DOCUMENTO DE SEGURIDAD TRFF MADRID
PRODUCCIONES S.L

INTRODUCCIÓN


El Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos, en adelante, RGPD) que entró en vigor en mayo de 2016 y es obligatorio desde mayo de 2018, así como la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos de carácter personal y garantía de los Derechos Digitales (en adelante, LOPDGDD) como las correspondientes normas nacionales de desarrollo, establecen el marco básico y obligatorio que todos los responsables y encargados de tratamiento están obligadas a cumplir cuando tratan datos personales.
Desde su entrada en vigor, el RGPD es una norma directamente aplicable en todos los estados miembros de la UE y, aunque no requiere de normas internas de trasposición, en España sí que ha sido necesaria una reforma de la normativa de protección de datos española para adecuar la misma al RGPD, es por ello que la LOPDGDD sustituye la LOPD 15/99 y desarrolla varios aspectos que el RGPD deja a los estados para su perfeccionamiento.
En España, los responsables y encargados de tratamiento deben tomar como norma de referencia el RGPD y la LOPDGDD. Si bien el RGPD contiene muchos conceptos, principios y mecanismos similares a los establecidos en la normativa anterior, se basa principalmente en tres ejes principales, que deben ser respetados y cumplidos por cada organización teniendo en cuenta sus propias circunstancias.
La mayor innovación del RGPD y las normas internas que lo desarrollan viene dada por tres elementos directamente aplicables en las obligaciones de las entidades:

  • El principio de ACCOUNTABILITY o de Responsabilidad Proactiva, donde los responsables han de aplicar medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento, es decir, debe analizarse qué datos se tratan, con qué finalidades, qué tipo de operaciones de tratamiento se llevan a cabo, cuáles y cómo se aplicarán las medidas de seguridad adecuadas para cumplir con el RGPD y poder demostrar ante los interesados y ante las autoridades su cumplimiento.
    Con este principio se exige una actitud proactiva, diligente y consciente por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.
  • El análisis de Riesgos: las medidas de seguridad dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas. Estas medidas deberán modularse en función del tipo de riesgo que los tratamientos presenten y adaptar su aplicación a las características de las organizaciones.
  • El tratamiento de datos basado en los principios que establece el RGPD:
    • Licitud, lealtad y transparencia: tratados de manera lícita, leal y transparente en relación con el interesado;
    • Limitación de la finalidad: recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines;
    • Minimización de datos: adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados;
    • Exactitud: exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan;
    • Limitación del plazo de conservación: es decir, mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales (podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos), sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el RGPD;
    • Integridad y Confidencialidad: tratados de tal manera que se garantice una seguridad adecuada de los datos personales (incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental), mediante la aplicación de medidas técnicas u organizativas apropiadas.

Esta normativa interna de protección de datos es dinámica, es decir, deberá revisarse y actualizarse siempre que se produzcan  cambios relevantes en la organización y que puedan repercutir en el tratamiento de los datos personales, en el contenido de la información o sistemas de información de la entidad.

Este documento está pensado para ayudar a los responsables y a los encargados a adaptarse a las obligaciones del RGPD-LOPDGDD.
Entre la documentación que la entidad debe disponer se encuentra la siguiente:

  • Registro de actividades de tratamiento.
  • Análisis de riesgos.
  • Medidas de seguridad implantadas en función de los riesgos analizados.
  • Contratos con los encargados del tratamiento (con acceso a datos de forma directa o sin acceso a datos).
  • Cláusulas informativas, consentimientos, autorizaciones, etc.
  • Protocolos para las violaciones de seguridad.
  • Protocolos para el ejercicio de los derechos por parte de los afectados.
  • Protocolos con los usuarios de los sistemas de información (firma de los documentos de confidencialidad y entrega del manual de usuarios).
  • Evaluación de Impacto relativa a la protección de los datos, en caso de ser necesaria.
  • Documentación relativa a las transferencias internacionales de datos, así como las garantías apropiadas o excepciones en las que se trata dicha transferencia.
  • Designación de la figura del DPD (Delegado de Protección de Datos) si es necesaria.
  • Los correspondientes avisos para la página web corporativa.


DEFINICIONES


Estas son algunas definiciones sobre los conceptos que establece el RGPD y la LOPDGDD:
A efectos del RGPD (art. 4), se entenderá por:
1) «Datos personales»: toda información sobre una persona física identificada o identificable* («el interesado»). *Para determinar si una persona es identificable deberá tenerse en cuenta, tal y como dice el Considerando 26 RGPD, datos objetivos tales como los costes y el tiempo necesarios para la identificación, teniendo en  cuenta la tecnología disponible en el momento del tratamiento, así como los identificadores de la misma, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona
2) «Tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
3) «Elaboración de perfiles*»: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física.
*Según el Considerando 30, las personas físicas pueden ser asociadas a identificadores en línea facilitados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de los protocolos de internet, identificadores de sesión en forma de «cookies» u otros identificadores, como etiquetas de identificación por radiofrecuencia. Esto puede dejar huellas que, en particular, al ser combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles
de las personas físicas e identificarlas.
4) «Fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.
5) «Responsable del tratamiento» o «Responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.
6) «Encargado del tratamiento» o «Encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
7) «Destinatario»: la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades públicas en los casos en que el RGPD establece.
8) «Tercero»: persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado.
9) «Empresa»: persona física o jurídica dedicada a una actividad económica, independientemente de su forma jurídica, incluidas las sociedades o asociaciones que desempeñen regularmente una actividad económica.
10) «Consentimiento del interesado»: manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, mediante una declaración o una acción afirmativa, el tratamiento de datos personales que le conciernen.
11) «Violación de la seguridad de los datos personales»: violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos.
12) «Datos genéticos»: datos personales relativos a características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona.
13) «Datos biométricos»: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.
14) «Autoridad de control»: la autoridad pública independiente establecida por un Estado miembro con arreglo a lo dispuesto en el artículo 51.
Es una autoridad pública independiente (según estipula dicho art. 51) y establece que su función principal es supervisar la aplicación del Reglamento, para proteger los derechos y las libertades fundamentales de las personas físicas y facilitar la libre circulación de datos personales en la Unión.
15) «Servicio de la sociedad de la información»: todo servicio prestado normalmente a cambio de una remuneración, a distancia, por vía electrónica y a petición individual de un destinatario de servicios (definición conforme al art. 1, ap. 1, letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo.
16) Delegados de Protección de Datos (DPD): Figura obligatoria en el RGPD (artículo 37) cuyas funciones son informar y asesorar al responsable y al encargado de tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del RGPD y normativas de desarrollo; supervisar el cumplimiento de la normativa de protección de datos; ofrecer asesoramiento en la realización de las evaluaciones de impacto (cuando sea obligatorio); y, cooperar y actuar como punto de contacto entre la
empresa y la autoridad de control.
Tanto en el RGPD como en la LOPDGDD se establecen los casos en que es obligatoria designar un DPD que deberá notificarse a la Autoridad de Control.

DOCUMENTACIÓN ENTREGADA

La documentación entregada en materia de protección de datos variará dependiendo de las necesidades del cliente, de la casuística del negocio en cuestión y, evidentemente, de la consultora que lleva a cabo la implantación, pero en líneas generales, estos son los documentos que formarían parte de un proyecto tipo junto con la descripción de cada uno de ellos:

  • Documento de seguridad: Es el documento principal donde se describe el escenario de tratamiento que lleva a cabo el responsable. En caso de inspección por parte de la Autoridad de Control (en este caso AEPD) podría pedir dicho documento. Es obligatorio mantenerlo actualizado.
  • Registro de actividades de tratamiento (RAT): Este registro deberá contemplar el tratamiento que se lleva a cabo de los datos personales en la entidad. Sustituye al registro de los ficheros que se llevaba a cabo anteriormente. Tiene que contener unos campos mínimos y debe dar cobertura a todos los tratamientos que se están llevando a cabo. Estará siempre actualizado y a disposición de la Agencia Española de Protección de Datos.
  • Análisis de riesgos: Este documento, a diferencia de la auditoria que se llevaba a cabo anteriormente donde se revisaban los aspectos que establecía el reglamento pretende hacer una revisión exhaustiva de los riesgos a los que están expuestos los datos personales, valorar el impacto que pueden generar estos riesgos y aplicar una serie de medidas legales, técnicas y organizativas que permitan mitigarlos.
  • Derechos usuarios: Los derechos que amparan a los ciudadanos son el de acceso, rectificación, cancelación, oposición, limitación al tratamiento, portabilidad y derecho al olvido,  en lo que a la protección de sus datos se refiera. Para dar cumplimiento al ejercicio por parte de los interesados de estos derechos se debe tener un protocolo a seguir del que damos las pautas en el documento correspondiente.
  • Violaciones de seguridad: Cualquier incidencia que se produzca en el tratamiento de los datos personales y que afecte a los derechos y libertades de las personas deberá protocolizarse según lo que establezca la normativa en función de la brecha de seguridad que se haya producido. Se entrega el protocolo a seguir.
  • Cláusulas corporativas: Es el conjunto de cláusulas, textos y/o circulares que deberán incluirse en los distintos documentos que puedan contener o recoger datos personales, tales como formularios de recogida de datos, pie de facturas, pie de correo electrónico, pie de newsletter, recepción CV, páginas web, etc., para dar cumplimiento a la obligación del artículo 5 RGPD y 11 LOPDGDD de transparencia e información a los interesados a cerca de la protección que se brinda a sus datos personales y derechos que les amparan.
  • Contratos Encargados de Tratamiento: Son los contratos con los que se da cumplimiento a la obligación del artículo 28 RGPD y 33 LOPDGDD, con los que se marcan las directrices por las que se regirá la cesión de datos a los encargados de tratamiento y les vincula con los responsables de tratamiento correspondiente.
  • Compromiso Trabajadores: Es el documento con el que se pretende informar a todos los usuarios y trabajadores del tratamiento que se realiza de sus propios datos así como para obtener, de todos aquellos que acceden a datos personales de la entidad, la garantía y compromiso de confidencialidad respecto a los mismos. Se debe hacer firmar a todos los trabajadores.
  • Manual Usuarios: Es la normativa interna que todos los usuarios del sistema de información de la entidad están obligados a conocer, para un tratamiento acorde con el RGPD y la LOPDGDD y de este modo estar informados de las políticas de empresa sobre los equipos informáticos, documentación en soporte papel, y demás medidas, normas, controles y procedimientos que puedan afectar a las tecnologías de la información y comunicación de la empresa (TIC), en el desarrollo de sus funciones. Se dará una copia de este documento junto con el documento de información y compromiso de confidencialidad de los trabajadores.
  • Checklist: Cuestionario básico para chequear el cumplimiento de las medidas y procedimientos establecidos en la implantación de la normativa de protección de datos en la empresa.

 

 

RESPONSABLE DE TRATAMIENTO

Estos son los datos del responsable de tratamiento y los usuarios autorizados con y sin acceso a datos.
Sede principal

Nombre o Razón Social: TRFF MADRID PRODUCCIONES S.L
NIF: B88167465
Dirección: C/ Orellana 6 Bajo izq, 28004 Madrid, (Madrid)

 

Responsable de seguridad

Persona encargada de la coordinación y aplicación de las medidas en materia de protección de datos.

Nombre y apellido
 

 

PERSONAL AUTORIZADO

Usuarios con acceso a datos

Los usuarios con acceso a datos deberán firmar el documento de información y compromiso de confidencialidad junto con la entrega de la normativa para usuarios del sistema de información. Esta relación deberá mantenerse actualizada.

DNI Nombre y apellidos Departamento RAT accedido

ESCENARIO DE TRATAMIENTO

Aplicaciones informáticas

Esta es la relación de aplicaciones que se utilizan en TRFF MADRID PRODUCCIONES S.L y que pueden gestionar datos de carácter personal.

Ficheros ofimáticos

Además de las aplicaciones de gestión mencionadas podría haber datos personales en ficheros ofimáticos que contienen datos personales relevantes autónomos o exportados de las aplicaciones y que nutren la actividad de TRFF MADRID PRODUCCIONES S.L

Para este tipo de ficheros aplicaremos medidas de seguridad como una contraseña de acceso y estarán ubicados en el servidor de ficheros.

Equipos y dispositivos

Esta es la relación de equipos y dispositivos que dispone TRFF MADRID PRODUCCIONES S.L que pueden contener datos de carácter personal:

Nombre Nominalia
Finalidad Hosting Web
Ubicación  
SAI NO

Puestos de trabajo

Estaciones sobremesa
TPVs 0

 

Smartphones / tablets / portátiles

Estos dispositivos pueden contener datos de carácter personal exportados de las aplicaciones o en ficheros ofimáticos autónomos con el riesgo de que pueden salir de la empresa.
Será necesario aplicar políticas de protección para estos dispositivos como claves de acceso, encriptación de los discos duro, copias de seguridad y todas las medidas necesarias para prevenir una pérdida de datos fortuita o accidental.

Videovigilancia

En caso de tener instaladas cámaras de  videovigilancia deberá tener en cuenta el colgar el cartel informativo en sus instalaciones.

¿Hay videocámaras? No 
Quién gestiona las imágenes  

 

Alarma

En caso de tener instaladas alarma de seguridad con captación de imágenes al movimiento, deberá informar al trabajador y colgar el cartel informativo en sus instalaciones

¿Hay alarma?  No 
Quién gestiona las imágenes  

 

MEDIDAS DE SEGURIDAD

Los responsables y encargados establecerán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados y la tipología de datos tratados; además, deberán estar en condiciones de demostrar la aplicación de dichas medidas (responsabilidad proactiva).
Estas medidas técnicas y organizativas se deberán establecer teniendo en cuenta el coste de la técnica; los costes de aplicación; la naturaleza, alcance, contexto y las finalidades del tratamiento y los riesgos para los derechos y libertades de las personas.
Medidas aplicadas en TRFF MADRID PRODUCCIONES S.L:

Validación usuarios

Autenticación No 
Caducidad contraseñas No 
Limitación intentos acceso erróneos No 
Complejidad contraseñas No 
Bloqueo estaciones inactividad No 
Perfiles usuarios No 

 

Copias de seguridad

 Ubicación copia Propias instalaciones
Contenido Fotografías & Vídeos
 Periodicidad/Ciclo  Mensual
Software Disco duros físicos
Soporte Discos duros físicos
¿Sale fuera?  

 

Documentación papel

Además de los datos gestionados a través de las aplicaciones informáticas, habrá datos en soporte papel para los que deberemos cumplir una serie de medidas específicas.

 PROCEDIMIENTO ARCHIVO PAPEL 
 PROTECCIÓN ARCHIVO 
 DESTRUCCIÓN DOCUMENTACIÓN SÍ La propia empresa

En caso de tener contrato con una empresa externa para la destrucción de la documentación, se deberá firmar un contrato como Encargado del Tratamiento.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información. ACEPTAR

Aviso de cookies