
electrónico decides abrir un email de spam que te ha llamado la atención.
Conoces el riesgo que conlleva, pero confías en el correcto funcionamiento y
eficacia del antivirus.
Los antivirus pueden protegerte, pero no hasta tal punto en el que puedas
relajarte. Quizás la versión del antivirus que tengas instalada sea básica para
detectar virus, pero... ¿Qué ocurre con los troyanos? ¿Con los gusanos? ¿Y los ataques directos y
deliberados de hackers?

7 de 10

La misma conexión a Internet que te permite mandar correos, navegar por tus páginas favoritas y
comunicarte con personas de todo el mundo pone en peligro tu equipo.
Estos riesgos se pueden paliar asumiendo buenas prácticas y con juicio crítico en la utilización de las
herramientas que tienes a tu disposición ¡Conócelas!

¿Para qué utilizar Internet?
Seguro que habrás escuchado o leído información sobre los riesgos a los que
te expones al navegar por internet. Los ataques son una realidad cada vez más
frecuente, que pueden acarrear graves consecuencias. Como es el caso de una
empresa española que fue atacada por piratas informáticos logrando robar
claves de e-mail de usuarios, datos bancarios, teléfonos y domicilios
personales. Pulsa aquí para leer la noticia.
Estarás de acuerdo en que Internet ofrece muchas posibilidades, aunque también
conlleva riesgos. Es por ello que en la Consejería dispones de conexión a Internet,
pero sólo debes usarlo con una finalidad profesional, accediendo con una autorización (usuario y
contraseña) acorde con las funciones de tu puesto. Sólo puedes realizar transferencias de datos desde o a
Internet por exigencias de tu trabajo.
Así, la Administración puede restringir el acceso a determinados servidores de contenidos en Internet
que no sean útiles para el ejercicio de tus tareas y actividades, controlando los accesos (direcciones de
páginas visitadas, fecha y hora, ficheros descargados, usuario y puesto desde el que se ha efectuado la
conexión) e incluso monitorizando las direcciones de acceso y el tiempo de conexión.

No debes acceder en ningún caso a direcciones de Internet que tengan un contenido ofensivo o
atentatorio de la dignidad humana.

Uso adecuado del correo electrónico
A través de una inmobiliaria has puesto en alquiler tu casa de la playa y para mantener la
comunicación con ésta sobre los clientes interesados les proporcionas tu correo corporativo,
puesto que piensas que el tuyo personal no puedes consultarlo desde el trabajo, además de que
lo consideras más cómodo y seguro.
Otra herramienta que la administración pone a tu alcance es el correo electrónico, asignándote una
cuenta individual y personal, aunque no por ello significa que la utilices para temas personales, sino que
debes emplearla exclusivamente cuando tu desempeño laboral lo requiera. Utiliza las herramientas
que están a tu disposición de una manera inteligente y cautelosa.
Por tanto, quedan prohibidas acciones como el uso abusivo de listas de correos para el envío de
mensajes de forma masiva o piramidal, y por supuesto el envío deliberado de cualquier clase de
programa o virus que puedan causar perjuicios en los sistemas de información de la Administración de la
Junta de Andalucía o a terceros.

Tu cuenta de correo es personal y nadie debe acceder a ella sin tu previa autorización escrita,
salvo aquellas cuentas asociadas a puestos singulares. Pues del mismo modo, tú tampoco
puedes interceptar, leer, borrar, copiar o modificar el correo electrónico dirigido a otros usuarios.

8 de 10

Los responsables de los sistemas de información
Como titular de la Jefatura de Servicio en la Consejería de Protección Ambiental,
tienes asignados determinados privilegios, que no puedes aprovechar para
acceder a la información o datos que sean ajenos o innecesarios para el desarrollo
de las tareas que competen a tu cargo. Sólo podrás acceder cuando lo autorice el
responsable del fichero.
Al igual que como perfil de usuario debes asegurar adecuadamente tus credenciales,
como perfil de administrador tiene mayor relevancia aún, debiendo custodiar con
especial cuidado tus identificadores y contraseñas que permiten el acceso al
sistema como administrador.
También debes asegurar que la información almacenada y tratada por los sistemas de información sea
salvaguardada mediante copias de seguridad y que se realizan periódicamente pruebas de
recuperación de los datos salvaguardados. Así como llevar el control de los soportes informáticos que
contengan datos de carácter personal manteniendo un inventario actualizado de los mismos, donde
figure el tipo de información que contienen y las personas autorizadas a su manejo.
Asimismo, como responsable en los sistemas de información debes comprobar que se lleve a cabo el
control de acceso restringido sólo a personal autorizado en los lugares donde se encuentren los
sistemas de almacenamiento y servidores con información confidencial o con datos de carácter personal.

No olvides que en caso de que se incumplan las normas de seguridad o detectes alguna
vulnerabilidad de los sistemas lo notifiques a la persona autorizada para su corrección.

Buenas prácticas
¿Qué crees que puede ser más peligroso para la seguridad de los sistemas informáticos de la
Consejería: ¿El personal no formado o un virus? Pulsa aquí para averiguarlo.
A lo largo del tema has visto la necesidad de adoptar buenas prácticas, pero ¿tienes obligación
hacerlo? Tú como empleado público debes de cumplir con la Resolución de 27 de septiembre
2004, de la Secretaría General para la Administración Pública, por la que se establece el manual
comportamiento de los empleados públicos en el uso de los sistemas informáticos y redes
comunicaciones de la Administración de la Junta de Andalucía.

de
de
de
de

La primera medida de seguridad y la más importante es que desarrolles buenos métodos y
prácticas al usar la información y los recursos que la sustentan. Podría parecer algo
molesto, pero no lo es. Puesto que tú eres quien controla en última instancia los documentos,
programas, páginas web y todo contenido que se carga y muestra en tu equipo, de modo que
puedes hacer mucho por protegerte sin necesidad de disponer de software adicional, ni de realizar cambios
de configuración.
Del mismo modo que al asegurar tu casa no sacas nada con
ponerle una puerta blindada con una sofisticada cerradura si
dejas las ventanas abiertas. El uso de sofisticados métodos de
protección es inútil si no garantizas la seguridad de tu puesto de
trabajo.

La seguridad comienza en ti y no dentro de tu equipo.

Jersey para la protección de datos

9 de 10

AUTOEVALUACIÓN

Adoptar buenas prácticas en el uso de los sistemas informáticos...

a) Es muy recomendable, aunque no repercute en la seguridad del sistema
b) No es necesario puesto que con las medidas técnicas es suficiente
c) Es vital para asegurar la confidencialidad, integridad y disponibilidad del
sistema

Curso de Protección de Datos en la Administración Pública

10 de 10