MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE BUENAS PRÁCTICAS DE SEGURIDAD DE LA INFORMACIÓN Aplicación de la Ley Orgánica de Protección de Datos Volver anterior Inicio Continuar MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN 1. Introducción 2. Conceptos básicos acerca de la Ley Orgánica de Protección de Datos de Carácter Personal 2.1. ¿Qué fin persigue la LOPD? 2.2. Datos de Carácter Personal y Ficheros 2.3. Figuras establecidas por la LOPD 2.4. Principios de la Protección de Datos 2.5. Derechos de las personas titulares de los datos 3. Obligaciones que asume la Junta de Castilla y León 3.1. ¿Qué obligaciones asume la Junta? 3.2. ¿Cómo cumple la Junta con la LOPD? 4. ¿Qué debo hacer yo para cumplir la LOPD? 4.1. Medidas de Seguridad 4.2. Cláusulas y Procedimientos Volver anterior Inicio Continuar MANUAL DE SEGURIDAD DE LA INFORMACIÓN >1. Introducción 1. Introducción El Manual que a continuación se presenta, tiene como objeto: Explicar los aspectos fundamentales que recoge la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, (en adelante LOPD), y Presentar los diferentes modelos y procedimientos que la Junta de Castilla y León ha desarrollado para poder cumplir con dicha Ley. Antes de comenzar a definir los puntos principales de esta Ley, vamos a explicar quiénes son los verdaderos protagonistas de este proyecto y la relación que existe entre ellos: A. La Junta de Castilla y León B. La Ley C. Las Personas Volver anterior Inicio Continuar MANUAL DE SEGURIDAD DE LA INFORMACIÓN >1. Introducción A. La Junta de Castilla y León La Junta de Castilla y León vela por los derechos y las obligaciones de los ciudadanos. En la mayoría de las ocasiones esto se materializa en la prestación de servicios de la Junta al ciudadano y por tanto en un intercambio de datos personales. Bajo esta perspectiva, surge la necesidad de tratar los datos de forma responsable (usar la información para aquello para lo que tenemos autorización expresa, ya sea por el ciudadano o por alguna Ley) y segura (la información de los ciudadanos es un activo imprescindible para operar). En la Comunidad de Castilla y León, la normativa vigente a este respecto, Decreto 11/2003, de 23 de enero, dispone que será la Consejería de Fomento y en concreto la Dirección General de Telecomunicaciones, la encargada de velar por dicho cumplimiento en la Junta de Castilla y León. Es por eso que diseña este Manual, para facilitar el conocimiento de la LOPD, y sus implicaciones en el puesto de trabajo. B. La Ley Existe una Ley, cuyos orígenes se remontan al artículo 18 de la Constitución Española, llamada Ley Orgánica 15/1999, de 13 diciembre, de Protección de Datos de Carácter Personal (más conocida como LOPD), cuyo objetivo es regular el tratamiento de Datos de Carácter Personal por parte de los Organismos Públicos y las Entidades Privadas. C. Las Personas Las Personas, es decir, los titulares de los datos, son el objeto principal de la LOPD. Se tratará de regular las relaciones entre las personas y la Junta de Castilla y León. Volver anterior Inicio Continuar MANUAL DE SEGURIDAD DE LA INFORMACIÓN >1. Introducción PERSONAS Intercambio de Datos LOPD: Regula el Intercambio Volver anterior Inicio Continuar MANUAL DE SEGURIDAD DE LA INFORMACIÓN >2. Conceptos básicos 2. Conceptos básicos acerca de la Ley Orgánica de Protección de Datos de Carácter Personal 2.1. ¿Qué fin persigue la LOPD? Esta Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. 2.2. Datos de Carácter Personal y Ficheros ¿Qué es un DATO de CARACTER PERSONAL? Cualquier información de personas físicas identificadas o Identificables VER EJEMPLO ¿Qué es un FICHERO de Datos de Carácter Personal? Cualquier conjunto organizado de Datos de Carácter Personal en cualquier formato: electrónico, papel, etc. VER EJEMPLO Volver anterior Inicio Continuar MANUAL DE SEGURIDAD DE LA INFORMACIÓN >2. Conceptos básicos 2.3. Figuras establecidas por la LOPD Afectado o interesado: Persona física titular de los Datos de Carácter Personal. Responsable del Fichero: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. En el caso que nos ocupa, será cada Consejería y Organismo de la Junta de Castilla y León quien adopte la figura de Responsable de Fichero, respecto de aquellos Ficheros que se han creado y se vayan creando en un futuro. Encargado de Tratamiento: Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del fichero. En la mayoría de las organizaciones, el propio Responsable del Fichero realizará el tratamiento de los Ficheros, por tanto también recaerá sobre él la figura del Encargado del Tratamiento. Pero no siempre ocurre así. VER EJEMPLO Volver anterior Inicio Continuar MANUAL DE SEGURIDAD DE LA INFORMACIÓN >2. Conceptos básicos 2.4. Principios de Protección de Datos Calidad de los datos Los datos deben ser adecuados, pertinentes, no excesivos, exactos, puestos al día y por supuesto sólo se deben utilizar para la finalidad para la que se recogieron. VER EJEMPLO Derecho de información en la recogida de datos personales Los interesados a los que se soliciten datos personales deberán ser informados de modo expreso, preciso e inequívoco de: que existe un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. la identidad y dirección del responsable del tratamiento o, en su caso, de su representante. Consentimiento del afectado Es toda manifestación de voluntad, libre, inequívoca, específica, e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. El tratamiento de los datos requiere el consentimiento inequívoco del afectado, salvo en casos específicos recogidos en otras normas. Volver anterior Inicio Continuar MANUAL DE SEGURIDAD DE LA INFORMACIÓN >2. Conceptos básicos Datos especialmente protegidos De acuerdo con la Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias. Son datos especialmente protegidos los que revelen ideologías, afiliación sindical, religión, creencias, origen racial, salud y vida sexual... Seguridad de los datos El Responsable del Fichero, deberá adoptar las medidas de índole técnica y organizativa necesarias que garanticen la seguridad de los datos de carácter personal y eviten la alteración, pérdida, tratamiento o acceso no autorizado. Deber de secreto Quienes intervienen en cualquier tratamiento de datos están obligadas al secreto profesional de los mismos y al deber de guardarlos. Comunicación de datos Los datos sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con la funciones legitimas del cedente y el cesionario con el previo consentimiento del interesado. No se considera comunicación de datos el acceso de un tercero cuando dicho acceso sea necesario para la prestación de un servicio al Responsable del Fichero. ¡¡Ojo con los datos remitidos vía mail, teléfono o conocidos!! No se deben comunicar de cualquier manera. VER EJEMPLO COMUNICACIÓN DE DATOS Volver anterior Inicio Continuar MANUAL DE SEGURIDAD DE LA INFORMACIÓN >2. Conceptos básicos 2.5. Derechos de las personas titulares de los datos Impugnación de Valoraciones: Si a raiz de unos datos que ha aportado una persona, se ha hecho una valoración de su personalidad, ésta tendrá derecho a impugnarla si no está de acuerdo. Consulta al Registro General: cualquier persona puede conocer la existencia de tratamiento de datos personales, sus finalidades y la identidad del responsable delfichero consultando el registro general de protección de datos a través de www.agpd.es Derecho de acceso a sus datos: toda persona podrá direigirse a cualquier organización y solicitar información a cerca de la tipologóa de datos que tienen de ella. Derecho de rectificación de sus datos: toda persona podrá rectificar sus datos en las organizaciones que los traten. Derecho de cancelación de sus datos: toda persona podrá rectificar sus datos en las organizaciones que los traten, siempre y cuando no haya una legislación que lo impida, o la finalidad para la que se recogieron los datos no haya terminado. LOS DATOS SON DE LAS PERSONAS . . . ... NO DE LAS ORGANIZACIONES Volver anterior Inicio Continuar MANUAL DE SEGURIDAD DE LA INFORMACIÓN >3. Obligaciones que asume la Junta 3. Obligaciones que asume la Junta de Castilla y León 3.1. ¿Qué Obligaciones asume la Junta de Castilla y León? La Junta asume las obligaciones que le corresponden como entidad que efectúa tratamiento de datos en el territorio español, según señala la LOPD. Estas obligaciones se pueden resumir de la siguiente manera: Registrar Ficheros jurídicos en el Registro General de la Agencia de Protección de Datos. Mantener la calidad de los datos Informar en la recogida de datos Pedir consentimiento inequívoco al afectado, cuando proceda. Mantener y Tratar los datos bajo las medidas de seguridad y procedimientos que se requieran según el Reglamento de Medidas de Seguridad. Como persona con acceso a información cuyo responsable es la Junta de Castilla y León, tengo el deber de cumplir y/o colaborar en el cumplimiento de estas obligaciones. Volver anterior Inicio Continuar MANUAL DE SEGURIDAD DE LA INFORMACIÓN >3. Obligaciones que asume la Junta 3.2. ¿Cómo cumple la Junta de Castilla y León con la LOPD? La Junta de Castilla y León, tiene registrados en el Registro General de Protección de Datos, una serie de Ficheros de Datos de Darácter Personal por cada Consejería y Organismo dependiente. Éstos Ficheros se pueden consultar en la página web de la Agencia de Protección de Datos (https:www.agpd.es) en el siguiente enlace. El recorrido para llegar a este apartado dentro de la web de la Agencia es el siguiente: Ficheros Inscritos > Titularidad Pública > Índice de Organismos > Administración y Organismos Públicos de C. Autónomas > Comunidad de Castilla y León. Mantiene la calidad de los datos que trata: Recogiendo exclusivamente los datos que necesita: No se recogen datos excesivos. Empleándolos exclusivamente para la finalidad para la que se recogieron: no se emplearán para otras finalidades diferentes a las que la persona ha autorizado a la Junta de Castilla y León. Actualizando la información: Realizando mecanismos que faciliten la actualización de los datos por parte de las personas dueñas de los datos. Éstos se muestran en el apartado siguiente de este manual. Cancelando los datos cuando hayan dejado de ser necesarios para la finalidad para la que han sido recogidos. Los procedimientos de eliminación, se encuentran descritos en el siguiente apartado. Almacenando los datos de forma que permitan el ejercicio de los derechos. Volver anterior Inicio Continuar MANUAL DE SEGURIDAD DE LA INFORMACIÓN >3. Obligaciones que asume la Junta Informa en la Recogida de datos: En cada formulario, ficha, cupón o cualquier otro medio por el que se recojan datos, aparece una cláusula que informe a la persona que proporciona los datos de quién es el fichero, para qué empleará esos datos y los derechos que tiene. EL modelo de Cláusula de Recogida de Datos se puede ver en el siguiente apartado de este Manual. Pide consentimiento inequívoco para el tratamiento de datos. En el momento de la recogida de datos, se pide consentimiento. Mantiene las medidas de seguridad exigidas para un nivel alto de datos. La Junta de Castilla y León SI recoge datos especialmente protegidos. Las medidas de seguridad que emplea para cumplir con la LOPD se describen en el siguiente apartado. Los procedimientos para cumplir con dicha ley se muestran en el siguiente apartado del manual. Volver anterior Inicio Continuar MANUAL DE SEGURIDAD DE LA INFORMACIÓN >4. Como cumplir la LOPD 4. ¿Qué tengo que hacer yo para cumplir o ayudar a cumplir con la LOPD? 4.1. Medidas de Seguridad Desde hace años la Junta de Castilla y León está haciendo un gran esfuerzo técnico y humano para garantizar la seguridad en los datos, equipos y redes que soportan nuestros sistemas informáticos. No obstante, todo este esfuerzo resultaría inútil si no contáramos con la colaboración de nuestro personal, que constituye nuestra principal baza en materia de seguridad. Esta colaboración no implica una carga de trabajo adicional. Basta con asumir una serie de costumbres de buen uso, para contribuir al mejor funcionamiento del sistema. Desde aquí te animamos a colaborar con nosotros. Mi puesto de usuario… Para la realización de tu trabajo habitual, se te proporciona un puesto de usuario con todas las herramientas informáticas que necesitas. En el caso de que requieras acceso a nuevas aplicaciones o la instalación de nuevo software, solicítalo a través de ASISTA. Una vez autorizado por tu Jefe de Servicio o persona responsable, el personal informático te instalará todo lo necesario. Hemos puesto a tu disposición la dirección de correo seguridadinformacion@jcyl.es a la que puedes dirigirte para consultar cualquier duda, aportar sugerencias o comunicar incidentes en materia de seguridad informática. Volver anterior Inicio Continuar MANUAL DE SEGURIDAD DE LA INFORMACIÓN >4. Como cumplir la LOPD 4.1. Medidas de Seguridad (Cont.) Bajo ninguna circunstancia deberás instalar programas por tu cuenta. Piensa en los problemas que acarrearía esta instalación, ya que podrían contener virus y afectar a tu propio equipo y al de tus compañeros. Debes evitar guardar en el disco duro de tu equipo ficheros de carácter confidencial. Los servicios de informática realizan copias de los ficheros contenidos exclusivamente en las unidades de red. De esta información se hace copia diaria y se puede recuperar en el caso de que se produzca un borrado accidental. Si necesitas restaurar un fichero determinado ponte en contacto con ASISTA. Si los ficheros con los que trabajas requieren alguna protección adicional, por contener datos de carácter personal, desde ASISTA te asesoran sobre el modo correcto de hacerlo. Se deben colocar los monitores de modo que la información no pueda ser vista por terceras personas. Se deben retirar de manera inmediata los documentos que se lanzan por impresora, de modo que la información contenida no pueda ser vista por terceras personas. ASISTA es el centro de atención de usuarios. Está formado por personal técnico informático y atiende todas las solicitudes de servicios relacionadas con los sistemas informáticos del usuario. Tienes a tu disposición un canal de comunicación permanente a través de la página web ssi.jcyl.es Reforzamos este canal por medio del teléfono codificado 6116 (983 41 94 80) Volver anterior Inicio Continuar MANUAL DE SEGURIDAD DE LA INFORMACIÓN >4. Como cumplir la LOPD 4.1. Medidas de Seguridad (Cont.) Con carácter general se han habilitado una serie de unidades de red: •Unidad personal de red (generalmente la N) donde puedes guardar tu información de usuario. Sólo tú puedes entrar en esta unidad. •Unidad del departamento desde la que puedes compartir información con tus compañeros de Servicio (generalmente unidad G) •Una unidad corporativa de toda la Consejería o edificio al que pertenezcas (unidad J). Si por cualquier circunstancia en tu equipo no fuera visible alguna de las unidades, ponte en contacto con ASISTA. En cada equipo se encuentra instalado un programa antivirus, que actúa automáticamente. Utilízalo siempre que tengas sospechas de un fichero determinado. Actuarás por el bien de todos. Es recomendable: • Bloquear el ordenador por medio de contraseñas al abandonar el puesto de trabajo, incluso por un breve periodo de tiempo. • Apagar el ordenador al finalizar la jornada laboral o ante una ausencia prolongada. Los recursos de la Administración son limitados y se deberán usar exclusivamente para la realización de nuestro trabajo, evitando mantener en ellos ficheros personales. Volver anterior Inicio Continuar MANUAL DE SEGURIDAD DE LA INFORMACIÓN >4. Como cumplir la LOPD 4.1. Medidas de Seguridad (Cont.) Seguridad en mi puesto… Al darte de alta como usuario de la red de la Junta de Castilla y León, se te proporcionará un nombre de usuario y una contraseña. Debes de cambiarla nada más recibirla. A partir de ese momento tu contraseña es exclusivamente personal.. Las características de una buena contraseña son las siguientes: • Tener ocho caracteres como mínimo. • No contener tu nombre o el nombre de usuario. • No ser una palabra o nombre común. No utilices nombres triviales que sean fácilmente adivinables por los demás. No repitas contraseñas. • Ser significativamente diferente de otras contraseñas anteriores. • Combinar letras mayúsculas y minúsculas, números y símbolos (por ejemplo ~ ! @ # $ & *...) El sistema te irá ayudando a tomar unas medidas mínimas de seguridad, recordándote cuando debes cambiar la contraseña y advirtiéndote sobre la longitud de ésta. Las contraseñas se deben modificar de manera inmediata cuando haya sospecha de compromiso. Créate una regla nemotécnica que te ayude a recordarla. No compartas contraseñas, ni la apuntes cerca del ordenador. Se prohíbe expresamente el almacenamiento de contraseñas en programas, funciones o macros de ejecución automática. Volver anterior Inicio Continuar MANUAL DE SEGURIDAD DE LA INFORMACIÓN >4. Como cumplir la LOPD 4.1. Medidas de Seguridad (Cont.) Internet El acceso a Internet es un medio compartido. Su seguridad y disponibilidad se garantiza mediante la realización de tareas automáticas de limitación y priorización de tráficos. Debes procurar acceder sólo a páginas seguras. Hay que ser muy cuidadoso a la hora de bajar ficheros y debes chequear que éstos no incluyan virus de ningún tipo. No olvides que los medios son limitados y compartidos entre todos. Correo Electrónico… Es evidente que el correo electrónico es ya una herramienta insustituible en nuestro trabajo. No obstante, el correo también puede ser una gran fuente de amenazas de seguridad. No conviene enviar correos mayores de 10 Megas. Los sistemas de correo de la Administración podrán limitar de forma automática el envío y recepción de correos en base a la detección de virus, spam, tamaño o remitentes potencialmente inseguros. No es conveniente abrir correos salvo que tengas certeza de que la procedencia del mismo es fiable. Hay que tener en cuenta que muchas aplicaciones como Word o Excel incluyen componentes ejecutables. En caso de duda con algún fichero adjunto, es preferible consultar con ASISTA. Ojo con los ficheros de Word y Excel que pueden tener componentes ejecutables. Inicio Volver anterior Continuar MANUAL DE SEGURIDAD DE LA INFORMACIÓN >4. Como cumplir la LOPD 4.1. Medidas de Seguridad (Cont.) Correo Electrónico… Hay que tomar ciertas precauciones si queremos anexar ficheros a un mensaje. Como regla general, no se debe utilizar el correo electrónico si podemos intercambiar los ficheros a través de las unidades de red compartidas. Si esto no fuera posible, utilizaremos el compresor de ficheros antes de incluirlos en el mensaje. Ante cualquier duda o problema, ponte en contacto con ASISTA y te indicaremos cómo proceder. Además, como buena práctica, no deberíamos enviar correos a más de 20 personas simultáneamente. Existe una práctica muy común, que consiste en crear cadenas de correos. Aunque son a veces bien intencionados, no debemos contribuir a su difusión y debemos parar la cadena en el momento que nos llegue. La Administración puede tener problemas si se envían correos masivos al exterior, relacionándonos como proveedores de contenidos potencialmente inseguros. Colaborar con la seguridad es colaborar en el bien de todos. Volver anterior Inicio Continuar MANUAL DE SEGURIDAD DE LA INFORMACIÓN >4. Como cumplir la LOPD 4.2. Contratos, Cláusulas y Procedimientos. A continuación se describen una serie de cláusulas y modelos de contratos que serán necesarios para adaptar los procesos habituales de la Junta de Castilla y León a la LOPD. En cada apartado se explica cada una de ellas y además el Responsable de Seguridad puede proporcionar el formato definido por la Junta de Castilla y León . En todos los textos hay [frases entre corchetes y en negrita], esta parte será la que haya que adaptar a la circunstancia de ese momento. En cualquier caso; Ejercicio de los derechos: Cuando una persona se dirija a mi para ejercer algún derecho: Entregaré el impreso correspondiente a la persona que lo solicite y se lo comunicaré al Servicio de Informática de la Consejería correspondiente o a la UTI (Unidad Territorial de Informática) para que pueda poner en marcha el proceso de eliminación, cancelación o mostrar los datos a la persona que así lo solicita. Volver anterior Inicio Continuar MANUAL DE SEGURIDAD DE LA INFORMACIÓN >4. Como cumplir la LOPD CONTRATOS Y CLÁUSULAS 1. Cláusula de Recogida de Datos ¿Para qué sirve? Sirve para cumplir con el artículo 5 de la LOPD. Deber de Informar. ¿Cuándo tengo que emplearla? En el momento que vaya a realizar una recogida de datos de carácter personal, padrón, servicios de la Junta de Castilla y León …se podrá añadir como cláusula en el mismo formulario de recogida, o en caso de no existir dicho formulario, se realizará un impreso independiente con la cláusula y que la persona firme, de manera que quede constancia de que ha sido informado y de que da su consentimiento al tratamiento. Ver Modelo Normalizado 2. Contrato de Confidencialidad Modelo de contrato para la prestación de servicios no relacionados con el tratamiento de ficheros con datos de carácter personal, para impedir accesos y usos indebidos de esta información. Este modelo se utilizará como referencia en aquellos casos en los que, el Responsable del Fichero recurra a otra Organización para la prestación de servicios que requieran acceso físico a alguna de las instalaciones de la Administración de la Comunidad Autónoma de Castilla y León y que no requieran un tratamiento de datos de carácter personal. Ver Modelo Normalizado Volver anterior Inicio Continuar MANUAL DE SEGURIDAD DE LA INFORMACIÓN >4. Como cumplir la LOPD CONTRATOS Y CLÁUSULAS 3. Cláusula de Confidencialidad Modelo de cláusula para incluir en un contrato de servicios no relacionados con el tratamiento de ficheros con datos de carácter personal, para impedir accesos y usos indebidos de esta información. Este modelo se utilizará como referencia en aquellos casos en los que el organismo Responsable del Fichero recurra a otra organización para la prestación de servicios de limpieza, de vigilancia, etc. que requieran acceso físico de personal ajeno a alguna de las instalaciones de los Sistemas de Información de la Administración de la Comunidad de Castilla y León. Ver Modelo Normalizado 4. Contrato de Prestación de Servicios Modelo de contrato para la prestación de servicios no relacionados con el tratamiento de ficheros con datos de carácter personal, para impedir accesos y usos indebidos de esta información. Este modelo se utilizará como referencia en aquellos casos en los que, el Responsable del Fichero recurra a otra Organización para la prestación de servicios que requieran acceso físico a alguna de las instalaciones de la Administración de la Comunidad Autónoma de Castilla y León y que no requieran un tratamiento de datos de carácter personal. Ver Modelo Normalizado Nivel Básico Ver Modelo Normalizado Nivel Medio Ver Modelo Normalizado Nivel Alto Volver anterior Inicio Continuar MANUAL DE SEGURIDAD DE LA INFORMACIÓN >4. Como cumplir la LOPD CONTRATOS Y CLÁUSULAS 5. Contrato de Cesión de Datos entre Organizaciones Modelo de Contrato para la cesión de datos de carácter personal entre Organizaciones. Este modelo se utilizará como referencia en aquellos casos en los que la Organización desee ceder los datos de carácter personal, contenidos en un fichero, a un tercero. Según el Artículo 11 de la Ley Orgánica de Protección de Datos, es obligatorio el consentimientos previo del afectado. Ver Modelo Normalizado 6. Acuerdo de Prestación de Servicios entre Entes Públicos Modelo de acuerdo de prestación de servicios entre Entes del Sector Público conforme al Artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Este modelo se utilizará cuándo el tratamiento de datos de un fichero con datos de carácter personal que corresponda a una Consejería, Organismo Autónomo, etc., lo realice otro Ente de la misma Naturaleza. Ver Modelo Normalizado Nivel Básico Ver Modelo Normalizado Nivel Medio Ver Modelo Normalizado Nivel Alto Volver anterior Inicio Continuar MANUAL DE SEGURIDAD DE LA INFORMACIÓN >4. Como cumplir la LOPD EJERCICIO DE LOS DERECHOS ARCO 1. Ejercicio del Derecho de Acceso Modelo para que el ciudadano pueda ejercitar su derecho de acceder a los datos que aportó en un determinado momento y conocer si están siendo objeto del tratamiento para el que se recogieron, obteniendo del Responsable del Fichero la información gratuita solicitada. Sólo podrá ser ejercitado a intervalos no inferiores a 12 meses, salvo interés legítimo que justifique realizarlo antes, debiendo resolverse en un plazo de 1 mes desde la recepción de la solicitud. Ver Modelo Normalizado 2. Ejercicio del Derecho de Oposición y/o Cancelación Modelo para que el ciudadano pueda ejercitar su Derecho de Oposición en las siguientes situaciones: • Cuándo no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo. • Cuándo no sea necesario su consentimiento como consecuencia de un motivo legítimo. • Cuando sean ficheros con finalidad de publicidad y prospección comercial. El Derecho de Cancelación es el que dará lugar a que se supriman los datos que resulten inadecuados o excesivos, sin perjuicio del deber de bloqueo. Ver Modelo Normalizado Volver anterior Inicio Continuar MANUAL DE SEGURIDAD DE LA INFORMACIÓN >4. Como cumplir la LOPD EJERCICIO DE LOS DERECHOS ARCO 3. Ejercicio del Derecho de Rectificación Modelo para que el ciudadano pueda ejercitar su derecho de modificar los datos que resulten ser inexactos o incompletos. Ver Modelo Normalizado 4. Contestación al Ejercicio del Derecho de Acceso De acuerdo a la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de carácter Personal, se reconoce el ejercicio de los Derechos por parte del interesado y la obligación por parte del Responsable del Fichero de atender la solicitud de Acceso ejercida por el afectado que deberá contestar en todo caso, con independencia de que figuren o no datos personales del mismo en sus ficheros. Ver Modelo Normalizado 5. Contestación al Ejercicio del Derecho de Cancelación De acuerdo a la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de carácter Personal, se reconoce el ejercicio de los Derechos por parte del interesado y la obligación por parte del Responsable del fichero de atender la solicitud de Cancelación ejercida por el afectado que deberá contestar en todo caso, con independencia de que figuren o no datos personales del afectado en sus ficheros. Ver Modelo Normalizado Volver anterior Inicio Continuar MANUAL DE SEGURIDAD DE LA INFORMACIÓN >4. Como cumplir la LOPD EJERCICIO DE LOS DERECHOS ARCO 6. Contestación al Ejercicio del Derecho de Rectificación De acuerdo a la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de carácter Personal, se reconoce el ejercicio de los Derechos por parte del interesado y la obligación por parte del Responsable del Fichero de atender la solicitud de Rectificación ejercida por el afectado, que deberá contestar en todo caso, con independencia de que figuren o no datos personales del afectado en sus ficheros. Ver Modelo Normalizado 7. Improcedencia del Ejercicio de los Derechos de Cancelación/Rectificación De acuerdo a la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de carácter Personal, se reconoce el ejercicio de los Derechos por parte del interesado y la obligación del Responsable del fichero de atender la solicitud del ejercicio de los derechos por el afectado que deberá contestar la solicitud en todo caso, con independencia de que figuren o no datos personales del afectado en sus ficheros. Este modelo se utilizará siempre que el Responsable del Fichero no pueda facilitar la petición datos que solicita el afectado por los motivos que expresamente establezca. Ver Modelo Normalizado Volver anterior Inicio Continuar MANUAL DE SEGURIDAD DE LA INFORMACIÓN >4. Como cumplir la LOPD EJERCICIO DE LOS DERECHOS ARCO 8. Denegación del Derecho de Acceso Este modelo se utilizará cuándo se deniegue el ejercicio del Derecho de Acceso en los supuestos previstos en una ley o norma de derecho comunitario o cuando éstas impidan al Responsable de fichero revelar a los interesados el tratamiento de los datos. Asimismo, el Derecho de Acceso se denegará cuando se ejercite en los doce meses anteriores a la solicitud, salvo interés legítimo. Ver Modelo Normalizado 9. Denegación de los Derechos de Rectificación y Cancelación Este modelo se utilizará cuándo se deniegue el ejercicio de los Derechos de Rectificación y Cancelación en los supuestos previstos en una ley o norma de derecho comunitario o cuando éstas impidan al Responsable de fichero revelar a los interesados el tratamiento de los datos. Asimismo, el derecho de Cancelación se denegará cuándo los datos deban conservarse durante los plazos legales o contractuales previstos. Ver Modelo Normalizado Volver anterior Inicio Continuar MANUAL DE SEGURIDAD DE LA INFORMACIÓN >4. Como cumplir la LOPD EJERCICIO DE LOS DERECHOS ARCO 10. Denegación de Derechos solicitado por Representante Este modelo se utilizará siempre que la solicitud del ejercicio de derechos sea realizada por persona distinta del afectado y no se acredite representación de aquél. Ver Modelo Normalizado 11. Denegación de los Derechos para Subsanación de Defectos De acuerdo a la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de carácter Personal, se reconoce el ejercicio de los Derechos por parte del interesado y la obligación del Responsable del Fichero de atender la solicitud del ejercicio de los derechos por parte del afectado que deberá contestar en todo caso, con independencia de que figuren o no datos personales del mismo en sus ficheros. Este Modelo se utilizará para denegar provisionalmente la solicitud del ejercicio del derecho, para subsanar los defectos que aparezcan en la misma. Ver Modelo Normalizado Volver anterior Inicio Continuar MANUAL DE SEGURIDAD DE LA INFORMACIÓN >4. Como cumplir la LOPD EJERCICIO DE LOS DERECHOS ARCO 12. Derecho de Cancelación de Envío de Publicidad Modelo para que el ciudadano pueda ejercitar su derecho de cancelación de envío de publicidad, a partir de los datos que en su día fueron recabados por el Responsable de Fichero, con el fin de no recibir más publicidad. La solicitud debe resolverse en un plazo de 10 días desde recepción de la misma. Ver Modelo Normalizado 13. Contestación al Ejercicio del Derecho de Cancelación de Envío de Publicidad De acuerdo a la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de carácter Personal, se reconoce el ejercicio de los Derechos por parte del interesado y la obligación del Responsable del fichero de atender la solicitud de Cancelación de envío de publicidad ejercida por el afectado que deberá contestar en todo caso, con independencia de que figuren o no datos personales del afectado en sus ficheros. Ver Modelo Normalizado Volver anterior Inicio Continuar MANUAL DE SEGURIDAD DE LA INFORMACIÓN >4. Como cumplir la LOPD EJERCICIO DE LOS DERECHOS ARCO 14. Comunicación de Cancelación de Datos al Cesionario De acuerdo a la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de carácter Personal, se comunicará al cesionario que cancele los datos personales que se han suprimido previamente por el Responsable del fichero, ante el que se ejerció el derecho de Cancelación por el dueño de los datos. Ver Modelo Normalizado 15. Ejercicio del Derecho de Cancelación de la Cesión de Datos El Derecho de Cancelación es el que dará lugar a que se supriman los datos que resulten inadecuados o excesivos, sin perjuicio del deber de bloqueo. En este supuesto, el interesado que en su día permitió ceder sus datos por el Responsable del Fichero, solicita que se cancele la cesión de los mismos. Ver Modelo Normalizado 16. Contestación al Ejercicio del Derecho de Cancelación de la Cesión de Datos De acuerdo a la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de carácter Personal, se reconoce el ejercicio de los Derechos por parte del interesado y la obligación del Responsable del fichero de atender la solicitud de Cancelación de envío de publicidad ejercida por el afectado que deberá contestar en todo caso, con independencia de que figuren o no datos personales del afectado en sus ficheros. Ver Modelo Normalizado Volver anterior Inicio Continuar MANUAL DE SEGURIDAD DE LA INFORMACIÓN >4. Como cumplir la LOPD MODELOS DE CONTRATOS Modelo de Contrato de prestación de Servicios. (modelo 3305) ¿Para qué sirve? Sirve para que el Responsable del Fichero, en este caso la Junta de Castilla y León , pueda regular su relación con el encargado de tratamiento. ¿Cuándo tengo que emplearlo? Cuando desde la Junta de Castilla y León se decida externalizar algún servicio, que requiera el acceso del tercero al que se le adjudique la Prestación de Servicios, al Sistema de Información. Acuerdo de Confidencialidad. (modelo 3303) ¿Para qué sirve? Para asegurar la confidencialidad por las partesde queProtección firman el contrato. Aplicación de la Ley Orgánica de Datos ¿Cuándo tengo que emplearlo? MANUAL DE USUARIO Cuando contrate a un proveedor que aunque no acceda al Sistema de Información, pueda en algún caso acceder a algún tipo de Información de la que la Junta de Castilla y León es responsable. Más Información en: www.jcyl.es/segurinfo www.agpd.es Volver anterior Inicio Continuar MANUAL DE SEGURIDAD DE LA INFORMACIÓN >ANEXO I. Ejemplos ANEXO I: EJEMPLOS Ejemplo Dato de Carácter Personal Pensemos por un momento en que almacenamos las matrículas de los vehículos que utilizan el aparcamiento de nuestra organización, ya sea por motivos de gestión o seguridad. La matrícula sería un DCP, ya que por medio de ella podemos conocer los datos del titular del vehículo solicitando un informe a la Jefatura Provincial de Tráfico correspondiente, con lo cual a través de ella podemos identificar a una persona física. Volver Ejemplo de Fichero de Datos de Carácter Personal Si tenemos una Base de Datos de ciudadanos con 1000 campos, pero sólo 10 de ellos son DCP, nuestro Fichero de ciudadanos tendrá sólo 10 campos, y como tal lo declararemos ante la Agencia Española de Protección de Datos (APD). Para terminar de ilustrar la diferencia entre Fichero (como término jurídico) y Base de Datos, como concepto técnico, pensemos que si tuviéramos 2 Bases de Datos con datos de clientes, sólo tendríamos que declarar un sólo Fichero ante la APD. Dicho Fichero comprendería los DCP de ambas Bases de Datos. Volver Ejemplo de Encargado de Tratamiento Si empleamos el ejemplo de las matrículas; supongamos que tenemos subcontratada una empresa que es la que trata los datos para poder prestar el servicio de seguridad, ésta será el encargado del tratamiento. El responsable será la Junta y el encargado la empresa de seguridad. Ésta únicamente podrá tratar los datos para prestar el servicio que le ha contratado la Junta, después los eliminará. Volver Volver anterior Inicio Continuar MANUAL DE SEGURIDAD DE LA INFORMACIÓN >ANEXO I. Ejemplos ANEXO I: EJEMPLOS Ejemplo de Calidad de los Datos En el ejemplo de las matrículas, cabría recoger datos de la persona titular del coche, o incluso, por motivos justificados de seguridad, usuarios autorizados de ese coche…lo que no estaría justificado es pedir al titular del coche, datos de su talla, familia…puesto que en pricipio no son necesarios para cubrir la seguridad del edificio. Volver Ejemplo de Comunicación de los Datos Supongamos que tengo acceso a una aplicación donde se puede obtener información a cerca de las ayudas que ha recibido una persona. Esta información no se puede comunicar a un tercero (asesor, familiar,…) a no ser que el beneficiario lo haya autorizado así expresamente. Si por parte de una Administración Pública (art. 21 LOPD) nos piden Información a cerca de quiénes han recibido ayudas, sólo podremos ofrecérsela en caso de que la competencia y la finalidad para lo que lo vayan a emplear sea la misma para la que se recabaron inicialmente, es decir sólo si lo necesitan para poder otorgar otras subvenciones que sean incompatibles con la que ya ha recibido etc. Sería conveniente que la petición que nos hagan para la comunicación de datos, nos la hagan por escrito (correo ordinario o electrónico, fax…) y señalen la finalidad para la que van a emplear los datos. Si los datos son de nivel alto (salud, orientación sexual…) deberemos enviarlos con las medidas de seguridad correspondientes; si es correo electrónico deberá ir cifrado, si es correo ordinario deberá ir certificado, no se debe enviar por fax o por otras vías que puedan acceder perdonas diferentes del destinatario. Volver Volver anterior Inicio Continuar