CONTRATO DE ENCARGO DE TRATAMIENTO DE DATOS PERSONALES
ANEXO CONTRATO ENCARGADO DEL TRATAMIENTO
CONTRATO DE ENCARGO DE TRATAMIENTO DE DATOS PERSONALES
En , a de de 20 .
REUNIDOS
DE UNA PARTE,
La mercantil Sociedad Estatal Correos y Telégrafos, S.A., S.M.E con NIF A-83052407 y domicilio social en calle del Xxxxx xx Xxxxxxxx 19, 00000 Xxxxxx (Xxxxxx), (en lo sucesivo, el “RESPONSABLE DEL TRATAMIENTO” o “CORREOS”), sociedad inscrita en el Registro Mercantil de Madrid al tomo [-], folio [-], sección [-], hoja [-], inscripción [-]; representada en este acto por [-], de nacionalidad española, mayor de edad y con N.I.F. [-], en virtud de la escritura de poder otorgada ante el Xxxxxxx xxx [-], el [-], bajo el número [-] de su protocolo.
Y DE OTRA,
La mercantil [Denominación social del adjudicatario] con NIF [-] y domicilio social en [-], (en lo sucesivo, el “ENCARGADO DEL TRATAMIENTO o adjudicatario”), sociedad inscrita en el Registro Mercantil de Madrid al tomo [-], folio [-], sección [-], hoja [-], inscripción [-]; representada en este acto por [-], de nacionalidad española, mayor de edad y con N.I.F. [-], en virtud de la escritura de poder otorgada ante el Xxxxxxx xxx [-], el [-], bajo el número [-] de su protocolo.
Ambas partes reconociéndose capacidad jurídica y de obrar suficiente para el otorgamiento del presente Contrato de encargo de tratamiento y, al efecto,
EXPONEN
I. Que la prestación de los servicios objeto de licitación exigen el acceso del adjudicatario a los datos de carácter personal de los que resulta responsable del tratamiento CORREOS.
II. Que con el fin de dar cumplimiento a la normativa de Protección de Datos Personales ambas partes convienen en firmar el presente Contrato de Encargo del Tratamiento, el cual comprende las siguientes:
CLÁUSULAS
1. Posición de las partes
CORREOS ostenta la posición de RESPONSABLE DEL TRATAMIENTO con las funciones, derechos y obligaciones que le son propias. Y de otro lado, el adjudicatario ostenta la posición de ENCARGADO DEL TRATAMIENTO con las funciones, derechos y obligaciones que le son propias.
OBJETO DEL CONTRATO | Se debe incluir el objeto del contrato |
TRATAMIENTO A REALIZAR | □ Recogida □ Registro □ Estructuración □ Modificación □ Conservación □ Extracción □ Consulta □ Comunicación por transmisión □ Difusión □ Interconexión □ Cotejo □ Limitación □ Supresión □ Destrucción □ Comunicación □ Otros: .......................................... |
FINALIDAD DEL TRATAMIENTO | □ Gestión de clientes, contable, fiscal y administrativa □ Gestión de nóminas □ Servicios económico-financieros y de seguros □ Publicidad y prospección comercial □ Videovigilancia □ Recursos humanos □ Prevención de riesgos laborales □ Prestación de servicios de comunicaciones electrónicas □ Comercio electrónico □ Seguridad y control de acceso a edificios □ Otros: .......................................... |
TIPO DE DATOS | □ Datos de carácter identificativo □ Características personales □ Académicos y profesionales □ Información comercial □ Circunstancias sociales □ Detalles del empleo □ Transacciones de bienes o servicios □ Categorías especiales de datos □ Otros: .......................................... |
CATEGORÍAS DE INTERESADOS | □ Empleados □ Clientes y usuarios □ Proveedores □ Personas de contacto □ Beneficiarios □ Cargos públicos □ Otros: .......................................... |
2. Obligaciones del adjudicatario
El adjudicatario llevará a cabo el tratamiento de datos personales derivado de la prestación del servicio contratado, de conformidad con las siguientes obligaciones:
• Llevar a cabo del tratamiento de datos personales de conformidad con la normativa vigente en materia de protección de datos, y en particular el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 xx xxxxx de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD) y Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD).
• Tratar los datos de acuerdo con las instrucciones de CORREOS y no destinarlos para ninguna otra finalidad.
• Mantener actualizado un registro de todas las actividades de tratamiento efectuadas por cuenta de CORREOS, que contenga al menos: identificación de autorizados; categorías de tratamientos y una descripción general de las medidas técnicas y organizativas de seguridad adoptadas.
• Guardar secreto y la más estricta confidencialidad con respecto a los datos de carácter personal a los que haya tenido acceso en virtud del encargo.
• Garantizar que las personas autorizadas para tratar datos personales observan las instrucciones y protocolos remitidos por CORREOS, así como las medidas de seguridad legales, técnicas y organizativas establecidas y asegurar que se comprometen, de forma expresa y por escrito, a respetar la confidencialidad de los datos y a cumplir con las instrucciones de CORREOS.
• Comprometerse a guardar bajo su control y custodia los datos personales accedidos y a no comunicarlos en modo alguno a terceros.
• Poner a disposición de CORREOS toda la información necesaria para demostrar el cumplimiento de sus obligaciones, según el proceso establecido en el punto 6.
• Asistir a CORREOS en la realización de los análisis de riesgo, la presentación de consultas previas a la AEPD, en el proceso de notificación de violaciones de seguridad y de respuesta a solicitudes de derechos.
• Gestión de derechos: Dar traslado de las solicitudes de derechos de protección de datos o quejas o reclamaciones por esta materia que puedan formular los interesados de forma inmediata a CORREOS y, a no más tardar, dentro del plazo de tres días naturales a contar desde su recepción.
• El deber xx xxxxxxx y confidencialidad obliga al adjudicatario durante su vigencia y perdurará indefinidamente en el tiempo una vez finalizada la relación.
• En el caso de que el adjudicatario recabe datos personales por cuenta de CORREOS se obliga a realizarlo conforme las instrucciones de CORREOS, siguiendo la redacción y formato indicado y custodiando o dando traslado a CORREOS (según proceda) de las evidencias recogidas para acreditar el cumplimiento del deber de información y, en su caso, de obtención del consentimiento.
3. Declaración previa
Como Adenda al presente Anexo se incluye la siguiente información facilitada por el adjudicatario:
(i) Ubicación de los servidores en los que se almacenarán los datos personales tratados por cuenta de CORREOS; y
(ii) Lugar de prestación de servicios objeto de licitación.
4. Obligaciones de CORREOS
Corresponden a CORREOS las siguientes obligaciones:
• Permitir al adjudicatario el acceso a los datos objeto de tratamiento de conformidad con lo establecido en la presente cláusula.
• Realizar el análisis de riesgos que puedan derivar de la actividad de tratamiento que va a ser objeto de encargo y, en base a tal análisis, indicar al adjudicatario las medidas técnicas y organizativas que deberá implementar para la prestación del servicio que conlleva el encargo de tratamiento.
• Realizar, si fuese necesario, una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el adjudicatario.
• Realizar a la autoridad de control las consultas previas que correspondan.
• Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del adjudicatario.
• Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.
• Facilitar el derecho de información en el momento de la recogida de los datos personales y/o en el momento de dirigirse a los interesados, en caso de que se dieran estos supuestos en la prestación del servicio. El adjudicatario deberá solicitar a Correos dicho texto con carácter previo a dirigirse a los interesados.
5. Medidas de seguridad
El adjudicatario implantará las medidas de seguridad y mecanismos establecidos en el artículo 32 del RGPD y deberá adoptar todas aquellas medidas técnicas y organizativas que, a tenor del análisis de riesgo efectuado por CORREOS, éste considere que resultan necesarias para garantizar un nivel de seguridad adecuado, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse.
A este respecto, se acompaña al presente Anexo el listado de medidas de seguridad que el adjudicatario debe observar según el análisis de riesgo efectuado a la fecha de firma del contrato. Este catálogo tiene la consideración de mínimo exigible y se establece sin perjuicio de posibles ulteriores modificaciones que se transmitirán al adjudicatario por los medios de comunicación establecidos.
6. Derecho de auditoría
CORREOS, a efectos de verificar el nivel de cumplimiento por parte del adjudicatario de lo establecido en la normativa aplicable y en la presente cláusula, podrá exigir la realización de auditorías, ya sea por sí mismo o por medio de auditor independiente, autorizado por CORREOS.
CORREOS notificará al adjudicatario, con al menos cinco (5) días hábiles de antelación a la fecha en que desee llevarlas a cabo.
CORREOS podrá solicitar al adjudicatario la información necesaria para evaluar su nivel de cumplimiento.
Si como consecuencia de la realización de la auditoría CORREOS detectase cualquier clase de incumplimiento, de conformidad con lo establecido en la normativa aplicable y en la presente cláusula, podrá, a su sola discreción y en función de la gravedad de los mismos:
- Requerir al adjudicatario la resolución inmediata del incumplimiento detectado mediante la elaboración por su parte de un plan de corrección que deberá hacerse efectivo en un plazo determinado, que no podrá exceder de un mes, debiendo el adjudicatario aportar aquellas evidencias que acrediten su resolución.
- Terminar anticipadamente la prestación o prestaciones de Servicios cuyos tratamientos de datos personales se vean afectados por el incumplimiento detectado. En este caso, el adjudicatario deberá
devolver a CORREOS la parte proporcional de los importes percibidos correspondientes a los Servicios que no hubieran sido efectivamente ejecutados.
7. Notificación de violaciones de seguridad
El adjudicatario deberá notificar a CORREOS las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, incluyendo toda la información relevante para la documentación y comunicación de la incidencia a la autoridad de control.
La notificación de la violación de seguridad por parte del adjudicatario deberá llevarse a cabo sin dilación indebida y, en todo caso, en el plazo máximo de 24 horas a contar desde que tuvo o debió tener conocimiento de la misma aplicando el nivel de diligencia exigible a un ordenado empresario, incluyendo toda la información relevante para la documentación y comunicación de la incidencia, en la que se incluirá como mínimo:
• Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
• El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
• Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
• Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
• Toda aquella otra información que resulte relevante para el conocimiento de la violación de seguridad, sus efectos sobre los derechos y libertades de las personas, así como para cumplir con el deber de notificación a los interesados y al organismo regulador que la normativa de protección de datos imponga al RESPONSABLE DEL TRATAMIENTO.
Si no fuera posible facilitar la información simultáneamente con la notificación, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
8. Destrucción o devolución de los datos una vez finalizado el contrato
Una vez cumplida la correspondiente prestación del servicio objeto del Contrato, el adjudicatario se compromete a devolver a CORREOS o a la persona que éste determine aquella información que contenga datos de carácter personal a la que haya accedido el adjudicatario con motivo de la prestación del servicio.
La devolución implicará la entrega o puesta a disposición de los datos tratados en un formato de uso común e interoperable. La entrega o puesta a disposición de los soportes originales, que a su vez fueron entregados o puestos a disposición del adjudicatario por CORREOS con motivo de la prestación del servicio, en los que se almacenen o contengan datos de carácter personal.
Finalizado el proceso de devolución, el adjudicatario deberá proceder a la destrucción de los datos existentes en los equipos informáticos y otros soportes por él utilizados. No obstante, el adjudicatario podrá conservar los datos e información tratada, debidamente bloqueados, en el caso que pudieran derivarse responsabilidades de su relación con CORREOS. Transcurrido el plazo de prescripción de las acciones que motivaron la conservación de datos, el ENCARGADO DEL TRATAMIENTO deberá proceder a su destrucción. Para ello, aplicará las medidas físicas y lógicas que resulten adecuadas para garantizar que los datos incorporados a los distintos soportes son irrecuperables.
9. Subcontratación
El adjudicatario no podrá subcontratar ninguna de las prestaciones que formen parte del objeto de este Contrato que comporten el tratamiento de datos personales, salvo previa autorización expresa y otorgada por escrito por parte de CORREOS, así como los servidores y servicios relacionados con los mismos comunicados a CORREOS durante el procedimiento de licitación.
Si fuera necesario subcontratar algún tratamiento o existiese alguna novedad respecto a los servidores o los servicios relacionados con los mismos, este hecho se deberá comunicar previamente y por escrito a CORREOS, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. Con carácter previo a cualquier actividad de tratamiento por parte del subencargado, CORREOS tendrá un plazo de 30 días para oponerse.
Transcurrido el plazo de 30 días sin que CORREOS hubiese manifestado su oposición se entenderá que acepta el subencargo comunicado.
Por el contrario, en caso de oposición, si el adjudicatario mantiene la necesidad de subcontratar con un tercero la correspondiente prestación pero no propone un nuevo subcontratista que cumpla con los extremos mencionados anteriormente, CORREOS podrá resolver libremente el Contrato de servicios y reclamar los daños y perjuicios a que hubiera lugar.
En caso de autorización, el subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el adjudicatario y las instrucciones que dicte CORREOS. Corresponde al adjudicatario regular la nueva relación de conformidad con el artículo 28 del RGPD, de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas.
En el caso de incumplimiento por parte del nuevo encargado, el adjudicatario seguirá siendo plenamente responsable ante CORREOS en lo referente al cumplimiento de las obligaciones.
10. Cláusulas de buenas prácticas
El adjudicatario se compromete a mantener durante la vigencia del contrato adjudicado su adhesión a todos aquellos Códigos de Conducta y mecanismos de certificación que hubiesen sido valorados en la adjudicación, así como a poner a disposición de CORREOS la documentación acreditativa de su vigencia.
11. Responsabilidad
El adjudicatario vendrá obligado a exonerar a CORREOS de cualquier tipo de responsabilidad frente a terceros, por reclamaciones de cualquier índole que tengan origen en el incumplimiento de las obligaciones de protección de datos de carácter personal que le incumben en su condición de encargado del tratamiento, y responderá frente a la indicada Sociedad del resultado de dichas acciones. El adjudicatario vendrá también obligado a prestar su plena ayuda en el ejercicio de las acciones que correspondan a CORREOS.
12. Notificación de cambios
El adjudicatario comunicará a CORREOS cualquier cambio que se produzca con respecto a los términos y condiciones en los que accederá y tratará los datos personales por cuenta de CORREOS, y especialmente
aquellas relacionadas con la información presentada en la declaración previa recogida en la cláusula tercera del presente Anexo a la mayor brevedad, y en todo caso con carácter previo a su adopción.
13. Tratamiento de datos de representantes y trabajadores
Los datos personales de los representantes de las partes, así como de sus trabajadores y resto de personas de contacto que puedan intervenir en la relación jurídica formalizada serán tratados, respectivamente, por CORREOS y por el adjudicatario, que actuarán, de forma independiente, como responsables del tratamiento de los mismos. Dichos datos serán tratados para dar cumplimiento a los derechos y obligaciones contenidas en la presente licitación, sin que se tomen decisiones automatizadas que puedan afectar a los interesados. En consecuencia, la base jurídica del tratamiento es dar cumplimiento a la mencionada relación contractual.
Los datos se mantendrán mientras esté en vigor la relación contractual que aquí se estipula, siendo tratados únicamente por las partes y aquellos terceros a los que aquéllas estén legal o contractualmente obligados a comunicarlos (como es el caso de terceros prestadores de servicios a los que se haya encomendado algún servicio vinculado con la gestión o ejecución del contrato).
Los interesados de las partes podrán ejercer, en los términos establecidos por la legislación vigente, los derechos de acceso, rectificación y supresión de datos, así como solicitar que se limite el tratamiento de sus datos personales, oponerse al mismo, o solicitar la portabilidad de sus datos dirigiendo una comunicación por escrito a cada una de las Partes, a través de las direcciones especificadas en el encabezamiento o, en el caso de solicitudes de derechos frente a CORREOS en el correo electrónico xxxxxxxx.xxxxxxxxxxxxxxx.xxxxxxx@xxxxxxx.xxx y frente al adjudicatario en el correo electrónico [ ].
Asimismo, podrán ponerse en contacto con los respectivos delegados de protección de datos en la dirección xxxxxxxxxxxxxxx@xxxxxxx.xxx o [ ]. , según corresponda, o presentar una reclamación ante la Agencia Española de Protección de Datos u otra autoridad competente.
Las partes se comprometen expresamente a informar a sus trabajadores y resto de personas de contacto de los términos de la presente cláusula, manteniendo indemne a la contraparte.
14. Ley aplicable
En lo que respecta al tratamiento de datos personales que pudiera derivar de la prestación del servicio, el adjudicatario y CORREOS acuerdan someterse de manera expresa a la normativa vigente en materia de protección de datos en España y, en particular, al RGPD y LOPDGDD.
Este acuerdo ostenta el carácter de obligación esencial, por lo que su incumplimiento, por cualquiera de las partes, facultará a la otra parte a resolver el contrato y, en su caso, reclamar la indemnización por daños y perjuicios a que pudiera haber lugar.
MEDIDAS DE SEGURIDAD
I. ORGANIGRAMA Y ASIGNACIÓN DE FUNCIONES
- Disponer de un organigrama de asignaciones en materia de seguridad de la información, incluyendo cargos y funciones atribuidas a cada puesto.
- Contar con un procedimiento de control de accesos que incluya, entre otros:
o Gestión de altas/bajas en el registro de usuarios de repositorios de información asegurando que se asigna un identificador único a cada cuenta de usuario. Excepcionalmente, podrán permitirse identificadores de usuario (IDs) genéricos para ser utilizados por un individuo,
en el caso de que las funciones accesibles o las acciones llevadas a cabo por ese identificador o necesiten ser detallada seguidas (por ejemplo, acceso de sólo lectura), o cuando están implantados otros controles (por ejemplo, si la contraseña para un ID genérico sólo se utiliza por una persona al mismo tiempo y se registra tal caso).
o Gestión de derechos y credenciales de acceso asignados a los usuarios.
o Gestión de privilegios especiales de acceso según el impacto que puede derivar de un uso inadecuado de los datos de carácter personal.
o Gestión de información confidencial de autenticación de usuarios.
o Política de retirada de cancelación de accesos y credenciales.
- Haber establecido un procedimiento de accesos a sistemas y aplicaciones que incluya:
o La restricción de acceso a la información.
o Procedimientos seguros de inicio de sesión en el que, como mínimo:
▪ Se registre los intentos de entrada no satisfactorios.
▪ Se limite el número máximo de intentos fallidos, de forma que La revisión de los privilegios de acceso de forma recurrente y después de cualquier cambio, tal como promoción, degradación o terminación del empleo.
o Procedimiento de uso de herramientas de administración de sistemas de información, tanto propias como externas.
- La revisión de los privilegios de acceso de forma recurrente y después de cualquier cambio, tal como promoción, degradación o terminación del empleo.
II. PROCEDIMIENTO DE GESTIÓN DE CONTRASEÑAS
- Contar con un procedimiento de gestión de contraseñas de usuario que incluya los siguientes aspectos:
o Forzar el uso de los identificadores de usuario (IDs) individuales y de las contraseñas para mantener la responsabilidad.
o Permitir a los usuarios seleccionar y cambiar sus propias contraseñas e incluir un procedimiento de confirmación que tenga en cuenta los errores de entrada.
o Forzar la elección de contraseñas de calidad.
▪ Ser fáciles de recordar.
▪ No se basen en algo que alguien más pueda fácilmente adivinar u obtener usando la información relativa a la persona, por ejemplo nombres, números de teléfono, y fechas de nacimiento etc..
▪ No sean vulnerables a ataques de diccionario (por ejemplo, que no consistan en palabras incluidas en diccionario).
▪ No contengan caracteres consecutivos, idénticos, todos numéricos o todos alfanuméricos
o Forzar el cambio de contraseñas, por lo menos, cada 6 meses y siempre que existan indicios de que su confidencialidad ha podido verse comprometida.
o Forzar a los usuarios el cambio de las contraseñas temporales después de la primera entrada.
o Mantener un registro de las contraseñas de usuarios anteriores y prevenir su reutilización.
o No mostrar las contraseñas en la pantalla cuando se están introduciendo.
o No incluir contraseñas en ningún proceso de registro automático, por ejemplo almacenamiento en una macro o en una función clave.
o Almacenar los ficheros de contraseñas por separado de los datos de la aplicación del sistema.
o Almacenar y transmitir las contraseñas de forma que se garantice su integridad y confidencialidad.
- Plantear el uso de contraseñas basadas sistemas de autenticación fuerte (p.ej. mediante el uso de tarjetas inteligentes combinado con una contraseña).
III. GESTIÓN DE SOPORTES
- Llevar a cabo un inventariado de soportes y gestión de activos, incluyendo:
o Un registro de propiedad de los activos.
o Una política interna de usos aceptables de los activos.
o Una política de devolución/sustitución de activo.
o Un registro de asignación de activos al personal al cargo.
- Disponer de una política seguridad de equipos y de control de acceso a los repositorios físicos de información, garantizando que los mismos cuenten con las debidas garantías de seguridad respecto a:
o El acceso a los repositorios de la información, incluyendo un registro de entradas y salidas.
o Un procedimiento de salida de activos fuera del entorno de la entidad.
o Un procedimiento de puesto de trabajo despejado y bloqueos de equipo
o Un procedimiento de mantenimiento de activos.
- Contar con una política de mesas limpias que exija que:
o El puesto de trabajo esté limpio y ordenado.
o La documentación que no se esté utilizando se encuentre guardada correctamente (armario bajo llave para documentos en soporte papel y carpetas de red para soportes informáticos), especialmente en el momento en que se abandona temporalmente el puesto de trabajo y al finalizar la jornada.
o Prohibir expresamente que haya usuarios o contraseñas apuntadas en post-it o similares o que se comparta esta información.
- Disponer de una serie de normas y procedimientos de control para los puestos de trabajo desatendidos que incluya:
o El bloqueo automático de la pantalla transcurrido un cierto período de tiempo sin que se utilice.
El apagado de los ordenadores centrales, servidores y ordenadores personales de la oficina cuando la sesión termine.
IV. ACCESO FÍSICO AL LOCAL
- Contar con un procedimiento de control de entrada y “área segura” que incluya:
o Controles físicos de entrada.
o Perímetro de seguridad.
o Protección contra amenazas externas o ambientales.
o Una política de seguridad para oficinas, despachos y recursos.
V. MONITORIZACIÓN DE EQUIPOS Y REGISTRO DE LOGS
- Disponer de un procedimiento de monitorización de equipos que incluya:
o Identificación de las medidas de seguridad.
x Xxxxxx de eventos que deberían ser registrados.
o Tipología de eventos a registrar.
o Procesos de recogida y protección de logs.
- Los registros de los logs del administrador y operador de sistemas deben ser revisados regularmente.
- Resulta recomendable contar con sistemas de detección de intrusión gestionados fuera del sistema de control y de los administradores de red, para controlar el cumplimiento de las actividades del sistema y de administración de la red.
VI. FICHEROS TEMPORALES
- Solo se crearán ficheros temporales cuando resulte preciso para la realización de trabajos temporales o auxiliares.
- Finalizado el trabajo que justificó su creación el fichero deberá ser destruido.
VII. COPIAS DE SEGURIDAD Y RESPALDO Y RESILENCIA
- Disponer de un procedimiento de copias de seguridad y respaldo que, incluya, como mínimo los siguientes aspectos:
o La realización de una copia de seguridad con una periodicidad mínima semanal en un segundo soporte distinto del destinado a los usos habituales.
o Las pruebas con datos reales deberán evitarse, salvo en aquellos supuestos en que sea inevitable su uso o suponga un esfuerzo desproporcionado atendiendo al nivel de riesgo que implica el tratamiento. En estos casos con carácter previo al desarrollo de pruebas con datos reales se procederá a la realización de una copia de seguridad.
- Disponer de un Plan de continuidad de servicios TI que abarque todos los sistemas y componentes TI que procesan datos personales, incluyendo otras ubicaciones y centros de procesamiento de datos.
VIII. DESTRUCCIÓN DE LA DOCUMENTACIÓN
- Disponer de un procedimiento de destrucción segura de información que:
o Haga uso de las medidas físicas y lógicas necesarias para garantizar la irrecuperabilidad de la documentación destruida.
o Impida que se desechen documentos o soportes electrónicos que contengan datos personales sin garantizar su destrucción.
IX. AMENAZAS INFORMÁTICAS
- SEGURIDAD DE REDES: Deberá contar con una política de gestión de seguridad en las redes que:
o Proponga mecanismos de seguridad asociados a servicios en red.
o Disponga de controles de red y políticas de segregación de redes.
- ACTUALIZACIÓN DE ORDENADORES Y DISPOSITIVOS: Los dispositivos y ordenadores utilizados para el almacenamiento y el tratamiento de los datos personales deberán mantenerse actualizados en la media posible.
- MALWARE: En los ordenadores y dispositivos donde se realice el tratamiento automatizado de los datos personales se dispondrá de un sistema de antivirus que garantice en la medida posible el robo y destrucción de la información y datos personales. El sistema de antivirus deberá ser actualizado de forma periódica.
- CORTAFUEGOS O FIREWALL: Para evitar accesos remotos indebidos a los datos personales se velará para garantizar la existencia de un firewall activado en aquellos ordenadores y dispositivos en los que se realice el almacenamiento y/o tratamiento de datos personales. El sistema de cortafuegos deberá ser actualizado de forma periódica.
- FUGA O SALIDA DE INFORMACIÓN: Introducir medidas técnicas en los sistemas de información que restringan la posibilidad que datos personales puedan ser exportados de forma no autorizada (p.ej. Restricción de las funcionalidades de descarga, impresión y almacenamiento de datos en los sistemas de información que procesan los datos personales) e implementar medidas técnicas que permitan detectar transmisiones no autorizadas de datos personales dentro de la organización y hacia fuera de la misma (p.ej. Sistemas de prevención de fugas de información, herramientas de monitorización de actividades de usuarios en los sistemas de información.
X. CIFRADO DE DATOS
- Cuando se precise realizar la extracción de datos personales fuera xxx xxxxxxx donde se realiza su tratamiento, ya sea por medios físicos o por medios electrónicos, se deberá contar con un método de encriptación para garantizar la confidencialidad de los datos personales en caso de acceso indebido a la información.
- Todo tratamiento de datos sensibles u otros cuya pérdida de integridad, confidencialidad y/o disponibilidad puedan tener un importante impacto en los derechos y libertades de las personas se realizará en base a una política de seudonimización de los mismo frente al acceso de terceros o para la realización de pruebas con datos reales, de manera que garanticen la integridad y confidencialidad de los mismos. Dicha política debe incluir:
o La gestión de claves para la encriptación/desencriptación.
o Un sistema de etiquetado/cifrado que garantice el anonimato de los titulares de los datos.
o Un cifrado de información de dispositivos de almacenamiento (como pendrive, equipos informáticos o almacenamientos remotos).
o Una política de envío seguro de información a través de documentación cifrada.
XI. CONTROL DE CAMBIOS EN T.I
- Los sistemas operacionales y las aplicaciones de software deberían estar sometidas a un estricto control de la gestión del cambio. En particular, se deberían considerar los siguientes puntos:
o La identificación y registro de los cambios significativos.
o La planificación y pruebas de los cambios.
o La evaluación de los impactos potenciales, incluyendo los impactos en la seguridad de dichos cambios. d) el procedimiento de aprobación formal de los cambios propuestos.
o La comunicación de los detalles de los cambios a las personas correspondientes.
o Los procedimientos de colchón, incluyendo los procedimientos y responsabilidades de abortar y recuperar los cambios infructuosos y los eventos imprevistos.
- Los procedimientos y las responsabilidades formales de la Dirección deberían asegurar de una manera satisfactoria el control de todos los cambios en los equipos, en el software o en los procedimientos. Cuando los cambios son realizados, se debería conservar un registro de auditoria que contenga toda la información importante.
XII. CONTROL DE CAMBIOS EN APLICATIVOS
- Los procedimientos de control de cambios deberían estar documentados y aplicarse para minimizar la corrupción de los sistemas de información.
- La introducción de nuevos sistemas o de cambios importantes en los sistemas existentes debería seguir un proceso formal de documentación, especificación, pruebas, control de calidad e implementación gestionada. Este proceso debería incluir:
o Una evaluación de riesgos
o Un análisis de los efectos de los cambios
o Una especificación de los controles de seguridad necesarios.
o Las medidas necesarias para garantizar que los procedimientos existentes de seguridad y control no se vean en peligro y que los programadores de la asistencia técnica sólo tengan acceso a aquellas partes del sistema necesarias para su trabajo requiriendo de consentimiento y aprobación formal para cualquier cambio.
XIII. GESTIÓN DE INCIDENCIAS Y BRECHAS DE SEGURIDAD
- Contar con un procedimiento de gestión de incidencias y brechas de seguridad que permita su identificación, tratamiento y notificación al Responsable, conforme a lo dispuesto en la normativa de protección de datos.
XIV. VIDEOVIGILANCIA
- En caso de contar con sistemas de captación de imágenes con fines de seguridad:
o Se deberá contar con un registro de ubicaciones de las cámaras y monitores de observación.
o Se deberá conservar las imágenes por el plazo máximo de 1 mes, salvo que su conservación resulte necesaria para investigar un hecho que haya afectado a la seguridad de las personas, bienes e instalaciones.
Por la SOCIEDAD ESTATALCORREOS Y TELÉGRAFOS, S.A., S.M.E Por
Fdo.: Fdo.