Aviso legal
- OBJETIVO
La necesidad de garantizar el cumplimiento de la Normativa de Protección de Datos de Carácter Personal (RGPD), su normativa de desarrollo y el adecuado uso de los medios técnicos e informáticos relativos al tratamiento de datos de personas físicas, hacen necesario el establecimiento de unas pautas de conducta tendentes a informar y concienciar a los trabajadores del responsable del Tratamiento con acceso a estos medios, sobre el cumplimiento de las normas establecidas en la Política de Protección de Datos y Seguridad, tanto dentro como fuera de las instalaciones de CASABLANCA SERVICIOS INMOBILIARIOS, S.L. (en adelante “el Responsable del Tratamiento” o simplemente “el Responsable”)
Las normas de seguridad contenidas en este documento, afectan a todas las estructuras organizativas, y deben ser cumplidas y observadas por todo el personal perteneciente a la plantilla, o por toda persona ajena que se encuentre prestando sus servicios al mismo dentro de las instalaciones del Responsable.
Con el objetivo de divulgar el conocimiento de las normas a las que hace referencia el la Política de Protección de Datos y Seguridad, se ha elaborado y difundido este documento, que comprende un resumen de las obligaciones exigibles a todo el personal en cuanto al tratamiento de datos personales.
- DEFINICIONES Y PERSONAL IMPLICADO
Aplicación informática: Programa o conjunto de programas informáticos que tienen por objeto el tratamiento informático de la información.
Documento: Todo escrito, gráfico, sonido, imagen o cualquier otra clase de información que puede ser tratada en un sistema de información como una unidad diferenciada.
Redes de comunicación: Infraestructura de telecomunicación accesible por los usuarios tanto de acceso a red interna (intranet) como de acceso a red externa, correo electrónico o cualquier otro instrumento de transmisión telemática a través de la conexión de medios informáticos que sean propiedad, estén bajo la supervisión u operen en el Responsable del Tratamiento.
Responsable tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. En este caso CASABLANCA SERVICIOS INMOBILIARIOS, S.L., representada por Dª Blanca Iglesias Palomero.
Recursos Informáticos: Todos los medios de cualquier naturaleza (físicos, lógicos o humanos) que intervienen en los sistemas de información y redes de comunicación.
Responsable de seguridad: Persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables. En este caso, D. Luis Miguelez.
Sistema de información: Conjunto de componentes interrelacionados que permiten capturar, procesar, almacenar y distribuir la información.
Sistema operativo: Conjunto de aplicaciones cuya misión es ofrecer un entorno al usuario para permitir la ejecución de otras herramientas informáticas y la gestión de los datos generados.
Soportes: Objetivo físico que almacena o contiene datos o documentos, u objeto susceptible de ser tratado en un sistema de información y sobre el cual se pueda grabar y recuperar datos.
Usuarios: Toda persona física que tenga autorizado el acceso a los sistemas de información y redes de comunicación del Responsable del Tratamiento (personas trabajadoras con acceso a datos de carácter personal).
3.1. Ámbito subjetivo (Agentes)
Esta política será de aplicación para todo el personal de CASABLANCA SERVICIOS INMOBILIARIOS, S.L., cualquiera que sea el nivel o función que ejerza, ya sea a nivel individual o colectivo en cuanto a que hagan uso de los recursos expuestos en el siguiente apartado.
También se aplicará a cualquier otra entidad o persona externa que utilice los recursos informáticos del Responsable.
3.2. Ámbito objetivo (Recursos)
Se incluyen aquí todos los sistemas informáticos de CASABLANCA SERVICIOS INMOBILIARIOS, S.L., ya sean individuales o compartidos y estén o no conectados a la red del Responsable.
Se aplicará a todos los equipos (estaciones de trabajo, PC’s y servidores), a las aplicaciones en ellos instaladas y a las infraestructuras de comunicaciones que sean propiedad o estén administradas por el Responsable, así como a aquellos equipos que se conecten a través de una extranet a las redes del centro o centros de trabajo.
Todo esto incluye terminales, ordenadores personales, estaciones de trabajo, servidores y periféricos asociados, así como el software, independientemente de que se use para gestión administrativa, económica, investigación u otro tipo.
Igualmente, se incluye toda la información albergada en servidores y ordenadores o que circule a través de su red mediante elementos de comunicación o transmisión, que sea de su propiedad o le haya sido confiada.
El Responsable podrá establecer unas normas de actuación que regulen el proceso de acceso de los usuarios a los recursos.
3.3. Aspectos legales
Son de aplicación las leyes y normativa españolas, así como las que dimanen de la Unión Europea y de la Comunidad Autónoma en relación a la protección de datos personales, propiedad intelectual y uso de herramientas telemáticas, así como las que puedan aparecer, en un futuro, a este respecto.
Estas normas se sitúan dentro del marco jurídico definido por la siguiente normativa:
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016.
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos de Carácter Personal.
- Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual.
- Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico.
- Ley Orgánica 1/1982, de 5 de mayo, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen.
- Otra normativa de desarrollo, conexa o complementaria.
A continuación se plantean una serie de normas que pretenden regular el buen uso, disponibilidad y nivel de servicio de los recursos informáticos. Aquellas personas que de forma reiterada o deliberada o por negligencia las ignoren o las infrinjan, se podrán ver sujetas a las actuaciones técnicas (para minimizar los efectos de la incidencia) o disciplinarias que se estimen oportunas.
- Utilización de los equipos informáticos
- Se pondrá a disposición de sus miembros los medios y equipos informáticos requeridos para el desempeño de su actividad profesional.
- En consecuencia, dichos equipos informáticos no están destinados al uso personal o extraprofesional de los usuarios, y éstos deben conocer que no gozan del uso privativo de los mismos. Por este motivo, CASABLANCA SERVICIOS INMOBILIARIOS, S.L. podrá acceder a la información guardada en el disco duro de dichos terminales.
- El personal deberá destinar los equipos informáticos de que sean proveídos, a usos relacionados con la finalidad de las funciones propias de su puesto y que correspondan a su trabajo.
- La plantilla deberá cuidar los equipos informáticos que les sean facilitados, no procediendo, en ningún caso, a alterarlos o modificarlos.
- No esta permitido conectar a los equipos informáticos que se le sean proveidos otros equipos distintos de los que tengan instalados, sean del tipo que sean.
- En ningún caso se podrá acceder físicamente al interior de los PC’s o dispositivos informáticos que tengan asignados para el ejercicio de sus funciones; sólo personal autorizado podrá realizarlo para labores de reparación, instalación o mantenimiento.
- Sólo podrán usar los equipos que estén directamente especificados por el Responsable del Tratamiento.
- Los usuarios y usuarias deberán abstenerse de manipular los mecanismos o condiciones de seguridad instalados en los PC’s o dispositivos informáticos.
- Utilización de las aplicaciones informáticas
- Se debe hacer uso exclusivamente de las aplicaciones informáticas o versiones de software instaladas en sus equipos por el Responsable, estando obligados adicionalmente a seguir las instrucciones o normas que el mismo establezca para su empleo. En todo caso, la utilización de las aplicaciones informáticas tiene una finalidad profesional y con el propósito para el que fueron diseñadas e implantadas, por lo que no se considerará idóneo su uso personal o privado.
- El personal autorizado será responsable de configurar el sistema operativo, definir las aplicaciones informáticas de uso estandarizado y proceder a su instalación o desinstalación. Sólo tras autorización expresa, dada las características o naturaleza de alguna de las aplicaciones informáticas, el personal podrá efectuar directamente su instalación.
- En ningún caso se podrá borrar o desinstalar las aplicaciones informáticas instaladas por el Responsable.
- La plantilla se limitará a ejecutar las aplicaciones informáticas para las que estén autorizados, y que les serán facilitadas por el Responsable.
- Queda prohibida cualquier actuación que pueda tener consideración de provocadora o intimidatoria en el trabajo, de tal manera, que debe excluirse la instalación o visualización de salvapantallas, fotos, vídeos, comunicaciones u otros medios con contenidos ofensivos, violentos, amenazadores, obscenos, vejatorios, discriminatorios (por razones de género, edad, sexo, etc.) de índole sexual, xenófobo, etc. o, en general, aquellos que agredan la dignidad de la persona.
- La plantilla está obligada a cumplir las medidas de seguridad diseñadas por el Responsable, así como las prevenciones que al efecto se establezcan. Por tanto, no podrán desactivar los programas antivirus, antimalware o similares ni sus actualizaciones. Tampoco podrán introducir voluntariamente programas, virus, macros o cualquier otro dispositivo lógico o secuencia de caracteres, que causen o sean susceptibles de causar alteración o daño en los recursos informáticos del Responsable o en los de terceros.
- El personal está obligado a utilizar exclusivamente los programas antivirus y antimalware. y sus respectivas actualizaciones, u otros sistemas de seguridad, destinados a la prevención de la entrada en los sistemas de información de cualquier elemento destinado a alterar o dañar los recursos informáticos que sean instalados por el Responsable.
- Los usuarios y usuarias con acceso a datos de carácter personal realizarán una limpieza de mantenimiento periódicamente, respecto de los ficheros (archivos) temporales que accidentalmente puedan quedar en el sistema. Por ejemplo, utilizando la aplicación del liberador de espacio en disco del sistema operativo Windows.
- Utilización de la información incorporada a los sistemas
- Toda la información albergada en los servidores y terminales informáticos o que circule a través de su red mediante elementos de comunicación o transmisión que sean de su propiedad, o le haya sido confiada, tiene carácter confidencial.
- Los usuarios y usuarias están obligados a proteger la información, evitando el envío no autorizado al exterior, incluyendo esta noción tanto el acceso como la visualización de la misma. Una especial consideración de confidencialidad corresponde a ficheros o información que contenga datos de carácter personal.
- El conocimiento de la información reseñada no confiere derecho alguno en cuanto a posesión, titularidad o derecho de copia de la misma, por lo que su uso debe ser estrictamente interno y profesional.
- El personal con acceso a información y datos deben usarlos únicamente para los fines para las que fueron generados e incorporados, sin destinarlos a otros diferentes, o incurrir en actividades que puedan considerarse ilícitas o ilegales. Asimismo, sólo deben acceder a aquellos datos y recursos que precisen para el ejercicio de las funciones que les correspondan, y efectuar sólo los tratamientos que sean precisos para el cumplimiento de las funciones propias de su puesto y que correspondan a su trabajo. Para ello, se dispondrá de perfiles de acceso y una segmentación conveniente, tanto del personal como de las necesidades de información.
- La plantilla está obligada a proteger la información y los datos a los que tienen acceso. Esta protección debe prevenir el empleo de operaciones que puedan producir una alteración indebida, inutilización o destrucción, robo o uso no autorizado, en definitiva, cualquier forma que pueda dañar los datos, aplicaciones informáticas y documentos electrónicos propios.
- Conforme a las instrucciones que reciban, se utilizarán los medios o programas de salvaguarda que les facilite el Responsable., con la finalidad de garantizar la integridad y seguridad de los equipos informáticos, de las aplicaciones informáticas y de la información que contengan. En cualquier caso, no intentarán descifrar claves, sistemas o algoritmos de cifrado y cualquier otro elemento de seguridad que intervengan en los procesos telemáticos.
- Los usuarios y usuarias están obligados a notificar cualquier incidencia o anomalía en el uso de los medios informáticos que detecten: pérdida de información, de listados, dispositivos, CD’s, DVD’s, memorias USB, discos duros externos, acceso no autorizado, uso de su identificador o de su contraseña, introducción de virus, recuperación de datos, desaparición de soportes informáticos y, en general, toda situación que pueda comprometer el buen uso y funcionamiento de los sistemas de información.
- Cualquier fichero que se introduzca en la red corporativa o en el puesto de trabajo a través de soportes automatizados, Internet, correo electrónico o cualquier otro medio, deberá cumplir los requisitos establecidos en estas normas y, en especial, las referidas a la propiedad intelectual, el control antivirus y la protección de datos de carácter personal.
- En aquellos casos en que sea posible, se evitará la ubicación de ficheros que contengan datos de carácter personal en los PC’s de usuarios, siendo necesario el uso de los servidores de almacenamiento de los datos.
- Solo se podrán crear ficheros temporales que contengan datos de carácter personal cuando sean necesarios para el desempeño de sus funciones. En todo caso, deberán ser eliminados cuando hayan dejado de ser útiles para la finalidad para la que fueron creados.
- Toda salida de información que contenga datos de carácter personal, sea en: soportes informáticos, correo electrónico, portátiles, etc., solo podrá realizarse por personal autorizado formalmente por el Responsable del Tratamiento, siempre cumpliendo la normativa vigente que garantiza los niveles de protección. Existirá un registro donde quede anotado las salidas y entradas de estos soportes.
- El personal autorizado a manejar soportes que contengan datos de carácter personal deben guardarlos en lugar seguro, especialmente al finalizar la jornada laboral. En todo caso, una vez concluida la finalidad de las tareas a las que estaban destinados estarán obligados a su devolución inmediata.
- Si un usuario o usuaria finaliza su relación laboral con el Responsable, o cambia de puesto de trabajo dentro del mismo, deberá entregar sin dañar todas las aplicaciones informáticas, ficheros, información, datos y documentos electrónicos que haya utilizado en su actividad profesional.
- Finalizada la relación laboral con el Responsable, la persona trabajadora dejará de tener acceso a los equipos informáticos y a la información incorporada a los mismos, debiendo devolver aquellos que se encuentren en su posesión. Seguirá obligado a mantener la máxima reserva y confidencialidad, no sólo de la información y documentos, sino también de las claves, análisis y aplicaciones informáticas.
- En el caso de que se suministren equipos informáticos durante un periodo de tiempo en concreto para la ejecución de proyectos o tareas específica (por ejemplo, ordenadores portátiles, tablets, etc.), antes de su devolución, toda la información de carácter profesional que pudiera estar almacenada en el disco duro del equipo informático, se deberá traspasar (por parte del usuario) al servidor de la oficina correspondiente. Una vez retornado el equipo informático, se formateará el disco duro de dicho terminal por el departamento de informática o aquel encargado de dichas tareas.
- Acceso a la información
- Todo el personal que acceda a los datos de carácter personal está obligado a conocer y observar las medidas, normas, procedimientos, reglas y estándares que afecten a las funciones que desarrolla. Así mismo, deberán guardar el debido secreto y confidencialidad sobre los datos personales que conozca en el desarrollo de su trabajo.
- Todo usuario o usuaria con acceso a un sistema de información dispondrá de una única autorización de acceso, personal e intransferible, compuesta al menos de identificador de usuario y contraseña. Ambos permitirán una identificación individual, evitándose registros duplicados o múltiples.
- Se debe custodiar convenientemente su identificador de usuario y/o contraseña, sin proceder a su revelación o puesta al alcance de terceros. Serán responsables de toda la actividad relacionada con el uso de su acceso personal autorizado.
- Las contraseñas tendrán un plazo de vigencia, que será fijado por el Responsable. Los usuarios y usuarias procederán, siguiendo las instrucciones del Responsable de Seguridad, a cambiarlas antes de cumplirse el mismo. Si transcurrido dicho plazo no se hubiesen cambiado caducarán, denegándose el acceso, y de oficio serán modificadas, comunicándose la nueva posteriormente.
- Si se sospecha que su acceso autorizado (código de usuario y/o contraseña) está siendo utilizado por otra persona, deberá proceder inmediatamente al cambio de contraseña y notificar la correspondiente incidencia al Responsable de Seguridad.
- No se debe intentar obtener otros derechos de acceso al suyo personal, ni utilizar ningún otro acceso autorizado que corresponda a otro usuario o usuaria, aunque disponga de la autorización de éste, salvo en los supuestos permitidos por la Ley o conforme a las instrucciones que imparta el Responsable.
- Una vez terminada la jornada laboral o se vaya ausentar del puesto de trabajo durante un tiempo razonablemente amplio, se tomarán las medidas pertinentes (por ejemplo, apagar el equipo informático, activar protector de pantalla con contraseña, cierre con llave de armarios con documentación confidencial, etc.) con el fin de evitar cualquier acceso no autorizado (por ejemplo, personal de limpieza, mantenimiento de las instalaciones, etc.).
- En caso de haberlo, el acceso físico a la sala de los servidores o CPD (centro de procesamiento de datos) se realizará únicamente por las personas autorizadas.
- Se monitorizarán los accesos a la información contenida en los sistemas. Se llevará a cabo esta actividad de monitorización de manera proporcional al riesgo, con las cautelas legales pertinentes y las señaladas en la jurisprudencia y con observancia de los derechos del personal.
- Acceso a las redes de comunicación
- La conexión de los usuarios a las redes de comunicación será facilitada por el Responsable.
- Queda prohibido conectarse a la red interna de comunicaciones por otros medios distintos a los definidos y administrados por el Responsable.
- Queda prohibido conectarse a la red interna de comunicaciones con cualquier equipo informático distinto a los instalados para tal fin. El personal externo que deba conectarse a los entornos corporativos o internos desde sus equipos requerirá la autorización y, en su caso la supervisión, del Responsable de Seguridad.
- Está prohibido intentar obtener otros derechos o acceso distintos a los que se tienen asignados. Asimismo, no se debe intentar distorsionar o falsear los registros (“logs”) de los sistemas de información.
- Acceso a Internet
- El acceso a Internet por los usuarios y usuarias se realizará únicamente empleando los medios y a través de la red establecida a estos efectos por el Responsable.
- Las conexiones a Internet que se produzcan a través de la red interna o corporativa tendrán una finalidad profesional. En este sentido, se emplearán estas conexiones exclusivamente para temas relacionados con la actividad profesional y los cometidos típicos de su puesto de trabajo, quedando prohibidas las descargas de ficheros con contenidos como vídeo, audio, imágenes u otros materiales no relacionados con la actividad profesional, así como la utilización de la red para juegos de azar, sorteos, subastas, etc. Queda igualmente prohibido el acceso a debates, grupos de noticias y otras utilidades no relacionadas con la actividad laboral.
- No deberá accederse en ningún caso a direcciones de Internet que tengan un contenido ofensivo o atentatorio de la dignidad humana. A estos efectos, se podrá restringir el acceso a determinados servidores de contenidos en Internet.
- Las autorizaciones de acceso a Internet se concederán acordes con las funciones del puesto que se desempeñe, produciéndose una segmentación de perfiles que habilite las conexiones.
- No obstante, se podrá utilizar el acceso a Internet para fines personales y familiares en términos razonables y moderados, y procurando que este uso personal se produzca fuera del horario laboral a fin de impedir cualquier perjuicio en la actividad profesional.
- Se regularán y controlarán los accesos a Internet. Se podrá proceder a monitorizar las direcciones de acceso y el tiempo de conexión a Internet, así como la limitación de su uso en razón de las funciones que ejerza, por motivos de seguridad o rendimiento de la red.
- Se registrarán todos los accesos a servidores de la red, incluyendo al menos la información de direcciones de páginas visitadas, fecha y hora, ficheros descargados, usuario o usuaria y puesto desde el que se ha efectuado la conexión.
- Las transferencias de datos desde o a Internet se realizarán exclusivamente cuando lo exija el ejercicio de las funciones del puesto de trabajo. En todo caso, se deberá tener en cuenta, antes de utilizar la información proveniente de la red, si dicho uso es conforme a las normas que protegen la propiedad intelectual e industrial.
- Correo electrónico
- Se podrá suministrar a cada persona trabajadora una dirección individual de correo electrónico, procediéndole a instalar y configurar una cuenta de correo. El acceso a dicha cuenta de correo se efectuará mediante una clave personal.
- El uso del correo electrónico habilitado es estrictamente profesional, es decir, para el ejercicio de las funciones que corresponden al puesto de trabajo que desempeñe.
- El personal tiene prohibido expresamente el acceso a cuentas de correo que no le hayan sido asignadas. Para que un usuario o usuaria distinto del titular pueda acceder a una cuenta de correo será preciso que éste lo autorice por escrito.
- No se puede interceptar, leer, borrar, copiar o modificar el correo electrónico dirigido a otros usuarios o usuarias.
- Queda prohibido el uso abusivo del correo electrónico, utilizando mensajes con contenidos de carácter violento, racista, sexista, pornográfico o cualquiera otro ofensivo o atentatorio a la dignidad humana. Asimismo, queda prohibido el envío deliberado de cualquier clase de programa o virus que puedan causar perjuicios en los sistemas de información propios o de terceros.
- Se considerará asimismo particularmente reprochable la utilización del correo electrónico para el envío a compañeros/as, subordinados/as, proveedores/as o personas vinculadas al Responsable por cualquier otro motivo, de comunicados que puedan implicar o constituir, por sí mismos o acumulados a otros similares, acoso sexual o moral.
- Está prohibido el uso abusivo del sistema de listas de correos para el envío de mensajes de forma masiva o piramidal.
- Con la finalización de la relación laboral se interrumpirá el acceso a la cuenta de correo. En estos casos, se podrá, salvo expresa indicación justificada en contrario, eliminar el correo que se pueda recibir en la cuenta de correo de la persona trabajadora que cesa. En caso de existir circunstancias excepcionales que justifiquen lo contrario, se harán las especificaciones oportunas, no bastando al efecto la simple voluntad en contra del interesado o interesada. En ningún caso el Responsable estará obligado a comunicar los contenidos de los correos que puedan recibirse con posterioridad al cese, salvo que expresa y justificadamente medie advertencia al efecto por parte del interesado o interesada, que deberá especificar los correos sobre los que pueda ser necesario actuar de forma excepcional.
- Cuando el correo se utilice con una finalidad laboral, tal como la solicitud de permisos, denuncia de plazos, interposición de reclamaciones, así como las contestaciones que la Dirección envíe por estos motivos, dichas comunicaciones valdrán y serán eficaces desde la fecha de su envío, siempre que sean acordes con las normas establecidas por el Responsable.
- Queda en todo caso rigurosamente prohibida la utilización del correo electrónico correspondiente al puesto de trabajo para el desempeño de cualquier actividad profesional, por cuenta propia o ajena, distinta a la función que se desempeña en CASABLANCA SERVICIOS INMOBILIARIOS, S.L. A estos efectos se considerarán incluidos en la prohibición los avisos, cruces de correspondencia y similares que, aun sin contenido directamente profesional, colaboren al mantenimiento de esa actividad profesional ajena.
- Cuando se envíen, a través de correo electrónico, datos de carácter personal relativos a ideología, religión, creencias, origen racial, salud o vida sexual se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.
- Se procurará evitar el almacenamiento excesivo de correos, en particular el de aquellos que lleven adjuntos documentos extensos.
- Con la finalidad de evitar sobrecargas al sistema informático encargado del servicio de correo electrónico, el Responsable se reserva el derecho de establecer cuotas de espacio disponible pudiendo restringiese de forma automática el envío y/o recepción de mensajes si el límite establecido se supera, además de poder supervisar y monitorizar el contenido de los mensajes entrantes y salientes para cada cuenta de correo asignada. Asimismo, se reserva el derecho de establecer un límite de tamaño para los mensajes individuales procesados, pudiendo anularse la entrega o recepción de aquellos que superen éste límite.
- Fuera de los casos de ámbito interno, en el caso de que se manden varios correos electrónicos a diferentes destinatarios, se deberá utilizar la función de copia oculta o sistema equivalente que evite conocer el receptor del e-mail al resto de destinatarios.
- Gestión de soportes
- Los soportes que contengan datos de carácter personal, bien como consecuencia de operaciones intermedias propias de la aplicación que los trata, o bien como consecuencia de procesos periódicos de respaldo o cualquier otra operación esporádica, deberán estar claramente identificados con una etiqueta o impresión externa.
- Si es posible, aquellos medios que sean reutilizables, y que hayan contenido copias de datos personales, deberán ser borrados físicamente antes de su reutilización, de forma que los datos que contenían no sean recuperables.
- Existirá un registro de entrada y salida de soportes con datos de carácter personal, con orden cronológico de entrada y salida, cuya coordinación, custodia y control será competencia del Responsable de Seguridad.
- La salida de los soportes que contengan datos de carácter personal fuera de los locales donde estén ubicados la información con datos personales, han de ser autorizadas por el Responsable del Tratamiento o aquel en que, anteriormente, por medio de cualquier comunicación hubiera delegado. Si dicha delegación es al Responsable de Seguridad, la comunicación podrá ser posterior.
- Documentación en papel
- Los documentos en papel que contengan datos de carácter personal y no sean necesarios para ejercitar las funciones del puesto desempeñado, deberán eliminarse mediante destructora de papel o por cualquier procedimiento que garantice la imposibilidad de posibles restauraciones.
- Comprobación de los sistemas de información y redes de comunicación
- El Responsable, mediante los mecanismos formales y técnicos que considere oportunos, podrá comprobar, de forma periódica o cuando resulte conveniente por razones específicas de seguridad o del servicio, la correcta utilización de todos los sistemas de información y redes de comunicación.
- Tratamiento de datos de carácter personal
En el momento en el que por parte de algún empleado o empleada se tenga conocimiento de incidencias por comunicaciones, informaciones, llamadas telefónicas, etc. relacionadas con el ejercicio de los derechos de acceso, rectificación o supresión, limitación de su tratamiento, portabilidad y/u oposición de protección de datos de carácter personal o similares, informará inmediatamente al Responsable de Seguridad sobre la incidencia ocurrida, y en particular, sobre cualquier notificación, vía burofax, carta certificada con acuse de recibo, notificación judicial o requerimiento notarial, etc. que suponga el inicio o continuación formal y fehaciente de algún plazo procesal, extraprocesal, administrativo o de cualquier otro tipo establecido por la normativa.
- Recursos informáticos
En el momento que ocurra una incidencia con las bases de datos de carácter personal almacenadas en los equipos informáticos, el empleado o empleada comunicará al Responsable de Seguridad el tipo de incidencia, el momento en que se ha producido, o en su caso detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.
- Secreto y confidencialidad en los puestos de trabajo
- Mediante los mecanismos formales y técnicos que considere oportunos, se podrá comprobar, de forma periódica o cuando resulte conveniente por razones específicas de seguridad o del servicio, la correcta utilización de todos los sistemas de información y redes de comunicación.
- Los puestos de trabajo estarán bajo la responsabilidad de la persona trabajadora autorizada, que garantizará y tomará medidas tendentes a que la información no pueda ser visible a personas no autorizadas. Las pantallas, impresoras u otro tipo de soportes o dispositivos que estén conectados al puesto de trabajo, deberán estar físicamente ubicados en lugares seguros que garanticen la confidencialidad y con las medidas adecuadas.
- Con las impresoras, el trabajador o trabajadora habrá de asegurarse de que no quedan documentos impresos en la bandeja de salida que contengan datos protegidos, y se asegurará de evitar que en las impresoras compartidas permanezcan documentos con datos personales.
- Política de uso de recursos no automatizados
- Con las impresoras, habrán de asegurarse de que no quedan documentos impresos en la bandeja de salida que contengan datos protegidos, y se asegurarán de evitar que en las impresoras compartidas permanezcan documentos con datos personales.
- Los documentos que contengan datos personales, deberán estar claramente identificados con el tipo de información que contiene y sólo serán accesibles por el personal autorizado.
- Custodia y almacenamiento: se deberán seguir las medidas oportunas para que no tengan acceso personas sin autorización, además de cumplir las normas de archivo.
- La salida de documentación que contenga datos de carácter personal fuera de los locales del Responsable, ha de ser autorizada por el Responsable de Seguridad.
- El personal, además de cumplir con el resto de la legalidad vigente en cada momento, deberá ajustar su actividad profesional a las normas establecidas en el presente documento. Su infracción será sancionada conforme al régimen establecido en el Estatuto de los Trabajadores, Convenio Colectivo, cuando proceda su aplicación, sin perjuicio de las responsabilidades administrativas, civiles o penales que de dicho incumplimiento pudieran derivarse.
La plantilla debe contribuir al cumplimiento colectivo de las normas contenidas en el presente documento, y no está obligada a cumplir directrices o instrucciones contrarias a las mismas o a las disposiciones legales vigentes.