Diapositiva 1 - Junta de Castilla y León

Anuncio
MANUAL DE SEGURIDAD DE LA INFORMACIÓN
MANUAL DE BUENAS PRÁCTICAS DE
SEGURIDAD DE LA INFORMACIÓN
Aplicación de la Ley Orgánica de Protección de Datos
Volver anterior
Inicio
Continuar
MANUAL DE SEGURIDAD DE LA INFORMACIÓN
MANUAL DE SEGURIDAD DE LA INFORMACIÓN
1. Introducción
2. Conceptos básicos acerca de la Ley Orgánica de Protección
de Datos de Carácter Personal
2.1. ¿Qué fin persigue la LOPD?
2.2. Datos de Carácter Personal y Ficheros
2.3. Figuras establecidas por la LOPD
2.4. Principios de la Protección de Datos
2.5. Derechos de las personas titulares de los datos
3. Obligaciones que asume la Junta de Castilla y León
3.1. ¿Qué obligaciones asume la Junta?
3.2. ¿Cómo cumple la Junta con la LOPD?
4. ¿Qué debo hacer yo para cumplir la LOPD?
4.1. Medidas de Seguridad
4.2. Cláusulas y Procedimientos
Volver anterior
Inicio
Continuar
MANUAL DE SEGURIDAD DE LA INFORMACIÓN
>1. Introducción
1. Introducción
El Manual que a continuación se presenta, tiene como objeto:
 Explicar los aspectos fundamentales que recoge la Ley Orgánica 15/1999, de 13
de diciembre, de Protección de Datos de Carácter Personal, (en adelante LOPD), y
 Presentar los diferentes modelos y procedimientos que la Junta de Castilla y
León ha desarrollado para poder cumplir con dicha Ley.
Antes de comenzar a definir los puntos principales de esta Ley, vamos a explicar
quiénes son los verdaderos protagonistas de este proyecto y la relación que existe
entre ellos:
A.
La Junta de Castilla y León
B.
La Ley
C.
Las Personas
Volver anterior
Inicio
Continuar
MANUAL DE SEGURIDAD DE LA INFORMACIÓN
>1. Introducción
A.
La Junta de Castilla y León
La Junta de Castilla y León vela por los derechos y las obligaciones de los
ciudadanos. En la mayoría de las ocasiones esto se materializa en la
prestación de servicios de la Junta al ciudadano y por tanto en un
intercambio de datos personales.
Bajo esta perspectiva, surge la necesidad de tratar los datos de forma
responsable (usar la información para aquello para lo que tenemos
autorización expresa, ya sea por el ciudadano o por alguna Ley) y segura (la
información de los ciudadanos es un activo imprescindible para operar).
En la Comunidad de Castilla y León, la normativa vigente a este respecto,
Decreto 11/2003, de 23 de enero, dispone que será la Consejería de Fomento
y en concreto la Dirección General de Telecomunicaciones, la encargada de
velar por dicho cumplimiento en la Junta de Castilla y León. Es por eso que
diseña este Manual, para facilitar el conocimiento de la LOPD, y sus
implicaciones en el puesto de trabajo.
B.
La Ley
Existe una Ley, cuyos orígenes se remontan al artículo 18 de la Constitución
Española, llamada Ley Orgánica 15/1999, de 13 diciembre, de Protección de
Datos de Carácter Personal (más conocida como LOPD), cuyo objetivo es
regular el tratamiento de Datos de Carácter Personal por parte de los
Organismos Públicos y las Entidades Privadas.
C.
Las Personas
Las Personas, es decir, los titulares de los datos, son el objeto principal de la
LOPD.
Se tratará de regular las relaciones entre las personas y la Junta de Castilla y
León.
Volver anterior
Inicio
Continuar
MANUAL DE SEGURIDAD DE LA INFORMACIÓN
>1. Introducción
PERSONAS
Intercambio
de
Datos
LOPD:
Regula el
Intercambio
Volver anterior
Inicio
Continuar
MANUAL DE SEGURIDAD DE LA INFORMACIÓN
>2. Conceptos básicos
2. Conceptos básicos acerca de la Ley Orgánica de
Protección de Datos de Carácter Personal
2.1. ¿Qué fin persigue la LOPD?
Esta Ley Orgánica tiene por objeto garantizar y proteger, en lo que
concierne al tratamiento de los datos personales, las libertades públicas y
los derechos fundamentales de las personas físicas, y especialmente de su
honor e intimidad personal y familiar.
2.2. Datos de Carácter Personal y Ficheros
¿Qué es un DATO de CARACTER
PERSONAL?
Cualquier información
de personas físicas
identificadas o
Identificables
VER EJEMPLO
¿Qué es un FICHERO de Datos de Carácter Personal?
Cualquier conjunto organizado de Datos de
Carácter Personal en cualquier formato:
electrónico, papel, etc. VER EJEMPLO
Volver anterior
Inicio
Continuar
MANUAL DE SEGURIDAD DE LA INFORMACIÓN
>2. Conceptos básicos
2.3. Figuras establecidas por la LOPD
Afectado o interesado:
Persona física titular de los Datos de Carácter Personal.
Responsable del Fichero:
Persona física o jurídica, de naturaleza pública o privada, u órgano
administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. En el
caso que nos ocupa, será cada Consejería y Organismo de la Junta de Castilla y
León quien adopte la figura de Responsable de Fichero, respecto de aquellos
Ficheros que se han creado y se vayan creando en un futuro.
Encargado de Tratamiento:
Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que,
sólo o conjuntamente con otros, trate datos personales por cuenta del
responsable del fichero. En la mayoría de las organizaciones, el propio
Responsable del Fichero realizará el tratamiento de los Ficheros, por tanto también
recaerá sobre él la figura del Encargado del Tratamiento. Pero no siempre ocurre así.
VER EJEMPLO
Volver anterior
Inicio
Continuar
MANUAL DE SEGURIDAD DE LA INFORMACIÓN
>2. Conceptos básicos
2.4. Principios de Protección de Datos
Calidad de los datos
Los datos deben ser adecuados, pertinentes, no excesivos, exactos, puestos al día y
por supuesto sólo se deben utilizar para la finalidad para la que se recogieron.
VER EJEMPLO
Derecho de información en la recogida de datos personales
Los interesados a los que se soliciten datos personales deberán ser informados de
modo expreso, preciso e inequívoco de:
que existe un fichero o tratamiento de datos de carácter personal, de la finalidad de
la recogida de éstos y de los destinatarios de la información.
posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y
oposición.
 la identidad y dirección del responsable del tratamiento o, en su caso, de su
representante.
Consentimiento del afectado
Es toda manifestación de voluntad, libre, inequívoca, específica, e informada,
mediante la que el interesado consienta el tratamiento de datos personales que le
conciernen.
El tratamiento de los datos requiere el consentimiento
inequívoco del afectado, salvo en casos específicos
recogidos en otras normas.
Volver anterior
Inicio
Continuar
MANUAL DE SEGURIDAD DE LA INFORMACIÓN
>2. Conceptos básicos
Datos especialmente protegidos
De acuerdo con la Constitución, nadie podrá ser obligado a declarar sobre su
ideología, religión o creencias.
Son datos especialmente protegidos los que revelen ideologías, afiliación sindical,
religión, creencias, origen racial, salud y vida sexual...
Seguridad de los datos
El Responsable del Fichero, deberá adoptar las medidas de índole técnica y
organizativa necesarias que garanticen la seguridad de los datos de carácter
personal y eviten la alteración, pérdida, tratamiento o acceso no autorizado.
Deber de secreto
Quienes intervienen en cualquier tratamiento
de datos están obligadas al secreto profesional de los
mismos y al deber de guardarlos.
Comunicación de datos
Los datos sólo podrán ser comunicados a un tercero para el cumplimiento de fines
directamente relacionados con la funciones legitimas del cedente y el cesionario con
el previo consentimiento del interesado.
No se considera comunicación de datos el acceso de un tercero cuando dicho
acceso sea necesario para la prestación de un servicio al Responsable del Fichero.
¡¡Ojo con los datos remitidos vía mail, teléfono o conocidos!! No se deben
comunicar de cualquier manera.
VER EJEMPLO COMUNICACIÓN DE DATOS
Volver anterior
Inicio
Continuar
MANUAL DE SEGURIDAD DE LA INFORMACIÓN
>2. Conceptos básicos
2.5. Derechos de las personas titulares de los datos
 Impugnación de Valoraciones: Si a raiz de unos datos que ha aportado una
persona, se ha hecho una valoración de su personalidad, ésta tendrá derecho a
impugnarla si no está de acuerdo.
 Consulta al Registro General: cualquier persona puede conocer la existencia
de tratamiento de datos personales, sus finalidades y la identidad del
responsable delfichero consultando el registro general de protección de datos a
través de www.agpd.es
 Derecho de acceso a sus datos: toda persona podrá direigirse a cualquier
organización y solicitar información a cerca de la tipologóa de datos que tienen
de ella.
 Derecho de rectificación de sus datos: toda persona podrá rectificar sus
datos en las organizaciones que los traten.
 Derecho de cancelación de sus datos: toda persona podrá rectificar sus datos
en las organizaciones que los traten, siempre y cuando no haya una legislación
que lo impida, o la finalidad para la que se recogieron
los datos no haya terminado.
LOS DATOS SON DE LAS PERSONAS . . .
... NO DE LAS ORGANIZACIONES
Volver anterior
Inicio
Continuar
MANUAL DE SEGURIDAD DE LA INFORMACIÓN
>3. Obligaciones que asume la Junta
3. Obligaciones que asume la Junta de Castilla y León
3.1. ¿Qué Obligaciones asume la Junta de Castilla y León?
La Junta asume las obligaciones que le corresponden como entidad que efectúa
tratamiento de datos en el territorio español, según señala la LOPD.
Estas obligaciones se pueden resumir de la siguiente manera:
 Registrar Ficheros jurídicos en el Registro General de la Agencia de Protección
de Datos.
 Mantener la calidad de los datos
 Informar en la recogida de datos
 Pedir consentimiento inequívoco al afectado, cuando proceda.
 Mantener y Tratar los datos bajo las medidas de seguridad y procedimientos que
se requieran según el Reglamento de Medidas de Seguridad.
Como persona con acceso a información cuyo
responsable es la Junta de Castilla y León, tengo el
deber de cumplir y/o colaborar en el cumplimiento
de estas obligaciones.
Volver anterior
Inicio
Continuar
MANUAL DE SEGURIDAD DE LA INFORMACIÓN
>3. Obligaciones que asume la Junta
3.2. ¿Cómo cumple la Junta de Castilla y León con la LOPD?
 La Junta de Castilla y León, tiene registrados en el Registro General de Protección
de Datos, una serie de Ficheros de Datos de Darácter Personal por cada
Consejería y Organismo dependiente. Éstos Ficheros se pueden consultar en la
página web de la Agencia de Protección de Datos (https:www.agpd.es) en el
siguiente enlace.
El recorrido para llegar a este apartado dentro de la web de la Agencia es el
siguiente:
Ficheros Inscritos > Titularidad Pública > Índice de Organismos > Administración y
Organismos Públicos de C. Autónomas > Comunidad de Castilla y León.
 Mantiene la calidad de los datos que trata:
Recogiendo exclusivamente los datos que necesita: No se recogen datos
excesivos.
Empleándolos exclusivamente para la finalidad para la que se recogieron: no se
emplearán para otras finalidades diferentes a las que la persona ha autorizado a
la Junta de Castilla y León.
Actualizando la información: Realizando mecanismos que faciliten la
actualización de los datos por parte de las personas dueñas de los datos. Éstos
se muestran en el apartado siguiente de este manual.
Cancelando los datos cuando hayan dejado de ser necesarios para la finalidad
para la que han sido recogidos. Los procedimientos de eliminación, se
encuentran descritos en el siguiente apartado.
Almacenando los datos de forma que permitan el ejercicio de los derechos.
Volver anterior
Inicio
Continuar
MANUAL DE SEGURIDAD DE LA INFORMACIÓN
>3. Obligaciones que asume la Junta
 Informa en la Recogida de datos:
En cada formulario, ficha, cupón o cualquier otro medio por el que se recojan
datos, aparece una cláusula que informe a la persona que proporciona los datos
de quién es el fichero, para qué empleará esos datos y los derechos que tiene.
EL modelo de Cláusula de Recogida de Datos se puede ver en el siguiente
apartado de este Manual.
 Pide consentimiento inequívoco para el tratamiento de datos.
En el momento de la recogida de datos, se pide consentimiento.
 Mantiene las medidas de seguridad exigidas para un nivel alto de datos.
La Junta de Castilla y León SI recoge datos especialmente protegidos.
Las medidas de seguridad que emplea para cumplir con la LOPD se describen
en el siguiente apartado.
Los procedimientos para cumplir con dicha ley se muestran en el siguiente
apartado del manual.
Volver anterior
Inicio
Continuar
MANUAL DE SEGURIDAD DE LA INFORMACIÓN
>4. Como cumplir la LOPD
4. ¿Qué tengo que hacer yo para cumplir o ayudar a
cumplir con la LOPD?
4.1. Medidas de Seguridad
Desde hace años la Junta de Castilla y León está haciendo un gran esfuerzo
técnico y humano para garantizar la seguridad en los datos, equipos y redes que
soportan nuestros sistemas informáticos. No obstante, todo este esfuerzo
resultaría inútil si no contáramos con la colaboración de nuestro personal,
que constituye nuestra principal baza en materia de seguridad.
Esta colaboración no implica una carga de trabajo
adicional. Basta con asumir una serie de
costumbres de buen uso, para contribuir al mejor
funcionamiento del sistema.
Desde aquí te animamos a colaborar con
nosotros.
Mi puesto de usuario…
 Para la realización de tu trabajo habitual,
se te proporciona un puesto de usuario con
todas las herramientas informáticas que
necesitas.
 En el caso de que requieras acceso a
nuevas aplicaciones o la instalación de
nuevo software, solicítalo a través de
ASISTA. Una vez autorizado por tu Jefe de
Servicio o persona responsable, el personal
informático te instalará todo lo necesario.
Hemos puesto a tu disposición la
dirección de correo
seguridadinformacion@jcyl.es
a la que puedes dirigirte para
consultar cualquier duda, aportar
sugerencias o comunicar
incidentes en materia de
seguridad informática.
Volver anterior
Inicio
Continuar
MANUAL DE SEGURIDAD DE LA INFORMACIÓN
>4. Como cumplir la LOPD
4.1. Medidas de Seguridad (Cont.)
 Bajo ninguna circunstancia deberás instalar programas por tu cuenta.
Piensa en los problemas que acarrearía esta instalación, ya que podrían
contener virus y afectar a tu propio equipo y al de tus compañeros.
 Debes evitar guardar en el disco duro de tu equipo ficheros de carácter
confidencial.
Los servicios de informática realizan copias de los ficheros contenidos
exclusivamente en las unidades de red. De esta información se hace copia
diaria y se puede recuperar en el caso de que se produzca un borrado
accidental. Si necesitas restaurar un fichero determinado ponte en contacto con
ASISTA.
Si los ficheros con los que trabajas requieren alguna protección adicional, por
contener datos de carácter personal, desde ASISTA te asesoran sobre el modo
correcto de hacerlo.
Se deben colocar los monitores de modo que la información no pueda ser
vista por terceras personas.
Se deben retirar de manera inmediata los documentos que se lanzan por
impresora, de modo que la información contenida no pueda ser vista por
terceras personas.
ASISTA es el centro de atención de usuarios.
Está formado por personal técnico informático y
atiende todas las solicitudes de servicios
relacionadas con los sistemas informáticos del
usuario.
Tienes a tu disposición un canal de comunicación
permanente a través de la página web ssi.jcyl.es
Reforzamos este canal por medio del teléfono
codificado 6116 (983 41 94 80)
Volver anterior
Inicio
Continuar
MANUAL DE SEGURIDAD DE LA INFORMACIÓN
>4. Como cumplir la LOPD
4.1. Medidas de Seguridad (Cont.)
 Con carácter general se han habilitado una serie de unidades de red:
•Unidad personal de red (generalmente la N) donde puedes guardar tu
información de usuario. Sólo tú puedes entrar en esta unidad.
•Unidad del departamento desde la que puedes compartir información
con tus compañeros de Servicio (generalmente unidad G)
•Una unidad corporativa de toda la Consejería o edificio al que
pertenezcas (unidad J).
 Si por cualquier circunstancia en tu equipo no fuera visible alguna de las
unidades, ponte en contacto con ASISTA.
 En cada equipo se encuentra instalado un programa antivirus, que actúa
automáticamente. Utilízalo siempre que tengas sospechas de un fichero
determinado. Actuarás por el bien de todos.
 Es recomendable:
• Bloquear el ordenador por medio de contraseñas al abandonar el
puesto de trabajo, incluso por un breve periodo de tiempo.
• Apagar el ordenador al finalizar la jornada laboral o ante una ausencia
prolongada.
Los recursos de la Administración
son limitados y se deberán usar
exclusivamente para la realización de
nuestro trabajo, evitando mantener
en ellos ficheros personales.
Volver anterior
Inicio
Continuar
MANUAL DE SEGURIDAD DE LA INFORMACIÓN
>4. Como cumplir la LOPD
4.1. Medidas de Seguridad (Cont.)
Seguridad en mi puesto…
 Al darte de alta como usuario de la red de la Junta de
Castilla y León, se te proporcionará un nombre de
usuario y una contraseña. Debes de cambiarla nada
más recibirla. A partir de ese momento tu contraseña es
exclusivamente personal..
Las características de una buena contraseña son las
siguientes:
• Tener ocho caracteres como mínimo.
• No contener tu nombre o el nombre de usuario.
• No ser una palabra o nombre común.
No utilices nombres
triviales que sean
fácilmente
adivinables por los
demás.
No repitas
contraseñas.
• Ser significativamente diferente de otras contraseñas
anteriores.
• Combinar letras mayúsculas y minúsculas, números y
símbolos (por ejemplo ~ ! @ # $ & *...)
El sistema te irá ayudando a tomar unas medidas mínimas
de seguridad, recordándote cuando debes cambiar la
contraseña y advirtiéndote sobre la longitud de ésta.
Las contraseñas se deben modificar de manera inmediata
cuando haya sospecha de compromiso.
Créate una regla
nemotécnica que te
ayude a recordarla.
No compartas
contraseñas, ni la
apuntes cerca del
ordenador.
Se prohíbe expresamente el almacenamiento de
contraseñas en programas, funciones o macros de ejecución
automática.
Volver anterior
Inicio
Continuar
MANUAL DE SEGURIDAD DE LA INFORMACIÓN
>4. Como cumplir la LOPD
4.1. Medidas de Seguridad (Cont.)
Internet
 El acceso a Internet es un medio compartido. Su seguridad
y disponibilidad se garantiza mediante la realización de tareas
automáticas de limitación y priorización de tráficos.
 Debes procurar acceder sólo a páginas seguras. Hay que
ser muy cuidadoso a la hora de bajar ficheros y debes
chequear que éstos no incluyan virus de ningún tipo.
 No olvides que los medios son limitados y compartidos
entre todos.
Correo Electrónico…
 Es evidente que el correo electrónico es ya una
herramienta insustituible en nuestro trabajo. No obstante, el
correo también puede ser una gran fuente de amenazas de
seguridad.
 No conviene enviar correos mayores de 10 Megas. Los sistemas de correo de la
Administración podrán limitar de forma automática el envío y recepción de correos en
base a la detección de virus, spam, tamaño o remitentes potencialmente inseguros.
 No es conveniente abrir correos salvo que tengas certeza de que la
procedencia del mismo es fiable. Hay que tener en cuenta que muchas aplicaciones
como Word o Excel incluyen componentes ejecutables. En caso de duda con algún
fichero adjunto, es preferible consultar con ASISTA.
Ojo con los ficheros
de Word y Excel
que pueden tener
componentes
ejecutables.
Inicio
Volver anterior
Continuar
MANUAL DE SEGURIDAD DE LA INFORMACIÓN
>4. Como cumplir la LOPD
4.1. Medidas de Seguridad (Cont.)
Correo Electrónico…
 Hay que tomar ciertas precauciones si queremos anexar ficheros a un mensaje.
Como regla general, no se debe utilizar el correo electrónico si podemos intercambiar
los ficheros a través de las unidades de red compartidas. Si esto no fuera posible,
utilizaremos el compresor de ficheros antes de incluirlos en el mensaje. Ante cualquier
duda o problema, ponte en contacto con ASISTA y te indicaremos cómo proceder.
 Además, como buena práctica, no deberíamos enviar correos a más de 20
personas simultáneamente.
 Existe una práctica muy común, que consiste en crear cadenas de correos. Aunque
son a veces bien intencionados, no debemos contribuir a su difusión y debemos
parar la cadena en el momento que nos llegue.
 La Administración puede tener problemas si se envían correos masivos al exterior,
relacionándonos como proveedores de contenidos potencialmente inseguros.
Colaborar con la
seguridad es
colaborar en el
bien de todos.
Volver anterior
Inicio
Continuar
MANUAL DE SEGURIDAD DE LA INFORMACIÓN
>4. Como cumplir la LOPD
4.2. Contratos, Cláusulas y Procedimientos.
A continuación se describen una serie de cláusulas y modelos de contratos que
serán necesarios para adaptar los procesos habituales de la Junta de Castilla y León a
la LOPD.
En cada apartado se explica cada una de ellas y además el Responsable de Seguridad
puede proporcionar el formato definido por la Junta de Castilla y León . En todos los
textos hay [frases entre corchetes y en negrita], esta parte será la que haya que
adaptar a la circunstancia de ese momento.
En cualquier caso;
Ejercicio de los derechos:
Cuando una persona se dirija a mi para ejercer algún derecho:
Entregaré el impreso correspondiente a la persona que lo solicite y se
lo comunicaré al Servicio de Informática de la Consejería
correspondiente o a la UTI (Unidad Territorial de Informática) para
que pueda poner en marcha el proceso de eliminación, cancelación
o mostrar los datos a la persona que así lo solicita.
Volver anterior
Inicio
Continuar
MANUAL DE SEGURIDAD DE LA INFORMACIÓN
>4. Como cumplir la LOPD
CONTRATOS Y CLÁUSULAS
1. Cláusula de Recogida de Datos
¿Para qué sirve?
Sirve para cumplir con el artículo 5 de la LOPD. Deber de Informar.
¿Cuándo tengo que emplearla?
En el momento que vaya a realizar una recogida de datos de carácter personal,
padrón, servicios de la Junta de Castilla y León …se podrá añadir como cláusula
en el mismo formulario de recogida, o en caso de no existir dicho formulario, se
realizará un impreso independiente con la cláusula y que la persona firme, de
manera que quede constancia de que ha sido informado y de que da su
consentimiento al tratamiento.
Ver Modelo Normalizado
2. Contrato de Confidencialidad
Modelo de contrato para la prestación de servicios no relacionados con el
tratamiento de ficheros con datos de carácter personal, para impedir accesos y
usos indebidos de esta información.
Este modelo se utilizará como referencia en aquellos casos en los que, el
Responsable del Fichero recurra a otra Organización para la prestación de
servicios que requieran acceso físico a alguna de las instalaciones de la
Administración de la Comunidad Autónoma de Castilla y León y que no
requieran un tratamiento de datos de carácter personal.
Ver Modelo Normalizado
Volver anterior
Inicio
Continuar
MANUAL DE SEGURIDAD DE LA INFORMACIÓN
>4. Como cumplir la LOPD
CONTRATOS Y CLÁUSULAS
3. Cláusula de Confidencialidad
Modelo de cláusula para incluir en un contrato de servicios no relacionados con
el tratamiento de ficheros con datos de carácter personal, para impedir accesos
y usos indebidos de esta información.
Este modelo se utilizará como referencia en aquellos casos en los que el
organismo Responsable del Fichero recurra a otra organización para la
prestación de servicios de limpieza, de vigilancia, etc. que requieran acceso
físico de personal ajeno a alguna de las instalaciones de los Sistemas de
Información de la Administración de la Comunidad de Castilla y León.
Ver Modelo Normalizado
4. Contrato de Prestación de Servicios
Modelo de contrato para la prestación de servicios no relacionados con el
tratamiento de ficheros con datos de carácter personal, para impedir accesos y
usos indebidos de esta información.
Este modelo se utilizará como referencia en aquellos casos en los que, el
Responsable del Fichero recurra a otra Organización para la prestación de
servicios que requieran acceso físico a alguna de las instalaciones de la
Administración de la Comunidad Autónoma de Castilla y León y que no
requieran un tratamiento de datos de carácter personal.
Ver Modelo Normalizado Nivel Básico
Ver Modelo Normalizado Nivel Medio
Ver Modelo Normalizado Nivel Alto
Volver anterior
Inicio
Continuar
MANUAL DE SEGURIDAD DE LA INFORMACIÓN
>4. Como cumplir la LOPD
CONTRATOS Y CLÁUSULAS
5. Contrato de Cesión de Datos entre Organizaciones
Modelo de Contrato para la cesión de datos de carácter personal entre
Organizaciones.
Este modelo se utilizará como referencia en aquellos casos en los que la
Organización desee ceder los datos de carácter personal, contenidos en un
fichero, a un tercero.
Según el Artículo 11 de la Ley Orgánica de Protección de Datos, es obligatorio
el consentimientos previo del afectado.
Ver Modelo Normalizado
6. Acuerdo de Prestación de Servicios entre Entes Públicos
Modelo de acuerdo de prestación de servicios entre Entes del Sector Público
conforme al Artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal.
Este modelo se utilizará cuándo el tratamiento de datos de un fichero con datos
de carácter personal que corresponda a una Consejería, Organismo Autónomo,
etc., lo realice otro Ente de la misma Naturaleza.
Ver Modelo Normalizado Nivel Básico
Ver Modelo Normalizado Nivel Medio
Ver Modelo Normalizado Nivel Alto
Volver anterior
Inicio
Continuar
MANUAL DE SEGURIDAD DE LA INFORMACIÓN
>4. Como cumplir la LOPD
EJERCICIO DE LOS DERECHOS ARCO
1. Ejercicio del Derecho de Acceso
Modelo para que el ciudadano pueda ejercitar su derecho de acceder a los datos
que aportó en un determinado momento y conocer si están siendo objeto del
tratamiento para el que se recogieron, obteniendo del Responsable del Fichero
la información gratuita solicitada.
Sólo podrá ser ejercitado a intervalos no inferiores a 12 meses, salvo interés
legítimo que justifique realizarlo antes, debiendo resolverse en un plazo de 1
mes desde la recepción de la solicitud.
Ver Modelo Normalizado
2. Ejercicio del Derecho de Oposición y/o Cancelación
Modelo para que el ciudadano pueda ejercitar su Derecho de Oposición en las
siguientes situaciones:
• Cuándo no se lleve a cabo el tratamiento de sus datos de carácter
personal o se cese en el mismo.
• Cuándo no sea necesario su consentimiento como consecuencia de un
motivo legítimo.
• Cuando sean ficheros con finalidad de publicidad y prospección
comercial.
El Derecho de Cancelación es el que dará lugar a que se supriman los datos que
resulten inadecuados o excesivos, sin perjuicio del deber de bloqueo.
Ver Modelo Normalizado
Volver anterior
Inicio
Continuar
MANUAL DE SEGURIDAD DE LA INFORMACIÓN
>4. Como cumplir la LOPD
EJERCICIO DE LOS DERECHOS ARCO
3. Ejercicio del Derecho de Rectificación
Modelo para que el ciudadano pueda ejercitar su derecho de modificar los datos
que resulten ser inexactos o incompletos.
Ver Modelo Normalizado
4. Contestación al Ejercicio del Derecho de Acceso
De acuerdo a la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de
Datos de carácter Personal, se reconoce el ejercicio de los Derechos por parte
del interesado y la obligación por parte del Responsable del Fichero de atender
la solicitud de Acceso ejercida por el afectado que deberá contestar en todo
caso, con independencia de que figuren o no datos personales del mismo en sus
ficheros.
Ver Modelo Normalizado
5. Contestación al Ejercicio del Derecho de Cancelación
De acuerdo a la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de
Datos de carácter Personal, se reconoce el ejercicio de los Derechos por parte
del interesado y la obligación por parte del Responsable del fichero de atender la
solicitud de Cancelación ejercida por el afectado que deberá contestar en todo
caso, con independencia de que figuren o no datos personales del afectado en
sus ficheros.
Ver Modelo Normalizado
Volver anterior
Inicio
Continuar
MANUAL DE SEGURIDAD DE LA INFORMACIÓN
>4. Como cumplir la LOPD
EJERCICIO DE LOS DERECHOS ARCO
6. Contestación al Ejercicio del Derecho de Rectificación
De acuerdo a la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de
Datos de carácter Personal, se reconoce el ejercicio de los Derechos por parte
del interesado y la obligación por parte del Responsable del Fichero de atender
la solicitud de Rectificación ejercida por el afectado, que deberá contestar en
todo caso, con independencia de que figuren o no datos personales del afectado
en sus ficheros.
Ver Modelo Normalizado
7. Improcedencia del Ejercicio de los Derechos de Cancelación/Rectificación
De acuerdo a la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de
Datos de carácter Personal, se reconoce el ejercicio de los Derechos por parte
del interesado y la obligación del Responsable del fichero de atender la solicitud
del ejercicio de los derechos por el afectado que deberá contestar la solicitud en
todo caso, con independencia de que figuren o no datos personales del afectado
en sus ficheros.
Este modelo se utilizará siempre que el Responsable del Fichero no pueda
facilitar la petición datos que solicita el afectado por los motivos que
expresamente establezca.
Ver Modelo Normalizado
Volver anterior
Inicio
Continuar
MANUAL DE SEGURIDAD DE LA INFORMACIÓN
>4. Como cumplir la LOPD
EJERCICIO DE LOS DERECHOS ARCO
8. Denegación del Derecho de Acceso
Este modelo se utilizará cuándo se deniegue el ejercicio del Derecho de Acceso
en los supuestos previstos en una ley o norma de derecho comunitario o cuando
éstas impidan al Responsable de fichero revelar a los interesados el tratamiento
de los datos. Asimismo, el Derecho de Acceso se denegará cuando se ejercite
en los doce meses anteriores a la solicitud, salvo interés legítimo.
Ver Modelo Normalizado
9. Denegación de los Derechos de Rectificación y Cancelación
Este modelo se utilizará cuándo se deniegue el ejercicio de los Derechos de
Rectificación y Cancelación en los supuestos previstos en una ley o norma de
derecho comunitario o cuando éstas impidan al Responsable de fichero revelar a
los interesados el tratamiento de los datos.
Asimismo, el derecho de Cancelación se denegará cuándo los datos deban
conservarse durante los plazos legales o contractuales previstos.
Ver Modelo Normalizado
Volver anterior
Inicio
Continuar
MANUAL DE SEGURIDAD DE LA INFORMACIÓN
>4. Como cumplir la LOPD
EJERCICIO DE LOS DERECHOS ARCO
10. Denegación de Derechos solicitado por Representante
Este modelo se utilizará siempre que la solicitud del ejercicio de derechos sea
realizada por persona distinta del afectado y no se acredite representación de
aquél.
Ver Modelo Normalizado
11. Denegación de los Derechos para Subsanación de Defectos
De acuerdo a la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de
Datos de carácter Personal, se reconoce el ejercicio de los Derechos por parte
del interesado y la obligación del Responsable del Fichero de atender la solicitud
del ejercicio de los derechos por parte del afectado que deberá contestar en todo
caso, con independencia de que figuren o no datos personales del mismo en sus
ficheros.
Este Modelo se utilizará para denegar provisionalmente la solicitud del ejercicio
del derecho, para subsanar los defectos que aparezcan en la misma.
Ver Modelo Normalizado
Volver anterior
Inicio
Continuar
MANUAL DE SEGURIDAD DE LA INFORMACIÓN
>4. Como cumplir la LOPD
EJERCICIO DE LOS DERECHOS ARCO
12. Derecho de Cancelación de Envío de Publicidad
Modelo para que el ciudadano pueda ejercitar su derecho de cancelación de
envío de publicidad, a partir de los datos que en su día fueron recabados por el
Responsable de Fichero, con el fin de no recibir más publicidad.
La solicitud debe resolverse en un plazo de 10 días desde recepción de la
misma.
Ver Modelo Normalizado
13. Contestación al Ejercicio del Derecho de Cancelación de Envío de Publicidad
De acuerdo a la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de
Datos de carácter Personal, se reconoce el ejercicio de los Derechos por parte
del interesado y la obligación del Responsable del fichero de atender la solicitud
de Cancelación de envío de publicidad ejercida por el afectado que deberá
contestar en todo caso, con independencia de que figuren o no datos personales
del afectado en sus ficheros.
Ver Modelo Normalizado
Volver anterior
Inicio
Continuar
MANUAL DE SEGURIDAD DE LA INFORMACIÓN
>4. Como cumplir la LOPD
EJERCICIO DE LOS DERECHOS ARCO
14. Comunicación de Cancelación de Datos al Cesionario
De acuerdo a la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de
Datos de carácter Personal, se comunicará al cesionario que cancele los datos
personales que se han suprimido previamente por el Responsable del fichero,
ante el que se ejerció el derecho de Cancelación por el dueño de los datos.
Ver Modelo Normalizado
15. Ejercicio del Derecho de Cancelación de la Cesión de Datos
El Derecho de Cancelación es el que dará lugar a que se supriman los datos que
resulten inadecuados o excesivos, sin perjuicio del deber de bloqueo. En este
supuesto, el interesado que en su día permitió ceder sus datos por el
Responsable del Fichero, solicita que se cancele la cesión de los mismos.
Ver Modelo Normalizado
16. Contestación al Ejercicio del Derecho de Cancelación de la Cesión de Datos
De acuerdo a la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de
Datos de carácter Personal, se reconoce el ejercicio de los Derechos por parte
del interesado y la obligación del Responsable del fichero de atender la solicitud
de Cancelación de envío de publicidad ejercida por el afectado que deberá
contestar en todo caso, con independencia de que figuren o no datos personales
del afectado en sus ficheros.
Ver Modelo Normalizado
Volver anterior
Inicio
Continuar
MANUAL DE SEGURIDAD DE LA INFORMACIÓN
>4. Como cumplir la LOPD
MODELOS DE CONTRATOS
 Modelo de Contrato de prestación de Servicios. (modelo 3305)
¿Para qué sirve?
Sirve para que el Responsable del Fichero, en este caso la Junta de Castilla y
León , pueda regular su relación con el encargado de tratamiento.
¿Cuándo tengo que emplearlo?
Cuando desde la Junta de Castilla y León se decida externalizar algún servicio,
que requiera el acceso del tercero al que se le adjudique la Prestación de
Servicios, al Sistema de Información.
 Acuerdo de Confidencialidad. (modelo 3303)
¿Para qué sirve?
Para
asegurar la confidencialidad
por las partesde
queProtección
firman el contrato.
Aplicación
de la Ley Orgánica
de
Datos
¿Cuándo tengo que emplearlo?
MANUAL DE USUARIO
Cuando contrate a un proveedor que aunque no acceda al Sistema de
Información, pueda en algún caso acceder a algún tipo de Información de la que
la Junta de Castilla y León es responsable.
Más Información en:
www.jcyl.es/segurinfo
www.agpd.es
Volver anterior
Inicio
Continuar
MANUAL DE SEGURIDAD DE LA INFORMACIÓN
>ANEXO I. Ejemplos
ANEXO I: EJEMPLOS
Ejemplo Dato de Carácter Personal
Pensemos por un momento en que almacenamos las matrículas de los vehículos
que utilizan el aparcamiento de nuestra organización, ya sea por motivos de gestión
o seguridad. La matrícula sería un DCP, ya que por medio de ella podemos conocer
los datos del titular del vehículo solicitando un informe a la Jefatura Provincial de
Tráfico correspondiente, con lo cual a través de ella podemos identificar a una
persona física.
Volver
Ejemplo de Fichero de Datos de Carácter Personal
Si tenemos una Base de Datos de ciudadanos con 1000 campos, pero sólo 10 de
ellos son DCP, nuestro Fichero de ciudadanos tendrá sólo 10 campos, y como tal lo
declararemos ante la Agencia Española de Protección de Datos (APD). Para terminar
de ilustrar la diferencia entre Fichero (como término jurídico) y Base de Datos, como
concepto técnico, pensemos que si tuviéramos 2 Bases de Datos con datos de
clientes, sólo tendríamos que declarar un sólo Fichero ante la APD. Dicho Fichero
comprendería los DCP de ambas Bases de Datos.
Volver
Ejemplo de Encargado de Tratamiento
Si empleamos el ejemplo de las matrículas; supongamos que tenemos
subcontratada una empresa que es la que trata los datos para poder prestar el
servicio de seguridad, ésta será el encargado del tratamiento. El responsable será la
Junta y el encargado la empresa de seguridad. Ésta únicamente podrá tratar los
datos para prestar el servicio que le ha contratado la Junta, después los eliminará.
Volver
Volver anterior
Inicio
Continuar
MANUAL DE SEGURIDAD DE LA INFORMACIÓN
>ANEXO I. Ejemplos
ANEXO I: EJEMPLOS
Ejemplo de Calidad de los Datos
En el ejemplo de las matrículas, cabría recoger datos de la persona titular del coche,
o incluso, por motivos justificados de seguridad, usuarios autorizados de ese
coche…lo que no estaría justificado es pedir al titular del coche, datos de su talla,
familia…puesto que en pricipio no son necesarios para cubrir la seguridad del
edificio.
Volver
Ejemplo de Comunicación de los Datos
Supongamos que tengo acceso a una aplicación donde se puede obtener
información a cerca de las ayudas que ha recibido una persona. Esta información no
se puede comunicar a un tercero (asesor, familiar,…) a no ser que el beneficiario lo
haya autorizado así expresamente.
Si por parte de una Administración Pública (art. 21 LOPD) nos piden Información a
cerca de quiénes han recibido ayudas, sólo podremos ofrecérsela en caso de que la
competencia y la finalidad para lo que lo vayan a emplear sea la misma para la que
se recabaron inicialmente, es decir sólo si lo necesitan para poder otorgar otras
subvenciones que sean incompatibles con la que ya ha recibido etc.
Sería conveniente que la petición que nos hagan para la comunicación de datos,
nos la hagan por escrito (correo ordinario o electrónico, fax…) y señalen la finalidad
para la que van a emplear los datos.
Si los datos son de nivel alto (salud, orientación sexual…) deberemos enviarlos con
las medidas de seguridad correspondientes; si es correo electrónico deberá ir
cifrado, si es correo ordinario deberá ir certificado, no se debe enviar por fax o
por otras vías que puedan acceder perdonas diferentes del destinatario.
Volver
Volver anterior
Inicio
Continuar
Descargar