Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

M O <la

Anuncio 
Modelo n.º 13
MODELO DE DOCUMENTO DE SEGURIDAD PARA LA ORGANIZACIÓN
Logo de <la
DOCUMENTO DE SEGURIDAD DE
Organización>
<indicar nombre de la Organización>
Fecha de Creación
Sumario:
✓ Glosario y siglas utilizadas.
✓ Introducción.
✓ Control de cambios y actualización del documento.
✓ Ámbito de aplicación del documento.
✓ Especificación detallada de los recursos protegidos.
✓ Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar los niveles
de seguridad determinados en el RDLOPD para ficheros y tratamientos automatizados y no
automatizados.
a)
b)
c)
d)
e)
f)
g)
h)
i)
j)
k)
l)
m)
n)
Delegación de autorizaciones.
Acceso a datos a través de redes de comunicaciones.
Ficheros temporales o copias de trabajo de documentos.
Régimen de trabajo fuera de los locales del responsable del fichero o encargado del
tratamiento o uso de dispositivos portátiles.
Contratos con terceros.
Funciones y obligaciones del personal.
Identificación y autenticación.
Control de acceso.
Gestión y distribución de soportes y documentos.
Registro de incidencias.
Copias de respaldo y recuperación.
Responsable de seguridad.
Auditoría.
Telecomunicaciones.
✓Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar los niveles de
seguridad determinados en el RDLOPD exclusivamente para ficheros y tratamientos no
automatizados.
a)
b)
c)
d)
Criterios de archivo.
Dispositivos de almacenamiento.
Custodia de los soportes y traslado de documentación.
Copia o reproducción.
✓ Controles periódicos del cumplimiento del las medidas contempladas en el documento de
seguridad.
Anexos
✓ Anexo I. “Ficheros y tratamientos”.
✓ Anexo II “Mapa de aplicaciones”.
✓ Anexo III “Topología de red y equipos de tratamiento”.
✓ Anexo IV “Otros recursos”.
✓ Anexo V “Personal habilitado para otorgar autorizaciones y personal delegado”.
✓ Anexo VI “Autorización para el almacenamiento de datos personales en dispositivos
portátiles o su tratamiento fuera de los locales de <LA ORGANIZACIÓN> o del encargado del
tratamiento”.
✓ Anexo VII “Contratos con terceros”.
✓ Anexo VIII “Funciones y obligaciones del personal”.
✓ Anexo IX “Normas y políticas de seguridad”.
✓ Anexo X “Relación de usuarios del sistema de información y tratamiento de datos”.
✓ Anexo XI “Gestión de contraseñas”.
✓ Anexo XII “Informe mensual del registro de accesos”.
✓ Anexo XIII “Control de acceso”.
✓ Anexo XIV “Procedimiento de gestión y distribución de soportes y documentos”.
✓ Anexo XV “Salida de soportes y documentos con datos personales”.
✓ Anexo XVI “Gestión de incidencias”.
✓ Anexo XVII “Autorización para ejecución de procedimientos de recuperación de datos”.
✓ Anexo XVIII “Copias de respaldo y recuperación de datos”.
✓ Anexo XIX “Responsable de seguridad”.
✓ Anexo XX “Informes de auditoría”.
✓ Anexo XXI “Transmisión de datos a través de redes de telecomunicaciones”.
✓ Anexo XXII “Procedimiento de gestión de archivo”.
✓ Anexo XXIII “Dispositivos físicos de almacenamiento”.
✓ Anexo XXIV “Custodia de soportes”.
✓ Anexo XXV “Personal autorizado para la generación de copias o reproducción de
documentos”.
(Los anexos descritos deberán ser elaborados por la Organización, teniendo en cuenta sus
peculiaridades y características, describiendo la realidad del proceder de la Organización,
garantizando el cumplimiento de los artículos del RDLOPD afectados).
GLOSARIO Y SIGLAS UTILIZADAS
(En este apartado se incluirá una relación de las siglas y abreviaturas utilizadas en el
documento).
LOPD: Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal.
RDLOPD: Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba el Reglamento de
desarrollo de la LOPD.
___________ (Otras indicar).
INTRODUCCIÓN
Mediante el presente documento de seguridad y los anexos que lo componen, <LA
ORGANIZACIÓN> da cumplimiento a lo dispuesto en el artículo 9 de la Ley Orgánica
15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD)
y el Título VIII del Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba el
Reglamento de desarrollo de la LOPD (en adelante RDLOP) y en él, de acuerdo con el
artículo 79 del RDLOPD se describen las medidas de seguridad fundamentalmente de índole
técnica y organizativa necesarias que <LA ORGANIZACIÓN> ha implantado para garantizar
la protección, confidencialidad, integridad y disponibilidad de los recursos de tratamiento de
datos personales sometidos a lo dispuesto en la LOPD y el RDLOPD.
El presente documento de seguridad es comprensivo de todos los ficheros y tratamientos con
datos personales de los que <LA ORGANIZACIÓN> es responsable y además describe por un
lado, las medidas que afectan a todos los sistemas de información de forma común con
independencia del sistema de tratamiento utilizado (informatizado, manual o mixto), y por otro
lado, incluye un anexo por cada fichero o tratamiento, con las medidas que le afecten de forma
específica.
CONTROL DE CAMBIOS Y ACTUALIZACIÓN DEL DOCUMENTO
De acuerdo con el artículo 88 apartados 7 y 8, <LA ORGANIZACIÓN> actualiza y revisa el
presente documento de seguridad (i) para adecuarlo en todo momento a las disposiciones
vigentes en materia de seguridad de los datos de carácter personal y (ii) siempre que se
producen cambios relevantes:
✓
✓
✓
✓
✓
En el sistema de información.
En el sistema de tratamiento empleado.
En su organización.
En el contenido de la información incluida en los ficheros o tratamientos o, en su caso.
Como consecuencia de los controles periódicos realizados.
A tales efectos se entenderá que un cambio es relevante cuando pueda repercutir en el
cumplimiento de las medidas de seguridad implantadas.
Cuadro resumen de control de cambios:
Versión
Fecha
Cambio(s) efectuado(s)
Pgs. afectadas
Aprobación del documento de seguridad por la dirección de <LA ORGANIZACIÓN> y visto
bueno de las actualizaciones:
Control dirección de <LA ORGANIZACIÓN>
Fecha
Aprobado por:
Vº bueno de:
(Indicar datos y firma)
(Indicar datos y firma)
ÁMBITO DE APLICACIÓN DEL DOCUMENTO
El presente documento se aplica a los ficheros y tratamientos que contienen datos de carácter
personal responsabilidad de <LA ORGANIZACIÓN> y responsabilidad de otros terceros por
cuenta de quienes la organización es encargada del tratamiento45, así como a los sistemas de
información, soportes y equipos empleados para el tratamiento de datos, las personas que
intervienen en el tratamiento y los locales en los que se ubican.
Datos de la Organización
Nombre o razón social
(indicar).
Dirección social
(indicar).
Oficinas y sucursales
Teléfono
Fax
Email
(indicar).
(indicar).
(indicar).
Sitio web
(indicar).
(indicar).
En el documento de seguridad se clasifican las medidas de seguridad aplicadas por <LA
ORGANIZACIÓN> de acuerdo con los artículos 80 y 81 del RDLOPD en tres niveles acumulativos
(básico, medio y alto).
En concreto, los ficheros y tratamientos responsabilidad de <LA ORGANIZACIÓN> sujetos a
las medidas de seguridad establecidas en este documento, con indicación del nivel de seguridad
correspondiente, son los descritos en la siguiente tabla:
(Completar tabla de ficheros y tratamientos)
Ficheros y tratamientos responsabilidad de <LA ORGANIZACIÓN>
Nombre fichero
Automatizado
Manual
Mixto
Nivel de seguridad
RRHH

Alto
Candidatos

Medio

Clientes web
Básico

Proveedores
Básico
Otros (indicar)
Otros (indicar)
Asimismo,46 los ficheros y tratamientos responsabilidad de terceros –por cuya cuenta <LA
ORGANIZACIÓN> actúa como encargada del tratamiento– sujetos a las medidas de seguridad
establecidas en este documento con indicación del nivel de seguridad correspondiente, son los
indicados en la siguiente tabla:
(Completar tabla de ficheros y tratamientos por cuenta de terceros)
Ficheros y tratamientos responsabilidad de terceros
Nombre del
responsable
Nombre
fichero
Automatizado
Manual
Mixto
Nivel de
seguridad
(indicar)
(indicar)
(indicar)
ESPECIFICACIÓN DETALLADA DE LOS RECURSOS PROTEGIDOS
De acuerdo con la LOPD y el RDLOPD, el presente documento describe las medidas de
seguridad de nivel básico, medio y alto adoptadas por <LA ORGANIZACIÓN> en relación con
los siguientes recursos:
(En este apartado o anexos que dependan del mismo, describirán todos los componentes del
sistema de información en el que se tratan los ficheros y tratamientos que contienen datos
personales objeto de descripción en el documento de seguridad conjunto de ficheros,
tratamientos, programas, soportes y en su caso, equipos empleados para el tratamiento de
datos de carácter personal).
✓ En el ANEXO I “Ficheros y tratamientos”, se describen las características de los ficheros y
tratamientos protegidos, tanto manuales como automatizados, su código de inscripción,
estructura, nivel de seguridad, finalidad y descripción de los sistemas de información que los
tratan.
✓ En el ANEXO II “Mapa de aplicaciones”, se describen las características de los programas
de ordenador utilizados para el tratamiento de los datos, y el nivel de seguridad que permite
cada uno de ellos implantar.
✓ En el ANEXO III “Topología de red y equipos de tratamiento”, se describe la topología
de red así como los equipos de hardware donde se alojan los ficheros y tratamientos de
datos personales.
✓ En el ANEXO IV “Otros recursos” se describe la ubicación física y características de
armarios, archivadores y otros elementos en los que se almacenan los ficheros y tratamientos no
automatizados que contienen datos de carácter personal.
MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTÁNDARES
ENCAMINADOS A GARANTIZAR LOS NIVELES DE SEGURIDAD DETERMINADOS
EN EL RDLOPD PARA FICHEROS Y TRATAMIENTOS AUTOMATIZADOS
Y NO AUTOMATIZADOS
(En los apartados descritos a continuación, la organización deberá elaborar y redactar los
procedimientos, listados y en general documentos que se proponen como anexos adjuntos al
documento de seguridad. Su elaboración en todo caso deberá efectuarse por la organización de
acuerdo con los artículos del RDLOPD afectados).
a) Delegación de autorizaciones
De acuerdo con el artículo 84 del RDLOPD, las autorizaciones que se atribuyen a <LA
ORGANIZACIÓN> en el título VIII del RDLOPD han sido delegadas en personas designadas
al efecto.
En el ANEXO V “Personal habilitado para otorgar autorizaciones y personal delegado”
del presente documento de seguridad, se describe la relación de personas habilitadas
para otorgar estas autorizaciones, así como aquellas en las que recae dicha delegación,
tanto respecto de los ficheros manuales como automatizados responsabilidad de <LA
ORGANIZACIÓN>.
En ningún caso esta designación supone una delegación de la responsabilidad que corresponde a
<LA ORGANIZACIÓN>.
(Completar tabla de funciones del responsable del fichero, autorizaciones y delegaciones e
incluir en el anexo correspondiente)
Autorizaciones y delegaciones
Obligaciones responsable
del tratamiento
Tratamiento de datos en
dispositivos portátiles
Personal habilitado
para otorgar
autorizaciones47
Responsable de
seguridad
Director RRHH
Director Marketing
Director Sistemas
Vigencia
habilitación
XX/XX/XX a
XX/XX/XX
(Otros indicar)
Personal
delegado
Vigencia
delegación
Jefe de
XX/XX/XX a
contratación
XX/XX/XX
de RRHH
(Otros indicar)
(Otros indicar)
Tratamiento de datos fuera (Otros indicar)
de los locales
Salida de soportes y
documentos con datos
Ejecución de
procedimientos de
recuperación de datos
nivel medio
b) Acceso a datos a través de redes de comunicaciones
De acuerdo con el artículo 85 del RDLOPD <LA ORGANIZACIÓN> solo permite el acceso a
los datos personales contenidos en ficheros automatizados almacenados en su sistema de
información a través de redes de comunicaciones –sean o no públicas-, siempre que, se
garantice un nivel de seguridad equivalente al correspondiente a los accesos en modo local,
conforme a los criterios establecidos en el presente documento de acuerdo con el artículo 80 del
RDLOPD.
c) Ficheros temporales o copias de trabajo de documentos
De acuerdo con el artículo 87 del RDLOPD <LA ORGANIZACIÓN> solo permite la creación
de ficheros temporales o generación de copias de documentos tanto en ficheros automatizados
como no automatizados, exclusivamente para la realización de trabajos temporales o auxiliares
siempre que se cumplan las siguientes condiciones:
✓ Se adopte el nivel de seguridad que les corresponda conforme a los criterios establecidos en
el artículo 81 del RDLOPD.
✓
Todo fichero temporal o copia de trabajo así creado, sea borrado o destruido una vez que haya
dejado de ser necesario para los fines que motivaron su creación.
d)
Régimen de trabajo fuera de los locales del responsable del fichero o encargado del
tratamiento o uso de dispositivos portátiles
De acuerdo con el artículo 86 del RDLOPD <LA ORGANIZACIÓN> solo permite el
almacenamiento de datos de carácter personal en dispositivos portátiles o su tratamiento fuera
de los locales de <LA ORGANIZACIÓN> o del encargado del tratamiento –tanto en ficheros
automatizados como no automatizados– cuando previamente exista una autorización escrita de
<LA ORGANIZACIÓN> en tal sentido y siempre que se garantice el nivel de seguridad
correspondiente al tipo de fichero tratado.
La autorización a la que se refiere el párrafo anterior, tendrá que constar en el presente
documento de seguridad y podrá establecerse para un usuario o para un perfil de usuarios y
determinando un periodo de validez para la misma.
En el ANEXO VI “Autorización para el almacenamiento de datos personales en dispositivos
portátiles o su tratamiento fuera de los locales de <LA ORGANIZACIÓN> o del encargado del
tratamiento” del presente documento de seguridad, se incluye una relación de las autorizaciones
descritas.
e) Contratos con terceros
De acuerdo con el artículo 12 de la LOPD, así como los artículos 20, 21, 22, 82 y 83 del
RDLOPD <LA ORGANIZACIÓN> solo permite la contratación de servicios a terceros, cuando
previamente se haya analizado el impacto que dicha contratación puede tener en materia de
protección de datos y a tales efectos:
✓ Si el servicio conlleva el acceso a datos de carácter personal tanto en ficheros automatizados
como no automatizados, <LA ORGANIZACIÓN> deberá suscribir un contrato de acceso a
datos de acuerdo con el artículo 12 de la LOPD y concordantes del RDLOPD. En estos casos,
en el presente documento de seguridad se hará constar la siguiente información:
 Si la prestación se efectúa en los locales de <LA ORGANIZACIÓN> con sus soportes,
recursos y sistema de información, en cuyo caso <LA ORGANIZACIÓN> debe
garantizar que el personal del encargado del tratamiento se compromete al cumplimiento
de las medidas de seguridad previstas en el presente documento.
 Si la prestación se efectúa mediante acceso remoto con prohibición del encargado de
incorporar los datos a sistemas o soportes distintos de los de <LA
ORGANIZACIÓN>, en cuyo caso <LA ORGANIZACIÓN> debe garantizar que el
personal del encargado del tratamiento, se compromete al cumplimiento de las
medidas de seguridad previstas en el presente documento.
 Si la prestación se efectúa en los locales del encargado (ajenos a los de <LA
ORGANIZACIÓN>, en cuyo caso, en el contrato se exigirá al encargado que garantice la
elaboración de un documento de seguridad en los términos exigidos por el artículo 88 del
RDLOPD o completar el que ya hubiera elaborado, en su caso, identificando el fichero o
tratamiento y a <LA ORGANIZACIÓN> como responsable del mismo e incorporando
las medidas de seguridad a implantar en relación con dicho tratamiento.
✓ Si el servicio no conlleva el acceso a datos de carácter personal, pero éstos pueden ser
conocidos incidental o accidentalmente con motivo de la prestación del servicio, <LA
ORGANIZACIÓN> deberá suscribir un contrato de confidencialidad de acuerdo con el
artículo 83 del RDLOPD.
En el ANEXO VII “Contratos con terceros”, se incluye una relación de los contratos suscritos
por <LA ORGANIZACIÓN> con terceros tanto de acceso a datos en ficheros automatizados y
no automatizados, como de confidencialidad así como una descripción de las condiciones en
que se efectúa el tratamiento de datos para el primer caso.
(Completar tabla de CAD e incluir en el anexo correspondiente)
CAD
Fichero
Razón
social
ET48
Nº CAD y
servicio
Nivel
seguridad
Autorizaciones
emitidas
Forma
acceso
Fecha
inicio
Fecha
fin
Destino
de los
datos
Subcontratista
(Completar tabla de subcontrataciones e incluir en el anexo correspondiente)
CAD subcontrataciones
Fichero
Nº CAD
Encargado del tratamiento
principal
Razón social
subcontratista
Características
subcontratación
f) Funciones y obligaciones del personal
De acuerdo con el artículo 89 del RDLOPD <LA ORGANIZACIÓN> ha adoptado las
siguientes medidas, para que el personal conozca de una forma comprensible las normas de
seguridad tanto en ficheros automatizados como no automatizados, que afecten al desarrollo de
sus funciones, así como las consecuencias en que pudiera incurrir en caso de incumplimiento.
(indicar)
(indicar)
(indicar)
En el ANEXO VIII “Funciones y obligaciones del personal” se describen las funciones y
obligaciones de usuarios y perfiles de usuario con acceso a datos personales y sistemas de
tratamiento, así como las funciones de control o autorizaciones delegadas por <LA
ORGANIZACIÓN> en personal cualificado.
Asimismo, en el ANEXO IX “Normas y políticas de seguridad” se describen las normas de
seguridad que el personal de <LA ORGANIZACIÓN> usuario de datos personales y sistemas
de tratamiento –tanto en ficheros automatizados como no automatizados– debe cumplir en el
ejercicio de sus funciones.
En el ANEXO X “Relación de usuarios del sistema de información y tratamiento de datos” se
incluye la relación de usuarios con acceso autorizado a cada sistema de información y
tratamiento de datos así como el tipo de acceso autorizado para cada uno de ellos tanto en
ficheros automatizados como no automatizados.
(Completar tabla de relación de usuarios del sistema de información y tratamiento de datos e
incluir en el anexo correspondiente)
Usuarios ficheros automatizados
FICHERO (Indicar nombre)
Datos usuarios
Permisos autorizados a los usuarios en relación con los datos personales
Inclusión de datos
personales en el
sistema
Usuario 1
Consulta de
datos
personales
Modificación
de datos
personales
Exclusión de
datos personales
del sistema49
Bloqueo de
datos
personales
Supresión de
datos
personales
Usuario 2
Usuario 3
(Otros indicar)
Usuarios ficheros no automatizados
FICHERO (Indicar nombre)
Datos usuarios
Permisos autorizados a los usuarios en relación con los datos personales
Inclusión de datos
personales en el
sistema
Consulta de
datos
personales
Modificación
de datos
personales
Exclusión de
datos personales
del sistema49
Bloqueo de
datos
personales
Supresión de
datos
personales
Usuario 1
Usuario 2
Usuario 3
(Otros indicar)
Usuarios
ficheros no
automatizad
os
Usuarios
ficheros no
automatizad
os
Asimismo, de acuerdo con el artículo 10 del RDLOPD todo el personal de <LA
ORGANIZACIÓN> así como el personal externo de terceros contratistas, suscriben el siguiente
compromiso de confidencialidad con <LA ORGANIZACIÓN>:
DATOS DE
DATOS DE <EL TRABAJADOR>
<LA ORGANIZACIÓN>
COMPROMISO DE CONFIDENCIALIDAD
Primero.– OBJETO: En virtud de la prestación de servicios de carácter laboral que <EL
TRABAJADOR> efectuará para <LA ORGANIZACIÓN>, <EL TRABAJADOR> puede tener
acceso a instalaciones, dependencias, recursos, sistemas, documentos en soporte papel,
documentos electrónicos, soportes informáticos, electrónicos y telemáticos susceptibles de
contener información considerada confidencial, titularidad tanto de <LA ORGANIZACIÓN>
como de otros terceros vinculados a ella a través de distintas relaciones jurídicas.
Es por ello que de acuerdo con el artículo 5 del Real Decreto Legislativo 1/1995, de 24 de
marzo, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores <EL
TRABAJADOR> viene obligado expresamente a cumplir con las obligaciones concretas de su
puesto de trabajo, de conformidad a las reglas de la buena fe y diligencia. En virtud de lo
anterior, <EL TRABAJADOR> declara mediante el presente documento, que asume su
compromiso de cumplir y respetar el deber de secreto y sigilo profesional, respecto de cualquier
información confidencial que pueda conocer, con motivo de la prestación de servicios y
ejecución de su contrato laboral.
A efectos de lo anterior <LA ORGANIZACIÓN> pone en conocimiento de <EL
TRABAJADOR> que por “información confidencial” se entenderá toda aquella información,
incluyendo datos de carácter personal relativos a personas físicas, que en cualquier momento
(pasado, presente y/o futuro) y con ocasión de los servicios prestados por <EL
TRABAJADOR>, <LA ORGANIZACIÓN> facilite, entregue o, de cualquier forma (verbal,
escrita, visual u otras), y bajo cualquier tipo de soporte o canal (papel, electrónico, telemático,
soportes informáticos, mensajes de correo electrónico u otros documentos o soportes), ponga a
disposición de <EL TRABAJADOR> y que, en general, y en los más amplios términos,
concierna, afecte o se refiera directa, indirecta, mediata o inmediatamente, ya a <LA
ORGANIZACIÓN>, ya a los terceros (personas físicas o jurídicas) con quienes se mantenga
cualquier tipo de vinculación, o, sin mantenerla actualmente, pueda existir ésta en un futuro.
Segundo.– OBLIGACIONES: En cumplimiento del objeto del presente documento, <EL
TRABAJADOR> se compromete a mantener bajo el más estricto secreto profesional toda la
información confidencial que pueda llegar a su conocimiento como consecuencia del
desempeño de sus funciones, comprometiéndose el trabajador a no divulgarla, publicarla,
cederla, revelarla ni de otra forma, directa o indirecta, ponerla a disposición de terceros, ni total
n i
p a r c i a l m e n t e ,
y
a
c u m p l i r
e s t a
obligación incluso con sus propios familiares u otros miembros de <LA ORGANIZACIÓN>
que no estén autorizados a acceder a la citada información, en su encargo profesional o por
razón del puesto que ocupan.
Asimismo, declara conocer y se compromete a respetar y cumplir la normativa y medidas de
seguridad implementadas por <LA ORGANIZACIÓN> a fin de garantizar la seguridad y
protección de la información confidencial.
Tercero.– VIGENCIA DEL DEBER DE SIGILO PROFESIONAL: <EL TRABAJADOR>
garantiza que, tras la terminación de la relación laboral cualquiera que sea su causa, mantendrá
vigente su deber de sigilo y secreto profesional respecto de la información confidencial a que
haya tenido acceso durante el desempeño de sus funciones, durante la vigencia de la relación
laboral, y devolverá inmediatamente a <LA ORGANIZACIÓN> cualquier soporte o documento
en el que conste información confidencial que por cualquier causa obrare en su poder, o la
destruirá siguiendo los procedimientos de seguridad para el borrado de información establecidos
por <LA ORGANIZACIÓN>.
Cuarto.– SANCIONES: <EL TRABAJADOR> declara conocer que las faltas por los
trabajadores al servicio de <LA ORGANIZACIÓN> reguladas en este compromiso de
confidencialidad, se clasificarán atendiendo a su importancia, reincidencia e intención, en leves,
graves y muy graves, de conformidad con lo dispuesto en el Convenio Colectivo de aplicación y
en las normas vigentes del ordenamiento jurídico laboral. En consecuencia, las sanciones que
<LA ORGANIZACIÓN> podrá aplicar, según la gravedad y circunstancias de las faltas
cometidas, serán las establecidas en la legislación citada51.
Quinto.– PROTECCIÓN DE DATOS: De conformidad con la Ley 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), <LA
ORGANIZACIÓN> con domicilio social en ___________ (indicar) informa a <EL
TRABAJADOR> de que los datos de carácter personal derivados de la suscripción de este
documento, así como los generados en virtud del objeto del mismo serán tratados con la
finalidad de llevar a cabo un control de cumplimiento de su compromiso de confidencialidad
respecto de toda la información reservada y confidencial que reciba durante la ejecución de la
relación laboral. Dicho tratamiento tiene carácter obligatorio y resulta imprescindible a los fines
indicados. Asimismo <LA ORGANIZACIÓN> informa al TRABAJADOR de que, en cualquier
momento puede ejercitar los derechos de acceso, rectificación,cancelación y oposición
dirigiéndose por escrito a la siguiente dirección ___________ (indicar medios establecidos por la
organización de acuerdo con las posibilidades determinadas en la LOPD y su reglamento de
desarrollo), o aquella que le sustituya en el Registro General de Protección de Datos.
Declaro el entendimiento del presente documento, manifiesto mi conformidad con su contenido y acepto
el cumplimiento de todas las normas que en el mismo se proponen y/o adjuntan, en ___________ a
___________ de ___________ de ___________.
Firmado por <EL TRABAJADOR>
Don/Dña ___________
g) Identificación y autenticación
De acuerdo con los artículos 93 (nivel básico) y 98 (nivel medio) del RDLOPD en relación con
los ficheros automatizados <LA ORGANIZACIÓN> dispone de un sistema ___________
(indicar) regulado por normativas para permitir el acceso a los ficheros y tratamientos
automatizados mediante identificación y autenticación de los usuarios con los datos personales.
A tales efectos, la identificación de los usuarios se realiza de forma inequívoca y personalizada,
con verificación de la autorización de que disponen.
La autenticación se realiza mediante contraseñas, y el procedimiento de asignación, distribución
y almacenamiento de contraseñas está descrito en el ANEXO XI “Gestión de contraseñas”. En
todo caso, las contraseñas se almacenan confidencialmente y los usuarios las deben modificar
con la siguiente periodicidad ___________ (indicar), en ningún caso superior a un año.
Para los ficheros y tratamientos de nivel medio y alto, <LA ORGANIZACIÓN> dispone de un
sistema para limitar la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de
información.
h) Control de acceso
En cumplimiento de los artículos 91 (nivel básico), 99 (nivel medio), 103 (nivel alto) para
ficheros automatizados y 113 (nivel alto) del RDLOPD, para ficheros no automatizados del
RDLOPD <LA ORGANIZACIÓN> ha establecido las siguientes normas:
Tanto el personal de <LA ORGANIZACIÓN> como el subcontratado temporalmente sólo
accede a aquellos datos y recursos que precisa para el desarrollo de sus funciones a efectos de
lo cual <LA ORGANIZACIÓN> ha establecido en relación con todos los ficheros y
tratamientos –tanto automatizados como no automatizados– almacenados en sus sistemas de
tratamiento, los siguientes mecanismos para evitar que un usuario pueda acceder a recursos
con derechos distintos de los autorizados:
✓ Cualquier usuario debe solicitar el acceso a los datos y recursos a ___________ (indicar).
Exclusivamente ___________ (indicar) está autorizado para conceder, alterar o anular el acceso
sobre los datos y los recursos, conforme a los criterios establecidos por <LA ORGANIZACIÓN> a
través del procedimiento establecido en el ANEXO XIII “Control de acceso” adjunto al presente
documento de seguridad.
✓ Periódicamente <LA ORGANIZACIÓN> realiza los siguientes controles, para verificar el
cumplimiento del procedimiento y las normas de acceso a los datos y recursos de tratamiento.
..........................................................................................................................................................
.....................................................................................................
✓ En el acceso a los datos contenidos en ficheros y tratamientos de nivel medio y alto,
exclusivamente el personal autorizado en el documento de seguridad tiene acceso a los lugares
donde se hallan instalados los equipos físicos, que dan soporte a los sistemas de información. El
procedimiento establecido al efecto se encuentra en el ANEXO XIII “Control de acceso”,
adjunto al presente documento de seguridad.
✓ En el acceso automatizado a los datos contenidos en ficheros y tratamientos de nivel alto, el
sistema registra por cada acceso la identificación del usuario, la fecha y hora en que se realizó,
el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. Si el acceso fue
autorizado, se almacena también la información que permite identificar el registro accedido.
Dicho mecanismo de control está bajo control del responsable de seguridad, quien tiene
prohibida la desactivación del mismo. Los datos derivados del control se conservan por <LA
ORGANIZACIÓN> durante un periodo de, al menos, dos años. Asimismo, el responsable de
seguridad revisa la información de control registrada al menos una vez al mes y elabora un
informe que se adjunta como ANEXO XII “Informe mensual del registro de accesos” de este
documento de seguridad52.
En relación con los ficheros no automatizados, el acceso a la documentación que contiene datos
de nivel alto está limitado exclusivamente al personal autorizado en el ANEXO X. A tales
efectos, <LA ORGANIZACIÓN> ha establecido un procedimiento descrito en el ANEXO XIII
“Control de acceso” adjunto al presente documento para identificar:
✓ Los accesos realizados en el caso de documentos que puedan ser utilizados por múltiples
usuarios.
✓ El acceso y registro de personas no autorizadas.
i) Gestión y distribución de soportes y documentos
<LA ORGANIZACIÓN> dispone de un procedimiento de gestión y distribución de soportes y
documentos adecuado a los requerimientos establecidos tanto para ficheros automatizados
como no automatizados, en los artículos 92, 97 y 101 del RDLOPD para los ficheros y
tratamientos automatizados de nivel básico, medio y alto respectivamente y 114 del RDLOPD
para ficheros de nivel alto no automatizado.
En particular dicho procedimiento exige, de acuerdo con lo establecido en el RDLOPD para
cada nivel de seguridad (i) la identificación de soportes y documentos que contienen datos
personales, (ii) su etiquetado, (iii) su inventariado, (iv) su acceso restringido al personal
autorizado en el presente documento de seguridad, (v) la creación y uso de un registro de
entrada y salida de soportes, (vi) el traslado de documentación adoptando medidas para
evitar la sustracción acceso indebido y pérdida durante su transporte y, (vii) las condiciones
para la destrucción o borrado de documentos y soportes de forma que se evite el acceso a la
información contenida en el mismo o su recuperación posterior.
Para el nivel medio y alto de seguridad, la entrada de soportes está registrada con indicación
del tipo de documento o soporte, fecha y hora, emisor, número de documentos o soportes
incluidos en el envío, tipo de información que contiene, forma de envío y persona autorizada
responsable de la recepción. Asimismo, la salida de soportes estará registrada con indicación
del tipo de documento o soporte enviado, fecha y hora, el destinatario, número de documentos
o soportes incluidos en el envío, tipo de información que contiene, forma de envío y persona
autorizada responsable de la entrega.
Para los ficheros de nivel alto, el procedimiento prevé la distribución de los soportes cifrando
los datos personales que contienen o utilizando otro mecanismo que garantizara que dicha
información no es accesible o manipulada durante su transporte, y el cifrado de los datos
contenidos en los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones
que están bajo el control de <LA ORGANIZACIÓN>.
Siempre que se procede al traslado físico de la documentación contenida en un fichero no
automatizado, <LA ORGANIZACIÓN> adopta medidas dirigidas a impedir el acceso o
manipulación de la información objeto de traslado.
(Completar tabla de registro de entrada y salida de soportes e incluir en el anexo
correspondiente)
REGISTRO DE ENTRADA Y SALIDA DE SOPORTES
Registro de entrada
Tipo de
documento
o soporte
Fecha
Hora
Emisor
Nº documentos o
soportes
enviados
Tipo de
información
Forma envío
Responsablerece
pción
Forma envío
Responsableentr
ega
Registro de salida
Tipo de
documento
o soporte
Fecha
Hora
Destinatario
Nº documentos o
soportes
enviados
Tipo de
información
En el ANEXO XIV “Procedimiento de gestión y distribución de soportes y documentos” se
describe el procedimiento que da cumplimiento a todo lo establecido anteriormente.
Asimismo, la salida de soportes y documentos que contengan datos de carácter personal,
incluidos los comprendidos y/o anejos a un correo electrónico fuera de los locales bajo el
control de <LA ORGANIZACIÓN> está prohibida salvo que previamente <LA
ORGANIZACIÓN> haya emitido una autorización expresa al efecto.
En el ANEXO XV “Salida de soportes y documentos con datos personales” se incluye una
relación de las autorizaciones emitidas por <LA ORGANIZACIÓN> para permitir la salida de
soportes y documentos con datos personales tanto para ficheros automatizados como no
automatizados.
j) Registro de incidencias
<LA ORGANIZACIÓN> dispone de un procedimiento de notificación y gestión de las
incidencias que afecten a los datos de carácter personal contenidos tanto en ficheros
automatizados como no automatizados, así como un registro adaptado a los requerimientos de
los artículos 90 (ficheros y tratamientos de nivel básico) y 100 (ficheros y tratamientos de nivel
medio) del RDLOPD.
En particular el procedimiento de notificación y gestión de establecido por <LA
ORGANIZACIÓN>, deja constancia del (i) el tipo de incidencia, (ii) el momento en que se ha
producido, o en su caso, detectado, (iii) la persona que realiza la notificación, (iv) a quién se le
comunica, (v) los efectos que se hubieran derivado de la misma y, (vi) las medidas correctoras
aplicadas. En relación con los ficheros y tratamientos de nivel medio, el registro permite además
la consignación de, (i) los procedimientos realizados de recuperación de los datos, (ii) con
indicación de la persona que ejecutó el proceso, (iii) los datos restaurados y, en su caso, (iv) qué
datos ha sido necesario grabar manualmente en el proceso de recuperación
En el ANEXO XVI “Gestión de incidencias” se describe el procedimiento seguido por <LA
ORGANIZACIÓN> para la gestión de incidencias.
(Completar tabla de registro de incidencias en el anexo correspondiente)
REGISTRO DE INCIDENCIAS
Nº Incidencia:
Fecha/hora:
Persona que notifica:
Departamento:
Dirigido a:
Tipo de incidencia:
Observaciones:
Efectos derivados:
Medidas correctoras aplicadas:
SÓLO PARA DATOS DE NIVEL MEDIO:
Procedimiento de recuperación de datos: si
no
Persona que ejecutó el proceso de recuperación de datos:
Datos que ha sido necesario grabar manualmente:
k) Copias de respaldo y recuperación
<LA ORGANIZACIÓN> dispone de un procedimiento de elaboración de copias de respaldo y
recuperación de datos en relación con los ficheros y tratamientos automatizados adaptado a los
requerimientos de los artículos 94 (ficheros y tratamientos de nivel básico), 100.2 (ficheros y
tratamientos de nivel medio) y 102 (ficheros y tratamientos de nivel alto).
En particular dicho procedimiento prevé, (i) la realización semanal como mínimo de copias de
respaldo, salvo que en dicho período no se hubiera producido ninguna actualización de los datos,
(ii) procedimientos para la recuperación de los datos que garanticen en todo momento su
reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o
destrucción, (iii) la obligación de anotar en el documento de seguridad la necesidad de grabar
manualmente los datos en el caso en que la pérdida o destrucción afectase a ficheros o
tratamientos parcialmente automatizados, (iv) la verificación cada seis meses de la correcta
definición, funcionamiento y aplicación de los procedimientos de realización de copias de
respaldo y de recuperación de los datos y la prohibición de realizar pruebas anteriores a la
implantación o modificación de los sistemas de información con datos reales, salvo que se asegure
el nivel de seguridad correspondiente al tratamiento realizado, se anote su realización en el
documento de seguridad y se haya realizado previamente una copia de seguridad.
Para el caso de datos de nivel medio, el procedimiento instaurado por <LA ORGANIZACIÓN>
solo permite ejecutar procedimientos de recuperación de datos personales, cuando previamente
haya sido emitida una autorización por persona suficientemente apoderada por <LA
ORGANIZACIÓN>. En todo caso, esta autorización siempre será adjunta al presente
documento de seguridad como ANEXO XVII del mismo.
Para el caso de los datos de nivel alto, el procedimiento prevé la conservación de una copia de
respaldo de los datos y de los procedimientos de recuperación de los mismos, en un lugar
diferente de aquél en que se encuentren los equipos informáticos que los tratan garantizando las
medidas de seguridad exigidas en el RDLOPD, o utilizando elementos que garanticen la
integridad y recuperación de la información, de forma que sea posible su recuperación.
En el ANEXO XVIII “Copias de respaldo y recuperación de datos” se describe el procedimiento
seguido por <LA ORGANIZACIÓN> para la realización de copias de respaldo y recuperación
de datos.
l) Responsable de seguridad
Aunque la obligación del nombramiento de responsable de seguridad solo es exigida por el
RDLOPD para los ficheros y tratamientos de nivel medio y alto, <LA ORGANIZACIÓN> de
acuerdo con los artículos 95 y 109 del RDLOPD ha nombrado ___________ (indicar si uno o
varios) responsable/s de seguridad que se encarga/n de coordinar y controlar las medidas
definidas en el documento de seguridad e instauradas en <LA ORGANIZACIÓN> para todos
los ficheros y tratamientos automatizados y no automatizados, cualquiera que sea su nivel de
seguridad. Además, en relación con los ficheros y tratamientos de nivel medio y alto, el/los
responsable/s de seguridad ejecuta/n las siguientes funciones:
✓ Elabora/n el informe de conclusiones sobre la auditoría de verificación del cumplimiento del
título VIII del RDLOPD, y lo eleva a la dirección de <LA ORGANIZACIÓN> para que ésta
adopte las medidas correctoras adecuadas.
✓ Elabora/n el informe de accesos derivado del artículo 103 del RDLOPD.
En ningún caso esta designación supone una exoneración de la responsabilidad que corresponde
a <LA ORGANIZACIÓN>. En el ANEXO XIX “Responsable de seguridad” se adjunta el
nombramiento del responsable de seguridad y el documento por el cual asume sus funciones
expresamente.
(Completar nombramiento e incluir en el anexo correspondiente)
DATOS DE <EL TRABAJADOR53>
DATOS DE
<LA ORGANIZACIÓN>
NOMBRAMIENTO DE RESPONSABLE DE SEGURIDAD
En cumplimiento de la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter
Personal (en adelante LOPD) y del Real Decreto 1720/2007 por el que se aprueba el Reglamento de
desarrollo de la LOPD (en adelante también RDLOPD) <LA ORGANIZACIÓN>, mediante el presente
documento procede a la designación del RESPONSABLE DE SEGURIDAD, sin que en ningún caso
esta designación suponga una delegación de la responsabilidad que corresponde a ésta en cuanto
responsable del tratamiento de datos personales, de acuerdo con el citado Reglamento y le atribuye las
siguientes funciones:
✓ Coordinar y controlar las medidas definidas en el documento de seguridad de <LA
ORGANIZACIÓN>.
✓ Velar porque todos los empleados de la Organización conozcan las medidas de seguridad que les
afecte así como elaborar los planes de formación anuales a tales efectos.
✓ Velar por la realización de la auditoría de seguridad de datos cada dos años, bien con carácter interno
o externo, o cuando se produzcan modificaciones sustanciales en el sistema de información que puedan
repercutir en la seguridad de los datos personales.
✓ Analizar los informes de auditoría que en su caso <LA ORGANIZACIÓN> realice o encargue
realizar a terceros con relación a las medidas de seguridad de datos personales y elaborar un informe de
conclusiones.
✓ Verificar el correcto funcionamiento de los registros de accesos a datos personales especialmente
protegidos, revisar periódicamente la información de control registrada y elaborar un informe de las
revisiones realizadas y los problemas detectados al menos una vez al mes.
✓ Impedir bajo cualquier circunstancia la desactivación de los mecanismos para la verificación y control
de la creación y funcionamiento de las medidas de seguridad implementadas por <LA ORGANIZACIÓN>
así como en particular del registro de accesos a datos especialmente protegidos.
✓ Proponer las medidas de seguridad, técnicas, organizativas, físicas, de formación, de control y de
auditoría que estime oportuno y necesario en cumplimiento de la legislación vigente sobre protección de
datos, para su aprobación por <LA ORGANIZACIÓN>.
✓ (Indicar otras)
Y cualesquiera otras funciones o tareas que expresa o tácitamente establezca la legislación vigente en la
materia, o en su caso <LA ORGANIZACIÓN> designe expresamente.
Este nombramiento y los derechos y obligaciones que se derivan del mismo tendrán plena validez y
efectos desde el momento de la firma del presente documento por las partes, en tanto no sea
revocado por <LA ORGANIZACIÓN>, ni el responsable de seguridad manifieste su desistimiento o
renuncia al cargo y se entenderá aplicable respecto de todos los tratamientos y/o ficheros de carácter
personal, de los que <LA ORGANIZACIÓN> es responsable y/o encargada del tratamiento.
En cumplimiento de la LOPD <LA ORGANIZACIÓN> le informa que sus datos de carácter personal
vinculados a su condición de responsable de seguridad quedarán almacenados en un tratamiento del que
es responsable <LA ORGANIZACIÓN>, con el fin de llevar a cabo la gestión del cargo, elaborar la
documentación y medidas vinculadas al mismo, y dar cumplimiento a todas las obligaciones que
establece el RDLOPD a tales efectos. Asimismo, sus datos podrán ser cedidos a las Autoridades de
control en materia de protección de datos, a los auditores, abogados, juzgados y Tribunales cuando
lo soliciten en el ejercicio de sus competencias; y en general, a aquellos terceros a quienes por
motivos de gestión y control de la seguridad sea necesario ceder la información para el
mantenimiento, ejecución y desarrollo de relaciones jurídicas en las que sea parte <LA
ORGANIZACIÓN>. Dicho tratamiento es obligatorio e inherente al ejercicio del cargo de
responsable de seguridad. El TRABAJADOR consiente expresamente el mismo mediante la firma
del presente documento y en todo caso, puede ejercitar sus derechos de acceso, rectificación,
cancelación y oposición en cualquier momento ante <LA ORGANIZACIÓN> en la siguiente
dirección ___________ (indicar).
<EL TRABAJADOR> acepta dicho nombramiento y cargo como responsable de seguridad mediante la
firma del presente documento, y declara el conocimiento y entendimiento de todo lo que en el mismo se
propone. Y para que así conste, se extiende este documento por duplicado ejemplar y a un solo efecto en
el lugar y fecha arriba indicados.
Fdo. Recibí por <LA ORGANIZACIÓN>
Fdo. Acepto Don/Dña ___________
m) Auditoría
En relación con los ficheros y tratamientos tanto automatizados como no automatizados de nivel
medio y alto, <LA ORGANIZACIÓN> realiza al menos cada dos años una auditoría de los
sistemas de información e instalaciones de tratamiento y almacenamiento de datos con el fin de
verificar el cumplimiento del título VIII del RDLOPD de acuerdo con los artículos 96 y 110 del
RDLOPD. Asimismo, con carácter extraordinario <LA ORGANIZACIÓN> realiza dicha
auditoría, tanto en ficheros y tratamientos automatizados como no automatizados siempre que se
realicen modificaciones sustanciales en el sistema de información y de tratamiento de datos que
puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de
verificar, (i) la adaptación, (ii) adecuación y (iii) eficacia de las mismas.
En el ANEXO XX “Informes de auditoría” se adjuntan los informes de auditoría que hasta la
fecha ha realizado <LA ORGANIZACIÓN> así como los informes de conclusiones del
responsable de seguridad, elaborados sobre los citados informes de auditoría.
(Completar tabla de auditorías en el anexo correspondiente)
Fecha auditoría
(Indicar)
Tipo auditoría
(Interna o externa indicar)
Motivo auditoría
(Bienal periódica
Extraordinaria indicar)
Ficheros auditados
(Indicar)
n) Telecomunicaciones
De acuerdo con el artículo 104 del RDLOPD en relación con los ficheros automatizados, <LA
ORGANIZACIÓN> solo permite la transmisión de datos de carácter personal de nivel alto a
través de redes públicas o redes inalámbricas de comunicaciones electrónicas, siempre que se
realice (i) cifrando dichos datos o (ii) bien utilizando cualquier otro mecanismo que garantice
que la información no sea inteligible ni manipulada por terceros.
A tales efectos, se aplicarán los procedimientos determinados en el ANEXO XXI “Transmisión
de datos a través de redes de telecomunicaciones”.
MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTÁNDARES ENCAMINADOS
A GARANTIZAR LOS NIVELES DE SEGURIDAD, DETERMINADOS EN EL RDLOPD,
EXCLUSIVAMENTE PARA FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS
a) Criterios de archivo
De acuerdo con el artículo 106 del RDLOPD el archivo de los soportes o documentos que
contienen datos personales, se realiza por <LA ORGANIZACIÓN> de acuerdo con los criterios
previstos en su respectiva legislación. A tal efecto <LA ORGANIZACIÓN> ha creado un
procedimiento de gestión de archivo que garantiza, (i) la correcta conservación de los
documentos, (ii) la localización y consulta de la información y (iii) posibilita el ejercicio de los
derechos de oposición al tratamiento, acceso, rectificación y cancelación.
En el ANEXO XXII “Procedimiento de gestión de archivo” se describe las normas a seguir en
el archivo de soportes y documentos no automatizados.
b) Dispositivos de almacenamiento
De acuerdo con el artículo 107 del RDLOPD <LA ORGANIZACIÓN> dispone de dispositivos
de almacenamiento de documentos con datos personales que disponen de mecanismos que
obstaculizan su apertura. A tales efectos en el ANEXO XXIII “Dispositivos físicos de
almacenamiento” se describe una relación de dichos dispositivos, así como en su caso cuando
las características físicas de aquéllos no permiten adoptar esta medida, las medidas adoptadas
para impedir el acceso de personas no autorizadas a los datos.
En relación con los ficheros y tratamientos de nivel alto, los dispositivos de archivo descritos en
el ANEXO XXIII (tales como armarios, archivadores u otros elementos de archivo) se
encuentran en áreas en las que el acceso esté protegido con (i) puertas de acceso (ii) dotadas de
sistemas de apertura mediante llave u otro dispositivo equivalente y, (iii) cerradas cuando no es
preciso el acceso a los documentos incluidos en el fichero.
c) Custodia de los soportes y traslado de documentación
De acuerdo con el artículo 108 del RDLOPD <LA ORGANIZACIÓN> dispone de un
procedimiento de custodia de los soportes, que contienen datos personales que se aplica cuando
la documentación con datos de carácter personal no se encuentre archivada en los dispositivos
de almacenamiento establecidos al efecto en el ANEXO XXIII “Dispositivos físicos de
almacenamiento”, por estar en proceso de revisión o tramitación, ya sea previo o posterior a su
archivo.
En el ANEXO XXIV “Custodia de soportes”, se describen las obligaciones de la persona que se
encuentra al cargo de la documentación y soportes, en relación con su (i) custodia y (ii)
prohibición de acceso por persona no autorizada.
Siempre que se procede al traslado físico de la documentación contenida en un fichero no
automatizado, <LA ORGANIZACIÓN> adopta medidas dirigidas a impedir el acceso o
manipulación de la información objeto de traslado. Estas medidas están descritas en el ANEXO
XIV “Procedimiento de gestión y distribución de soportes y documentos”.
d) Copia o reproducción
De acuerdo con el artículo 112 del RDLOPD en relación con los ficheros y tratamientos de nivel
alto, <LA ORGANIZACIÓN> ha establecido los siguientes controles para la generación de
copias o la reproducción de los documentos:
✓ La generación de copias o la reproducción de los documentos, únicamente puede realizarse
bajo el control del personal autorizado en el documento de seguridad.
✓ Deberá procederse a la destrucción de las copias o reproducciones desechadas de forma que
se evite el acceso a la información contenida en las mismas o su recuperación posterior.
En el ANEXO XXV “Personal autorizado para la generación de copias o reproducción de
documentos” se describen las personas que ostentan las funciones de control.
CONTROLES PERIÓDICOS DEL CUMPLIMIENTO DE LAS MEDIDAS
CONTEMPLADAS EN EL DOCUMENTO DE SEGURIDAD
<LA ORGANIZACIÓN> efectúa periódicamente los siguientes controles periódicos para
verificar el cumplimiento de lo dispuesto en el propio documento así como en el RDLOPD:
(Indicar).
(Indicar).
(Indicar).
45
46
47
48
49
50
Eliminar apartado en caso en que <LA ORGANIZACIÓN> no actúe como encargada del tratamiento de ningún tercero.
Eliminar apartado en caso en que <LA ORGANIZACIÓN> no actúe como encargada del tratamiento de ningún tercero.
Mediante apoderamiento notarial.
ET: Encargado del tratamiento.
Por cancelación, oposición, revocación obsolescencia del dato u otras causas.
Por cancelación, oposición, revocación obsolescencia del dato u otras causas.
51
La Organización deberá comprobar las sanciones del Convenio Colectivo al que esté suscrito.
En caso en que concurran las dos circunstancias que a continuación se indicará, no será necesario disponer del registro de accesos
citado debiéndose hacer constar expresamente esta situación en el documento de seguridad:
– Que el responsable del fichero o del tratamiento sea una persona física.
–
Que el responsable del fichero o del tratamiento garantice que únicamente él tiene acceso y trata los datos
personales.
52
53
O del tercero que asuma el cargo.
Documentos relacionados
M . 9
M . 9
Descargar
Anuncio
Anuncio