LOPD Clínica Dental Puertollano

Dentista en Puertollano

Ley Orgánica de Protección de Datos

Los ficheros creados para la gestión de ORTHOMAR DENTAL SLP contienen datos de las personas que figuran en los mismos. Por este motivo, en cumplimiento de lo establecido en el Art. 81 del RLOPD, las medidas de seguridad que deben implantarse son las correspondientes a:

- GESTIÓN PACIENTES: NIVEL ALTO

- CONTACTO WEB: NIVEL ALTO

- GESTION LABORAL: NIVEL BÁSICO

- VIDEOVIGILANCIA: NIVEL BÁSICO

- BOLSA DE TRABAJO: NIVEL MEDIO

Los datos de carácter personal recabados únicamente podrán utilizarse para la prestación de los servicios solicitados por el cliente o usuario. En ningún caso, podrán utilizarse dichos datos para otras finalidades. En este sentido queda expresamente prohibida la utilización de los datos recabados para fines comerciales o publicitarios salvo en aquellos casos en que previamente se haya informado y recabado el consentimiento para estos fines. Asimismo, no podrán utilizarse para dichos fines los datos personales de los clientes o usuarios que ya consten en ficheros, sin que previamente se haya procedido a informar y solicitar su consentimiento.

 

CONTENIDO

Para cumplir eficazmente los objetivos enunciados en el Art. 88 del RLOPD, el documento de seguridad de ORTHOMAR DENTAL SLP respeta diligentemente el contenido del Art. 88.3 del mismo Reglamento que dice así:

 

3. El documento deberá contener, como mínimo, los siguientes aspectos:

a. Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.

b. Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento.

c. Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.

d. Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.

e. Procedimiento de notificación, gestión y respuesta ante las incidencias.

f. Procedimiento de notificación, gestión y respuesta ante las incidencias.

g. Las medidas que sea necesario adoptar para el transporte y soporte de documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.

 

En caso de que fueran de aplicación a los ficheros las medidas de seguridad de nivel medio o las de nivel alto, el documento de seguridad deberá contener además:

a. La identificación del responsable de seguridad

b. Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.

 

ÁMBITO DE APLICACIÓN

Este documento ha sido elaborado bajo la responsabilidad de ORTHOMAR DENTAL SLP, quien, como responsable del fichero, se compromete a implantar y actualizar esta Normativa de Seguridad de obligado cumplimiento para todo el personal con acceso a los datos protegidos  o a los sistemas de información que permiten acceso a los mismos.

Todas las personas que tengan acceso a los datos del Fichero, bien a través del sistema informático habilitado para acceder al mismo, o bien a través de cualquier otro medio automatizado de acceso al fichero, se encuentran obligadas por ley a cumplir lo establecido en este documento, y sujetas a las consecuencias que pudieran incurrir en caso de incumplimiento.

En este apartado, se describe el ámbito de aplicación, centrado en las instalaciones y sistemas de información que contienen o tratan datos de carácter personal pertenecientes a ORTHOMAR DENTAL SLP.

Los recursos que, por servir de medio directo o indirecto para acceder al Fichero, deberán ser controlados por esta normativa son:

1. Los centros de tratamiento y locales donde se encuentren ubicados los ficheros o se almacenen los soportes que los contengan, su descripción figura en los Anexos A y C.

2. Los puestos de trabajo, bien locales o remotos, desde los que pueda tener acceso al Fichero. La relación de esos puestos de trabajo esta descrita en el anexo C.

3. Los servidores, si los hubiese, y el entorno de sistema opertaivo y de comunicaciones en el que se encuentra el fichero, que esta descrito en el anexo 3.

4. Los sistemas informáticos, o aplicaciones establecidos para acceder a los datos, descritos en el anexo A.

 

ESTRUCTURA DE LOS FICHEROS CON DATOS DE CARÁCTER PERSONAL
INTRODUCCIÓN

Las medidas de seguridad definidas en este documento abarcan todos los ficheros, aplicaciones y herramientas de actualización y consulta, recursos del sistema operativo, redes de telecomunicaciones, soportes y equipos informáticos, gestionados por ORTHOMAR DENTAL SLP o por cualquier otra entidad con la que haya suscrito un contrato de prestación de servicios, siempre y cuando implique el tratamiento de datos de carácter personal.

Los recursos protegidos son todos los ficheros que pertenecen a ORTHOMAR DENTAL SLP así como las aplicaciones que los utilizan, los equipos informáticos que los contienen y los locales donde estos se ubican.

Los sistemas de información son el conjunto de ficheros automatizados, programas, soportes y equipos empleados para el almacenamiento y tratamiento de datos de carácter personal.

 

OBJETO

En el anexo de "Estructura de ficheros" (Anexo A) se relacionan todos aquellos ficheros de datos de carácter personal, que despues de un trabajo de análisis basado en la aplicación de la Ley, se han detectado o identificado en ORTHOMAR DENTAL SLP como ficheros de nivel:

- GESTIÓN PACIENTES: NIVEL ALTO

- CONTACTO WEB: NIVEL ALTO

- GESTION LABORAL: NIVEL BÁSICO

- VIDEOVIGILANCIA: NIVEL BÁSICO

- BOLSA DE TRABAJO: NIVEL MEDIO

 

LEGISLACIÓN

RLOPD. Título VIII de la medidas de seguridad en el tratamiento de datos de carácter personal.

Artículo 88. El Documento de seguridad.

3. El documento deberá contener, como mínimo, los siguientes aspectos:

d. Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.

Asimismo, en el citado Anexo A, para los datos de carácter personal ubicados en ficheros manuales se describirá el tipo de soportes en los que se almacenan y los criterios de archivo de los mismos.

Artículo 106. Criterios de archivo

El archivo de los soportes o documentos se realizará de acuerdo con los criterios previstos en su respectiva legislación. Estos criterios deberán garantizar la correcta conservación de los documentos, la localización y consulta de la información y posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación. En aquellos casos en los que no exista norma aplicable, el responsable del fichero deberá establecer los criterios y procedimientos de actuación que deban seguirse para el archivo.

 

FUNCIONES Y OBLIGACIONES DEL PERSONAL

INTRODUCCIÓN


El personal afectado por esta normativa se clasifica en dos categorías:

1. Administradores del sistema, encargados de administrar o mantener el entorno operativo del fichero. Este personal deberá estar explícitamente relacionado en el Anexo B " Personal autorizado para acceder a los ficheros", ya que por sus funciones pueden utilizar herramientas de administración que permitan el acceso a los datos protegidos saltándose las barreras de acceso a la aplicación.

2. Usuarios del fichero, o personal que usualmente utiliza el sistema informático de acceso al fichero, y que también debe de estar explícitamente relacionados en el Anexo B "Personal autorizado para acceder a los ficheros".

Además del personal anteriormente citado existirá un Responsable de Seguridad del Fichero cuyas funciones serán las de coordinar controlar las medidas definidas en el documento, sirviendo al mismo tiempo de enlace con el Responsable del Fichero, sin que esto suponga en ningún caso una delegación de la responsabilidad que corresponde a éste último, de acuerdo con RDLOPD.

Respecto a aquellas personas de la propia organización o de empresas ajenas, que por motivo del desempeño de sus trabajos puedan tener acceso a los datos del fichero, aunque esos trabajos no impliquen el tratamiento de los datos o del tratamiento deberá adoptar las medidas oportunas para limitar el acceso a los datos personales, así como notificarles la prohibición de acceso a los mismo y la obligación de secreto a los datos que hubiesen podido conocer con motivo de la prestación del servicio.

Este documento es de obligo cumplimiento para todos ellos. Las funciones y obligaciones del personal están descritas a continuación.

 

INTRODUCCIÓN

El personal afectado por esta normativa se clasifica en dos categorías.
1. Administradores del sistema, encargados de administrar o mantener el entorno operativo del fichero. Este personal deberá estar explícitamente relacionado en el Anexo B " Personal autorizado para acceder a los ficheros", ya que por sus funciones pueden utilizar herramientas de administración que permitan el acceso a los datos saltándose las barreras de la aplicación.
2. Usuarios del fichero, o personal que usualmente utiliza el sistema informático de acceso al fichero, y que también debe de estar explícitamente relacionados en el Anexo B "Personal autorizado para acceder a los ficheros".
Además del personal anteriormente citado existirá un Responsable de Seguridad del Fichero cuyas funciones serán las de coordinar y controlar las medidas definidas en el documento, sirviendo al mismo tiempo de enlace con el Responsable del Fichero, sin que esto suponga en ningún caso una delegación de la responsabilidad que corresponde a éste último, de acuerdo con el RLOPD.
Respecto a aquellas personas de la propia organización o de empresas ajenas, que por motivo del desempeño de sus trabajos puedan tener acceso a los datos del fichero, aunque esos trabajos no impliquen el tratamiento de los datos, como pueden ser trabajadores de la limpieza, administración, vigilancia, etc…, el responsable del Fichero o del tratamiento deberá adoptar las medidas oportunas para limitar el acceso a los datos personales, así como notificarles la prohibición de acceso a los mismos y la obligación de secreto respecto a los datos que hubiesen podido conocer con motivo de la prestación del servicio.
Este documento es de obligado cumplimiento para todos ellos. Las funciones y obligaciones de están descritas a continuación.

 

INTRODUCCIÓN

El presente documento responde a la obligación establecida en el articulo 88 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante RLOPD) aprobado por el RD 1720/2007 de 21 de diciembre, en el que se regulan las medidas de seguridad de los ficheros automatizados y no automatizados que contengan datos de carácter personal en ORTHOMAR DENTAL SLP así como la recopilación de la normativa que hace referencia a las medidas de seguridad de orden técnico y organizativo de obligado cumplimiento por el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información.
El origen de la legislación reguladora de la protección de datos de carácter personal se encuentra recogido en el Art. 18.4 de la Constitución Española, que indica que "la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de los derechos.
Asimismo el Art. 9 de la Ley Orgánica de Protección de datos de Carácter Personal (15/1999) establece que " 1 el responsable del Fichero ,y , en su caso, el encargado del tratamiento, deberán adoptar las medidas de seguridad de los datos de carácter personal y eviten su alteración, perdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya que provengan de la acción humana o del medio9 físico o natural" , siendo considerada infracción grave conforme al ART. 44.3 "Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen".
El Art. 88.1 del RLOPD establece que "El responsable del Fichero o tratamiento elaborará un documento de seguridad que recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información".

 

OBJETIVOS

Los objetivos de este documento son:

1. Establecer los métodos y procedimientos a seguir por parte del personal de ORTHOMAR DENTAL SLP tendentes a conseguir una adecuada protección de los activos de información (concretamente los datos personales>), así como su obtención, tratamiento, transmisión…

2. Prevenir y actuar ante la manipulación de los datos de carácter personal, mal intencionada o no, sin el conocimiento del afectado, o en su caso del Responsable del Fichero.

3. Permitir a los afectados el conocimiento de los derechos que les asisten en todo momento en lo referente a la protección de sus datos personales e íntimos.

4. Garantizar la adecuada respuesta por parte del personal de ORTHOMAR DENTAL SLP en caso de cualquier tipo de incidencia de seguridad.

5. Diseñar el organigrama funcional definiendo a los sujetos afectados por el documento para signar correctamente las responsabilidades extraídas de la ley.

6. Dotar al personal de ORTHOMAR DENTAL SLP de los medios idóneos para la adecuada protección de los datos.

7. Establecer los oportunos procedimientos destinados al cumplimiento del presente Documento de Seguridad, así como facilitar formularios para su mejor y más correcta realización.

 

FUNCIONES Y OBLIGACIONES DEL PERSONAL

Las funciones y obligaciones de cada una de las personas con acceso a los datos de carácter personal y los sistemas de información estarán claramente definidas y documentadas, de acuerdo con lo previsto en el art. 88.3.c del RLOPD.

Artículo 88. Documento de seguridad.

3. El documento deberá contener, como mínimo, los siguientes aspectos:

c. Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.

Todos aquellos usuarios de los sistemas de información de ORTHOMAR DENTAL, SLP, que pasa por el desempeño de su actividad laboral traten y manejen datos de carácter personal, deben estar sensibilizados con la protección y confidencialidad de la citada información.

Artículo 10 LOPD. Deber de secreto.

El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero , en su caso, con el responsable del mismo.

Así, todo el personal de ORTHOMAR DENTAL SLP, tiene la obligación de guardar secreto respecto a la información con datos de carácter personal a la que tenga acceso o trate en el ejercicio de sus funciones, incluso tras la extinción de su contrato laboral y la finalización de sus relaciones con el titular del fichero, o en su caso, con el responsable del mismo.

No se podrán utilizar ni divulgar ni a través de terceras personas o empresas, los datos, documentos, programas y demás información a la que tengan acceso en sus funciones laborales. Esto afecta tanto a soporte material como informático.

Queda prohibido enviar información confidencial de ORTHOMAR DENTAL SLP al exterior en cualquier tipo de soporte, ya sea material o electrónico, o a través de cualquier medio de comunicación, incluyendo el oral o la simple visualización.

Así mismo, ningún colaborador deberá poseer ningún material o información propiedad de ORTHOMAR DENTAL SLP, para usos no propios del desarrollo de sus funciones.

El incumplimiento de esta obligación puede constituir delito de revelación de secretos, previsto en el articulo 197 y siguientes del Código Penal y dará derecho a ORTHOMAR DENTAL SLP a exigir al usuario una indemnización económica.

 

RESPONSABLE DEL FICHERO

Artículo 3 LOPD. Definiciones

d) Responsable del fichero o tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.

Es el responsable del Fichero, en este caso ORTHOMAR DENTAL SLP, el responsable de garantizar la seguridad de los ficheros, y adoptar las medidas a implantar.

 

FUNCIONES ESPECIFICAS

Las funciones especificas del Responsable de Fichero son las siguientes:

Elaborar, implantar y hacer cumplir la normativa a todo el personal mediante el presente documento de seguridad, que deberá mantener actualizado siempre que se produzcan cambios relevantes en la organización o entorno de los ficheros, y deberá adecuar el contenido del mismo a las disposiciones vigentes en materia de seguridad de datos.

Adoptar las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento (Art. 89.2 ROLPD).

El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios (Art. 91.2 ROLPD).

Adoptar las medidas que garantizen la correcta identificación y autenticación de losusuarios (Art. 93.1 ROLPD).

Establecer criterios para que exclusivamente el personal autorizado en el documentode seguridad pueda conceder, alterar o anular el acceso autorizado sobre los recursos (Art. 91.4 ROLPD).

Establecer un mecanismo que permita la identificación de forma inequívoca ypersonalizada de de tofo aquel usuario que intente acceder al sistema de información y la verificacion de que está autorizado (Art. 93.2 RLOPD). Establecer mecanismos para evitar que un usuario pueda acceder a información o recursos con derechos distintos de los autorizados.

Autorizar la entrada y salida de datos externa, cuyo control se realiza mediante elAnexo H "Procedimiento Gestión de Soportes y documentos".

Autorizar expresamente la ejecución de tratamiento de datos de carácter personalfuera de los locales de la ubicación del fichero, garantizando en todo momento el nivel de seguridad correspondiente al tipo de fichero tratado (Art 86.1 ROLPD).

Verificar cada seis meses la definición y correcta aplicación de los procedimiento derealización de copias de respaldo y de recuperación de los datos.

Solicitar toda la documentación para poder proporcionar a los afectados los derechosde acceso, rectificación, cancelación y oposición. Así como atender a los afectados y proceder a su resolución.

Articular los procedimientos que garanticen que se ha comprobado de modo efectivola edad del menor y la autenticidad del consentimiento prestado, en su caso, por los padres, tutores o representantes legales, para poder tratar datos de menores de 14años.

Conservar el soporte en el que conste el cumplimiento del deber de informar a losinteresados. Para el almacenamiento de los soportes se podrá utilizar medios informáticos o telemáticos. Se podrá proceder al escaneado de la documentación en soporte papel, siempre y cuando se garantice que en dicha automatización no ha mediado alteración alguna de los soportes originales.

Establecer los criterios y procedimientos de actuación que deban seguirse para elarchivo de los soportes o documentos, en aquellos casos en los que no exista norma aplicable en su respectiva legislación. (Art. 107 ROLPD).

Autorizar la ejecución de los procedimientos de recuperación de los datos (Art. 100RLOPD).

Designar al responsable o responsables de seguridad, encargados de coordinar ycontrolar las medidas definidas en el documento de seguridad. (Art. 95 LOPD). El formulario para llevar a cabo dicho nombramiento se encuentra en la solapa "Notif y Autorizaciones".

Los informes de auditoría serán analizados por el Responsable de Seguridadcompetente , que elevará las conclusiones al Responsable del fichero para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia Española de Protección de Datos (Art. 96.3 RLOPD).

Adoptar medidas alternativas cuando por las características de los locales de quedispusiera el responsable del fichero, no fuera posible cumplir lo siguiente: Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter personal deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero (Art. 111 ROLPD).

Establecer un mecanismo que limite la posibilidad de intentar reiteradamente elacceso no autorizado al sistema de información (Art 98 ROLPD).

En el caso de que alguna de estas funciones sea delegada en otra persona, se deberá proceder al nombramiento del responsable de las mismas en la notificación "Delegación de funciones del Responsable del Fichero y/o responsable de Seguridad" de la solapa "Notif. y Autorizaciones".

 

RESPONSABLE DE SEGURIDAD

Artículo 5ROLPD. Definiciones

2.I) Responsable de seguridad: persona o personas a las que el responsable del ficheroha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables.

Artículo 88.4 ROLPD. El documento de seguridad.

El documento de seguridad deberá contener además la identificación del responsableo responsables de seguridad.

Artículo 95 ROLPD. Responsable de seguridad.

El responsable del fichero designará uno o varios responsables de seguridadencargados de coordinar y controlar las medidas definidas en el documento de seguridad. Esta designación puede ser única para todos los ficheros o tratamientos de datos de carácter personal o diferenciada según los sistemas de tratamiento utilizados, circunstancia que deberá hacerse constar claramente en el documento de seguridad. En ningún caso esta designación supone una exoneración de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este Reglamento.

 

FUNCIONES ESPECÍFICAS

Las funciones específicas del responsable de seguridad son las siguientes:

1. Analizar los informes de auditoría y elevar las conclusiones al responsable del fichero para que adopte las medidas correctoras. (Art. 96.3 ROLPD).

2. Controlar las modificaciones que se produzcan en la estructura de los sistemas informáticos o en la organización de la entidad, poniendo en conocimiento del Responsable del Fichero la necesidad de actualización del documento.

3. Comunicar al nuevo personal con funciones involucradas en el tratamiento de datos personales las funciones y procedimientos de seguridad que deba aplicar.

4. Estar al corriente en las nuevas exigencias legales que vayan surgiendo en la materia con implicaciones en el documento de seguridad.

5. Elaborar y mantener actualizada la lista del personal con acceso autorizado al sistema informático, con especificación del nivel de acceso que tiene cada uno.

6. Establecer un procedimiento de asignación, distribución y almacenamiento que garantice la confidencialidad e integridad de las contraseñas. Asignarlas con el nivel de acceso necesario para las funciones asignadas a cada usuario.

7. Supervisión de la monitorización y fiscalización de las conductas de los usuarios en el cumplimiento de sus obligaciones.

 

USUARIOS

Los puestos de trabajo estarán bajo la responsabilidad de algún usuario autorizado que garantizará que la información que muestran no pueda ser visible por personas no autorizadas. Esto implica que tanto las pantallas como las impresoras u otro tipo de dispositivos conectados al puesto de trabajo deberán estar físicamente ubicados en lugares que garanticen esa confidencialidad.

Cuando el responsable de un puesto de trabajo lo abandone, bien temporalmente o bien al finalizar su turno de trabajo, deberá dejarlo en un estado que impida la visualización de los datos. La reanudación del trabajo implicara la desactivación de la pantalla protectora con la introducción de la contraseña correspondiente.

En el caso de las impresoras deberá asegurarse de que no se queden documentos impresos en la bandeja de salida que contenga datos protegidos. Si las impresoras son compartidas con otros usuarios no autorizados para acceder a los datos del fichero, los responsables de cada puesto deberá retirar los documentos conforme vaya siendo impresos.

Queda expresamente prohibida la conexión a redes o sistemas exteriores de los puestos de trabajo desde los que se realiza el acceso al fichero. La renovación de esta prohibición será autorizada por el Responsable del Fichero, quedando constancia de esta modificación en el registro de incidencias.

 

FUNCIONES ESPECÍFICAS

Las funciones específicas de los Usuarios son las siguientes:

1. Todos los usuarios deben notificar al Responsable del Fichero el entendimiento de lanormativa y de sus obligaciones en materia de seguridad.

2. También deben notificar al Responsable de Seguridad cualquier incidenciadetectada.

3. Tanto en el desarrollo de la prestación de servicios como una vez extinguida lamisma por cualquier causa los empleados de la empresa deberán mantener estricta confidencialidad y no divulgaran ni utilizarán, ni publicarán, ni comerciarán con la información de datos de carácter personal incorporados a ficheros que contengan datos personales obtenida en función del desempeño de su relación laboral con ORTHOMAR DENTAL SLP. La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos personales será considerado como una falta leve, grave, o muy grave de conformidad con lo previsto en el Art. 44 de la LOPD, lo cual dará lugar a iniciación de actuaciones disciplinarias si procede.

4. Todo el personal deberá acceder a los recursos mediante un identificador y unacontraseña de acceso.

5. La contraseña de acceso debe ser secreta. Cada usuario es responsable de los actosque se realicen con su identificador y contraseña. Ese identificador deberá ser único y personal y deberá ser cambiado periódicamente, sin que transcurra en ningún caso más de un año.

6. Deberán facilitar el derecho de acceso, rectificación y cancelación a los titulares delos datos. Para ello se informará inmediatamente al Responsable del fichero, de Seguridad o Encargado del tratamiento y se recogerá siempre en solicitud escrita.

7. Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para eldesarrollo de sus funciones.

8. Cuando el acceso a la documentación se efectúe por varios usuarios, deberáestablecerse un mecanismo que permita identificar los accesos realizados. Dicho mecanismo quedara establecido en el Anexo K " registro de accesos"

 

RESPUESTA ANTE INCIDENCIAS

INTRODUCCIÓN

Una incidencia es cualquier evento que pueda producirse esporádicamente y que pueda suponer un peligro para la seguridad del fichero, entendida bajo sus tres vertientes de confidencialidad, integridad y disponibilidad de los datos.

El mantener un registro de las incidencias que comprometan la seguridad de un Fichero es una herramienta imprescindible para la prevención de posibles ataques a esa seguridad, así como para persecución de los responsables de los mismos.

Cualquier usuario que tenga conocimiento de una incidencia es responsable de comunicarla al Responsable del Fichero.

El registro de una incidencia de seguridad deberá constar al menos de los siguientes datos: tipo de incidencia, fecha y hora en que se produjo, persona que realiza la notificación, persona a quien se comunica, efectos que puede producir, descripción detallada de la misma. El procedimiento está descrito en el Anexo D "Procedimiento de respuesta de incidencias".

 

FUNDAMENTACIÓN JURÍDICA

De acuerdo con la normativa vigente y, en particular, las disposiciones del RLOPD, toda entidad que realice el tratamiento de datos personales, habrá de instaurar un procedimiento de notificación, respuesta y registro de las incidencias que afecten a los mismos. Así lo dispone el Art. 88.3.e, que requiere la plasmación de dichos procedimientos como contenido obligatorio del documento de seguridad.

Capítulo III : Medidas de seguridad aplicables a los ficheros y tratamientosautomatizados

Sección 1ª. Medidas de seguridad de nivel Básico

Artículo 90. Registro de incidencias

Deberá exisitir un procedimiento de notificación y gestion de las incidencias queafecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se han producido o en su caso, detectado la persona que realiza la notificación, aquien se le comunica y los efectos que se hubieran derivado de la misma y de la misma y las medidas correctorasaplicadas.

Sección 2ª. Medidas de seguridad nivel Medio

Artículo 100. Registro de incidencias

1. En el registro regulado en el artículo 90 deberán consignarse, además, losprocedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y en su caso, qué datos han sido necesario grabar manualmente en el proceso de recuperación.

2. Será necesaria la autorización del responsable del fichero para la ejecución de losprocedimientos de recuperación de los datos.

Capítulo IV : Medidas de seguridad aplicables a los ficheros y tratamientos noautomatizados.

Artículo 105.2. Se aplicará lo establecido en el artículo 90. registro de incidencias.

 

COPIAS DE RESPALDO Y RECUPERACIÓN

INTRODUCCIÓN

La seguridad de los datos personales del fichero no solo supone la confidencialidad de los mismos sino que también conlleva la integridad y la disponibilidad de esos datos.

Para garantizar estos dos aspectos fundamentales de la seguridad es necesario que existan unos procesos de respaldo y recuperación que. en caso de fallo del sistema informático, permitan recuperar y en su caso reconstruir los datos del Fichero.

Existirá una persona expresamente designada, que será responsable de obtener periódicamente una copia de seguridad del fichero, a efectos de respaldo y posible recuperación en caso de fallo.

Estas copias deberán realizarse con una periodicidad, al menos, semanal, salvo en el caso de que no se haya producido ninguna modificacion de datos.

En caso de fallo del sistema con pérdida total o parcial de los datos del Fichero, existirá un procedimiento, informatico o manual, que partiendo de la ultima copia de respaldo y del registro de las operaciones realizadas deasde el momento del fallo. Este procedimiento esta descrito en el Anexo E "Procedimiento Copias de Respaldo y Recuperación".

 

FUNDAMENTACION JURIÍDICA

El reglamento de desarrollo de la LOPD en su Art. 94 cita cuatro requerimientos a la hora de llevar a cabo la copias de respaldo:

Capítulo II: Del documento de seguridad

Artículo 88. El Documento de seguridad.

3. El documento deberá contener, como mínimo, los siguientes aspectos:

f. Los procedimientos de realización de copias de respaldo y de recuperación de losdatos en los ficheros automatizados.

Capítulo III : Medidas de seguridad aplicables a los ficheros y tratamientosautomatizados.

Sección 1ª. Medidas de seguridad el nivel Básico.

Artículo 94. Copias de respaldo y recuperación.

1. Deberán establecerse procedimientos de actuación para la realización como mínimosemanal de copias de respaldo, salvo que en dicho periodo no se hubiera producido ninguna actualización de los datos.

2. Asimismo, se establecerán procedimientos para la recuperación de los datos quegaranticen en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.

Únicamente, en el caso de que la pérdida o destrucción afectase a ficheros otratamientos parcialmente automatizados, y siempre que la existencia de documentación permita alcanzar el objetivo al que se refiere el párrafo anterior, se deberá proceder a grabar manualmente los datos los datos quedando constancia en el documento de seguridad.

3. El responsable del fichero se encargará de verificar cada seis meses la correctadefinición, funcionamiento y aplicación de los procedimientos de de realización de copias de respaldo y de recuperación de los datos.

4. Las pruebas anteriores a la implantación o modificación de sistemas de informaciónque traten los ficheros con datos de carácter personal no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realización en el documento de seguridad.

Sección 3ª. Medidas de Seguridad nivel Alto

Artículo 102. Copias de respaldo y recuperación

Deberá conservarse una copia de respaldo de los datos y de los procedimientos derecuperación de los mismos en un lugar diferente de aquél en que se encuentren los equipos informáticos que los tratan, que deberá cumplir en todo caso, las medidas de seguridad exigidas en este título, o utilizando elementos que garanticen la integridad y recuperación de la información, de forma que sea posible su recuperación.

Esta disposición atribuye a ORTHOMAR DENTAL SLP la responsabilidad de definir los procedimientos adecuados a su entorno.

 

PROCEDIMIENTOS Y NORMAS

Los procedimientos están encaminados a ga8rantizar el nivel de seguridad exigido en el Reglamento de medidas de seguridad. Los destinatarios y actores de dichos procedimientos serán:

El Responsable del Fichero se encargará de que se lleve a cabo el procedimiento y planificar posibles mejoras en éste.

El Responsable de Seguridad vigilará que se cumplan las medidas técnicvas y se sigue el procedimiento.

Todos los usuarios que vayan a usar los sistemas y bases de ORTHOMAR DENTAL SLP.

 

PROCEDIMIENTOS

1. Procedimientos de Identificación y Autenticación de Usuarios

Establece los controles y procedimientos de seguridad lógica para el acceso de cualquier persona a los sistemas informáticos y describe las pautas generales de los protocolos de asignación, de identificación y de contraseñas de acceso (alta, baja, mantenimiento de usuarios, etc.) Establece las políticas generales de gestión de las contraseñas asociadas a los usuarios de los sistemas de información. La descripción del procedimiento se encuentra en el Anexo F "Procedimiento de Identificación y Autenticación de Usuarios".

2. Procedimiento de Ficheros Temporales o copias de trabajo de documentos

Establece las políticas generales para la utilización de la información contenida en ficheros de carácter temporal que contengan datos de este tipo y describe los procedimientos para el correcto uso, de acuerdo a la normativa vigente, de ficheros temporales que contienen carácter personal. El personal autorizado para la realización de copias o reproducción de documentos se relaciona en el Anexo B "Personal autorizado para acceder a los ficheros". La descripción del procedimiento se encuentra en el Anexo G "Procedimiento de Ficheros Temporales o copias de trabajo de documentos".

3. Procedimiento de Gestión de Soportes y documentos

Se recogen los pasos que debe seguir el personal responsable de los soportes y documentos, que contengan datos de los Ficheros, para su inventariado, etiquetado, destrucción y traslado así como para la entrada y salida de soportes y documentos fuera de los locales donde estén ubicados los Ficheros. La descripción de esos procedimientos se encuentra en el Anexo H "Procedimiento Gestión de Soportes y Documentos". En este anexo se incluye también el documento de Inventario.

4. Procedimiento para Entrada y Salida de Datos por Red y Telecomunicaciones

La transmisión de datos por red, ya sea por medio de correo electrónico o mediante sistemas de transferencia de ficheros, se está convirtiendo en uno de de los medios más utilizados para el envío de datos, hasta el punto que está sustituyendo a los soportes físicos. Por ello merecen un tratamiento especial ya que, por sus características pueden ser más vulnerables que los soportes físicos tradicionales. La descripción del procedimiento se encuentra en el anexo I "Procedimiento para la entrada y salida de datos de red y telecomunicaciones".

5. Procedimiento para Mantenimiento y Actualización del Documento de Seguridad

Este es el procedimiento que deberá ser seguido por el Responsable de Seguridad y el Responsable del Fichero para actualizar la información del Documento de Seguridad y de los documentos de procedimientos y de los anexos. La descripción del procedimiento se encuentra en el Anexo J " Procedimiento Mantenimiento y Actualización del Documento de Seguridad".

6. Procedimientos para ficheros manuales.

El archivo de los soportes o documentos, así como el tipo de soporte en el que se almacenan los datos personales se escribe en el Anexo A "Estructura de los Ficheros".

Los dispositivos de almacenamiento de los documentos, donde se encuentren los mismos y su custodia se describen en el Anexo C " Locales, Puestos de Trabajo y Servidores".

El procedimiento de traslado de la documentación se describe en el Anexo H "Procedimiento Gestión de Soportes y Documentos".

7. Procedimientos para ficheros manuales

En el Anexo K "Procedimiento del Registro de Acceso" se describen los pasos a seguir para llevar el control de la información de los accesos realizados a los ficheros automatizados y a la documentación que pueda ser utilizada por múltiples usuarios.

8. Procedimiento de Video vigilancia

El tratamiento de imágenes de personas físicas captadas a través de cámaras y/o videocámaras con fines de vigilancia debe realizarse de acuerdo con unas normas sobre protección de datos. Dichas normas se encuentran recogidas en el Anexo L "Procedimiento de Video vigilancia".

9. Procedimiento para la gestión de currículos

Establece los pasos a seguir por el personal responsable de la recepción de currículos a través de cualquier medio (correo electrónico, postal, etc) para el cumplimiento de la legislación de protección de datos y en particular el deber de información al interesado. El procedimiento se encuentra en el Anexo M "Procedimiento para la Gestión de Currículos".

 

ENCARGADO DEL TRATAMIENTO

El acceso a datos, a los soportes que los contengan o a los recursos del sistema de información que los trate, por cuenta de terceros solo esta justificado cuando sea necesario para prestación de un servicio al responsable del fichero o tratamiento.

En el acceso a datos por cuenta de terceros, la responsabilidad última ante el titular de los datos personales y ante la Agencia Española de Protección de Datos es el Responsable del Fichero. La organización a la cual se le permite el acceso a dichos datos recibe el nombre de Encargado del Tratamiento.

Artículo 5 ROLPD. Definiciones

1.i) Encargado del tratamiento: la persona física o jurídica, pública o privada, u órganoadministrativo que, solo o conjuntamente con otros, trate los datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. Podrán ser también encargados del tratamiento los entes sin personalidad jurídica que actúen en el trafico como sujetos diferenciados.

El servicio prestado por el encargado del tratamiento podrá tener o no carácter remunerado y ser temporal o indefinido.

Cuando el responsable del tratamiento contrate la prestación del servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este capítulo deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en el RLOPD.

La ley exige para el acceso a datos por cuenta de terceros que exista un contrato escrito o en alguna otra forma que permita acreditar su celebración y contenido y que regule las condiciones en las que se permite el acceso a datos personales. Es decir, en dicho contrato deberá establecerse expresamente que el Encargado de Tratamiento únicamente tratara los datos conforme a las instrucciones del Responsable del Fichero, que solamente los utilizara para el fin que conste en el contrato, que no los comunicará, ni siquiera para su conservación, a otras personas. En el contrato se estipularán también las medidas que según la LOPD, el Encargado del Tratamiento está obligado a implementar.

Además, deberá indicarse que una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al transmitente, así como cualquier otro soporte o documento en el que consten datos de carácter personal objeto de tratamiento. No procederá la destrucción de los datos cuando exista una previsión legal que exija su conservación, en cuyo caso deberá procederse a la devolución de los mismos garantizando el responsable del fichero la conservación. El encargado del tratamiento conservará debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable del tratamiento.

En ORTHOMAR DENTAL SLP, se debe formalizar un contrato con cada Encargado de Tratamiento, ver Anexo B "Personal Autorizado para acceder a los ficheros" apartado "Encargado del tratamiento" a través del modelo de contrato " CONTRATO ENCARGADO DEL TRATAMIENTO" en la solapa "Notificaciones y Autorizaciones".

En el caso de que el Encargado del Tratamiento se separe de las directrices dadas por el Responsable del Fichero en el contrato, la responsabilidad corresponderá al Encargado del Tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente. No obstante, el encargado del tratamiento no incurrirá en responsabilidad cuando, previa indicación expresa del responsable, comunique los datos a un tercero designado por aquél, al que hubiera encomendado la prestación de un servicio conforme a lo previsto en el presente capítulo.

Cuando el responsable del fichero o tratamiento facilite el acceso a los datos a un encargado de tratamiento, que preste sus servicios en los locales del primero deberá hacerse constar esta circunstancia en el documento de seguridad de dicho responsable, comunique los datos a un tercero designado por aquel, al que hubiera encomendado la prestación de un servicio conforme a lo previsto en el presente capitulo.

Si el servicio fuera prestado por el encargado del tratamiento en sus propios locales, ajenos a los del responsable del fichero, deberá elaborar un documento de seguridad en los términos exigidos por el artículo 88 del RLOPD o completar el que ya hubiera elaborado, en su caso, identificando el fichero o tratamiento y el responsable del mismo e incorporando las medidas de seguridad a implantar en relación con dicho tratamiento.

En todo caso. el acceso a los datos por el encargado del tratamiento estará sometido a las medidas de seguridad contempladas en este Documento de Seguridad.

 

POSIBILIDAD DE SUBCONTRATACIÓN DE LOS SERVICIOS

El encargado del tratamiento no podrá subcontratar con un tercero la realización de ningún tratamiento que le hubiera encomendado el responsable del tratamiento, salvo que hubiera obtenido de éste autorización para ello. En este caso, la contratación se efectuara siempre en nombre y por cuenta del responsable del tratamiento.

No obstante, será posible la subcontratación sin necesidad de autorización siempre y cuando se cumplan los siguientes requisitos:

a) Que se especifiquen en el contrato los servicios que puedan ser objeto de subcontratación y, si ello fuera posible, la empresa con la que se vaya a subcontratar. Cuando no se identificase en el contrato la empresa con la que se vaya a subcontratar, será preciso que el encargado del tratamiento comunique al responsable los datos que la identifiquen antes de proceder a la subcontratación.

b) Que el tratamiento de datos de carácter personal por parte del subcontratista se ajuste a las instrucciones del responsable del fichero.

c) Que el encargado del tratamiento y la empresa subcontratista formalicen el contrato, en los términos previstos en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre. En este caso, el subcontratista será considerado encargado del tratamiento.

 

PROTOCOLO SE ACTUACIÓN PARA EL EJERCICIO DE LOS DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN

Con la finalidad de que los interesados tengan garantizado el derecho a decidir cuales de sus datos son objeto de tratamiento o, incluso si los mismos han de seguir siendo objeto de tal tratamiento, se crea un mecanismo para garantizar que los ciudadanos puedan acceder, rectificar e incluso cancelar aquellos datos que no sean exactos, adecuados o pertinentes para las finalidades para las que fueron recogidos.

Para el correcto ejercicio de los citados se requiere el cumplimiento de una serie de requisitos formales. La ley establece que el interesado que pretenda ejercitar alguno de los derechos ha de enviar una solicitud dirigida al Responsable del Fichero.

a) Derechos de Acceso

El derecho de acceso se regula por el Art. 15 de la LOPD y el capítulo II, del título III del RLOPD, según el cual:

Articulo 15

"E interesado tendrá derecho a solicitar y obtener gratuitamente información de susdatos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que prevén hacer de los mismos".

El derecho de acceso del interesado solamente podrá ser ejercido en intervalos de 12 meses salvo que acredite un interés legítimo.

El derecho de acceso tiene carácter personalísimo y debe ser ejercido directamente por el interesado frente al Responsable del Fichero, si bien se admite la representación del afectado cuando se encuentre en situación de incapacidad legal o minoría de edad. Por otro lado, el derecho de acceso es independiente, lo que supone que su ejercicio no es requisito previo para el ejercicio de otros.

El responsable del Fichero dispone de un plazo de 30 días para resolver la petición que se efectúa, comunicando al interesado frente al Responsable del Fichero, si bien se admite la representación del afectado cuando se encuentre en situación de incapacidad legal o minoría de edad. Por otro lado, el derecho de acceso es independiente, lo que supone que su ejercicio no es requisito previo para el ejercicio de otros.

El responsable del Fichero dispone de un plazo de 30 días para resolver la petición que se efectúa, comunicando al interesado sobre la procedencia o no del ejercicio de derecho de acceso con independencia de que figuren o no los datos del mismo en el fichero en cuestión, y 10 días para proporcionarle los datos, en el caso de que la petición de acceso fuera estimatoria.

El Responsable ante el que se ejercite este derecho deberá proporcionar la información al interesado sobre sus datos sometidos a tratamiento mediante:

- La mera consulta de los datos por medio de visualización.

- La indicación de los datos con objeto de tratamiento a través de escrito, copia, tele copia o fotocopia, certificada o no, correo electrónico, en forma legible o intangible.

La información, sea cual fuere el soporte en el que suministre, será legible o inteligible sin que en ningún caso el ejercicio de la consulta esté sometido a la utilización de claves o códigos que requieran el uso de dispositivos mecánicos específicos que pudieran obstaculizar el mismo.

El modelo de solicitud que debe enviar el interesado se encuentra en la solapa "Notificaciones y Autorizaciones", "EJERCICIO DEL DERECHO DE ACCESO"

b) Derechos de Rectificación y Cancelación

Se encuentran regulados por el Art. 16 de la LOPD y el capítulo III, del Título III del RLOPD.

Los derechos de rectificación y cancelación, personalísimos e independientes al igual que el anterior, conceden la posibilidad al interesado de exigir al Responsable del Fichero el cumplimiento del principio de calidad de los datos, pudiendo instalarse a rectificar datos personales cuyo tratamiento no se ajuste a las previsiones de la Ley, y en particular cuando los mismos hayan dejado de ser necesarios para la finalidad para la cual hubieran sido registrados, de forma que los datos se mantengan de manera adecuada, pertinente y no excesiva en relación con el ámbito para las que se recogieron.

La solicitud de cancelación deberá indicar si el afectado revoca el consentimiento otorgado en los casos en que la revocación proceda, o acompañar la documentación que la justifique, si se trata de un dato erróneo o inexacto. Los modelos de solicitud que debe enviar el interesado se encuentran en la solapa "Notificaciones y Autorizaciones", "Ejercicio del derecho de cancelación parcial" y "Ejercicio del derecho de cancelación total".

El procedimiento de cancelación se divide en dos fases:

- Bloqueo: Esta operación implica proceder a separar los datos del resto o manipularlos de tal forma que se impida su ulterior tratamiento o utilización. El, Responsable del Fichero debe conservar los datos bloqueados a disposición de jueces, tribunales y administraciones públicas para las posibles responsabilidades nacidas del tratamiento y durante el plazo de prescripción de las mismas.

- Supresión: Una vez transcurrido el periodo de bloqueo el Responsable del Fichero deberá proceder a la destrucción física de los datos cancelados.

La solicitud de rectificación deberá indicar el dato erróneo y la corrección que deba realizarse, y se acompañara la documentación justificativa de la rectificación solicitada, salvo que la misma dependa exclusivamente del consentimiento del afectado.

El modelo de solicitud que debe enviar el interesado se encuentra en la solapa "Notificaciones y Autorizaciones", "EJERCICIO DEL DERECHO DE RECTIFICACION".

La rectificación, a diferencia de la cancelación, no consiste en el borrado físico de los datos, sino en sustitución de los mismos por aquellos que corresponda.

El Responsable del Fichero hará efectivo el derecho de rectificación o cancelación en el plazo de días.

Si los datos rectificados o cancelados hubieran sido cedidos o comunicados previamente, el Responsable del Fichero deberá notificar la rectificación o cancelación a los cesionarios.

c) Derecho de Oposición

Se encuentra regulado por el Art. 16 de la LOPD y el capítulo IV, del título III del RLOPD.

Este derecho legitima al interesado para que en aquellos casos en los que no sea necesario el consentimiento para el tratamiento de sus datos, y siempre que una ley no disponga lo contrario, pueda oponerse al tratamiento de los mismos, siempre que existan motivos fundados y legítimos.

El modelo de solicitud que debe enviar el interesado se encuentra en la solapa "Notificaciones y Autorizaciones" , "EJERCICIO DEL DERECHO DE OPOSICION".

El Responsable del Fichero hará efectivo el derecho de oposición en el plazo máximo de 10 días desde la recepción de la solicitud.

 

AUDITORÍAS

El objetivo de los controles periódicos se concentra en que los controles internos de ORTHOMAR DENTAL SLP, minimicen los riesgos de su actividad. La realización de controles periódicos se incluye con el objetivo de verificar el cumplimiento de lo dispuesto en el Documento de Seguridad de ORTHOMAR DENTAL SLP y las medidas que son necesarias adoptar en caso de una emergencia.

El presente procedimiento afectara tanto a los sistemas como a las aplicaciones que tratan datos de carácter personal descritos en el Documento de Seguridad, tanto desde el punto de vista de las áreas usuarias como de los responsables de los mismos.

Los controles periódicos con carácter extraordinario deberán realizarse también siempre que se produzcan modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad de las mismas.

En el informe de auditoría se evaluarán las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación, y eficacia de las mismas.

Según el título VIII del RLOPD en lo indicado en su articulo 96 para ficheros automatizados y en su artículo 110 para ficheros no automatizados, los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título.

Los informes de auditoría han de ser analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable de fichero para que adopte las medidas correctoras y quedará a disposición de la Agencia Española de Protección de Datos, o en su caso las autoridades de control de las comunidades autónomas.

 

INFRACCIONES Y SANCIONES

Los responsables de los ficheros y los encargados de los tratamientos estarán sujetos al régimen sancionador establecido en la Ley Orgánica 15/1999 de Protección de datos de Carácter Personal (LOPD).

 

ASTRA - clínica dental

Plaza Doctor Fleming, 2
13500 Puertollano / Ciudad Real
Teléfono: 926 036 261
Whatsapp 601 405 530
Email: info@astraclinicadental.com

Síguenos en redes sociales:


HORARIO - Lunes - Viernes
09:30h - 14:00h
16:30h - 21:00h

© Diseño gráfico Diseño de páginas web Dos Enes

Política de Cookies
Utilizamos cookies propias para el correcto funcionamiento del sitio web, y de terceros para realizar el análisis de la navegación de los usuarios. Si continúas navegando, consideramos que aceptas su uso. Puedes cambiar la configuración u obtener más información aquí. Aceptar