manual del responsable de seguridad -...

Manual de responsable de seguridad enmateria de protección de datos de carácter

personal de la entidad

Universidad de Almería.

ADAPTADO AL REAL DECRETO 1720/2007

Mayo de 2011

Universidad de Almería. - Manual del responsable de seguridad

Índice

1. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12. Funciones y obligaciones del responsable de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13. Explicación de las funciones y obligaciones encomendadas al responsable . . . . . . . . . . . . . . . . . . .53.1. Tareas que garantizan el cumplimiento del RDLOPD para FFAA . . . . . . . . . . . . . . . . . . . . . . . . . .53.2. Tareas que garantizan el cumplimiento del RDLOPD para FFNA . . . . . . . . . . . . . . . . . . . . . . . . . .74. Procedimientos fijados en la organización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .214.1.Procedimiento de notificación y gestión de incidencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .214.1.1. Procedimiento para la notificación de incidencias de ficheros automatizados . . . . . . . . . . . . . .214.1.2. Procedimiento para la notificación de incidencias de ficheros no automatizados . . . . . . . . . . .234.2.Procedimientos de entrada y salida de soportes y documentos . . . . . . . . . . . . . . . . . . . . . . . . . . .264.2.1. Procedimiento de registro de entrada de soportes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .274.2.2. Procedimiento de registro de salida de soportes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .314.3.Procedimientos de gestión de usuarios de los ficheros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .364.3.1. Procedimiento de alta de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .364.3.2. Procedimiento de baja de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .414.4.Procedimiento de desechado y reutilización de soportes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .454.4.1. Procedimiento de desechado y reutilización de soportes automatizados . . . . . . . . . . . . . . . . . .454.4.2. Procedimiento de desechado y reutilización de soportes no automatizados . . . . . . . . . . . . . . .484.5. Procedimiento para los envíos telemáticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .514.6. Procedimiento para el uso del correo electrónico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .544.7. Procedimiento ante solicitudes de ejercicio de derechos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .574.8.Procedimientos de archivo y custodia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .624.8.1. Procedimiento de custodia de soportes no automatizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . .624.8.2. Procedimiento de archivo de ficheros no automatizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .654.8.3. Procedimiento de restricción de acceso a ficheros no automatizados . . . . . . . . . . . . . . . . . . . .684.9. Procedimiento de copia y reproducción de documentos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .714.10. Procedimiento de traslado de documentación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .745. Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .77

II


1. Introducción La protección de los datos de carácter personal de los ciudadanos ha sido regulada por ellegislador español mediante la L.O. 15/1999 (en adelante LOPD), que establece toda unaserie de medidas de obligado cumplimiento para aquellas entidades que, en el ejercicio desu actividad, sometan a tratamiento este tipo de datos. A su vez el Reglamento de Desarrollode la LOPD (RD 1720/2007 o RDLOPD) desarrolla lo previsto en la LOPD. Para coordinartales medidas el RDLOPD contempla la figura del responsable de seguridad. A su vez enocasiones existen determinadas funciones que conviene delegar en responsables deseguridad delegados (de aspectos jurídico organizativos y técnicos respectivamente). Para coordinar tales medidas el RDLOPD contempla la figura del responsable/s deseguridad. Es objeto de este manual detallar las funciones que al responsable de seguridad CarmenAlicia García de Universidad de Almería. le corresponden así como darle pautas al mismopara que conozca como ejecutar las tareas que le corresponden.

2. Funciones y obligaciones del responsable deseguridad

"En el documento de seguridad deberán designarse uno o varios

responsables de seguridad encargados de coordinar y controlar las medidas

definidas en el mismo. Esta designación puede ser única para todos los

ficheros o tratamientos de datos de carácter personal o diferenciada según

los sistemas de tratamiento utilizados, circunstancia que deberá hacerse

constar claramente en el documento de seguridad.

En ningún caso esta designación supone una exoneración de la

responsabilidad que corresponde al responsable del fichero o al encargado

del tratamiento de acuerdo con este Reglamento." Artículo 95 RDLOPD.

1

-

-

-

-

-

-

-

-

-

-

-


El Responsable de Seguridad es el encargado de autorizar, coordinar, controlar y en algunossupuestos ejecutar las medidas definidas en el documento seguridad. Corresponde al Responsable de Seguridad, por si mismo o a través delresponsable delegado, cumplir con las siguientes obligaciones:

Someter los sistemas de información, al menos cada 2 años, a una auditoría interna oexterna que verifique el cumplimiento del Reglamento, procedimientos e instrucciones.(El informe de auditoría dictaminará sobre la adecuación de las medidas y controles,identificará deficiencias y propondrá medidas correctoras o complementarias. Deberáincluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados yrecomendaciones propuestas. ART. 96.2.)Analizar el informe de auditoría y elevar las conclusiones al responsable del fichero paraque adopte las medidas correctoras adecuadas y quedarán a disposición de la Agenciade Protección de DatosImplantar (o, en su caso, modificar) controles periódicos para verificar el cumplimiento delo establecido en el documento de seguridadRevisar los controles periódicos para verificar el cumplimiento de lo establecido en eldocumento de seguridadControlar que sólo el personal autorizado a ello pueda acceder a la información en papelde nivel alto.Actualizar el listado de personal autorizado a acceder a datos personales en soportepapel de nivel altoCuidar que los armarios y archivadores que contengan información con datos personalesde nivel alto se encuentren en áreas en las que el acceso esté protegido con puertas deacceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente.Cuidar que las áreas en que se encuentren los armarios y archivadores que contenganinformación con datos personales de nivel alto permanezcan cerradas cuando no seapreciso el acceso a los documentos que contienen. (Salvo que atendidas lascaracterísticas de los locales no fuera posible disponer de áreas cerradas en cuyo casoel responsable adoptará medidas alternativas que, debidamente motivadas, se incluiránen el documento de seguridad).Someter los sistemas de información, al menos cada 2 años, a una auditoría interna oexterna que verifique el cumplimiento de las medidas de seguridad exigidas para losficheros no automatizados.Analizar el informe de auditoría y elevar las conclusiones al responsable del fichero paraque adopte las medidas correctoras adecuadas y quedarán a disposición de la Agenciade Protección de DatosAdoptar las medidas oportunas para que el acceso de los usuarios esté limitado a losrecursos que precisen para el desarrollo de sus funciones.

2

-

-

-

-

-

-

-

-

-

-

-

-

-

-

-


Confeccionar y mantener una relación actualizada de usuarios y perfiles de usuarios aficheros no automatizados, y los accesos autorizados para cada uno de ellosEstablecer mecanismos para evitar que un usuario pueda acceder a ficheros noautomatizados con derechos distintos de los autorizadosAdoptar las medidas para que solo pueda conceder, alterar o anular el accesoautorizado a ficheros no automatizados el personal autorizado para ello en el documentode seguridad, conforme a los criterios establecidos por el responsable del fichero.Adoptar las medidas oportunas para que el personal ajeno que tenga acceso a losficheros no automatizados esté sometido a las mismas condiciones y obligaciones deseguridad que el personal propio.Controlar que únicamente realicen copias de los documentos que contengan datos denivel alto las personas autorizadas en el documento de seguridad.Actualizar el listado de personas autorizadas a realizar copias de información quecontenga datos de nivel altoRedactar y revisar la existencia de un procedimiento que indique como proceder a ladestrucción de las copias o reproducciones desechadas que contengan datos de nivelalto de forma que se evite el acceso a la informaciónProceder a la destrucción de las copias o reproducciones de desechadas de forma quese evite el acceso a la información contenida en las mismas o su recuperación posterior.Definir las funciones y obligaciones del personal en relación con los ficheros noautomatizadosDocumentar las funciones y obligaciones del personal en relación con los ficheros noautomatizadosNombrar y en su caso reemplazar a los responsables de seguridad oportunos(encargados de coordinar las medidas de seguridad de los ficheros no automatizados).Adoptar las medidas necesarias para que los responsables de seguridad conozcan lasnormas de seguridad que afecten al desarrollo de sus funciones así como lasconsecuencias en que pudiera incurrir en caso de incumplimientoEstablecer un procedimiento de notificación y gestión de las incidencias relativas a losficheros no automatizadosEstablecer un registro en el que se haga constar el tipo de incidencia, el momento enque se ha producido, o en su caso, detectado, la persona que realiza la notificación, aquién se le comunica, los efectos que se hubieran derivado de la misma y las medidascorrectoras aplicadas, en relación con los ficheros no automatizadosDisponer lo oportuno para que se archiven los soportes o documentos de acuerdo concriterios que garanticen la correcta conservación de los documentos, la localización yconsulta de la información y posibilitar el ejercicio de los derechos de oposición altratamiento, acceso, rectificación y cancelación. (Ello se hará con los criterios previstosen su respectiva legislación, o en aquellos casos en los que no exista norma aplicable,según los criterios y procedimientos que disponga el responsable del fichero o en quiendelegue este).

3

-

-

--

-

-

-

-

-

-

-


Cuidar que los dispositivos de almacenamiento de los documentos que contengan datosde carácter personal dispongan de mecanismos que obstaculicen su apertura. (Cuandolas características físicas de aquéllos no permitan adoptar esta medida, el responsabledel fichero o tratamiento adoptará medidas que impidan el acceso de personas noautorizadas, medida que podrá consistir en la custodia por parte de quien se encuentreal cargo).Identificar el tipo de información que contienen los soportes y documentos quecontengan datos de carácter personalInventariar los soportes y documentos que contengan datos de carácter personal Adoptar las medidas para que los soportes y documentos que contengan datos decarácter personal sólo sean accesibles por el personal autorizado para ello en eldocumento de seguridad.No se etiquetarán cuando las características físicas del soporte imposibiliten sucumplimiento, quedando constancia motivada de ello en el documento de seguridadPodrán etiquetarse crípticamente (sólo comprensibles para los usuarios con accesoautorizado) cuando contengan datos de carácter personal que la organizaciónconsiderase especialmente sensibles.La salida de soportes y documentos que contengan datos de carácter personal, fuera delos locales bajo el control del responsable del fichero o tratamiento deberá ser autorizadapor el responsable del fichero o encontrarse debidamente autorizada en el documentode seguridad.Establecer mecanismos que permitan identificar los accesos realizados en el caso dedocumentos que contengan datos de nivel alto que puedan ser utilizados por múltiplesusuarios Revisar periódicamente el registro de los accesos a datos de nivel alto contenidos endocumentosEstablecer un procedimiento para que cuando se proceda al traslado físico de ladocumentación con datos de nivel alto contenida en ficheros se adopten medidasdirigidas a impedir el accesoCon carácter extraordinario realizar dicha auditoría siempre que se realicenmodificaciones sustanciales en el sistema de información que puedan repercutir en elcumplimiento de las medidas de seguridad implantadas con el objeto de verificar laadaptación, adecuación y eficacia de las mismas (Esta auditoría inicia el cómputo de dosaños para la realización de la auditoría bienal del artículo 96.1. RDLOPD)

4


3. Explicación de las funciones y obligacionesencomendadas al responsable A continuación se presenta, en relación con cada una de las tareas asignadas alresponsable, una explicación de la ejecución de las mismas. NOTA IMPORTANTE: Ya que muchas de ellas han de ejecutarse utilizando funcionalidadesde GESDATOS el responsable deberá tener en cuenta los manuales sobre GESDATOS queen la guía de ayuda de GESDATOS existen.

3.1. Tareas relativas a medidas que garanticenel cumplimiento de las medidas de seguridadque detalla el reglamento de desarrollo de laLOPD para ficheros automatizados. AUDITORÍA

Esta obligación supone auditar los sistemas de información cuando se produzcanmodificaciones sustanciales en el sistema de información que puedan repercutir en elcumplimiento de las medidas de seguridad. El objeto de esta auditoria será verificar laadaptación, adecuación y eficacia de las nuevas medidas de seguridad implantadas. Estaauditoría iniciará el cómputo de dos años para la realización de la auditoría legalmenteestablecida. GESDATOS le permite (en cualquier modalidad contratada) llevar un control delas auditorías efectuadas. Acceda al módulo CONTROLES y acceda a AUDITORÍAS. Allí

Art. 96.1 Con carácter extraordinario realizar dicha auditoríasiempre que se realicen modificacionessustanciales en el sistema de información quepuedan repercutir en el cumplimiento de lasmedidas de seguridad implantadas con el objeto deverificar la adaptación, adecuación y eficacia de lasmismas (Esta auditoría inicia el cómputo de dosaños para la realización de la auditoría bienal delartículo 96.1. RDLOPD)

5


podrá subir el informe de auditoría que se haya realizado en formato electrónico consignadolos datos identificativos del mismo.

Esta obligación de someter los sistemas de información, al menos cada 2 años, a unaauditoría interna o externa que verifique el cumplimiento del Reglamento, procedimientos einstrucciones supone la remisión en bloque a todo lo relativo a las auditorias en protecciónde datos. GESDATOS le permite (en cualquier modalidad contratada) llevar un control de lasauditorías efectuadas. Acceda al módulo CONTROLES y acceda a AUDITORÍAS. Allí podrásubir el informe de auditoría que se haya realizado en formato electrónico consignado losdatos identificativos del mismo. Si desea realizar la auditoria en protección de datos queexige el reglamento en relación con los ficheros automatizados o desea realizarla sobre lasmedidas de seguridad relativas a ficheros automatizados, incluso si desea realizar unaauditoria voluntaria sobre las obligaciones y principios que recoge la LOPD puede utilizar (silo ha contratado) el módulo de auditorías de GESDATOS.

El informe de auditoría (bien realizado con el módulo de auditorías de GESDATOS bien deotro modo) debe ser analizado por el responsable de seguridad y elevar las conclusiones alresponsable del fichero (a través de su representante)para que este adopte las medidascorrectoras adecuadas. Asimismo deberá guardarse y quedar a disposición de la Agencia deProtección de Datos. Para facilitarle esta obligación GESDATOS le ofrece la siguiente

Art. 96.1 Someter los sistemas de información, al menoscada 2 años, a una auditoría interna o externa queverifique el cumplimiento del Reglamento,procedimientos e instrucciones. (El informe deauditoría dictaminará sobre la adecuación de lasmedidas y controles, identificará deficiencias ypropondrá medidas correctoras ocomplementarias. Deberá incluir los datos, hechosy observaciones en que se basen los dictámenesalcanzados y recomendaciones propuestas. ART.96.2.)

Art. 96.3 Analizar el informe de auditoría y elevar lasconclusiones al responsable del fichero para queadopte las medidas correctoras adecuadas yquedarán a disposición de la Agencia deProtección de Datos

6


funcionalidad: acceda al módulo CONTROLES y acceda a AUDITORÍAS. Allí podrá subir elinforme de auditoría que se haya realizado en formato electrónico. CONTROLES PERIÓDICOS

El art. 15 del reglamento de medidas de seguridad establece que se deberán realizarcontroles periódicos para verificar el cumplimiento de lo dispuesto en el documento deseguridad. En GESDATOS, se dispone de un módulo denominado CONTROLES, y dentrodel mismo, puede elegir la opción de CONTROLES PERIÓDICOS, que le permitirá realizardichos controles con la periodicidad establecida en relación con cada uno de losresponsables de seguridad y - en su caso - gestores de fichero concreto que se hayandesignado. La tarea consistente en implantar (o en su caso modificar) los controles suponeponer en marcha o modificar dicho sistema de controles, particularmente su periodicidad.Elart. 15 del reglamento de medidas de seguridad establece que se deberán realizar controlesperiódicos para verificar el cumplimiento de lo dispuesto en el documento de seguridad.

Revisar los citados controles supone pasar los citados controles en el apartado controlesperiódicos de GESDATOS y revisar la realización o no de las tareas que en dichos controlesse han asignado a cada persona. Ello supondrá -como consecuencia lógica- que en elapartado tareas pendientes se genere el correspondiente pdf que deberá imprimirse,firmarse y guardarse. También podrá guardarse el citado pdf en la zona de recursos en unacarpeta denominada controles periódicos (en el citado formato pdf) y con la fecha de cadacontrol y nombre del responsable. Ejemplo. Control241006juanperez.pdf

3.2. Tareas relativas a medidas que garanticenel cumplimiento de las medidas de seguridadque detalla el reglamento de desarrollo de laLOPD para ficheros no automatizados.

Art. 88.7 Implantar (o, en su caso, modificar) controlesperiódicos para verificar el cumplimiento de loestablecido en el documento de seguridad

Art. 88.7 Revisar los controles periódicos para verificar elcumplimiento de lo establecido en el documento deseguridad

7


ACCESO A LA DOCUMENTACIÓN

Cuando se genera un Alta de Usuario o de Responsable en GESDATOS se puedeespecificar los ficheros a los que accede y la modalidad del acceso. El responsable deseguridad deberá velar porque esta medida se cumpla de modo que solo tengan acceso alos documentos que contengan datos personales de nivel alto el personal autorizado a elloconforme a su Alta de Usuario firmada.

Del mismo nodo que para los ficheros en formato automatizado, el listado de los usuarioscon acceso autorizado a los ficheros en formato papel deberá mantenerse actualizada. ALMACENAMIENTO DE INFORMACIÓN

El artículo 111 del Reglamento establece la obligación de que los armarios y archivadoresdonde se almacenen documentos que contengan información con datos de nivel alto seencuentren en áreas en las que el acceso esté protegido con puertas dotadas de sistemasde apertura mediante llave y otro dispositivo equivalente. Asimismo, si estas medidas,atendidas las características de los locales, fueran imposible adoptarlas deberá dejarconstancia motivada de ello en el Documento de Seguridad. GESDATOS le permite reflejarlas medidas adoptadas o, en su caso, los motivos por los que no puede adoptarse lasmedidas de seguridad exigidas.

Art. 113.1 Controlar que sólo el personal autorizado a ellopueda acceder a la información en papel de nivelalto.

Art. 113.1 Actualizar el listado de personal autorizado aacceder a datos personales en soporte papel denivel alto

Art. 111.1 Cuidar que los armarios y archivadores quecontengan información con datos personales denivel alto se encuentren en áreas en las que elacceso esté protegido con puertas de accesodotadas de sistemas de apertura mediante llave uotro dispositivo equivalente.

8


Los procedimientos de gestión de documentos deberán especificar esta medida a fin de quetodos los Usuarios conozcan esta obligación. No obstante, en los manuales que puedengenerarse con GESDATOS encontrará el procedimiento establecido al efecto. AUDITORÍA

Esta obligación de someter los sistemas de información, al menos cada 2 años, a unaauditoría interna o externa que verifique el cumplimiento del Reglamento, procedimientos einstrucciones supone la remisión en bloque a todo lo relativo a las auditorias en protecciónde datos. GESDATOS le permite (en cualquier modalidad contratada) llevar un control de lasauditorías efectuadas. Acceda al módulo CONTROLES y acceda a AUDITORÍAS. Allí podrásubir el informe de auditoría que se haya realizado en formato electrónico consignado losdatos identificativos del mismo. Si desea realizar la auditoria en protección de datos queexige el reglamento en relación con los ficheros automatizados o desea realizarla sobre lasmedidas de seguridad relativas a ficheros automatizados, incluso si desea realizar unaauditoria voluntaria sobre las obligaciones y principios que recoge la LOPD puede utilizar (silo ha contratado) el módulo de auditorías de GESDATOS.

Art. 111.1 -111.2

Cuidar que las áreas en que se encuentren losarmarios y archivadores que contenganinformación con datos personales de nivel altopermanezcan cerradas cuando no sea preciso elacceso a los documentos que contienen. (Salvoque atendidas las características de los locales nofuera posible disponer de áreas cerradas en cuyocaso el responsable adoptará medidas alternativasque, debidamente motivadas, se incluirán en eldocumento de seguridad).

Art. 110 Someter los sistemas de información, al menoscada 2 años, a una auditoría interna o externa queverifique el cumplimiento de las medidas deseguridad exigidas para los ficheros noautomatizados.

9


El informe de auditoría (bien realizado con el módulo de auditorías de GESDATOS bien deotro modo) debe ser analizado por el responsable de seguridad y elevar las conclusiones alresponsable del fichero (a través de su representante)para que este adopte las medidascorrectoras adecuadas. Asimismo deberá guardarse y quedar a disposición de la Agencia deProtección de Datos. Para facilitarle esta obligación GESDATOS le ofrece la siguientefuncionalidad: acceda al módulo CONTROLES y acceda a AUDITORÍAS. Allí podrá subir elinforme de auditoría que se haya realizado en formato electrónico. CONTROL DE ACCESOS

La medida consistente en que el acceso de los usuarios esté limitado a los recursos queprecisen para el desarrollo de sus funciones se trata de un hecho físico, es decir, unamedida física que no de cumple con GESDATOS sino que deberán articularse los mediosfísicos para que el acceso físico a los datos personales en soporte papel sólo sea posible poraquellos que tienen acceso autorizado. No obstante si que GESDATOS obliga a llevar unlistado de los usuarios autorizados en el cual se establecen los accesos de los usuarios a losficheros, tanto automatizados como no automatizados. También con GESDATOS se definenlas funciones y obligaciones de los usuarios, una de las cuales sería la de no acceder adatos o recursos no autorizados.

RELACIÓN ACTUALIZADA DE USUARIOS Existen diferentes opciones para mantener unarelación actualizada de usuarios: - Listado de usuarios: en los que se especifique a queficheros acceden los mismos. Para ello tiene a su disposición en GESDATOS de un módulodenominado PERSONAL, mediante el cual puede dar de alta a los usuarios y especificaracceso y tipo de acceso, departamento, etc. Este módulo es fácilmente actualizable, dada sufacilidad para dar de alta, modificar o dar de baja usuarios. Puede utilizar su propio listado de

Art. 110 Analizar el informe de auditoría y elevar lasconclusiones al responsable del fichero para queadopte las medidas correctoras adecuadas yquedarán a disposición de la Agencia deProtección de Datos

Art. 105.2 -91.1

Adoptar las medidas oportunas para que el accesode los usuarios esté limitado a los recursos queprecisen para el desarrollo de sus funciones.

Art. 105.2 -91.2

Confeccionar y mantener una relación actualizadade usuarios y perfiles de usuarios a ficheros noautomatizados, y los accesos autorizados paracada uno de ellos

10


usuarios. - Listado de perfiles: Otra de las opciones sería mantener actualizado un listado deperfiles de acceso de la organización, teniendo como complemento una relación de usuariosa los que se les asignaría su correspondiente perfil. Asimismo, se debería indicar cual es elsistema utilizado y la forma de obtener el listado. La AEPD permite que la relaciónactualizada de usuarios se mantenga de forma informatizada, pero, en ese caso, se deberáindicar en el Documento de Seguridad cual es el sistema utilizado y la forma de obtener ellistado. Asimismo, establece que, siempre que sea posible, es conveniente imprimir larelación de usuarios y adjuntarla periódicamente al documento de seguridad. Además detodo, se debería mantener una relación actualizada de los terceros que acceden a los datospara la prestación de un servicio. PROCEDIMIENTO DE IDENTIFICACIÓN YAUTENTICACIÓN El Reglamento de Desarrollo de la LOPD (RDLOPD) establece que elResponsable del Fichero se encargará de que exista un procedimiento de identificación yautenticación para permitir el acceso de los usuarios a los datos de carácter personal. Elprocedimiento de identificación y autenticación es aquel mediante el que se verifica laidentidad del usuario. Existen numerosas opciones entorno a este tipo de procedimientos. Elmás habitual es el establecido mediante Usuario y contraseña, aunque existen otros en losque se utilizan datos biométricos, como la utilización de características biométricas. Latendencia actual es implementar, en los sistemas de información actuales, al menos 2contraseñas, una a nivel de Sistema Operativo o a nivel de red, y otra para acceder a laaplicación que edita los ficheros de carácter personal. En GESDATOS, podrá describir, elprocedimiento de identificación y autenticación en Configuración; Posteriormente podrámodificarlo en mantenimiento accediendo al módulo Organización y seleccionando elapartado de Control de acceso lógico.

La información en formato papel que trate cada departamento deberá ser almacenada en unlugar de acceso restringido a personal ajeno al departamento de modo que garantice que losdatos de carácter personal contenidos en los soportes y documentos no puedan seraccedidos por usuarios con derechos distintos de los autorizados. Se trata de una medidatécnica que debe reflejarse en el Documento de Seguridad.

Art. 105.2 -91.3

Establecer mecanismos para evitar que un usuariopueda acceder a ficheros no automatizados conderechos distintos de los autorizados

11


La asignación de un determinado espacio de trabajo y los consiguientes accesos a ladocumentación, será designado por el Departamento de Recursos Humanos pero el efectivoacceso a la documentación deberá ser concedido por el Responsable de Seguridadencargado. Se trata de una medida técnica que debe reflejarse en el Documento deSeguridad.

GESDATOS también le permite generar Altas de Usuarios y Manuales (en el apartadoFORMACIÓN) para los usuarios externos a la organización. Tenga en cuenta que un usuarioexterno es aquél que accede con cierta periodicidad a los lugares físicos para la realizaciónde las tareas que tenga encomendadas. Normalmente este usuario externo formará parte delpersonal de otra empresa con la que deberá tener firmado el preceptivo contrato de acceso adatos por terceros exigido en el articulo 12 de la LOPD. COPIA O REPRODUCCIÓN. CONTROL DE COPIAS O REPRODUCCIONES

El art. 112.1 establece la obligación de controlar que únicamente el personal autorizadopueda realizar copias de los documentos que contengan datos de nivel alto. Por lo que elacceso a cualquier dispositivo que permita hacer copias de los documentos deberá quedarrestringido a los Usuarios con acceso autorizado. Se trata de una medida técnica que debereflejarse en el Documento de Seguridad.

Art. 105.2 -91.4

Adoptar las medidas para que solo puedaconceder, alterar o anular el acceso autorizado aficheros no automatizados el personal autorizadopara ello en el documento de seguridad, conformea los criterios establecidos por el responsable delfichero.

Art. 105.2 -91.5

Adoptar las medidas oportunas para que elpersonal ajeno que tenga acceso a los ficheros noautomatizados esté sometido a las mismascondiciones y obligaciones de seguridad que elpersonal propio.

Art. 112.1 Controlar que únicamente realicen copias de losdocumentos que contengan datos de nivel alto laspersonas autorizadas en el documento deseguridad.

12


Cuando se da de alta un nuevo usuario en GESDATOS puede reflejarse si está autorizado arealizar copias de seguridad de documentos en formato papel. COPIA O REPRODUCCIÓN. DESTRUCCIÓN

GESDATOS le permite establecer un procedimiento de destrucción de documentos o copias.Este procedimiento deberá reflejarse en el apartado establecido para Ficheros NoAutomatizados: PROCEDIMIENTO DE DESTRUCCIÓN DE DOCUMENTOS. COPIA O REPRODUCCIÓN. DESTRUCCIÓN.

Los art. 112.2 y 92.2 en relación con el 105.2, establecen la obligación de proceder a ladestrucción de los documentos para evitar un acceso no autorizado a la información quepudieran contener los documentos por lo que deberá disponer en su organización de unadestructora de papel o de un contenedor específico para los documentos o copias dedocumento que vayan a desecharse. FUNCIONES Y OBLIGACIONES DEL PERSONAL

GESDATOS le permite definir las funciones y obligaciones del personal respecto de losficheros no automatizados. En el apartado PERSONAL encontrará el subapartadoPROCEDIMIENTOS Y OBLIGACIONES donde puede establecer las funciones, obligacionesy procedimientos a seguir respecto de este tipo de ficheros.

Art. 112.1 Actualizar el listado de personas autorizadas arealizar copias de información que contenga datosde nivel alto

Art. 112.2 Redactar y revisar la existencia de unprocedimiento que indique como proceder a ladestrucción de las copias o reproduccionesdesechadas que contengan datos de nivel alto deforma que se evite el acceso a la información

Art. 112.2 -105.2 - 92.2

Proceder a la destrucción de las copias oreproducciones de desechadas de forma que seevite el acceso a la información contenida en lasmismas o su recuperación posterior.

Art. 105.2 -89.1

Definir las funciones y obligaciones del personalen relación con los ficheros no automatizados

13


De acuerdo con el RDLOPD, es necesario documentar claramente las funciones yobligaciones de cada una de las personas con acceso a los datos de carácter personal y alos sistemas de información. Para ello mediante GESDATOS se dispone de la opciónsiguiente: Mediante el Módulo PERSONAL, tanto en CONFIGURACIÓN como enMANTENIMIENTO, dentro del apartado PROCEDIMIENTOS Y OBLIGACIONES, podrádefinir las funciones y obligaciones de usuarios respecto de los ficheros no automatizados.

En el apartado PERSONAL subapartado RESPONSABLES puede nombrar a losResponsables de Seguridad especificando el departamento al que pertenece, cargo queocupa y ficheros a los que accede. Asimismo, podrá asignar las tareas que asumirá cadaResponsable de Seguridad.

Con GESDATOS puede generar los manuales necesarios para dar formación a losresponsable de seguridad. En el apartado FORMACIÓN, subapartado RESPONSABLESpuede generar unos manuales personalizados en los que se detallan las obligaciones GESTIÓN DE INCIDENCIAS

INCIDENCIA: Se trata de cualquier anomalía que pudiera afectar a la seguridad de los datosde su organización. Muchas de las incidencias pueden ser causadas por un usuario como el

Art. 105.2 -89.1

Documentar las funciones y obligaciones delpersonal en relación con los ficheros noautomatizados

Art. 109 Nombrar y en su caso reemplazar a losresponsables de seguridad oportunos (encargadosde coordinar las medidas de seguridad de losficheros no automatizados).

Art. 105 -89.2

Adoptar las medidas necesarias para que losresponsables de seguridad conozcan las normasde seguridad que afecten al desarrollo de susfunciones así como las consecuencias en quepudiera incurrir en caso de incumplimiento

Art. 105.2 -90

Establecer un procedimiento de notificación ygestión de las incidencias relativas a los ficherosno automatizados

14


olvido de destrucción de las copias de documentos, generación de copias por personal noautorizado en el Documento de Seguridad o perdida de documentos durante un traslado dedocumentación. También, pueden deberse a un acceso por parte de usuarios no autorizadosa las áreas donde se almacene la documentación que contenga datos de nivel alto. En casode que el Responsable no comunique la baja temporal o definitiva de un usuario obligaría averificar si se dio con posterioridad un acceso ilícito. Las incidencias pueden tener relacióncon el almacenamiento de la documentación, el traslado de la misma, las copias oreproducciones de documentos o pueden deberse a hechos extraordinarios tales comoincendios, inundaciones o robos. Estos hechos podrían incidir gravemente en la correctaconservación de los documentos dificultando enormemente la localización de la informaciónen caso de tener que atender el ejercicio de un derecho por parte de un afectado. Ante estassituaciones es conveniente que su organización disponga de un procedimiento que lepermita llevar el control y una adecuada gestión de las incidencias. El responsable deseguridad, tiene a su disposición, en GESDATOS, un módulo específico de gestión deincidencias denominado INCIDENCIAS. A través del mismo puede fijar el procedimiento denotificación. En caso de no utilizar GESDATOS para el establecimiento de un procedimientode declaración y gestión de las incidencias deberá reflejarlo en el anexo preparado al efectoen el Documento de Seguridad.

En GESDATOS dispone de un apartado específico denominado INCIDENCIAS que lepermite llevar un registro de las incidencias ocurridas en su organización así como de laresolución de las mismas. Caso de que no se utilice el registro de incidencias queGESDATOS pone a su disposición deberá cuidar que el registro esté actualizado en eldocumento de seguridad existente y que el mismo contenga la información indicada: tipo,fecha-hora, persona que notifica, a quién se comunica y efectos que produzca la incidencia.En el documento de seguridad generado por GESDATOS en el apartado modelos disponede un modelo de registro de incidencias al efecto. GESTIÓN DE SOPORTES Y DOCUMENTOS. CRITERIOS DE ARCHIVO

Art. 105.2 -90

Establecer un registro en el que se haga constar eltipo de incidencia, el momento en que se haproducido, o en su caso, detectado, la persona querealiza la notificación, a quién se le comunica, losefectos que se hubieran derivado de la misma y lasmedidas correctoras aplicadas, en relación con losficheros no automatizados

15


El artículo 106 del RDLOPD obliga a que se archiven los soportes o documentos quecontengan datos personales de acuerdo con criterios que garanticen la correctaconservación de los documentos, la localización y consulta de la información y posibilitar elejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación. Setrata de una obligación que consiste en un archivo correcto de los citados documentos ysoportes. GESDATOS le permite inventariar dichos soportes y su localización mediante lavinculación a una sede concreta. Si el volumen de documentos y soportes de suorganización es pequeño posiblemente ello, unido a una indexación clara de los archivosserá suficiente. Si se trata de una organización con un volumen mayor posiblemente requierade alguna herramienta (más o menos específica) que le ayude a cumplir con esta obligación.Tenga en cuenta que ello se hará con los criterios previstos en su respectiva legislación, oen aquellos casos en los que no exista norma aplicable, según los criterios y procedimientosque disponga el responsable del fichero o en quien delegue este. GESTIÓN DE SOPORTES Y DOCUMENTOS. CUSTODIA

Art. 106 Disponer lo oportuno para que se archiven lossoportes o documentos de acuerdo con criteriosque garanticen la correcta conservación de losdocumentos, la localización y consulta de lainformación y posibilitar el ejercicio de losderechos de oposición al tratamiento, acceso,rectificación y cancelación. (Ello se hará con loscriterios previstos en su respectiva legislación, oen aquellos casos en los que no exista normaaplicable, según los criterios y procedimientos quedisponga el responsable del fichero o en quiendelegue este).

Art. 107 Cuidar que los dispositivos de almacenamiento delos documentos que contengan datos de carácterpersonal dispongan de mecanismos queobstaculicen su apertura. (Cuando lascaracterísticas físicas de aquéllos no permitanadoptar esta medida, el responsable del fichero otratamiento adoptará medidas que impidan elacceso de personas no autorizadas, medida quepodrá consistir en la custodia por parte de quien seencuentre al cargo).

16


El artículo 107 del Reglamento establece la obligación de que los dispositivos dealmacenamiento estén dotados de algún mecanismo que impida su apertura. Se trata de unamedida técnica que debe reflejarse en el Documento de Seguridad. GESTIÓN DE SOPORTES Y DOCUMENTOS. ETIQUETADO

En GESDATOS, al igual que se inventarían los soportes informáticos también se inventaríanlos soportes no automatizados al describir los sistemas de tratamiento. Cuando introduza lossoportes que contengan datos no automatizados deberá también indicar los ficheros noautomatizados que contiene cada uno de ellos.

De acuerdo con el Reglamento, en el caso de que en su organización existan soportes odocumentos en formato papel con datos de carácter personal, debe inventariarlos. Para elloy dado que los habrá dado de alta en fase de configuración, GESDATOS (en el módulodenominado ORGANIZACIÓN, en mantenimiento), en concreto el apartado Soportes dealmacenamiento le permite dar de alta nuevos soportes o modificar o dar de baja losexistentes. Asimismo el Reglamento obliga a almacenarlos en un lugar seguro con accesorestringido al personal autorizado.

En GESDATOS, en el apartado de personal, cabe la opción de dar de alta nuevos usuarios,modificarlos o darlos de baja indicando - en su caso - los niveles de acceso que tienen.

Art. 105.2 -92.1

Identificar el tipo de información que contienen lossoportes y documentos que contengan datos decarácter personal

Art. 105.2 -92.1

Inventariar los soportes y documentos quecontengan datos de carácter personal

Art. 105.2 -92.1

Adoptar las medidas para que los soportes ydocumentos que contengan datos de carácterpersonal sólo sean accesibles por el personalautorizado para ello en el documento de seguridad.

17


GESDATOS le permite, en aquellos casos en los que las características físicas del soporteimposibilite el cumplimiento de la obligación anterior, dejar constancia motivada de estacircunstancia.

En caso de que la organización maneje datos que considere especialmente sensible eletiquetado de los estos documentos puede hacerse de modo que solo sea comprensiblepara la usuarios que vayan a tratar esos datos. GESTIÓN DE SOPORTES Y DOCUMENTOS. REGISTRO DE SALIDA

Al igual que respecto de los ficheros automatizados, el art. 93.2 del RDLOPD en relación conel art. 105.2 del RDLOPD, establece que para la salida de soportes o documentos quecontengan datos de carácter personal, debe haber una previa autorización del responsabledel fichero. Cada vez que registre una salida de soportes en GESDATOS, al finalizar elregistro aparecerá una pantalla, mediante la cual, podrá imprimir una autorización para dichasalida. Dicha autorización deberá imprimirse, firmarse y guardarse debidamente. Noobstante caso de que no se utilice GESDATOS para la gestión de las salidas de soportesdeberá cuidar que el procedimiento utilizado permita recabar la autorización por escrito delresponsable del fichero para cada salida. En el documento de seguridad generado porGESDATOS en el apartado modelos dispone de un modelo de autorización al efecto.

Art. 105.2 -92.1

No se etiquetarán cuando las características físicasdel soporte imposibiliten su cumplimiento,quedando constancia motivada de ello en eldocumento de seguridad

Art. 105.2 -92.5

Podrán etiquetarse crípticamente (sólocomprensibles para los usuarios con accesoautorizado) cuando contengan datos de carácterpersonal que la organización consideraseespecialmente sensibles.

Art. 105.2 -92.2

La salida de soportes y documentos quecontengan datos de carácter personal, fuera de loslocales bajo el control del responsable del fichero otratamiento deberá ser autorizada por elresponsable del fichero o encontrarse debidamenteautorizada en el documento de seguridad.

18


REGISTRO DE ACCESOS

La obligación dispuesta en el artículo 113.2 del RDLOPD de establecer mecanismos quepermitan identificar los accesos realizados en el caso de documentos que contengan datosde nivel alto que puedan ser utilizados por múltiples usuarios obliga a llevar un control de laspersonas que han accedido a dicha información de nivel alto. Se trata de una obligacióncuyo cumplimiento se puede efectuar de diferentes, más o menos complejas, en función nosólo de la dimensión de la organización sino también de la actividad de la misma. Enorganizaciones pequeñas estos se puede realizar de forma rudimentaria mediante laanotación en un papel o registro informático. Existen sistemas de control de acceso físicoque ya permiten cumplir con esta medida. Aunque el RDLOPD no indica qué información sedebe guardar parece que - como mínimo - se debería conservar el nombre y apellidos delusuario que ha accedido, la fecha (y posiblemente la hora), y el tipo de acceso: si paraconsultar o modificar. Aunque no lo disponga el RDLOPD parece lógico, que al igual quesucede con el registro de accesos de ficheros automatizados, este registro deberácustodiarse por persona competente impidiendo el acceso indebido de terceros que impidasu alteración.

La información contenida en el fichero de registros de acceso generados deberá serrevisarse - al menos - mensualmente. Gesdatos permite - una vez analizado dicho registrode accesos- generar un informe mensual de las incidencias que se hayan producido o no enrelación con dicho registro de accesos. Para ello una vez al mes debe acceder al módulo deRegistro de accesos y a través de la opción Informe mensual, seleccionar el mescorrespondiente. La aplicación generará un informe de acuerdo con los datos que se hayanido introduciendo en el apartado Nueva incidencia. TRASLADO DE DOCUMENTACIÓN

Art. 113.2 Establecer mecanismos que permitan identificarlos accesos realizados en el caso de documentosque contengan datos de nivel alto que puedan serutilizados por múltiples usuarios

Art. 113.3 Revisar periódicamente el registro de los accesosa datos de nivel alto contenidos en documentos

Art. 114 Establecer un procedimiento para que cuando seproceda al traslado físico de la documentación condatos de nivel alto contenida en ficheros seadopten medidas dirigidas a impedir el acceso

19


La obligación consistente en establecer un procedimiento para que cuando se proceda altraslado físico de la documentación con datos de nivel alto contenida en ficheros se adoptenmedidas dirigidas a impedir el acceso supone a su vez varias obligaciones: Por un lado fijardicho procedimiento, por otro lado difundirlo y por ultimo comprobar que se cumple. Elreglamento no detalla cuales son las medidas de seguridad concretas que deberán constaren el procedimiento pero estas deberán ser seguras. De nuevo estas han de adecuarse altipo de información que se trasalada, puesto que aunque toda es información de nivel alto,dentro de esta parece lógico entender que existe información más o menos sensible. Envíoscon sobre especiales, envíos "mano a mano", con servicios especiales de mensajería, condispositivos especiales que garanticen que no se ha accedido a los soportes etc... sonalgunos ejemplos.

20


4. Procedimientos fijados en la organización A continuación se muestran los diferentes procedimientos fijados por la organización para elcorrecto cumplimiento de la normativa en materia de protección de datos.

4.1.Procedimiento de notificación y gestión deincidencias4.1.1. Procedimiento para la notificación de incidencias de ficherosautomatizadosLa gestión de notificación de incidencias se notificará a través de un enlace de unacuenta de correo electrónico ([email protected]) en la página web de lacomisión de Seguridad informática.Dicho correo será gestionado por el personal competente que gestionará lasincidencias y llevará un registro de las mismas.

Ficheros afectados

21


- ACCIÓN SOCIAL - ALOJAMIENTO RELACIONES INTERNACIONALES - ALUMNOS ENTRANTES RELACIONES INTERNACIONALES - ALUMNOS SALIENTES. RELACIONES INTERNACIONALES - AYUDAS INDIVIDUALES INVESTIGACIÓN - BECARIOS Y CONTRATOS LABORALES DE INVESTIGACIÓN - BILINGÜISMO PDI - BOLSA DE EMPLEO Y PRÁCTICAS EN EMPRESAS - CLAUSTRO UNIVERSITARIO - CLIENTES EDITORIAL - COMPLEMENTOS PRODUCTIVIDAD PAS - CONSEJO DE GOBIERNO - CONSULTAS BIBLIOTECA - CONSULTAS JURÍDICAS - CONTRATOS OTRI - CONTROL DE ACCESOS - CONVENIOS - DECLARACIONES TRIBUTARIAS - DIRECTORIO PERSONAL - EMPRESAS DE BASE TECNOLÓGICA - ENCUESTAS EVALUACIÓN DE LAS COMPETENECIAS PAS - ENSEÑANZAS PROPIAS - ENTREGA DE DOCUMENTOS ARCHIVO - ENVÍO TÍTULOS A EMBAJADAS Y SUBDELEGACIONES DEL GOBIERNO - EVALUADORES EXTERNOS - EXPEDIENTES ACADÉMICOS ALUMNOS - EXPEDIENTES ADMINISTRATIVOS PAS - EXPEDIENTES ADMINISTRATIVOS PDI - EXPEDIENTES ALUMNOS CENTRO DE LENGUAS - EXPEDIENTES AUTORES - EXPEDIENTES BECAS Y AYUDAS - EXPEDIENTES DE CONTRATACIÓN - EXPEDIENTES LITIGIOS - EXTENSIÓN UNIVERSITARIA - FORMACIÓN BIBLIOTECA - FORMACIÓN DOCENTE - FORMACIÓN PREVENCIÓN RIESGOS - GESTIÓN ALQUILER INSTALACIONES

22


4.1.2. Procedimiento para la notificación de incidencias de ficheros noautomatizados

- GESTIÓN CERTIFICACIÓN ELECTRÓNICA - GESTIÓN DE ACCESO Y ADMISIÓN - GESTIÓN DE ALOJAMIENTO CON MAYORES - GESTIÓN DE ALOJAMIENTO PARTICULARES - GESTIÓN DE LA FORMACIÓN DEL PAS - GESTIÓN DE OFERTA CIENTÍFICA - GESTIÓN DE OFERTA CIENTÍFICA - GESTIÓN INCIDENCIAS STIC - GESTIÓN PRÉSTAMO INTERBIBLIOTECARIO - GESTIÓN PUBLICACIONES - HOMOLOGACIÓN DE TÍTULOS EXTRANJEROS DE DOCTOR - INFORMACIÓN GENERAL UNIVERSITARIA - INFORMES DE PREVENCIÓN - INFORMES GABINETE JURÍDICO - INTERCAMBIO LINGÜÍSTICO - LIBRO REGISTRO ENTREGA TITULOS OFICIALES - MOVILIDAD BILINGÜISMO PDI - PAS, PDI E INVESTIGADORES RELACIONES INTERNACIONALES - PATENTES - PROFESORES FORMACIÓN PAS - PROVISIÓN Y PROMOCIÓN DEL PERSONAL - PROYECTOS EUROPEOS DE INVESTIGACIÓN - PROYECTOS INVESTIGACIÓN - QUEJAS, CONSULTAS Y RECLAMACIONES DEFENSOR UNIVERSITARIO - REFEREES - REGISTRO - REGISTRO ACCESOS STIC - SOLICITUDES CONSULTA Y PRÉSTAMO DOCUMENTOS - SOLICITUDES EJEMPLARES BIBLIOTECA - SOLICITUDES EXTRAORDINARIAS DIRIGIDAS AL RECTOR - SOLICITUDES RESERVAS INSTALACIONES DEPORTIVAS - TRIBUNALES DE EVALUACIÓN PRUEBAS DE ACCESO - UNIDAD DE DEPORTES - USUARIOS SERVICIOS STIC - VIDEO VIGILANCIA

23


La gestión de notificación de incidencias se notificará a través de un enlace de unacuenta de correo electrónico ([email protected]) en la página web de lacomisión de Seguridad informática.Dicho correo será gestionado por el personal competente que gestionará lasincidencias y llevará un registro de las mismas.

Ficheros afectados

24


- ACCIDENTES E INCIDENTES - ACCIÓN SOCIAL - ALOJAMIENTO RELACIONES INTERNACIONALES - ALUMNOS ENTRANTES RELACIONES INTERNACIONALES - ALUMNOS SALIENTES. RELACIONES INTERNACIONALES - ARCHIVO GENERAL - AYUDAS INDIVIDUALES INVESTIGACIÓN - BECARIOS Y CONTRATOS LABORALES DE INVESTIGACIÓN - BILINGÜISMO PDI - BOLSA DE EMPLEO Y PRÁCTICAS EN EMPRESAS - CARTAS DE APTITUD - CLAUSTRO UNIVERSITARIO - CLIENTES EDITORIAL - COMPLEMENTOS PRODUCTIVIDAD PAS - CONSEJO DE GOBIERNO - CONSULTAS JURÍDICAS - CONTRATOS FÁBRICA NACIONAL DE MONEDA Y TIMBRE - CONTRATOS OTRI - CONTROL DE ACCESOS - CONVENIOS - CURRICULUMS RRHH - EMPRESAS DE BASE TECNOLÓGICA - ENSEÑANZAS PROPIAS - ENTREGA DE DOCUMENTOS ARCHIVO - ENVÍO TÍTULOS A EMBAJADAS Y SUBDELEGACIONES DEL GOBIERNO - EVALUADORES EXTERNOS - EXPEDIENTES ACADÉMICOS ALUMNOS - EXPEDIENTES ADMINISTRATIVOS PAS - EXPEDIENTES ADMINISTRATIVOS PDI - EXPEDIENTES ALUMNOS CENTRO DE LENGUAS - EXPEDIENTES AUTORES - EXPEDIENTES BECAS Y AYUDAS - EXPEDIENTES DE CONTRATACIÓN - EXPEDIENTES LITIGIOS - EXTENSIÓN UNIVERSITARIA - FACTURAS - FICHAS RECONOCIMIENTO DE FIRMAS - FORMACIÓN DOCENTE

25


4.2.Procedimientos de entrada y salida desoportes y documentos

- FORMACIÓN PREVENCIÓN RIESGOS - GESTIÓN ALQUILER INSTALACIONES - GESTIÓN DE ACCESO Y ADMISIÓN - GESTIÓN DE ALOJAMIENTO CON MAYORES - GESTIÓN DE ALOJAMIENTO PARTICULARES - GESTIÓN DE LA FORMACIÓN DEL PAS - GESTIÓN PUBLICACIONES - GESTIÓN SEGUROS VEHÍCULOS - GRUPOS DE INVESTIGACIÓN - HOMOLOGACIÓN DE TÍTULOS EXTRANJEROS DE DOCTOR - INFORMACIÓN GENERAL UNIVERSITARIA - INFORMES DE PREVENCIÓN - INFORMES GABINETE JURÍDICO - LIBRO REGISTRO ENTREGA TITULOS OFICIALES - MOVILIDAD BILINGÜISMO PDI - NÓMINAS PERSONAL - PAS, PDI E INVESTIGADORES RELACIONES INTERNACIONALES - PATENTES - PROVISIÓN Y PROMOCIÓN DEL PERSONAL - PROYECTOS EUROPEOS DE INVESTIGACIÓN - PROYECTOS INVESTIGACIÓN - QUEJAS, CONSULTAS Y RECLAMACIONES DEFENSOR UNIVERSITARIO - REFEREES - REGISTRO - SINIESTROS - SOLICITUDES CONSULTA Y PRÉSTAMO DOCUMENTOS - SOLICITUDES EXTRAORDINARIAS DIRIGIDAS AL RECTOR - SOLICITUDES PRÉSTAMOS USUARIOS EXTERNOS - SOLICITUDES PRETÍTULOS - SOLICITUDES RESERVAS INSTALACIONES DEPORTIVAS - TRIBUNALES DE EVALUACIÓN PRUEBAS DE ACCESO - UNIDAD DE DEPORTES - USUARIOS SERVICIOS STIC

26


4.2.1. Procedimiento de registro de entrada de soportesLas entradas de soportes que contengan datos personales, cuyo nivel de seguridadsea como mínimo de nivel medio, deberán ser registradas en el registro deGESDATOS que contiene la siguiente información: el tipo de documento o soporte,la fecha y hora, el emisor, el número de documentos o soportes incluidos en el envío,el tipo de información que contienen, la forma de envío y la persona responsable dela recepción que deberá estar debidamente autorizada.

Ficheros afectados

27



28


- GESTIÓN CERTIFICACIÓN ELECTRÓNICA - GESTIÓN DE ACCESO Y ADMISIÓN - GESTIÓN DE ALOJAMIENTO CON MAYORES - GESTIÓN DE ALOJAMIENTO PARTICULARES - GESTIÓN DE LA FORMACIÓN DEL PAS - GESTIÓN DE OFERTA CIENTÍFICA - GESTIÓN DE OFERTA CIENTÍFICA - GESTIÓN INCIDENCIAS STIC - GESTIÓN PRÉSTAMO INTERBIBLIOTECARIO - GESTIÓN PUBLICACIONES - HOMOLOGACIÓN DE TÍTULOS EXTRANJEROS DE DOCTOR - INFORMACIÓN GENERAL UNIVERSITARIA - INFORMES DE PREVENCIÓN - INFORMES GABINETE JURÍDICO - INTERCAMBIO LINGÜÍSTICO - LIBRO REGISTRO ENTREGA TITULOS OFICIALES - MOVILIDAD BILINGÜISMO PDI - PAS, PDI E INVESTIGADORES RELACIONES INTERNACIONALES - PATENTES - PROFESORES FORMACIÓN PAS - PROVISIÓN Y PROMOCIÓN DEL PERSONAL - PROYECTOS EUROPEOS DE INVESTIGACIÓN - PROYECTOS INVESTIGACIÓN - QUEJAS, CONSULTAS Y RECLAMACIONES DEFENSOR UNIVERSITARIO - REFEREES - REGISTRO - REGISTRO ACCESOS STIC - SOLICITUDES CONSULTA Y PRÉSTAMO DOCUMENTOS - SOLICITUDES EJEMPLARES BIBLIOTECA - SOLICITUDES EXTRAORDINARIAS DIRIGIDAS AL RECTOR - SOLICITUDES RESERVAS INSTALACIONES DEPORTIVAS - TRIBUNALES DE EVALUACIÓN PRUEBAS DE ACCESO - UNIDAD DE DEPORTES - USUARIOS SERVICIOS STIC - VIDEO VIGILANCIA - ACCIDENTES E INCIDENTES - ACCIÓN SOCIAL - ALOJAMIENTO RELACIONES INTERNACIONALES

29


- ALUMNOS ENTRANTES RELACIONES INTERNACIONALES - ALUMNOS SALIENTES. RELACIONES INTERNACIONALES - ARCHIVO GENERAL - AYUDAS INDIVIDUALES INVESTIGACIÓN - BECARIOS Y CONTRATOS LABORALES DE INVESTIGACIÓN - BILINGÜISMO PDI - BOLSA DE EMPLEO Y PRÁCTICAS EN EMPRESAS - CARTAS DE APTITUD - CLAUSTRO UNIVERSITARIO - CLIENTES EDITORIAL - COMPLEMENTOS PRODUCTIVIDAD PAS - CONSEJO DE GOBIERNO - CONSULTAS JURÍDICAS - CONTRATOS FÁBRICA NACIONAL DE MONEDA Y TIMBRE - CONTRATOS OTRI - CONTROL DE ACCESOS - CONVENIOS - CURRICULUMS RRHH - EMPRESAS DE BASE TECNOLÓGICA - ENSEÑANZAS PROPIAS - ENTREGA DE DOCUMENTOS ARCHIVO - ENVÍO TÍTULOS A EMBAJADAS Y SUBDELEGACIONES DEL GOBIERNO - EVALUADORES EXTERNOS - EXPEDIENTES ACADÉMICOS ALUMNOS - EXPEDIENTES ADMINISTRATIVOS PAS - EXPEDIENTES ADMINISTRATIVOS PDI - EXPEDIENTES ALUMNOS CENTRO DE LENGUAS - EXPEDIENTES AUTORES - EXPEDIENTES BECAS Y AYUDAS - EXPEDIENTES DE CONTRATACIÓN - EXPEDIENTES LITIGIOS - EXTENSIÓN UNIVERSITARIA - FACTURAS - FICHAS RECONOCIMIENTO DE FIRMAS - FORMACIÓN DOCENTE - FORMACIÓN PREVENCIÓN RIESGOS - GESTIÓN ALQUILER INSTALACIONES - GESTIÓN DE ACCESO Y ADMISIÓN

30


4.2.2. Procedimiento de registro de salida de soportesLas salidas de soportes que contengan datos personales, como mínimo de nivelmedio, deberán ser registradas en el registro de GESDATOS que contiene lasiguiente información: el tipo de documento o soporte, la fecha y hora, el emisor, elnúmero de documentos o soportes incluidos en el envío, el tipo de información quecontienen, la forma de envío y la persona responsable de la entrega que deberáestar debidamente autorizada.

- GESTIÓN DE ALOJAMIENTO CON MAYORES - GESTIÓN DE ALOJAMIENTO PARTICULARES - GESTIÓN DE LA FORMACIÓN DEL PAS - GESTIÓN PUBLICACIONES - GESTIÓN SEGUROS VEHÍCULOS - GRUPOS DE INVESTIGACIÓN - HOMOLOGACIÓN DE TÍTULOS EXTRANJEROS DE DOCTOR - INFORMACIÓN GENERAL UNIVERSITARIA - INFORMES DE PREVENCIÓN - INFORMES GABINETE JURÍDICO - LIBRO REGISTRO ENTREGA TITULOS OFICIALES - MOVILIDAD BILINGÜISMO PDI - NÓMINAS PERSONAL - PAS, PDI E INVESTIGADORES RELACIONES INTERNACIONALES - PATENTES - PROVISIÓN Y PROMOCIÓN DEL PERSONAL - PROYECTOS EUROPEOS DE INVESTIGACIÓN - PROYECTOS INVESTIGACIÓN - QUEJAS, CONSULTAS Y RECLAMACIONES DEFENSOR UNIVERSITARIO - REFEREES - REGISTRO - SINIESTROS - SOLICITUDES CONSULTA Y PRÉSTAMO DOCUMENTOS - SOLICITUDES EXTRAORDINARIAS DIRIGIDAS AL RECTOR - SOLICITUDES PRÉSTAMOS USUARIOS EXTERNOS - SOLICITUDES PRETÍTULOS - SOLICITUDES RESERVAS INSTALACIONES DEPORTIVAS - TRIBUNALES DE EVALUACIÓN PRUEBAS DE ACCESO - UNIDAD DE DEPORTES - USUARIOS SERVICIOS STIC

31


Ficheros afectados

32



33



34



35


4.3.Procedimientos de gestión de usuarios delos ficheros4.3.1. Procedimiento de alta de usuariosEn el caso de los alumnos, se realiza una carga automática de los listados pasadospor la Junta de Andalucia. Eso permite a los usuarios de nuevo ingreso realizar su


36


automatricula y asignarle un identificador de usuario y contraseña.En el caso de PAS y PDI (y otras figuras existentes: colaboradores, becarios, etc..)las solicitudes de alta de usuarios se realizan mediante presentación escrita desolicitud, firmada por el usuario y su superior inmediato. También se admitepresentación electrónica de solicitud, siempre que la Universidad reconozca a laautoridad certificadora.

Ficheros afectados

37



38



39



40


4.3.2. Procedimiento de baja de usuariosEl procedimiento de baja de usuarios, deberán comunicarlo los responsables delusuario a dar de baja, utilizando para ello la aplicación CAU (Herramienta de centrode atención a usuarios).


Ficheros afectados

41



42



43



44


4.4.Procedimiento de desechado y reutilizaciónde soportes4.4.1. Procedimiento de desechado y reutilización de soportes automatizadosEl procedimiento de reutilización de soportes consiste en el formateado previo deldispositivo si éste lo permite, para su posterior reutilización.


45


En el caso de proceder a la destrucción del soporte (siempre que se procede a sudestrucción es porque el soporte ha dado error), se procederá a su destrucciónfísica.

Ficheros afectados

46



47


4.4.2. Procedimiento de desechado y reutilización de soportes noautomatizados


48


Siempre que vaya a desecharse cualquier documento o soporte que contenga datosde carácter personal deberá procederse a su destrucción o borrado, mediante laadopción de medidas dirigidas a evitar el acceso a la información contenida en elmismo o su recuperación posterior. Las medidas a aplicar serán:En el caso de que se trate de documento en papel, cuando éstos contengan datos decarácter personal, queda prohibida su reutilización (a modo de papel reciclado). Entodo caso, se procederá a su destrucción mediante el uso de la destructora de papel.Para la destrucción de un gran volumen de información se contratan los servicios deuna empresa de destrucción confidencial.

Ficheros afectados

49



50


4.5. Procedimiento para los envíos telemáticos


51


El RDLOPD, para los ficheros de nivel alto, obliga al cifrado de datos o la utilizaciónde cualquier otro mecanismo que garantice que la información no sea inteligible nimanipulada por terceros, cuando los mismos vayan a ser objeto de transmisión através de redes de telecomunicaciones. El envío de datos a través de redes de telecomunicaciones supone la adopción deuna serie de medidas organizativas y técnicas que se han de respetar y constituyenel procedimiento a seguir. Este procedimiento afecta a diversos niveles: 1) A nivel organizativo: a) Los usuarios deben conocer (y así se debe reflejar en su manual y/o en lasnormas usuario del sistema de información) las pautas a seguir al respecto. b) El usuario deberá contar con la autorización del Responsable del Fichero o delResponsable de Seguridad, que tenga atribuidas estas funciones por delegación. 2) A nivel técnico, el Usuario, bien por su propia cuenta, mediante los mecanismosque se hubieran puesto a disposición o bien, por parte del Resposable de Seguridady/o técnico informático, debe proceder al cifrado de los datos o la utilización decualquier otro mecanismo que garantice que la información no sea inteligible nimanipulada por terceros. Los envíos telemáticos de becas al Ministerio se realizan a través de un WebService, comprimido en Zip y encriptado con 64 bits.

Ficheros afectados

52



53



54


4.6. Procedimiento para el uso del correoelectrónicoLa normativa de uso del correo electrónico se detalle en el documento delhipervínculo.

Ficheros afectados

55



56



57


4.7. Procedimiento ante solicitudes de ejerciciode derechos1. Ante la consulta (por ejemplo llamada) sobre algún ejercicio de derechos por partede algún interesado.: - Dar información sobre en qué consiste el Derecho, plazosetc... Es decir sobre el procedimiento. - No ofrecerle datos sobre la persona, sobre elfondo del asunto etc. - Tomar nota (sólo tomar nota) de la persona de que se trata(de su identidad) y del motivo. - Hacerle llegar (si lo pide) el impreso correspondientepara ejercitar el derecho por una vía que permita dejar constancia (reporte de fax ocopia email).2. Ante la recepción de alguna petición de ejercicio de derechos (normalmente porcarta, fax o email): - Si dispone del módulo de ejercicio de derechos de GESDATOS:introducir la solicitud en la herramienta. - Si no dispone del módulo de ejercicio dederechos de GESDATOS: remitir la solicitud inmediatamente al responsable deseguridad que tenga atribuida esta tarea.3. Ante cualquier otra cuestión en esta materia.: - Acudir al responsable de seguridadque tenga atribuida esta tarea.

Ficheros afectados

58



59



60



61


4.8.Procedimientos de archivo y custodia4.8.1. Procedimiento de custodia de soportes no automatizadosLos dispositivos de almacenamiento de los documentos que contengan datos decarácter personal disponen de mecanismos que obstaculizan su apertura. En eldocumento de seguridad se relaciona el mecanismo que obstaculiza la apertura enrelación con cada soporte.


62


Ficheros afectados

63



64


4.8.2. Procedimiento de archivo de ficheros no automatizadosEl archivo de los soportes se realiza siguiendo un criterio funcional, según un cuadrode clasificación, que permite su localización visual. Debido a su poco volumen no sedispone de un registro informático de localización.


65


Debido al volumen de soportes existentes se dispone de un registro informático queposibilita su localización. Adicionalmente y debido al volumen de archivos, una vez los soportes hanpermanecido durante su vida útil en el archivo vivo pasan al archivo histórico.

Ficheros afectados

66



67


4.8.3. Procedimiento de restricción de acceso a ficheros no automatizadosDeberán encontrarse en áreas en las que el acceso esté protegido con puertas deacceso dotadas de sistemas de apertura mediante llave u otro dispositivoequivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el


68


acceso a los documentos incluidos en el fichero.

Ficheros afectados

69



70


4.9. Procedimiento de copia y reproducción dedocumentos


71


La generación de copias o la reproducción de los documentos únicamente podrá serrealizada bajo el control del personal autorizado en el documento de seguridad. Lareproducción de copias se realiza mediante petición formal escrita al personalcompetente en la materia (personal de archivo), según legislación vigente en lamateria.Deberá procederse a la destrucción de las copias o reproducciones desechadas deforma que se evite el acceso a la información contenida en las mismas o surecuperación posterior.

Ficheros afectados

72



73


4.10. Procedimiento de traslado dedocumentación


74


TRASLADO DE DOCUMENTACIÓN PARA FICHEROS DE NIVEL ALTOSiempre que se proceda al traslado de la documentación contenida en un ficherodeberán adoptarse medidas dirigidas a impedir el acceso o manipulación de lainformación objeto de traslado.

Ficheros afectados

75



76


5. Antivirus


77


Se dispone de una aplicación antivirus. La actualización del software se realiza deforma centralizada.

78

manual del responsable de seguridad -...

Documents