1. OBJETO DEL DOCUMENTO

 

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación  de estos datos (en adelante RGPD), y por el que se deroga de la Directiva 95/46/CE, tiene por objeto armonizar los tratamientos de datos personales de todos los ciudadanos de los Estados miembros mediante la aplicación de una norma única, que garantice un nivel coherente de protección de las personas en toda la UE, así como evitar divergencias que dificulten la libre circulación de datos dentro del mercado interior.

El RGPD proporciona seguridad jurídica y transparencia a los operadores económicos, incluidas las micro, pequeñas y medianas empresas, y ofrece a las personas físicas de todos los Estados miembros el mismo nivel de derechos y obligaciones protegidos jurídicamente y el mismo nivel de responsabilidades para los responsables y Encargados de Tratamiento, con el fin de garantizar una supervisión coherente del tratamiento de datos personales. Asimismo, proporciona sanciones equivalentes para todos los Estados miembros, así como también la cooperación efectiva de las Autoridades de Control.

El 25 de mayo de 2016 entró en vigor el RGPD, aunque no fue de plena aplicación hasta el 25 de mayo de 2018. La publicación del RGPD conlleva la derogación de la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, a los dos años de la fecha de su entrada en vigor. En este sentido, tal y como se establece en el apartado “Introducción” del presente Sistema de Gestión de la Privacidad, los responsables de tratamiento ubicados en territorio español o aquellos que procedan a realizar tratamientos de datos en territorio español, deberán estar atentos a lo previsto en la Ley Orgánica 15/1999 de 13 de diciembre de Protección de datos de carácter personal, así como a otras regulaciones de ámbito nacional que puedan convivir durante el periodo de 2 años que establece el RGPD.

El objeto del presente documento es recopilar la normativa de ARQUISOLUX CARBUTTI, S.L. referente a las medidas de seguridad de aplicación a las operaciones de tratamiento realizadas por ésta. Las normas que se establecen en el mismo, serán consideradas de obligado cumplimiento para todo el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información.

Debido a la continua evolución y cambios intrínsecos de los sistemas de información y a la propia complejidad de la organización, el documento intentará ser un marco estable y, al mismo tiempo, flexible, en lugar de una descripción estática, por la que se vería sometido a continuas actualizaciones. En esta línea, el documento incluye referencias a otros documentos que conforman la política de seguridad establecida en la organización y, en ocasiones, en lugar de incluir relaciones estáticas se describe el procedimiento para obtener las citadas relaciones en el momento en que sean necesarias.

El presente documento se mantendrá en todo momento actualizado por el Responsable de Protección de Datos y en su defecto, por el Responsable de Privacidad. Debe ser revisado siempre que se produzcan cambios relevantes en el sistema de información, en la organización del mismo o en la organización de ARQUISOLUX CARBUTTI, S.L.

Del mismo modo, las Medidas y Procedimientos, se adecuarán en todo momento, a las disposiciones vigentes en materia de privacidad de los datos de carácter personal, tanto a nivel nacional como a nivel europeo.

2.  ÁMBITO DE APLICACIÓN DE LAS MEDIDAS Y PROCEDIMIENTOS

 

Las distintas Medidas y Procedimientos especificados en este documento, tienen como finalidad proteger el tratamiento de datos personales de toda persona física en el transcurso de su actividad profesional o comercial, para cuando esos datos sean tratados de forma automatizada o manual por parte de un tercero, ya sea en calidad de Responsable o de Encargado de Tratamiento, en el desarrollo de su actividad profesional o laboral dentro del territorio de la Unión Europea.

A su vez, también pretende dotar de seguridad todas aquellas actuaciones relacionadas con el tratamiento de datos personales que lleve a cabo ARQUISOLUX CARBUTTI, S.L.  en el desarrollo de sus actuaciones, para que esta pueda desempeñar sus funciones con normalidad y estando acorde con las normativas vigentes en materia de protección de datos.

Para ello, las Medidas y Procedimientos que se detallan, buscan proteger la privacidad y confidencialidad de todas aquellas categorías de datos susceptibles de tratamiento. Estos datos de carácter personal pueden encontrarse contenidos en ficheros, aplicaciones, herramientas de actualización y consulta, recursos del sistema informático, redes de telecomunicaciones, soportes y equipos informáticos que sean o puedan ser susceptibles de ser gestionados por ARQUISOLUX CARBUTTI, S.L. o sus Encargados de Tratamiento.

ARQUISOLUX CARBUTTI, S.L. ha establecido una relación de recursos protegidos, a los cuales les serán de aplicación todas las Medidas y Procedimientos previstos en este documento.

3.  RECURSOS PROTEGIDOS

 

Los recursos protegidos comprendidos dentro del ámbito de aplicación de este documento lo conforman todos los datos de carácter personal que componen las categorías de datos especificados en la normativa vigente en materia de protección de datos, así como las aplicaciones y sistemas que los tratan, los equipos informáticos que los soportan y los locales donde se ubican.

Según la categoría y/o el tipo de tratamiento específico de los datos de carácter general, estos se clasificarán en las siguientes categorías, a saber:

Categorías especiales de datos personales o datos de nivel alto: son los datos personales que revelan el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, así como los datos genéticos, los datos biométricos que permiten la identificación unívoca de una persona y los datos relativos a la salud o la vida y orientación sexual de la persona.

Categorías de datos relativos a condenas y delitos penales o datos de nivel medio: lo forman todos aquellos datos personales relativos a condenas y a delitos penales, relativos a la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

Categorías de datos que no requieren identificación o datos de nivel básico: conjunto de datos para los cuales un responsable somete a tratamiento datos personales que no requieren la identificación de un interesado por parte del Responsable de Tratamiento.

A su vez, también se hace referencia a un tratamiento específico de datos según el desarrollo legislativo concreto por parte de cada Estado miembro de la UE. Estas categorías de datos que pueden merecer un desarrollo legislativo específico por parte de cada uno de los Estados miembros, son los siguientes:

  • Datos personales y reutilización de la información del sector público
  • Datos personales y libertad de expresión y de información: se refiere a datos personales con fines periodísticos o con fines de expresión académica, artística o literaria
  • Datos relativos a códigos de identificación fiscal de personas físicas
  • Datos personales para fines relacionados con la salud
  • Datos en el ámbito laboral: entendiéndose como tales los datos personales de los trabajadores en el ámbito laboral, en particular a efectos de contratación de personal, ejecución del contrato laboral, incluido el cumplimiento de las obligaciones establecidas por la ley o por el convenio colectivo, gestión, planificación y organización del trabajo, igualdad y diversidad en el lugar de trabajo, salud y seguridad en el trabajo, protección de los bienes de empleados o clientes, así como a efectos del ejercicio y disfrute, individuales o colectivos, de los derechos y prestaciones relacionados con el empleo y a efectos de la extinción de la relación laboral

Por último, existen una serie de excepciones aplicables al tratamiento de datos personales con fines de archivo en interés público o con fines de investigación científica e histórica o estadísticos.

A continuación, se describen los recursos de ARQUISOLUX CARBUTTI, S.L.  que contienen datos de carácter personal y que componen las distintas categorías de datos utilizados por ARQUISOLUX CARBUTTI, S.L. y que son objeto de regulación en las presentes Medidas y Procedimientos.

En la tabla que aparece a continuación, se realiza una descripción de los distintos recursos protegidos utilizados en ARQUISOLUX CARBUTTI, S.L.  clasificándolos según el tipo de dato tratado y según los tipos de datos tratados, estos podrán ser:

  • Datos de categoría especial o de nivel alto: se refieren a datos de una persona física que revelan información relativa a su origen étnico o racial, opinión política, religión, convicción filosófica, afiliación sindical, así como datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a su salud o datos relativos a la vida u orientación sexual
  • Datos de nivel medio: lo forman todos aquellos datos personales relativos a condenas y a delitos penales, relativos a la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos
  • Datos meramente identificativos o de nivel básico: cualquier otro dato que no se encuentre dentro de la categoría especial de datos

A día de hoy, los datos de carácter personal son los siguientes:

Fichero o Recurso protegido Descripción Tipología de datos tratados

Clientes

Gestión de datos de los clientes

Datos meramente identificativos
Proveedores Gestión de datos de los proveedores Datos meramente identificativos
Empleados Gestión de datos de trabajadores Datos meramente identificativos

Recursos humanos

 Gestión de datos de los candidatos a un puesto de trabajo

Datos meramente identificativos

En el Anexo E “Registro de actividades de tratamiento” se recopilan todos los datos personales susceptibles de protección al amparo de la normativa vigente en protección de datos, recogiendo de este modo, el contenido de los ficheros objeto de tratamiento de ARQUISOLUX CARBUTTI, S.L.

4.  IDENTIFICACIÓN DEL RESPONSABLE DE TRATAMIENTO

 

Razón social CIF Dirección fiscal
 

ARQUISOLUX CARBUTTI, S.L.

  

B70192018

 C/ RAXEIRA, 6 BAJO. 15707, SANTIAGO DE COMPOSTELA. A CORUÑA.

 

5.  ESTRUCTURA Y ROLES EN EL ÁMBITO DE LA PRIVACIDAD

 

De acuerdo con todo aquello previsto en la normativa vigente de protección de datos, ARQUISOLUX CARBUTTI, S.L., a fin de organizar y gestionar adecuadamente sus políticas de protección de datos, ha estructurado su organización en base a distintos roles, a los cuales se les atribuyen distintas funciones en materia de privacidad. El esquema jerárquico que se desprende de esta organización es el que sigue a continuación:

Usuarios del Sistema
Responsables administrativos

Responsable de Sistemas

Responsable de Privacidad

Representante de

protección de Datos

5.1  FUNCIONES Y OBLIGACIONES DEL PERSONAL

 

A fin de establecer las funciones atribuidas a cada rol de privacidad, ARQUISOLUX CARBUTTI, S.L. las ha definido tal y como se describe a continuación:

  • Representante de Protección de Datos: se encargará de coordinar las medidas de seguridad definidas en el presente manual de Medidas y Procedimientos. Esta delegación, sin embargo, no exime de la responsabilidad jurídica en lo que refiere a seguridad de los datos, que sigue recayendo sobre el Responsable de

Funciones específicas atribuidas:

  • Asesorar e informar a ARQUISOLUX CARBUTTI, S.L. de las obligaciones que le incumben en materia de privacidad
  • Supervisar el cumplimiento normativo de ARQUISOLUX CARBUTTI, S.L. en el tratamiento de datos personales
  • Supervisar la implementación y aplicación de las políticas de ARQUISOLUX CARBUTTI, S.L. en materia de protección de datos personales
  • Supervisar el análisis de las operaciones de tratamiento de datos personales
  • Supervisar el análisis de las categorías de datos que trata la Organización
  • Supervisar el análisis de los riesgos que puedan derivarse de las operaciones de tratamiento llevadas a cabo por ARQUISOLUX CARBUTTI, S.L.
  • Facilitar el asesoramiento al Responsable de Privacidad en materia de protección de datos
  • Impartir el plan formativo al personal de ARQUISOLUX CARBUTTI, S.L. que realice tratamiento de datos
  • Intermediar entre ARQUISOLUX CARBUTTI, S.L. y la Autoridad de Control
  • Realizar las notificaciones requeridas por la Autoridad de Control
  • Supervisar la realización de la Evaluación de Impacto de protección de datos personales
  • Supervisar la realización de las auditorías correspondientes
  • Responsable de Privacidad o de Seguridad: será la persona designada por el Representante de Protección de Datos o en su defecto, por la dirección de ARQUISOLUX CARBUTTI, S.L. para coordinar todos los aspectos relacionados y definidos en las presentes Medidas y

Funciones específicas atribuidas:

  • Actualizar el manual de Medidas y Procedimientos y adecuación del mismo a la normativa vigente
  • Implantar el plan de formación en materia de protección de datos para los empleados
  • Adoptar las medidas necesarias para que el personal conozca las normas en materia de seguridad que afectan al desarrollo de sus funciones y de las consecuencias que pudieran incurrir en caso de incumplimiento
  • Adoptar las medidas correctoras como consecuencia de las deficiencias detectadas en un proceso de auditoría y aprobadas por la entidad
  • Mantener una relación del personal autorizado para conceder, anular o alterar los derechos de acceso, conforme con los criterios establecidos
  • Mantener una relación del personal con acceso autorizado al lugar donde se almacenan las copias de seguridad
  • Mantener una relación del personal autorizado para acceder a los locales donde se encuentren ubicados los sistemas de información
  • Establecer protocolos de comunicación con el Representante de Protección de Datos por parte de los empleados
  • Adoptar protocolos para el cumplimiento de las medidas de seguridad
  • Realizar protocolos para el diseño de flujos de tratamiento de datos
  • Informar de las consecuencias del incumplimiento del manual de Medidas y Procedimientos
  • Responsable de sistemas: se encargará de administrar o mantener el entorno operativo de las categorías de datos. Se relacionará explícitamente a este personal, ya que por sus tareas desarrolladas pueden utilizar herramientas de administración que permitan el acceso a datos no requeridos para sus tareas, en el caso de no haberse creado este rol dentro de la entidad, sus obligaciones recaerán sobre el Representante de Protección de Estos se relacionan en el Anexo D “Identificación y autenticación”.

Funciones específicas atribuidas:

  • Será el responsable de administrar y mantener el entorno operativo de las categorías de datos
  • Supervisar la correcta instalación del software de acceso a las categorías de datos
  • Supervisar la configuración del sistema informático de la organización, con especial atención a las conexiones de red local, así como cualquier otra conexión externa
  • Establecer mecanismos que impidan el acceso al sistema desde cualquier punto, ya sea local o remoto, no autorizado. Velando por la implantación de tantas medidas de seguridad como las aprobadas en el presente manual de Medidas y Procedimientos
  • Mantener una relación del personal autorizado con acceso al sistema, anotando aquellos requisitos mínimos establecidos en el manual de Medidas y Procedimientos
  • Implantar todas aquellas medidas necesarias, previstas en el manual de Medidas y Procedimientos, en lo que refiere a pruebas con datos reales
  • Comunicar al Responsable de Tratamiento, o en su caso al personal al cual se haya representante, todos aquellos cambios que puedan resultar significativos del entorno del sistema informático
  • Responsables administrativos de los sistemas de tratamiento: se encargarán de administrar y coordinar el cumplimiento de medidas técnicas y organizativas, así como de cualquier obligación legal que se desprenda del tratamiento de los mismos. En el caso de no haberse creado el presente lugar de trabajo, sus obligaciones recaerán sobre el Responsable de Privacidad. Estos se relacionan en el Anexo D “Identificación y autenticación”.
  • Usuarios del sistema: serán aquellos que usualmente utilizan el sistema de información, tanto a nivel de categorías de datos automatizadas como de no automatizadas, estos están referidos en el Anexo D “Identificación y autenticación”.
  • Empleados sin acceso a tratamientos automatizados: personal que desarrolla tareas en ARQUISOLUX CARBUTTI, S.L. , pero que por sus funciones no requiere de acceso al sistema informático.

ARQUISOLUX CARBUTTI, S.L. designará a un Representante de Protección de Datos, atendiendo a sus cualidades profesionales y conocimientos especializados de la legislación y prácticas en materia de protección de datos. En ausencia de este cargo, sus funciones serán asumidas por el Responsable de Privacidad o Seguridad o en su defecto por el representante legal de ARQUISOLUX CARBUTTI, S.L.

En todo caso, la dirección de ARQUISOLUX CARBUTTI, S.L. velará y respaldará que el Representante de Protección de Datos participe adecuada y debidamente en todas las cuestiones relativas a la protección de datos personales, facilitando tanto los recursos necesarios para el desempeño de dichos cometidos, como el acceso a los datos personales y a las operaciones de tratamiento, así como para mantener sus conocimientos especializados.

Los interesados podrán ponerse en contacto con el Representante de Protección de Datos para tratar todas las cuestiones relativas al tratamiento de datos que les corresponda y al ejercicio de los derechos que les confiere la normativa vigente en protección de datos.

En el Anexo A “Nombramiento de los roles de privacidad” se encuentran las copias del nombramiento del Representante de Protección de Datos.

Ciertas de las funciones que se atribuyen al Representante de Protección de Datos, podrán ser delegadas a otros empleados designados al efecto, siempre y cuando se haga constar en el manual de Medidas y Procedimientos a las personas habilitadas para otorgar estas delegaciones, así como aquellas en las que recae dicha delegación. En ningún caso esta designación supone una delegación de la responsabilidad que corresponde al Responsable de Tratamiento.

Adicionalmente, para aquellos empleados que desarrollen roles distintos a los del Representante de Protección de Datos y el Responsable de Privacidad, ARQUISOLUX CARBUTTI, S.L. ha emitido un comunicado interno dónde se establecen las directrices para el tratamiento por parte del personal de los datos que puedan tratar como consecuencia del desarrollo de sus tareas dentro de la empresa.

En este comunicado se recogen las principales obligaciones en materia de seguridad sobre datos de carácter personal, incluyendo la prohibición expresa de instalar cualquier tipo de aplicación en los equipos informáticos y la utilización de los recursos informáticos y no informáticos para otras finalidades diferentes de las estrictamente derivadas del desarrollo de su actividad laboral, así como la obligación de mantener el deber de confidencialidad sobre todos los datos tratados con motivo del desarrollo de su puesto de trabajo y de no comunicar estos datos a ninguna persona o entidad sin la autorización pertinente.

6.   PROTOCOLOS PARA EL CUMPLIMIENTO DE LAS MEDIDAS DE SEGURIDAD

 

6.1  REGISTRO DE LAS CATEGORÍAS DE ACTIVIDADES DE TRATAMIENTO

 

De conformidad con la normativa vigente en materia de protección de datos, ARQUISOLUX CARBUTTI, S.L. y, en su caso su representante llevará un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a continuación:

  • El nombre y los datos de contacto de ARQUISOLUX CARBUTTI, S.L. y, en su caso, del corresponsable, del representante de ARQUISOLUX CARBUTTI, S.L., y de su Representante de Protección de
  • Los fines del tratamiento
  • Una descripción de las categorías de interesados y de las categorías de datos personales
  • Las categorías de destinatarios a quienes se han comunicado o se comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales
  • En su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional
  • Cuando sea posible:
  • Los plazos previstos para la supresión de las diferentes categorías de datos
  • Una descripción general de las medidas técnicas y organizativas de seguridad

Con el objeto de cumplir con esta obligación, ARQUISOLUX CARBUTTI, S.L. ha diseñado e implantado, un registro de las actividades de tratamiento de los datos personales de las que es responsable, el mismo se mantiene actualizado por medio de las actualizaciones previstas en el Anexo E “Registro de actividades de tratamiento” de las presentes Medidas y Procedimientos.

Las actividades de tratamiento de datos, que se relacionan a continuación son responsabilidad de ARQUISOLUX CARBUTTI, S.L., con domicilio en C/ RAXEIRA, 6 BAJO. 15707, SANTIAGO DE COMPOSTELA. A CORUÑA., el responsable legal del cual es LUIGI ALESSANDRO CARBUTTI con DNI X6054502M y teléfono de contacto 647833353.

En el Anexo E “Registro de actividades de tratamiento”, ARQUISOLUX CARBUTTI, S.L. ha documentado y mantiene actualizado el registro de las categorías de actividades de tratamiento de las que es responsable, aportando la siguiente información:

  • Los fines del tratamiento.
  • Descripción de las categorías de los interesados, así como las categorías de datos personales a tratar.
  • Las categorías de destinatarios de los datos.
  • Las transferencias de datos a un tercer país.
  • Los plazos previstos para la supresión de las categorías de datos.
  • Una descripción de las medidas técnica y organizativas de seguridad aplicadas a las categorías de datos.

6.2  NORMATIVA DE SEGURIDAD

 

ARQUISOLUX CARBUTTI, S.L. ha realizado una Evaluación de Impacto y su respectivo mapa de riesgos de sus procedimientos de tratamiento de datos personales. Considerando los resultados de los mismos ha aplicado las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo plasmado en la Evaluación de Impacto. Estas medidas de seguridad consideran, en especial los siguientes aspectos:

  • Se han tenido particularmente en cuenta los riesgos que presentan los tratamientos de datos, de acuerdo con los tratamientos previstos en el Anexo E “Registro de actividades de tratamiento “, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos
  • ARQUISOLUX CARBUTTI, S.L. ha tomado todas aquellas medidas necesarias para garantizar que cualquier persona que actúe bajo su autoridad y tenga acceso a datos personales sólo pueda tratar dichos datos siguiendo las instrucciones previstas en este documento

Para garantizar el nivel de protección adecuado y exigido por la normativa vigente en protección de datos, en ARQUISOLUX CARBUTTI, S.L. serán de aplicación las siguientes normas, procedimientos y estándares relacionados con la seguridad de los datos de los sistemas de ARQUISOLUX CARBUTTI, S.L.

6.2.1  Acceso a datos a través de redes de comunicación

 

Cuando en ARQUISOLUX CARBUTTI, S.L. existan Encargados de Tratamiento que tengan permitido el acceso remoto a sus sistemas de información, estas conexiones deberán permitir la aplicación de las mismas medidas de seguridad, equivalentes a una conexión en área local, medidas descritas en las presentes Medidas y Procedimientos.

En el Anexo B “Acceso a Datos a Través de redes de Comunicación” se relacionan todos los Encargados de Tratamiento que disponen de un acceso remoto autorizado a los sistemas de información de ARQUISOLUX CARBUTTI, S.L.

6.2.2  Categorías especiales de datos

 

ARQUISOLUX CARBUTTI, S.L. no trata categorías especiales de datos a través de redes públicas o redes inalámbricas de comunicaciones electrónicas, con lo cual, no será necesario el cifrado de los datos en este sentido. Asimismo, en el momento en que ARQUISOLUX CARBUTTI, S.L. trate datos personales de carácter especial, cifrará estos datos o bien utilizará cualquier otro mecanismo que garantice que la información no podrá ser inteligible ni manipulada por terceros.

6.2.3  Régimen de trabajo fuera de los locales de ubicación de los sistemas de tratamiento

 

En ARQUISOLUX CARBUTTI, S.L. existen dispositivos portátiles, el tratamiento de datos en sus unidades lógicas han sido autorizados previamente por el Representante de Protección de Datos, estos han sido relacionados y autorizados en el Anexo H “Régimen de Trabajo Fuera de los Locales de Ubicación de los sistemas de tratamiento” y siguiendo la política mencionada a continuación.

Los empleados de ARQUISOLUX CARBUTTI, S.L. que disponen de un dispositivo portátil asignado son informados de la prohibición, salvo excepciones autorizadas de almacenar datos de carácter personal en las unidades lógicas de los dispositivos portátiles y de la obligación de trabajar con datos de carácter personal únicamente sobre las unidades lógicas definidas en el servidor local. Además, les serán de aplicación las medidas de seguridad implementadas en ARQUISOLUX CARBUTTI, S.L. Las cuales quedan definidas en la presente normativa de seguridad.

Será obligatorio que, en los dispositivos portátiles, se habiliten los mismos criterios establecidos sobre identificación, autentificación y control de accesos definidos en la normativa de seguridad, siempre que se conecten a la red local o accedan de manera remota.

En ningún caso se autorizará la grabación de categorías especiales de datos en las unidades lógicas de los dispositivos portátiles.

6.2.4  Identificación y autenticación

 

El procedimiento seguido en ARQUISOLUX CARBUTTI, S.L. para la identificación y autenticación de los usuarios cuando intentan acceder al sistema, la red o las aplicaciones está basado en la combinación de un código de identificación de usuario y una contraseña que el propio sistema informático cotejará en cada intento de acceso a fin de comprobar que dicho acceso sea autorizado o no.

A cada usuario le ha sido asignada una identificación única e intransferible tanto para el acceso al sistema como para el acceso a las aplicaciones.

En ARQUISOLUX CARBUTTI, S.L. existe una política de asignación, distribución y almacenamiento de usuarios y contraseñas que garantiza su confidencialidad e integridad, estableciéndose en esta política también la periodicidad en la que será requerido el cambio de las contraseñas. Esta política se encuentra en el Anexo D “Identificación y Autenticación”.

6.2.5  Control de acceso

 

Los usuarios de ARQUISOLUX CARBUTTI, S.L. recibirán sus derechos de acceso siguiendo la política de mínimo privilegio, asignándoles un único código de identificación. Es decir, únicamente accederán a aquellos datos y recursos informáticos que precisan para el desarrollo de sus funciones.

El Responsable de Privacidad o aquellos empleados que les haya sido atribuida esta labor, determinarán las aplicaciones que serán accesibles para cada usuario.

En el Anexo D “Identificación y Autenticación” se indica el procedimiento a seguir para obtener la relación de usuarios con acceso autorizado a la red y a las aplicaciones, así como los derechos que tienen concedidos.

En el Anexo D “Identificación y Autenticación”, se incluye la relación de usuarios con acceso autorizado a cada sistema de información. Además, se incluye el tipo de acceso autorizado para cada uno de ellos. Esta lista se actualizará por el Responsable de Privacidad o Seguridad, o por el personal al cual le haya sido delgada esta labor, cada vez que un usuario reciba nuevos privilegios o cada vez que se dé de alta un nuevo usuario con acceso a datos de carácter personal.

Cuando para la prestación de un servicio a ARQUISOLUX CARBUTTI, S.L. por parte de personal de terceras empresas, este personal tenga acceso a los recursos de ARQUISOLUX CARBUTTI, S.L., estará sometido a las mismas condiciones y obligaciones de seguridad que el personal propio de ARQUISOLUX CARBUTTI, S.L.

6.2.6  Gestión de soportes

 

En ARQUISOLUX CARBUTTI, S.L. los soportes que contengan datos de carácter personal serán etiquetados permitiendo su identificación. Del mismo modo serán inventariados y almacenados en las instalaciones dónde se ubican los sistemas de información (servidores y equipos de comunicación). Este lugar se considerará de acceso restringido y sólo podrá ser accedido por el personal autorizado por el Responsable de Tratamiento.

Asimismo, en ARQUISOLUX CARBUTTI, S.L. existen diferentes perfiles de empleados. Todos los empleados que requieren del acceso a soportes informáticos que contienen datos de carácter personal, les es autorizada en el momento de la firma del contrato laboral con la compañía. Incluso para el envío y recepción de correos electrónicos con documentos anexos.

De esta forma, se entenderá por autorizado el acceso a soportes a partir del momento que el empleado suscribe el contrato laboral con ARQUISOLUX CARBUTTI, S.L. Esta autorización se entenderá como vigente, siempre que el contrato laboral siga en vigor. En el momento que cese la relación laboral con el empleado se entenderá como extinguida la autorización.

6.2.7  Procedimientos de copias de seguridad y recuperación

 

ARQUISOLUX CARBUTTI, S.L. ha establecido un procedimiento para la realización de copias de respaldo con periodicidad mínima semanal, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.

El mencionado procedimiento para la recuperación de los datos debe garantizar en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.

Únicamente, en el caso de que la pérdida o destrucción, afectase a categorías de datos o tratamientos parcialmente automatizados y siempre que la existencia de documentación permita alcanzar el objetivo al que se refiere el párrafo anterior, se procederá a grabar manualmente los datos.

El procedimiento establece una verificación como mínimo semestral para asegurar la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.

En el Anexo I “Procedimientos de Copias de Seguridad y Recuperación” se detalla la arquitectura del procedimiento de copias de seguridad.

6.2.8  Inventario de aplicaciones informáticas

 

ARQUISOLUX CARBUTTI, S.L. ha elaborado un inventario de aplicaciones informáticas con el fin de poder gestionar e indicar la ubicación de las categorías de datos existentes dentro de los sistemas informáticos.

En el Anexo J “Inventario de aplicaciones informáticas” se encuentra la relación de aplicaciones informáticas utilizadas por ARQUISOLUX CARBUTTI, S.L. Este inventario se actualizará por el Responsable de Privacidad o seguridad, o por el personal al cual le haya sido delgada esta labor en la medida en que se remplacen, suprimen o agreguen aplicaciones informáticas dentro de los sistemas informáticos de gestión de las categorías de datos.

6.2.9  Procedimientos de tratamientos no automatizados

 

Se entiende como tratamiento no automatizado todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales ya sea aquél centralizado, descentralizado, repartido de forma funcional o geográfica. De modo genérico se considerará tratamiento no automatizado a todo documento en el que se encuentren datos de carácter personal en formato no informático (facturas, presupuestos, albaranes, contratos, currículums vitae, etc.).

Serán de aplicación para las categorías de datos no automatizadas, las medidas de seguridad descritas anteriormente para las categorías de datos automatizadas. Adicionalmente en el Anexo M “Operaciones de tratamiento no automatizadas” se describen las medidas de seguridad aplicables únicamente a las operaciones de tratamiento realizadas exclusivamente en soporte papel

6.2.10   Contratos de prestación de servicios

 

ARQUISOLUX CARBUTTI, S.L. ha procedido a la contratación de distintos proveedores de servicios que realizan tratamientos de datos bajo su responsabilidad, ARQUISOLUX CARBUTTI, S.L. ha documentado en el Anexo G “Relación de Encargados de Tratamiento” la relación actualizada de todos aquellos prestadores de servicios, que por los servicios que vienen prestando, disponen de un acceso a datos de carácter personal bajo la responsabilidad

de ARQUISOLUX CARBUTTI, S.L.

De estos deberá constar la siguiente información:

  • Encargado o Responsable de Tratamiento
  • Razón social
  • CIF
  • Fines del tratamiento
  • Categorías de interesados y categorías de datos personales
  • Medidas técnicas y organizativas de

7.  PROTOCOLOS DE COMUNICACIÓN CON EL RPD

 

De acuerdo con los Roles de Privacidad establecidos en el punto 5 de las presentes Medidas y Procedimientos, y con el objeto de establecer un canal fluido de comunicación con el RPD, se ha marcado un procedimiento para ello. En este sentido cualquier persona de la empresa podrá dirigirse al Representante de Protección de Datos para sugerir, comunicar o consultar cualquier cuestión que haga referencia a las Medidas y Procedimientos de seguridad establecidas y que afecten a los datos personales que se quieran proteger en ARQUISOLUX CARBUTTI, S.L.

Dicha comunicación con el RPD será potestativa en el caso de que se tengan sospechas o indicios de que se ha producido una violación o brecha de la seguridad de los datos personales que pueda dar lugar a un alto riesgo para los derechos y libertades de los interesados y que podría ser susceptible de producir alguna de las situaciones siguientes:

  • Problemas de discriminación
  • Usurpación de identidad o fraude
  • Pérdidas económicas
  • Cambio no autorizado de la seudonimización
  • Menoscabo de la reputación
  • Pérdida de confidencialidad de datos sujetos al secreto profesional
  • Cualquier otro perjuicio económico o social significativo

En el caso de producirse una de estas situaciones, se estará además a lo contemplado en el Apartado “Registro y gestión de incidencias, violaciones o brechas de seguridad”.

En el Anexo C “Procedimiento de comunicación con el RPD”, se establece el procedimiento para la comunicación con el Representante de Protección de Datos.