Política de Privacidad


PROCEDIMIENTO 01 – MEDIDAS DE SEGURIDAD

 

INFORMACIÓN GENERAL

El artículo 5.1.f del Reglamento General de Protección de Datos (RGPD) determina la necesidad de establecer garantías de seguridad adecuadas contra el tratamiento no autorizado o ilícito, contra la pérdida de los datos personales, la destrucción o el daño accidental. Esto implica el establecimiento de MEDIDAS TÉCNICAS Y ORGANIZATIVAS encaminadas a asegurar la integridad y confidencialidad de los datos personales y la posibilidad (artículo 5.2 RGPD) de demostrar que estas medidas se han llevado a la práctica (responsabilidad proactiva).

 

 

 

MEDIDAS ORGANIZATIVAS:

 

Todo el PERSONAL CON ACCESO A DATOS PERSONALES deberá tener conocimiento de sus obligaciones con relación a los tratamientos de datos personales y serán informados acerca de dichas obligaciones. Para ello, el responsable del tratamiento hará entrega por duplicado a cada trabajador de los siguientes documentos contenidos en el ANEXO II: PERSONAL:

  • II.1 – Documento de legitimación
  • II.2 – Normas y consecuencias del usuario con acceso a datos.

Por otro lado, el responsable del tratamiento hará entrega por duplicado a cada trabajador SIN ACCESO A DATOS PERSONALES de los siguientes documentos:

  • II.1 – Documento de legitimación

A través de estos documentos, ÁLVAREZ CARROZADOS, S.L. busca garantizar que cuenta con una plantilla responsable en materia de seguridad de la información.

La relación actualizada de usuarios con y sin acceso a datos personales se encuentra recogida en el ANEXO V, APARTADOS 1 y 2. Este listado de usuarios con y sin acceso a datos personales deberá ser revisado mensualmente por el responsable del tratamiento o persona designada, dejando constancia de ello en el ANEXO V.8 establecido a tal efecto.

En todo caso, la información mínima que será conocida por todo el personal, será la siguiente:

 

DEBER DE CONFIDENCIALIDAD Y SECRETO GENERAL:

El artículo 5 del Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales señala que los responsables y encargados del tratamiento de datos así como todas las personas que intervengan en cualquier fase de éste estarán sujetas al deber de confidencialidad al que se refiere el artículo 5f) RGPD, siendo esta obligación general complementaria de los deberes de secreto profesional de conformidad con su normativa aplicable.

Estas obligaciones se mantendrán aun cuando hubiese finalizado la relación del obligado con el responsable o el encargado del tratamiento.

De forma más específica podemos establecer las siguientes medidas:

  • Se deberá evitar el acceso de personas no autorizadas a los datos personales. A tal fin, se evitará dejar los datos personales expuestos a terceros (pantallas electrónicas desatendidas, documentos en papel en zonas de acceso público, soportes con datos personales, etc.). Esta consideración incluye las pantallas que se utilicen para la visualización de imágenes del sistema de videovigilancia. Cuando se ausente del puesto de trabajo, se procederá al bloqueo de la pantalla o al cierre de la sesión.

 

  • Los documentos en papel y soportes electrónicos se almacenarán en un lugar seguro (armarios o estancias de acceso restringido) durante las 24 horas del día. El almacenamiento de los documentos y soportes electrónicos debe contar con mecanismos que obstaculicen su apertura.

 

  • No se desecharán documentos o soportes electrónicos (CD, pen drives, discos duros, etc.) con datos personales sin garantizar su destrucción.

 

  • No se dejarán documentos automatizados que contengan datos personales en la papelera al finalizar la jornada.

 

  • Se tratarán los datos que se corresponden con las tareas asignadas o para los que esté autorizado el trabajador sin hacer bases de datos personales (en soporte informático o en papel) Tampoco se guardarán datos de carácter personal en discos duros de PCs, CDs, pen-drive, etc. sin autorización y, siempre aplicando, las medidas de seguridad establecidas. Está prohibido hacer uso propio y/o extraer datos de los ficheros y otros datos sensibles propiedad de la Organización.

 

  • No se comunicarán datos personales o cualquier información personal a terceros. Se prestará atención especial a no divulgar datos personales protegidos durante las consultas telefónicas, correos electrónicos, etc.

 

  • No se tratará de aumentar el nivel de privilegios de un usuario en el sistema.

 

  • El deber de secreto y confidencialidad persiste incluso cuando finalice la relación laboral del trabajador con la empresa.

 

DERECHOS DE LOS TITULARES DE LOS DATOS:

Para atender las peticiones para el ejercicio de sus derechos por parte de los interesados, se deberán seguir las instrucciones establecidas en el PROCEDIMIENTO 02. PROCEDIMIENTO PARA EL EJERCICIO DE LOS DERECHOS DE LOS INTERESADOS y se deberán utilizar los formularios recogidos en el ANEXO III. EJERCICIO DE DERECHOS.

En cualquier caso, siempre se observará lo siguiente:

 

  • Previa presentación de su documento nacional de identidad o pasaporte, los titulares de los datos personales (interesados) podrán ejercer sus derechos de acceso, rectificación, supresión, oposición, derecho a no ser objeto de decisiones automatizadas, limitación y portabilidad. El responsable del tratamiento deberá dar respuesta a los interesados sin dilación indebida.

 

  • Estos derechos podrán ejercerse directamente o por medio de representante legal o voluntario.

 

  • Para el derecho de acceso se facilitará a los interesados la lista de los datos personales de que disponga junto con la finalidad para la que han sido recogidos, la identidad de los destinatarios de los datos, los plazos de conservación, y la identidad del responsable ante el que pueden solicitar la rectificación supresión y oposición al tratamiento de los datos.

 

  • Para el derecho de rectificación se procederá a modificar los datos de los interesados que fueran inexactos o incompletos atendiendo a los fines del tratamiento.

 

 

 

  • Para el derecho de supresión se suprimirán los datos de los interesados cuando los interesados manifiesten su negativa u oposición al consentimiento para el tratamiento de sus datos y no exista deber legal que lo impida.

 

  • Para el derecho de portabilidad los interesados deberán comunicar su decisión e informar al responsable, en su caso, sobre la identidad del nuevo responsable al que facilitar sus datos personales.

 

En cualquier caso, los titulares de la patria potestad podrán ejercitar en nombre y representación de los menores de catorce años los derechos de acceso, rectificación, cancelación, oposición o cualesquiera otros que pudieran corresponderles en el contexto del Proyecto de Ley Orgánica de Protección de Datos Personales y Garantías de los Derechos Digitales.

El responsable del tratamiento deberá informar a todas las personas con acceso a los datos personales acerca de los términos de cumplimiento para atender los derechos de los interesados, la forma y el procedimiento en que se atenderán dichos derechos. Esto se encuentra recogido en el PROCEDIMIENTO 02.

 

VIOLACIONES DE SEGURIDAD DE DATOS DE CARÁCTER PERSONAL:

Se entiende por “VIOLACIÓN DE LA SEGURIDAD DE DATOS PERSONALES” toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

El Reglamento Europeo de Protección de Datos regula las violaciones de seguridad en los artículos 33 y 34, diferenciando entre la comunicación que se debe realizar a las Autoridades de Control (en nuestro caso, a la AEPD) y la comunicación que se debe realizar a los interesados, en su caso.

Cuando se produzcan violaciones de seguridad de datos de carácter personal se deberán seguir las instrucciones recogidas en el PROCEDIMIENTO 03. PROCEDIMIENTO DE GESTIÓN Y NOTIFICACIÓN DE QUIEBRAS DE SEGURIDAD.

 

ALMACENAMIENTO DE LA INFORMACIÓN EN SOPORTE MANUAL:

Respecto a los ficheros en soporte papel (no automatizados), los mecanismos que se deben establecer para garantizar su seguridad y evitar accesos no autorizados, son:

  • Acceso restringido, mediante cerraduras con llave.
  • Habitaciones y/o despachos cerrados (espacios restringidos).
  • Cuando el responsable de un puesto de trabajo lo abandone, bien temporalmente, o bien, al finalizar su turno de trabajo, deberá dejarlo en un estado que impida la visualización de los datos protegidos.
  • En el caso de las impresoras, deberá asegurarse de que no quedan documentos impresos en la bandeja de salida que contengan datos protegidos. Si las impresoras fueran compartidas con otros usuarios no autorizados para acceder a los datos de fichero, los responsables de cada puesto deberán retirar los documentos conforme vayan siendo impresos.
  • La documentación debe destruirse de forma confidencial.
  • Los locales contarán con los medios mínimos de seguridad que eviten los riesgos de indisponibilidad del fichero que pudieran producirse como consecuencia de incidencias fortuitas o intencionadas.

 

Todos los soportes que contengan documentos en papel que tengan datos personales tienen que estar debidamente identificados en el archivo general, librerías, estanterías, etc. Se exceptúan estas obligaciones cuando las características físicas del soporte imposibiliten su cumplimiento, dejando constancia de ello en el presente manual de protección de datos.

 

 

 

ÁLVAREZ CARROZADOS, S.L. tiene almacenada su documentación en soporte papel de la siguiente manera:

  • DE ADMINISTRACIÓN: Situado en la planta baja de la empresa. Para poder acceder a este departamento hay una puerta dotada de mecanismo de apertura mediante llave y los armarios en los que se archiva toda la documentación también cuentan con dispositivo de apertura mediante llave, por lo que solo puede acceder el personal autorizado.

 

  • ARCHIVOS: Situados en la primera planta de la empresa. Para poder acceder a los diferentes despachos hay que estar autorizado ya que todos los despachos cuentan con puertas dotadas de mecanismos de apertura mediante llave y los armarios en los que se archiva toda la documentación también cuentan con dispositivo de apertura mediante llave.

 

CRITERIO DE ARCHIVO Y ALMACENAMIENTO DE LA INFORMACIÓN:

El archivo de los soportes o documentos se realizará de acuerdo con los criterios previstos en su respectiva legislación o, en su defecto, los establecidos por el responsable de tratamiento en el correspondiente registro de actividad de tratamiento.

Los ficheros están debidamente identificados y clasificados.

Estos criterios deberán garantizar la correcta conservación de los documentos, la localización y consulta de la información y deberán permitir el acceso, rectificación y supresión de los datos, portabilidad de los datos, limitación y oposición a su tratamiento, transparencia y derecho a no ser objeto de decisiones automatizadas.

 

TRASLADO FÍSICO DE LA DOCUMENTACIÓN:

Cuando se proceda al TRASLADO FÍSICO DE LA DOCUMENTACIÓN, deberán adoptarse medidas de seguridad dirigidas a impedir el acceso o manipulación de la información objeto de traslado.

Se deben adoptar medidas para el tratamiento seguro de los datos de carácter personal desde fuera de los locales de la ubicación del fichero, incluyendo las restricciones de trabajo estipuladas para limitar el tratamiento fuera de los locales de ubicación del fichero.

Se entiende por tratamiento fuera de los locales de ubicación del fichero a cualquier tratamiento realizado desde fuera de las instalaciones en las que se ubica el fichero. Este tratamiento podrá ser realizado tanto por empleados de la Entidad como por colaboradores externos, independientemente del soporte y canal en el que se facilita la información.

Cuando los datos personales se almacenen en dispositivos portátiles o se traten fuera de los locales del responsable o del encargado del tratamiento, será preciso que exista una autorización previa del responsable del tratamiento, y en todo caso deberá garantizarse el nivel de seguridad adecuado al fichero objeto de traslado.  Dicha autorización será  conferida al usuario cumplimentando el ANEXO VII.

Se cumplimentará en el Registro de Incidencias interno (ANEXO IV.3) cualquier anomalía detectada en el traslado de los soportes.

 

 

 

Dicho traslado se realizará a través de aquellos medios y/o mecanismos que garanticen la seguridad y no pérdida, alteración o sustracción de los datos de carácter personal que contienen.

En el supuesto de almacenamiento de datos especialmente sensibles, los soportes utilizados deberán ir encriptados / cifrados y, si son trasladados en formato papel (soporte manual), deberá utilizarse un dispositivo que impida los accesos no autorizados (ej: maletín cerrado con llave).

 

CUSTODIA DE SOPORTES:

Mientras la documentación con datos de carácter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos para los mismos, por estar en proceso de revisión o tramitación, ya sea previo o posterior a su archivo, la persona que se encuentre a cargo de la misma deberá custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada. En caso de producirse un acceso no autorizado deberá cumplimentarse el ANEXO IV.3 (Registro de incidencias interno).

Los puestos de trabajo estarán bajo la responsabilidad de algún usuario autorizado que garantizará que la información que muestran no puede ser visible por personas no autorizadas.

 

PERSONAL AUTORIZADO:

ALTAS Y BAJAS:

Cuando se da de alta a un trabajador en ÁLVAREZ CARROZADOS, S.L. se incorporan sus datos personales a un expediente manual que forma parte del fichero “NÓMINAS, PERSONAL Y R.R.H.H.” y posteriormente, si se trata de un trabajador que, por su perfil de puesto, va a tener acceso a datos personales, se le asignará por el Administrador del Sistema, un usuario y contraseña individuales, conforme al procedimiento de asignación, distribución y almacenamiento de contraseñas.

Del mismo modo, cuando el trabajador cause baja en la empresa, se procederá a revocar todos sus permisos de acceso y, en soporte manual, su expediente pasará a formar parte de un archivo histórico, guardándose en todo caso la documentación el periodo de tiempo legalmente exigido.

 

ACCESO A LA INFORMACIÓN:

El acceso a la información se limitará exclusivamente al personal autorizado en el ANEXO V.1. En este documento se encuentra detallado el personal con acceso a datos de carácter personal dentro de la Organización y los accesos autorizados, así como el personal no autorizado (ANEXO V.2).

Se recomienda establecer mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por múltiples usuarios.

 

Si se produjese el acceso de personas no autorizadas, deberá quedar adecuadamente registrado en el REGISTRO DE INCIDENCIAS INTERNO (ANEXO IV.3).

 

Por ello, cuando se produzcan violaciones de seguridad de datos de carácter personal, todos los usuarios con conocimiento de dicha violación deberán notificárselo de inmediato al Administrador del sistema o al responsable del tratamiento para que adopte las medidas oportunas.

 

 

 

FORMACIÓN:

Se deben desarrollar programas de formación y concienciación especializados para ciertos perfiles de empleados, tales como técnicos de soporte, administradores de sistemas, etc. Además, sería de gran utilidad elaborar una actividad formativa introductoria para los nuevos empleados.

La empresa debe asegurar que, en todo momento, los empleados conocen, entienden y cumplen las normas y las medidas de protección en materia de seguridad adoptadas.

 

 

MEDIDAS TÉCNICAS:

 

IDENTIFICACIÓN Y AUTENTICACIÓN:

Es imprescindible proteger los equipos informáticos, programas y dispositivos electrónicos con los que cuenta la empresa, no tan solo para cumplir con la normativa vigente en materia de protección de datos de carácter personal, sino para preservar la información de personal no autorizado y el aprovechamiento de los recursos de los que la empresa disponga.

El responsable del tratamiento será el encargado de otorgar el consentimiento y autorizar expresamente a las personas físicas (usuarios autorizados) que, por sus funciones y puesto laboral, necesitan acceder a ficheros, carpetas, aplicaciones y directorios del sistema informático.

El responsable del tratamiento comunicará al Administrador del Sistema el alta/baja del usuario en el sistema, con expresión detallada de los recursos y privilegios a los que podrá acceder.

A los usuarios autorizados por el responsable del tratamiento se les proveerá por el Administrador del Sistema de un nombre de identificación en el sistema informático (USUARIO), así como de una CONTRASEÑA de uso individual, privado y confidencial asociada, que cumplirá los parámetros y requisitos de longitud, estructura y seguridad establecidos por el Administrador del Sistema, y que deberá ser mantenida por el usuario con el máximo secreto y confidencialidad.

El Administrador del Sistema, tiene encomendadas, entre sus funciones:

  • Asignar permisos de acceso a cada fichero o programa desde el puesto de trabajo a los distintos usuarios.
  • Identificar a los usuarios. Se realizará de forma personalizada y cada identificación pertenecerá a un único usuario con su contraseña personal.
  • Cuando el mismo ordenador o dispositivo se utilice para el tratamiento de datos personales y fines de uso personal deberán establecer varios perfiles o usuarios distintos para cada una de las finalidades. Deben mantenerse separados los usos profesional y personal del ordenador.
  • Deberán establecer perfiles con derechos de administración para la instalación y configuración del sistema y usuarios sin privilegios o derechos de administración para el acceso a los datos personales. Esta medida evitará que en caso de ataque de ciberseguridad puedan obtenerse privilegios de acceso o modificar el sistema operativo.
  • Realizar el control de cambios (automáticos o manuales) de contraseñas de acuerdo con la periodicidad fijada por el responsable del tratamiento, periodicidad que en ningún caso puede ser superior a un año, periodo tras el cual deberán ser cambiadas.
  • El Administrador del Sistema conservará y almacenará las contraseñas de los usuarios autorizados en archivos protegidos mediante mecanismos de cifrado / encriptación.

 

El Administrador del Sistema únicamente accederá a dichas contraseñas para realizar las operaciones derivadas del desbloqueo de cuentas de usuarios, así como para ejecutar los procedimientos de cambio periódico de las contraseñas de acceso.

El responsable del tratamiento y el Administrador del Sistema, además, serán los encargados de la custodia y la actualización de la relación de todos los usuarios que tienen acceso al sistema de información.

 

PROCEDIMIENTO DE ASIGNACIÓN, DISTRIBUCIÓN Y ALMACENAMIENTO DE CONTRASEÑAS

Todos los usuarios autorizados deberán conocer las normas que rigen el mecanismo de asignación, distribución y almacenamiento de las contraseñas. Para ello, se les hará entrega de dicha información en el ANEXO II.2 “NORMAS Y CONSECUENCIAS DEL USUARIO CON ACCESO A DATOS”.

Los usuarios autorizados al sistema informático de ÁLVAREZ CARROZADOS, S.L. están obligados a custodiar y mantener la confidencialidad absoluta de las claves de acceso, así como de la información en él contenida, siendo los únicos responsables de las consecuencias que pudieran derivarse del mal uso, divulgación o pérdida de las mismas

 

EQUIPOS INFORMÁTICOS Y PROGRAMAS DE GESTIÓN:

 

En ÁLVAREZ CARROZADOS, S.L. las contraseñas de los equipos informáticos y del programa de gestión GOLDENSOFT serán cambiadas de forma manual por el Administrador del Sistema con una periodicidad anual. Una vez cambiadas el Administrador del Sistema se las comunicará verbalmente al trabajador.

 

En caso de pérdida u olvido de la contraseña de acceso, el usuario deberá hacer una petición al Administrador del Sistema, quien procederá al desbloqueo de la cuenta y le asignará una nueva contraseña de acceso asociada a su cuenta, de uso privado y confidencial.

 

El sistema bloquea automáticamente la cuenta de un usuario al quinto reintento seguido fallido de usuario y contraseña. Para desbloquear la cuenta, el usuario deberá hacer una petición al Administrador del Sistema indicando el motivo del bloqueo. 

 

Asimismo, en los casos donde se determine la pérdida de confidencialidad de la contraseña de acceso, el usuario deberá comunicar tal incidencia en el menor tiempo posible al Administrador del Sistema, quien procederá al bloqueo de la cuenta y a la asignación, previa comunicación al responsable del tratamiento, del usuario y contraseñas de acceso.

 

En ambos casos, el responsable del tratamiento o bien el Administrador del Sistema, crearán y archivarán dichos sucesos como incidencia en el REGISTRO DE INCIDENCIAS INTERNO (ANEXO IV.3).

 

El registro del cambio de contraseñas se recogerá en el ANEXO V.5 y se revisará anualmente dejando constancia de ello en el ANEXO V.8.

 

DEBER DE SALVAGUARDA:

A continuación se exponen las medidas técnicas mínimas para garantizar la salvaguarda de los datos personales:

  • ACTUALIZACIÓN DE ORDENADORES Y DISPOSITIVOS:

Los dispositivos y ordenadores utilizados para el almacenamiento y el tratamiento de los datos personales deberán mantenerse actualizados en la media posible. Su actualización será llevada a cabo por el Administrador del Sistema o bien por la empresa proveedora de este servicio, debiendo en su caso registrarse este servicio en el contrato existente entre ambas partes.

 

 

 

 

  • PC: El sistema operativo deberá estar actualizado. Las actualizaciones automáticas deberán estar activadas y configuradas para que se instalen de forma automática.

 

  • PROGRAMAS INFORMÁTICOS: Deberán mantenerse en su última versión. En el V.4 se recoge un Registro de licencias donde se debe anotar esta información.

 

  • MÓVILES / TABLETS:

à iOS: Se deberá comprobar que nuestro software está actualizado y contamos con la última versión. Se deberá comprobar que todas las Apps (App Store) están actualizadas y abrir el antivirus y comprobar que la versión de definiciones del antivirus se corresponde con el día de la comprobación.

 

à ANDROID: Se deberá comprobar que nuestro software está actualizado y contamos con la última versión. Se deberá comprobar que todas las Apps (Play Store) están actualizadas.

 

Los equipos y programas informáticos, así como los dispositivos electrónicos se encontrarán inventariados en el ANEXO V.3 (INVENTARIO DE SOPORTES).

Cuando se produzcan altas o bajas de soportes, se deberá registrar en el inventario.

  • MALWARE:

En los ordenadores y dispositivos donde se realice el tratamiento automatizado de los datos personales se dispondrá de un sistema de antivirus que garantice en la medida posible el robo y destrucción de la información y datos personales. El sistema de antivirus deberá ser actualizado de forma periódica. Esto se registrará en el ANEXO V.4 REGISTRO DE LICENCIAS.

Se deberá comprobar en el antivirus que la licencia sea válida y que la base de firmas del antivirus esté actualizada correspondiéndose con el día en que efectuamos la comprobación.

  • CORTAFUEGOS O FIREWALL:

Para evitar accesos remotos indebidos a los datos personales se velará para garantizar la existencia de un firewall activado en aquellos ordenadores y dispositivos en los que se realice el almacenamiento y/o tratamiento de datos personales.

 

  • CIFRADO DE DATOS:

Según la política de clasificación de la información, se cifrará la información crítica que se almacene en la red corporativa. El registro de clasificación de la información se recoge en el ANEXO V.7.

 

Por otro lado, cuando se precise realizar la extracción o transmisión de datos personales fuera del recinto donde se realiza su tratamiento, ya sea por medios físicos o por medios electrónicos, se deberá valorar la posibilidad de utilizar un método de encriptación para garantizar la confidencialidad de los datos personales en caso de acceso indebido a la información.

 

En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte.

 

 

 

 

Dicho traslado se efectuará a través de aquellos medios y/o mecanismos que garanticen la seguridad y no pérdida, alteración o sustracción de los datos de carácter personal que contienen.

 

Para llevar a cabo este tratamiento será preciso que exista una autorización previa del responsable del tratamiento, y en todo caso deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado. Dicha autorización se encuentra recogida en el ANEXO VII. DELEGACIÓN DE AUTORIZACIONES.

 

  • COPIAS DE SEGURIDAD:

La realización de Copias de Seguridad tiene como último fin el poder proceder a la recuperación de los datos en el caso de producirse una corrupción o pérdida de los mismos.

 

La Copia de Seguridad respalda el sistema de información y garantiza su recuperación ante un hipotético desastre al estado que tenía inmediatamente antes de lanzar el proceso de copia.

* Respaldar la información significa copiar el contenido lógico de nuestro sistema informático a un medio que:

  • Sea fiable, es decir, refleje fielmente el original y utilice un soporte seguro.
  • Permanezca en un lugar seguro, tanto en lo que se refiere a los aspectos medioambientales, como a los mecanismos de acceso físico y lógico.
  • Facilite una recuperación rápida y eficiente.

 

La técnica de respaldo que permite llevar a cabo la copia se denomina “BACKUP” y protege los datos frente a interrupciones muy variadas: fallos de electricidad, incendios, inundaciones, virus informáticos, caídas de red, pérdidas por borrado accidental.

 

La ejecución del protocolo de copia supone haber completado un análisis previo del sistema de información, en el que se han valorado un conjunto de parámetros que lo condicionan.

  • TIPO DE COPIA: Se consideran varios mecanismos que con frecuencia se complementan:

 

  • Completa: Se realiza copia integral de todos los archivos. Es el mecanismo más efectivo y el recomendable siempre que las condiciones (tiempo de copia, presupuesto disponible) lo permitan.

 

  • Incremental: Trata exclusivamente las modificaciones realizadas (fechas) desde la última copia. La restauración resulta más compleja porque precisa de una copia original, y a partir de ahí se restauran las distintas copias incrementales.

 

* SOPORTES INFORMÁTICOS DE COPIAS DE SEGURIDAD: son todos aquellos medios de grabación y recuperación de datos que se utilizan para realizar Copias de Seguridad o pasos intermedios en los procesos de la aplicación que gestiona el Fichero.

Dado que la mayor parte de los soportes que hoy en día se utilizan, como CDs, DVDs, Discos Duros Externos, son fácilmente transportables, reproducibles y/o copiables, es evidente la importancia que para la seguridad de los datos del fichero tiene el control de estos medios.

 

 

Aquellos medios que sean reutilizables, y que hayan contenido copias de datos del fichero, deberán ser borrados físicamente antes de su reutilización, de forma que los datos que contenían no sean recuperables.

 

ÁLVAREZ CARROZADOS, S.L. ha establecido un procedimiento de actuación para la realización como mínimo semanal de copias de respaldo, salvo que en dicho periodo no se hubiera producido ninguna actualización de los datos.

Asimismo, se establecerá un procedimiento para la recuperación de los datos que garanticen en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.

Únicamente, en el caso de que la pérdida o destrucción afectase a ficheros o tratamientos parcialmente automatizados, y siempre que la existencia de documentación permita alcanzar el objetivo al que se refiere el párrafo anterior, se deberá proceder a grabar manualmente los datos quedando constancia motivada de este hecho.

El responsable del tratamiento se encargará de verificar cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos, dejando constancia de ello en el ANEXO V.8.

Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realización en el manual de Protección de Datos.

Si está previsto realizar pruebas con datos reales, previamente deberá haberse realizado una copia de seguridad.

 

PROCEDIMIENTO DE BACKUP

ÁLVAREZ CARROZADOS, S.L. realiza la PRIMERA COPIA DE SEGURIDAD de forma automatizada a través de un disco externo que está conectado en red al servidor y que, diariamente, hace la copia de seguridad. Se realiza copia de seguridad de toda la información del servidor (incluido el programa de gestión).

La SEGUNDA COPIA DE SEGURIDAD se hace en un disco externo de forma manual semanalmente y el disco externo se traslada al domicilio particular del Administrador del Sistema. Esta copia de seguridad debe ir cifrada al contener datos de salud.

ÁLVAREZ CARROZADOS, S.L  se compromete a que aquellos medios que sean reutilizables, y que hayan contenido copias de datos del fichero sean borrados físicamente antes de su reutilización de forma que los datos que contenían no sean recuperables.

 

 

PROCEDIMIENTO 02

PROCEDIMIENTO PARA EL EJERCICIO DE LOS DERECHOS DE LOS INTERESADOS

 

El responsable del tratamiento o persona en quien éste delegue, deberán facilitar a los interesados el ejercicio de sus derechos, reconocidos en los artículos 15 a 22 del RGPD. Dichos derechos podrán ejercerse directamente o por medio de representante legal o voluntario.

 

El responsable del tratamiento o personal autorizado por el mismo, deberá adoptar las medidas oportunas para verificar la identidad de quienes soliciten acceso y de quienes ejerzan los restantes derechos ARCO. Cuando tenga dudas razonables en relación con la identidad de la persona física que cursa la solicitud a que se refieren los artículos 15 a 22, podrá solicitar que se le facilite la información adicional necesaria para confirmar la identidad del interesado.

 

El responsable del tratamiento o personal autorizado por el mismo, estarán obligados a informar al afectado sobre los medios a su disposición para ejercer los derechos que le corresponden, articulando procedimientos que permitan fácilmente que los interesados puedan acreditar que han ejercido sus derechos.

 

Dichos medios deberán ser fácilmente accesibles para el afectado, no pudiendo ser denegado el ejercicio del derecho por el solo motivo de optar el afectado por otro medio.

 

El ejercicio de los derechos será gratuito para el interesado, EXCEPTO en los casos en que se formulen solicitudes manifiestamente infundadas o excesivas, especialmente por repetitivas (se podrá considerar repetitivo el ejercicio del derecho de acceso en más de una ocasión durante el plazo de seis meses, a menos que exista causa legítima para ello), en cuyo caso, el responsable podrá cobrar un canon que compense los costes administrativos de atender a la petición o negarse a actuar (el canon no podrá implicar un ingreso adicional para el responsable, sino que deberá corresponderse efectivamente con el verdadero coste de la tramitación de la solicitud).

En todo caso, el responsable deberá demostrar el carácter infundado o excesivo de las solicitudes que tengan un coste para el interesado.

 

La prueba del cumplimiento del deber de responder a la solicitud de ejercicio de los derechos formulados por el afectado recaerá sobre el responsable.

 

El responsable del tratamiento o persona en quien éste delegue, facilitarán al interesado información relativa a sus actuaciones sobre la base de una solicitud con arreglo a los artículos 15 a 22 RGPD, y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación.

 

Si el responsable decide no atender una solicitud, deberá informar de ello, motivando su negativa, dentro del plazo de un mes desde su presentación.

 

 

 

 

En cualquier caso, los titulares de la patria potestad podrán ejercitar en nombre y representación de los menores de catorce años los derechos de acceso, rectificación, cancelación, oposición o cualesquiera otros que pudieran corresponderles en el contexto del Proyecto de Ley Orgánica de Protección de Datos Personales y Garantías de los Derechos Digitales.

 

 

 

 

 

DERECHO DE ACCESO

 

El DERECHO DE ACCESO, recogido en los artículos 15 RGPD y 13 del Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales es el derecho de una persona a solicitar información al responsable de un fichero sobre si sus datos personales están siendo tratados.

 

Este derecho podrá ejercerse directamente o por medio de representante legal o voluntario, presentando conjuntamente con la pretensión, resolución judicial o escritura de poder de representación con mención especial.

 

Se ejercerá mediante petición o solicitud dirigida al responsable del tratamiento, formulada por escrito o a través de medios electrónicos y, adjuntando fotocopia del D.N.I. /N.I.E., en la que conste el tipo de consulta que quiere realizar y/o fichero/s a consultar. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que éste solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.

 

Cuando el afectado elija un medio distinto al que se le ofrece que suponga un coste desproporcionado, la solicitud será considerada excesiva, por lo que el afectado asumirá el exceso de costes que su elección comporte. En este caso, solo será exigible al responsable del tratamiento la satisfacción del derecho de acceso sin dilaciones indebidas.

 

El responsable podrá atender este derecho dirigiendo el interesado su solicitud al correo electrónico: carrozados@grupoalvarez.com o bien cumplimentando un formulario en papel y enviándolo a la siguiente dirección: ÁLVAREZ CARROZADOS, S.L. – Carretera Circunvalación, S/N., Sector 5 (24.240) Santa María del Páramo (León).

 

Igualmente, los responsables podrán atender este derecho facilitando el acceso remoto a un sistema seguro que ofrezca al interesado un acceso directo a sus datos personales, que garantice, de modo permanente, el acceso a su totalidad. A tales efectos, la comunicación por el responsable al afectado del modo en que éste podrá acceder a dicho sistema bastará para tener por atendida la solicitud de ejercicio de derecho.

No obstante, el interesado podrá solicitar del responsable la información referida a los extremos previstos en el artículo 15.1 RGPD que no se incluyese en el sistema de acceso remoto.

 

El responsable del tratamiento facilitará UNA COPIA de los datos personales objeto de tratamiento. Este derecho en ningún caso podrá afectar a los derechos y libertades de otros. El responsable podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes administrativos.

 

Cuando el responsable trate una gran cantidad de información relativa al afectado y éste ejercite su derecho de acceso sin especificar si se refiere a todos o a una parte de los datos, el responsable podrá solicitarle, antes de facilitar la información, que el afectado especifique los datos o actividades de tratamiento a que se refiere su solicitud.

 

 

 

 

PLAZO

 

El artículo 12.3 RGPD establece que “el responsable del tratamiento facilitará al interesado información relativa a sus actuaciones sobre la base de una solicitud con arreglo a los artículos 15 a 22, y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación.

 

Cuando el interesado presente la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo”.

Por su parte, el apartado 4º del artículo 12 RGPD, señala que “si el responsable del tratamiento no da curso a la solicitud del interesado, le informará sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante la autoridad de control y de ejercitar acciones judiciales”.

 

Por lo tanto, el plazo máximo para la resolución de la solicitud por parte del responsable del tratamiento es de 30 días desde la recepción de ésta.

 

 

 

DERECHO DE RECTIFICACIÓN

 

El DERECHO DE RECTIFICACIÓN, recogido en los artículos 16 RGPD y 14 del Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales es el derecho que permite a la persona afectada solicitar la modificación de datos que sean inexactos o incompletos.

 

Este derecho podrá ejercerse directamente o por medio de representante legal o voluntario, presentando conjuntamente con la pretensión, resolución judicial o escritura de poder de representación con mención especial.

 

El responsable del tratamiento que haya comunicado datos personales a terceros, deberá adoptar medidas técnicas para informar a dichos responsables de la solicitud del interesado de rectificar sus datos de carácter personal. El responsable informará al interesado acerca de dichos destinatarios, si éste así lo solicita.

 

Se ejercerá mediante petición o solicitud dirigida al responsable del tratamiento, formulada por escrito o a través de medios electrónicos y, adjuntando fotocopia del D.N.I. /N.I.E., en la que conste a qué datos se refiere y la corrección que haya de realizarse. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que éste solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común. El afectado deberá acompañar, cuando sea preciso, la documentación justificativa de la inexactitud o carácter incompleto de los datos objeto de tratamiento.

 

El responsable podrá atender este derecho dirigiendo el interesado su solicitud al correo electrónico: carrozados@grupoalvarez.com o bien cumplimentando un formulario en papel y enviándolo a la siguiente dirección: ÁLVAREZ CARROZADOS, S.L. – Carretera Circunvalación, S/N., Sector 5 (24.240) Santa María del Páramo (León).

 

PLAZO

 

El artículo 12.3 RGPD establece que “el responsable del tratamiento facilitará al interesado información relativa a sus actuaciones sobre la base de una solicitud con arreglo a los artículos 15 a 22, y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación. Cuando el interesado presente la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo”.

 

Por su parte, el apartado 4º del artículo 12 RGPD, señala que “si el responsable del tratamiento no da curso a la solicitud del interesado, le informará sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante la autoridad de control y de ejercitar acciones judiciales”.

 

 

 

 

DERECHO DE OPOSICIÓN

 

 

El DERECHO DE OPOSICIÓN, recogido en los artículos 21 RGPD y 18 del Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales es el derecho de una persona a oponerse al tratamiento de sus datos personales (incluida la elaboración de perfiles) o el cese de éstos en los siguientes supuestos:

 

  • Cuando no sea necesario su consentimiento para el tratamiento, como consecuencia de la concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal, que lo justifique.
  • Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa.
  • Cuando el tratamiento tenga como finalidad la adopción de una decisión referida al afectado.

 

Este derecho podrá ejercerse directamente o por medio de representante legal o voluntario, presentando conjuntamente con la pretensión, resolución judicial o escritura de poder de representación con mención especial.

 

Se ejercerá mediante petición o solicitud dirigida al responsable del tratamiento, formulada por escrito o a través de medios electrónicos y, adjuntando fotocopia del D.N.I. /N.I.E., en la que consten los motivos fundados y legítimos, relativos a una concreta situación personal de la persona afectada, que justifiquen el ejercicio de este derecho. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que éste solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.

 

El responsable podrá atender este derecho dirigiendo el interesado su solicitud al correo electrónico: carrozados@grupoalvarez.com o bien cumplimentando un formulario en papel y enviándolo a la siguiente dirección: ÁLVAREZ CARROZADOS, S.L. – Carretera Circunvalación, S/N., Sector 5 (24.240) Santa María del Páramo (León).

 

PLAZO

 

El artículo 12.3 RGPD establece que “el responsable del tratamiento facilitará al interesado información relativa a sus actuaciones sobre la base de una solicitud con arreglo a los artículos 15 a 22, y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación. Cuando el interesado presente la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo”.

 

Por su parte, el apartado 4º del artículo 12 RGPD, señala que “si el responsable del tratamiento no da curso a la solicitud del interesado, le informará sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante la autoridad de control y de ejercitar acciones judiciales”.

 

 

DERECHO A NO SER OBJETO DE DECISIONES INDIVIDUALES AUTOMATIZADAS

 

El DERECHO A NO SER OBJETO DE DECISIONES INDIVIDUALES AUTOMATIZADAS, recogido en el artículo 22 RGPD y 18 del Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, es el derecho de una persona a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.

 

Este derecho no aplicará si la decisión:

 

  1. Es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento
  2. Está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado,
  3. Se basa en el consentimiento explícito del interesado.

 

En los supuestos a) y c) el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades  y los intereses legítimos del interesado, como mínimo el derecho a la intervención humana por parte del responsable, a expresar su punto de vista ya impugnar la decisión.

 

El responsable podrá atender este derecho dirigiendo el interesado su solicitud al correo electrónico: carrozados@grupoalvarez.com o bien cumplimentando un formulario en papel y enviándolo a la siguiente dirección: ÁLVAREZ CARROZADOS, S.L. – Carretera Circunvalación, S/N., Sector 5 (24.240) Santa María del Páramo (León).

 

PLAZO

 

El artículo 12.3 RGPD establece que “el responsable del tratamiento facilitará al interesado información relativa a sus actuaciones sobre la base de una solicitud con arreglo a los artículos 15 a 22, y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación. Cuando el interesado presente la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo”.

 

Por su parte, el apartado 4º del artículo 12 RGPD, señala que “si el responsable del tratamiento no da curso a la solicitud del interesado, le informará sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante la autoridad de control y de ejercitar acciones judiciales”.

 

 

DERECHO DE SUPRESIÓN (“EL DERECHO AL OLVIDO”)

El DERECHO DE SUPRESIÓN (o “Derecho al Olvido”), recogido en los artículos 17 RGPD y 15 del Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales es el derecho de una persona a que se supriman sus datos personales sin dilación, siempre y cuando:

 

  • Ya no sean necesarios en relación con los fines para la que fueron recogidos o tratados de otro modo.
  • Retire el consentimiento en que se basa el tratamiento y éste no se base en otro fundamento jurídico.
  • Ejerza el derecho a oposición por motivos particulares o por mercadotecnia y no prevalezcan otros motivos legítimos para el tratamiento.
  • Los datos personales hayan sido tratados de forma ilícita.
  • Los datos personales deban suprimirse para el cumplimiento de una obligación legal.
  • Los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información.

 

Los responsables que hayan hecho públicos los datos personales deberán adoptar medidas técnicas para informar a otros responsables de la solicitud del interesado de borrar su información personal. El responsable informará al interesado acerca de dichos destinatarios, si éste así lo solicita.

 

No obstante, todo ello no aplicará cuando los tratamientos sean necesarios para:

 

  • Ejercer el derecho a la libertad de expresión e información.
  • Cumplir una obligación legal.
  • Por razones de interés público en el ámbito de la salud púbica o con fines de archivo público, estadístico, etc.
  • Para la formulación, el ejercicio o la defensa de reclamaciones.

 

Este derecho podrá ejercerse directamente o por medio de representante legal o voluntario, presentando conjuntamente con la pretensión, resolución judicial o escritura de poder de representación con mención especial.

 

Se ejercerá mediante petición o solicitud dirigida al responsable del tratamiento, formulada por escrito o a través de medios electrónicos y, adjuntando fotocopia del D.N.I. /N.I.E., en la que consten los motivos fundados y legítimos por los que se solicita la supresión de los datos personales y que justifique el ejercicio de este derecho. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que éste solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.

 

El responsable podrá atender este derecho dirigiendo el interesado su solicitud al correo electrónico: carrozados@grupoalvarez.com o bien cumplimentando un formulario en papel y enviándolo a la siguiente dirección: ÁLVAREZ CARROZADOS, S.L. – Carretera Circunvalación, S/N., Sector 5 (24.240) Santa María del Páramo (León).

 

 

PLAZO

El artículo 12.3 RGPD establece que “el responsable del tratamiento facilitará al interesado información relativa a sus actuaciones sobre la base de una solicitud con arreglo a los artículos 15 a 22, y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación. Cuando el interesado presente la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo”.

 

Por su parte, el apartado 4º del artículo 12 RGPD, señala que “si el responsable del tratamiento no da curso a la solicitud del interesado, le informará sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante la autoridad de control y de ejercitar acciones judiciales”.

 

DERECHO A LA PORTABILIDAD DE DATOS

 

El DERECHO A LA PORTABILIDAD DE DATOS, recogido en los artículos 20 RGPD y 17 del Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales es el derecho que permite a la persona afectada recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando el tratamiento esté basado en el consentimiento o en un contrato y se efectúe por medios automatizados.

 

Este derecho podrá ejercerse directamente o por medio de representante legal o voluntario, presentando conjuntamente con la pretensión, resolución judicial o escritura de poder de representación con mención especial.

 

Se ejercerá mediante petición o solicitud dirigida al responsable del tratamiento, formulada por escrito o a través de medios electrónicos y, adjuntando fotocopia del D.N.I. /N.I.E., en la que conste qué datos desea portar. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que éste solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común. El interesado tendrá derecho a que los datos se transmitan directamente de responsable a responsable cuando sea técnicamente posible.

 

El responsable podrá atender este derecho dirigiendo el interesado su solicitud al correo electrónico: carrozados@grupoalvarez.com o bien cumplimentando un formulario en papel y enviándolo a la siguiente dirección: ÁLVAREZ CARROZADOS, S.L. – Carretera Circunvalación, S/N., Sector 5 (24.240) Santa María del Páramo (León).

 

PLAZO

 

El artículo 12.3 RGPD establece que “el responsable del tratamiento facilitará al interesado información relativa a sus actuaciones sobre la base de una solicitud con arreglo a los artículos 15 a 22, y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación. Cuando el interesado presente la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo”.

 

Por su parte, el apartado 4º del artículo 12 RGPD, señala que “si el responsable del tratamiento no da curso a la solicitud del interesado, le informará sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante la autoridad de control y de ejercitar acciones judiciales”.

 

 

DERECHO DE LIMITACIÓN

 

El DERECHO DE LIMITACIÓN recogido en los artículos 18 RGPD y 16 del Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales es el derecho de una persona a que se limite el tratamiento de sus datos personales, siempre y cuando:

 

  • El interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos.
  • El interesado se haya opuesto al tratamiento de los datos personales, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.
  • Los datos personales hayan sido tratados de forma ilícita y el interesado se oponga a la supresión de los mismos.
  • Los datos personales ya no sean necesarios para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones.

 

El responsable del tratamiento que haya comunicado datos personales a terceros, deberá adoptar medidas técnicas para informar a dichos responsables de la solicitud del interesado de limitar el tratamiento de sus datos de carácter personal. El responsable informará al interesado acerca de dichos destinatarios, si éste así lo solicita.

 

Este derecho podrá ejercerse directamente o por medio de representante legal o voluntario, presentando conjuntamente con la pretensión, resolución judicial o escritura de poder de representación con mención especial.

 

Se ejercerá mediante petición o solicitud dirigida al responsable del tratamiento, formulada por escrito o a través de medios electrónicos y, adjuntando fotocopia del D.N.I. /N.I.E., en la que consten los motivos fundados y legítimos por los que se solicita la limitación de los datos personales y que justifique el ejercicio de este derecho. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que éste solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.

 

El responsable podrá atender este derecho dirigiendo el interesado su solicitud al correo electrónico: carrozados@grupoalvarez.com o bien cumplimentando un formulario en papel y enviándolo a la siguiente dirección: ÁLVAREZ CARROZADOS, S.L. – Carretera Circunvalación, S/N., Sector 5 (24.240) Santa María del Páramo (León).

 

El hecho de que el tratamiento de los datos personales esté limitado debe constar claramente en los sistemas de información del responsable.

 

PLAZO

 

El artículo 12.3 RGPD establece que “el responsable del tratamiento facilitará al interesado información relativa a sus actuaciones sobre la base de una solicitud con arreglo a los artículos 15 a 22, y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación. Cuando el interesado presente la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo”.

 

Por su parte, el apartado 4º del artículo 12 RGPD, señala que “si el responsable del tratamiento no da curso a la solicitud del interesado, le informará sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante la autoridad de control y de ejercitar acciones judiciales”.

 

 

PROCEDIMIENTO 03

PROCEDIMIENTO DE GESTIÓN Y NOTIFICACIÓN DE QUIEBRAS DE SEGURIDAD

 

Se entiende por “VIOLACIÓN DE LA SEGURIDAD DE DATOS PERSONALES” toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Cuando se produzcan violaciones de seguridad de datos de carácter personal, todos los usuarios con conocimiento de dicha violación deberán notificárselo de inmediato al Administrador del sistema o al responsable del tratamiento para que adopte las medidas oportunas. Para ello, el usuario deberá cumplimentar el REGISTRO INTERNO DE INCIDENCIAS (ANEXO IV.3).

El conocimiento y la no notificación de una incidencia por parte de un usuario será considerado como una falta contra la seguridad de los datos de carácter personal por parte de ese usuario.

Las incidencias y/o anomalías más comunes entre otras muchas son:

  1. La desconexión de los PC del SAI.
  2. Encontrar los PC de Sobremesa y/o Portátiles a ras del suelo.
  3. Tener la pantalla del PC de Sobremesa y/o Portátil a la vista de usuarios y/o clientes sin permiso de acceso.
  4. Dejar los programas que contengan datos personales abiertos.
  5. Enviar documentación con datos personales sin codificar por Correo Electrónico.
  6. Utilizar el Correo Electrónico y/o Internet, para uso privado.
  7. El abandono de un puesto de trabajo con documentación con datos personales en la mesa y/o en la pantalla sin la opción de hibernar y/o cerrado.
  8. Dejar documentación con datos personales en sitios que no tengan un sistema de cierre.
  9. Tirar documentación con datos personales a la papelera.
  10. Almacenar sin seguridad documentación en papel para su destrucción en la destructora de papel.
  11. Facilitar por teléfono o presencialmente datos personales de trabajadores y/o clientes/proveedores. Estas peticiones se realizarán por escrito justificándose el motivo de tal petición.
  12. Encontrar documentación de papel en cajas y/o en montones a ras del suelo.
  13. Trasladar documentación en papel o en soporte informático y/o electrónico sin garantizar la seguridad de los mismos.

 

Los responsables de tratamiento deben documentar todas las violaciones de seguridad dejando constancia de ello en el ANEXO IV.3.

Cuando se produzca una violación de la seguridad de los datos, el responsable del tratamiento deberá notificarla a la autoridad de control competente (en nuestro caso, a la AEPD), y de ser posible, a más tardar 72 horas después de que haya tenido lugar, a menos que resulte improbable que dicha violación constituya un riesgo para los derechos y libertades de los afectados. Si la notificación no tiene lugar en el plazo de 72 horas, deberá ir acompañada de la indicación de los motivos de la dilación.

 

 

 

Se puede encontrar un modelo de notificación a la Autoridad de Control en el ANEXO IV.1. FORMULARIO NOTIFICACIÓN BRECHAS. AGPD. No obstante, la notificación se realizará por medios electrónicos a través de la sede electrónica de la Agencia Española de Protección de Datos en la dirección: https://sedeagpd.gob.es

Si no fuera posible facilitar toda la información contenida en el ANEXO IV.1, la información se facilitará de manera gradual sin dilación indebida.

Los CRITERIOS para valorar si un incidente de seguridad debe notificarse serán los siguientes:

  • El potencial daño para los datos de los interesados (agravios en los datos personales): este habrá de incluir el agravio emocional, así como físico y financiero. Algunas de las formas en las que este agravio puede manifestarse son la exposición al robo de identidad a través del lanzamiento de datos identificativos que no sean públicos, tales como números de pasaporte; o información sobre los aspectos privados de la vida de la persona como por ejemplo sus circunstancias financieras.

 

  • El volumen de datos personales afectados: habrá que evaluarlo en relación con el tipo de datos objeto de la brecha de seguridad.

 

  • El nivel de los datos personales, ¿son sensibles?: existen más probabilidades de que los derechos y libertades de la persona sean dañados cuando los datos envueltos en la brecha de seguridad son sensibles. Por tanto, incluso un solo registro podría ser el desencadenante de la brecha de seguridad si la información es particularmente sensible.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Para facilitar la comprensión de los criterios se seguirán las pautas establecidas en el siguiente diagrama:

A continuación, se recoge la tabla de controles en relación con la sensibilidad del daño, es decir, si tengo muchos controles de seguridad y si los datos son sensibles.

  Insignificante

(1)

Menor

(2)

Moderada

(3)

Mayor

(4)

Controles altos

(4)

Bajo Bajo Medio Medio
Controles intermedios

(3)

Bajo Medio Medio Alto
Controles básicos

(2)

Medio Medio Alto Extremo
No hay control

(1)

Medio Alto Extremo Extremo

 

 

CONTROLES

  1. No hay ningún tipo de control de seguridad.
  2. Los controles son básicos (contraseñas de seguridad, copias de seguridad y antivirus, medidas de acceso físicas).
  3. Los controles de seguridad implican los anteriores más algún sistema de seguridad en redes o contra acceso de terceros, videovigilancia, etc.
  4. Existe todo tipo de controles en la instalación e infraestructura (seguridad extrema).

 

SENSIBILIDAD DEL DATO

  1. Dato no personal o personal con escaso valor.
  2. Dato personal con información relevante a los usuarios que podría ocasionar molestias a los mismos su pérdida o difusión.
  3. Dato personal con información importante de los usuarios que podría ocasionar molestias graves o daños importantes a los mismos su pérdida o difusión. Datos de generación de perfiles.
  4. Dato personal con información muy sensible de los usuarios que podría ocasionar daños muy importantes a los mismos su pérdida o difusión (tipología de dato recogida en el artículo 9 RGPD) o datos recogidos en el artículo 10 RGPD (datos relativos a infracciones y sanciones penales).

En los casos en que sea probable que la violación de seguridad entrañe un alto riesgo para los derechos y libertades de los interesados, la notificación a la autoridad de control deberá complementarse con una notificación dirigida a estos últimos sin dilación indebida (ANEXO IV.2).

Esta comunicación al interesado no será necesaria si se cumple alguno de los siguientes puntos:

 

  • El responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de seguridad de datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona no autorizada a acceder a ellos, como el cifrado.

 

  • El responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado.

 

  • Suponga un esfuerzo desproporcionado. En este caso se optará por una comunicación pública o medida similar.