Documento de seguridad awake

Page 1

DOCUMENTO DE SEGURIDAD AWAKE INTERNATIONAL DRIVER MANAGEMENT TEAM, S.L. 4U ABOGADOS 1. OBJETO 2. ÁMBITO DE APLICACIÓN 2.1. Los Ficheros: estructura y sistemas de información que los tratan 2.2. Responsable del Fichero y Encargado del Tratamiento 2.3. Obligatoriedad del contrato de prestación de servicios entre el Responsable y el Encargado. 2.4. ¿Quién está obligado a redactar el contrato y presentárselo a la otra parte? 2.5. Las Medidas de Seguridad 3. MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO 3.1. Acceso a datos a través de redes de comunicaciones 3.2. Régimen de trabajo fuera de los locales 3.3. Ficheros temporales 3.4. Funciones y obligaciones del personal 3.5. Registro de incidencias 3.6. Control de acceso 3.7. Gestión de soportes y documentos 3.8. Identificación y autenticación 3.9. Copias de respaldo y recuperación 3.10. Criterios de archivo 3.11. Dispositivos de almacenamiento 3.12. Custodia de los soportes 4. DELEGACIÓN DE AUTORIZACIONES 5. PROCEDIMIENTO DE ACTUALIZACIÓN DEL DOCUMENTO DE SEGURIDAD 6. PRINCIPIOS Y DERECHOS 6.1. Principios 6.2. Derechos 6.3. Otras recomendaciones 7. COMUNICACIONES ELECTRÓNICAS 8. GLOSARIO DE TÉRMINOS 9. CERTIFICADO DE GARANTÍA LOPD 10. PROCEDIMIENTOS DE SEGURIDAD 10.1. Procedimientos jurídicos Página 1 de 31

10.2. Procedimientos técnicos y organizativos 11. PLIEGOS DE INSCRIPCIÓN DE LOS FICHEROS EI presente Documento de Seguridad consta de: • Documento de Seguridad • Carpeta de procedimientos • Pliego de Inscripción de ficheros 1. OBJETO EI 19 de enero de 2008 se publica el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en adelante LOPD. EI Reglamento desarrolla las condiciones en las que debe ser tratada la información, clarifica aspectos importantes en materia de principios de protección de datos, derechos de las personas, entre otros, y establece las medidas de seguridad, para tratamientos de datos personales automatizados y no automatizados. EI presente Documento de Seguridad ha sido redactado teniendo en cuenta el Art. 88 del c itado Reglamento. EI objeto de este Documento de seguridad es recoger todas las medidas de índole jurídica, técnica y organizativa a implementar en los ficheros y tratamientos de AWAKE INTERNATIONAL DRIVER MANAGEMENT TEAM, S.L. responsable del fichero. Las mencionadas medidas que se recogen a l o largo del presente Documento se refieren a todos los modos de tratamiento de datos personales, a los centros de tratamiento, locales, equipos, sistemas, programas, archivos, carpetas y las personas que intervengan en el tratamiento de los datos de carácter personal que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. EI presente Documento de seguridad se mantendrá actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información que se contengan en los ficheros o tratamientos o como consecuencia de controles periódicos realizados. EI Documento de Seguridad se mantendrá adecuado en todo momento a la normativa vigente en materia de protección de datos personales. Página 2 de 31

EI presente Documento de seguridad es confidencial, la información contenida en el mismo no puede salir del ámbito del responsable del fichero. EI presente Documento de Seguridad es un documento jurídico redactado en exclusiva para este responsable del fichero por el letrado firmante del mismo 4U ABOGADOS, quien conserva en exclusiva la titularidad de los derechos de propiedad intelectual del contenido del presente documento de seguridad. EI Documento de seguridad también se dirige a todas las personas que dentro o por cuenta de AWAKE INTERNATIONAL DRIVER MANAGEMENT TEAM, S.L., tengan acceso en cualquier forma a datos de carácter personal de cualquier tipo y será de obligado cumplimiento para todos ellos. Debido a la continua evolución y cambios intrínsecos en los sistemas de información y a la complejidad de esta organización, el documento pretende ser un marco estable y a su vez flexible, en lugar de una descripción estática en cuyo caso se veda sometido a continuas actualizaciones. 2. ÁMBITO DE APLICACIÓN La LOPD es de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento y a toda modalidad de uso posterior por parte de los sectores público y privado. EI Real Decreto 1720/2007, de 21 de diciembre, no se aplica a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquellas, consistentes únicamente en su nombre y apellidos, así como la dirección postal o electrónica. 2.1. Los Ficheros: estructura y sistemas de información que los tratan EI presente documento tiene como ámbito de aplicación los ficheros de datos personales, los centros de tratamiento, locales, equipos, sistemas, programas y personas que intervienen en el tratamiento de los datos de carácter personal, en cualquier tipo de soporte, de AWAKE INTERNATIONAL DRIVER MANAGEMENT TEAM, S.L. con NIF Nº B87773438 y domicilio en Calle Alcalá 87, Planta3, puerta D, 28009 (Madrid). El local donde se realiza el tratamiento de los datos se encuentra en el mismo domicilio social de la Sociedad. Los nombres de los ficheros, sus finalidades, nivel de seguridad y tipo de tratamiento se recogen en la siguiente tabla: NOMBRE DEL FINALIDAD NIVEL DE TRATAMIENTO FICHERO SEGURIDAD

Página 3 de 31

AWAKE INTERNATIONAL DRIVER MANAGEMENT TEAM SOCIEDAD LIMITADA

Protección de Alto. datos en materia de clientes, actividades deportivas desarrolladas por los mismos, historial médico.

Mixto.

La descripción general del sistema de tratamiento de la información que va a servir de base a los ficheros es la siguiente: se dispone de equipos propios como ordenadores portátiles, ordenadores de sobremesa y/o tablets, aproximadamente dos por cada socio. También son recursos protegidos los archivadores, carpetas y documentos en soporte no automatizado, como el papel y similar, que contengan datos de carácter personal. Se trata por tanto de ficheros automatizados y no automatizados. Así, atendiendo al artículo 81 del Reglamento, las medidas de seguridad establecidas para los ficheros, dada la naturaleza de los datos personales tratados en los mismos, son las que corresponden al nivel BÁSICO para todos los ficheros . La relación de los ficheros inscritos en la Agencia Española de Protección de Datos se representa en la siguiente tabla: NOMBRE DEL FECHA DE FECHA DE CÓDIGO DE FICHERO NOTIFICACIÓN INSCRIPCION INSCRIPCIÓN CLIENTES AWAKE

24/05/2017

Para determinar la estructura de los ficheros inscritos con la indicación del tipo de datos que contienen y la finalidad de los tratamientos nos remitimos a los pliegos de inscripción de ficheros en el Registro General de Protección de Datos, que se adjuntan al presente Documento de seguridad. Exclusivamente el Responsable del Fichero está autorizado para la creación, modificación y supresión de ficheros de datos personales. No podrán los usuarios crear, modificar o dar de baja ficheros de datos de carácter personal. El local donde se efectúa el tratamiento se encuentra en la dirección del domicilio social de la Sociedad. 2.2. Responsable del fichero y encargado del tratamiento. Página 4 de 31

EI responsable del fichero es la persona que decide sobre la finalidad, contenido y uso del fichero. EI encargado del tratamiento es la persona que trata datos personales por cuenta del responsable del fichero. La relación entre el responsable del fichero y el encargado del tratamiento se regula en el Art. 12 de la Ley Orgánica 15/1999, como después se analiza. En la actualidad AWAKE INTERNATIONAL DRIVER MANAGEMENT TEAM, S.L., según se ha informado, no dispone de relaciones con terceras entidades que realicen encargo del tratamiento de los datos. En caso en que en el futuro contara con relaciones con empresas que por la naturaleza del servicio contratado supusiera el acceso a datos personales, será obligatoria la firma de un contrato de prestación de servicios a tal fin. La falta de firma de los contratos constituirá una infracción del Art. 44.1.d de la LOPD, sancionado con multa de 900 a 40.000 e uros por cada contrato no firmado. En el caso de que se firmen l o s m e n c i o n a d o s contratos de prestación de servicios con terceros, deberá tenerse en cuenta lo siguiente: EI responsable del fichero actúa como prestatario del servicio y la entidad contratada es prestadora del servicio, de lo que se deduce que el prestador accede a los datos necesariamente para prestar el servicio contratado, de ahí que se considera encargado del tratamiento. Obligatoriamente se debe firmar el contrato de prestación de servicios del artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre. En este sentido, AWAKE INTERNATIONAL DRIVER MANAGEMENT TEAM, S.L., firma contratos de encargo con las entidades correspondientes, contratos que contienen las prescripciones del Art. 12 de la LOPD, y Art. 20 y 88.5 del Reglamento. En caso en el que AWAKE INTERNATIONAL DRIVER MANAGEMENT TEAM, S.L., celebre en el futuro otros contratos de prestación de servicios que supongan el tratamiento de datos personales por cuenta de un tercero, lo que presume un acceso a los datos personales, debe suscribir el contrato de prestación de servicios con todos los requisitos que establece el artículo 12 de la Ley Orgánica 15/1999, para legitimar el acceso a los datos. Los encargados del tratamiento, según el lugar en el que preste su servicio o en el que proceda al acceso a los datos del responsable, estarán obligados en una u otra forma a implementar las medidas de seguridad correspondientes en los tratamientos de datos que realice, debiendo identificar, en su caso, el fichero o tratamiento a que acceda y la identidad del responsable del mismo. En caso en que AWAKE INTERNATIONAL DRIVER MANAGEMENT TEAM, S.L. celebre contratos de prestación de servicios sin acceso a datos personales, en dicho contrato se recogerá expresamente la prohibición de acceder a datos personales y la obligación de secreto respecto a los datos que el personal haya conocido con motivo de la prestación del servicio. En casos de contratos de prestación de servicios sin acceso a datos personales, el acceso a los datos por el personal de trabajo se limitará a aquellos que no tengan el carácter de personal. Página 5 de 31

2.3. Obligatoriedad del contrato de Prestación de Servicios entre el Responsable del Fichero y el Encargado del Tratamiento. La Ley Orgánica 15/1999 establece en su artículo 12 que el acceso a los datos por cuenta de terceros debe estar regulado en un contrato escrito o en alguna otra forma que permita acreditar su celebración y contenido. EI contrato debe reflejar los siguientes aspectos: 1. La finalidad de la prestación y el detalle de las prestaciones concretas a realizar. 2. Que el encargado del tratamiento únicamente tratara los datos conforme a las instrucciones del prestatario o responsable del fichero, y que no los aplicara o utilizará con fin distinto p ara el que fueron detallados. 3. Que el encargado del tratamiento no comunicará los datos a otras personas, ni siquiera para su conservación. 4. La estipulación de las medidas de seguridad que el encargado del tratamiento está obligado a implementar, de acuerdo a la naturaleza de la información tratada. Recomendamos al encargado del tratamiento a que detalle las medidas concretas en un Anexo al contrato. 5. En dicho contrato también debe constar la obligación de el encargado del tratamiento de guardar secreto profesional respecto a los datos de carácter personal objeto de tratamiento mientras se real ice la prestación, así como posteriormente. EI personal del encargado debe comprometerse a cumplir las medidas de seguridad. 6. En el supuesto de que la persona desee dejar de ser socio de AWAKE INTERNATIONAL DRIVER MANAGEMENT TEAM, S.L. , los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento. 7. Por lo que se refiere a la responsabilidad, el encargado del tratamiento será considerado también responsable del fichero en el caso de que destine los datos a otra finalidad, los ceda o los utilice incumpliendo la finalidad por los que se aportaron los datos. En estos casos, responderá de las infracciones en que hubiera incurrido personalmente. Del mismo modo, a los prestatarios del servicio o responsables de cada fichero l e son exigibles tanto la adopción de medidas de seguridad, ya que la responsabilidad en supuestos de infracción la tienen en una primera instancia. 8. Se recogerá el fichero o tratamiento encargado, la fecha y duración de la persona como socio de AWAKE INTERNATIONAL DRIVER MANAGEMENT TEAM, S.L. 2.4. ¿Quién está obligado a redactar el contrato y a presentárselo a la otra parte? Tanto el Responsable del Fichero como el Encargado del Tratamiento tienen obligación de firmar el contrato de prestación de servicios y conservarlo en sus instalaciones, ya que ambos deben asegurar el tratamiento de los datos para una finalidad en concreto, su no comunicación a terceros a menos que se cuente con el consentimiento de los afectados, ya que de otro modo se podría considerar cesión de datos personales, y en general el cumplimiento de lo establecido en el presente Documento de seguridad. Además de l o anterior, la inexistencia del contrato es una Página 6 de 31

infracción leve de la LOPD, en la que incurren responsable y encargado, por la falta de la forma escrita que establece el Art. 12 de la LOPD. 2.5. Las Medidas de Seguridad Las medidas de seguridad que define el presente Documento van encaminadas a proteger todos los datos personales registrados en soporte Físico gestionados por AWAKE INTERNATIONAL DRIVER MANAGEMENT TEAM, S.L., o en un futuro, con un tercero c on la que se haya suscrito un contrato de prestación de servicios que conlleve el tratamiento de datos personales. Por consiguiente, los recursos comprendidos en el ámbito de aplicación de este Documento de Seguridad, serán todos los datos de carácter personal que componen los ficheros inscritos en el Registro General de Protección de Datos, así como los documentos, aplicaciones y sistemas que los tratan, los equipos informáticos que los soportan y los locales donde estos se ubican. 3. MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO Para garantizar el nivel BÁSICO de protección que exigen los artículos 89 a 94 y 105 a 108 del Reglamento, es de aplicación el siguiente conjunto de normas, medidas y procedimientos relacionados con el sistema de información y la correcta conservación de los documentos de AWAKE INTERNATIONAL DRIVER MANAGEMENT TEAM, S.L., a desarrollar por el responsable del fichero, siendo el responsable AWAKE INTERNATIONAL DRIVER MANAGEMENT TEAM, S.L. 3.1 Acceso a datos a través de redes de comunicaciones En el caso de producirse accesos a los datos de carácter personal a través de redes de comunicaciones como Internet, en aplicación del Art. 85 del Reglamento, se deberá garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local, es decir, si el acceso a los datos de AWAKE INTERNATIONAL DRIVER MANAGEMENT TEAM, S.L. se produce a través de Internet o de cualesquiera redes de telecomunicaciones, deberá garantizarse las mismas medidas de seguridad que se cuenta en los accesos en modo local (modo local es acceso a información sin uso de telecomunicaciones). Todos los procedimientos de acceso remoto que estén implantados o pudieran implantarse en el futuro, deben exigir la identificación (nombre de usuario) y autenticación (contraseña) de los usuarios igual que accediendo en modo local. Además, los locales en los que se accede a la información en modo remoto, deben cumplir las mismas medidas de seguridad que se establecen en el presente documento. Otras aplicaciones que pudieran activarse y que permitieran el acceso remoto a la información, como el acceso al correo electrónico a través de Internet, deben garantizar lo establecido en este apartado. En el caso en que exista servicio Página 7 de 31

de correo electrónico remoto (web mail), que permite su acceso a través de Internet, se recomienda que dicho acceso se realice por medio de protocolos seguros (cifrado). Se permite la existencia de usuarios "anónimos" que dispusieran de acceso al sistema sin ser identificados. Estos solo el contenido que puede ver es el básico para divulgación de la sociedad y sus actividades. 3.2 Régimen de trabajo fuera de los locales EI tratamiento automatizado de los datos de carácter personal se realiza en los locales donde los contenidos y los datos están alojados. Siempre que en ocasiones se sometan a tratamiento datos en dispositivos portátiles o fuera de los locales de ubicación del fichero, a través de PCs después de haber sacado datos en cualquier tipo de soporte como un pen drive o memoria USB, agendas electrónicas, teléfonos móviles con agendas y dispositivos análogos como correo electrónico, disquetes o CD, deberá tenerse en cuenta lo que se dispone a continuación: Según establece el Art. 86 del RD 1720/2007, siempre que se realicen tratamientos de datos de carácter personal fuera de los locales de la ubicación del fichero, deberá existir una autorización previa por el responsable del fichero y, en todo caso, deberá de garantizarse el nivel de seguridad correspondiente al tipo de fichera tratado. S e r e q u i e r e d e a u t o r i z a c i ó n p r e v i a p a r a l a e j e c u c i ó n de tratamiento de datos personales en dispositivos portátiles o fuera de los locales de ubicación. Esta autorización deberá ser solicitada en todo caso por la persona que trate datos personales en dispositivos portátiles o fuera de las oficinas, incluyendo tratamientos en papel que el personal de la empresa realice fuera de los locales de ubicación del fichero. En la actualidad se utilizan dispositivos portátiles para el tratamiento de datos personales. En este caso, ya que se cuenta con dispositivos portátiles y siempre que éstos alberguen o traten datos personales y se aloja información en el mismo (por ejemplo en la bandeja de entrada del programa de gestión del correo electrónico, documentos de texto como contratos y convenios, agenda telefónica) se debe contar con autorización del responsable del fichero. Las siguientes cautelas deben considerarse en los tratamientos de los datos objeto de este Documento de Seguridad, siempre que se lleven a cabo en dispositivos portátiles: • Queda prohibido que se alberguen datos de carácter personal en los discos duros de dispositivos portátiles o de otros dispositivos no permitidos. De otro modo, las copias de seguridad no cubrirían esa información por lo Página 8 de 31

que los principios de integridad y seguridad de la información quedarían sin efecto. Siempre que una persona precise el tratamiento de los datos fuera de los locales de ubicación del fichero deberá contar con la autorización previa del responsable del fichero , y proceder al borrado de los datos del disco duro del portátil una vez finalizada la gestión, • Es obligatorio que en todos los dispositivos portátiles utilizados se haya habilitado la contraseña de arranque. La persona encargada de la utilización de cada portátil en uso se encargara de modificar y definir la contraseña según las normas establecidas al efecto por la empresa en el presente Documento de Seguridad. • En caso en que el dispositivo portátil disponga, además de la contraseña de arranque, de contraseña de administración de la aplicación/es utilizadas para el tratamiento de los datos, esta obrara en poder del responsable de seguridad, que es quien se encargara de su custodia y mantenimiento, cumpliendo las normas establecidas en el presente Documento. • La empresa deberá aprobar una relación de datos que pueden ser registrados en dispositivos portátiles, indicando en que cosas pueden salir fuera de los locales del tratamiento. 3.3 Ficheros temporales EI Reglamento define el fichero temporal como un fichero de trabajo creado por un usuario o proceso que es necesario para un tratamiento ocasional o como paso intermedio para la realización de un tratamiento. Una vez que el fichero haya dejado de ser necesario para los fines que motivaron su creación, se debe de proceder a su borrado o destrucción. EI presente Documento será de aplicación a todos los usuarios que tengan capacidad de maniobra sobre los ficheros que puedan considerarse temporales, en función de los criterios establecidos. Queda terminantemente prohibido crear ficheros temporales en los discos duros de los PC, en su caso, o en cualquier tipo de soporte. Si se crean ficheros temporales en discos duros de PC, debe asegurarse que se cumple con el procedimiento de copias de seguridad. Siempre que se detecte la existencia de ficheros temporales, deberán tenerse en cuenta las siguientes cautelas a la hora de establecer un procedimiento de gestión y control de los mismos: • Los ficheros temporales son creados a partir del fichero maestro de datos para realizar gestiones o tratamientos puntuales. Una vez realizada la gestión, deberá desaparecer el fichero temporal. Los ficheros temporales que se vayan generando en el desarrollo de la actividad se guardarán y almacenarán por el personal en la carpeta de red que el Responsable de Seguridad autorice. Página 9 de 31

• EI usuario que trate estos ficheros será responsable de solicitar la limitación de los accesos a estas carpetas tan solo a personas autorizadas. Deben tener implantadas las medidas de seguridad necesarias que correspondan para el fichero que se trate. • EI Responsable de Seguridad debe además controlar y limitar los accesos y establecer las medidas de seguridad correspondientes en cada caso, debe además asegurarse que los Usuarios no almacenan este tipo de ficheros en los discos duros de su equipo 0 en dispositivos portátiles sin autorización previa. 3.4 Funciones y obligaciones del personal Las funciones y obligaciones de cada una de las personas con acceso a los datos de carácter personal y a los sistemas de información están claramente definidas y documentadas en el presente Documento. EI responsable del fichero adoptara las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento. En cumplimiento del artículo 89.2 del Reglamento, el personal que maneje datos personales debe conocer las normas de seguridad y de protección de datos de la Sociedad, y debe de actuar en base a ella. En la actualidad y debido al tratamiento de los datos personales efectuado por el personal de la empresa se hace necesaria la emisión de una Circular Informativa Interna de Seguridad y Protección de Datos que se ha emitido en la fecha del presente Documento de Seguridad, que debe ser aceptada por todo el personal con acceso a los datos y firmada, y que se contiene en la Carpeta de Procedimientos. En ella se establecen las directrices para el tratamiento, por parte de todo el personal, de los datos a los que acceda como consecuencia del desempeño de su puesto de trabajo. En la Circular se recogen las principales obligaciones en materia de seguridad sobre datos de carácter personal, incluyendo la prohibición expresa de instalar cualquier tipo de aplicaci6n en los equipos informáticos y la utilización de los recursos informáticos para otras finalidades diferentes a las estrictamente necesarias para el desarrollo de su actividad laboral/mercantil. Del mismo modo se establece la obligación de los usuarios de mantener el deber de secreto sobre todos los datos tratados con motivos del desempeño de su puesto de trabajo y de no comunicar a través de cualquier medio los referidos datos a ningún tercero, sea persona física, jurídica 0 cualquier otro tipo de entidad pública 0 privada sin la autorización pertinente. Mediante la comunicación, aceptación y firma de la Circular los usuarios conocerán sus obligaciones, el riesgo que comporta un usa indebido de la información que concierne a datos de carácter personal y las sanciones previstas como consecuencia de su incumplimiento. La Circular debe ser firmada por cada usuario, lo que demuestra que han tomado conocimiento. Página 10 de 31

EI Responsable del fichero debe hacer llegar la Circular a los usuarios y otros empleados de la empresa aunque no sean usuarios, siempre que tengan o puedan tener acceso a los datos personales. Todos los usuarios con acceso a datos en soporte automatizado 0 en soporte papel, deben firmar la Circular Informativa Interna, recibiendo copia para su conocimiento. Los nuevos trabajadores recibirán la Circular Informativa Interna junto con el contrato de trabajo, como parte del mismo, para que sea firmada al mismo tiempo, ya que se trata de normas de obligado cumplimiento. EI Responsable del Fichero debe conocer y comprender la importancia de la protección de datos así como sus obligaciones y precauciones. Siempre que exista personal colaborador o voluntario, cuyas funciones impliquen el tratamiento en cualquier modo de datos personales, deben quedar registrados en el presente Documento de seguridad, a través de la firma de la Circular Informativa Interna. 3.5 Registro de incidencias Cualquier usuario que tenga conocimiento de una incidencia es responsable de la comunicación de la misma a la persona responsable designada en la sociedad, debiendo esta proceder al registro de la misma en el registro de incidencias. Las incidencias serán notificadas por los usuarios de forma inmediata a su conocimiento. EI conocimiento y la no notificación de una incidencia por parte de un usuario se considera como una falta grave contra la seguridad de la información. Las fases del procedimiento de notificación, gestión y respuesta de las incidencias son las siguientes: 1. Detección de la incidencia. EI usuario tiene conocimiento de algún tipo de anomalía en los sistemas que afecte 0 ponga en peligro la seguridad de los ficheros de datos personales. 2. Notificación de la incidencia. EI usuario o socio debe notificar la incidencia a la persona descrita anteriormente, conforme al formulario que se adjunta. 3. Registro de la incidencia. EI responsable de solventar la incidencia recibe los datos descriptivos de la anomalía y los incluirá en una base de datos organizada 0 fichero, para que se facilite la clasificación de las incidencias ocurridas y el manejo de las incidencias ya resueltas para ayudar al diagnóstico y a la resolución de la incidencia en curso. 4. Análisis y diagnóstico. EI encargado de solventar la incidencia, la analizará y buscara una relación entre el efecto y todas las causas posibles que puedan entrar en consideración. 5. Documentación y cierre de la acción correctora o preventiva. Una vez resuelta la anomalía, la solución dada a la incidencia planteada se deberá registrar quedando así constancia del problema y de las acciones llevadas a cabo para su resolución. Se deberá informar sobre su resolución y de las Página 11 de 31

acciones desarrolladas a la persona que la detecto, así como quienes hayan estado involucrados en la incidencia. 6. Clasificación de la incidencia. Todas las incidencias deberán de clasificarse para que se ayude al diagnóstico y resolución de futuras incidencias que pudieran tener lugar. Esta clasificación debe establecer posibles prioridades para la resolución de las mismas. Se contiene a continuación una lista de incidencias que serán inexcusablemente registradas. La lista podrá ser ampliada con otro tipo de incidencias. a. Incidencias que afecten a la identificación y autenticación de los usuarios o socios. • Perdida de confidencialidad de contraseñas • Asignación o modificación de derechos sobre herramientas de gestión de acceso y utilidades con accesos privilegiados • Periodos de desactivación de las herramientas de seguridad b. Incidencias que afecten a los derechos de acceso a los datos • Revisión de logs sobre intentos fallidos de accesos • Comunicación de algún usuario/socio de sospechas de que alguien ha suplantado su personalidad • Detección de puntos de acceso desatendidos y sin protección de pantalla activada. • Revisión de los informes de seguridad c. Incidencias que afecten a la gestión de soportes • Comunicación de pérdida de soportes • Errores de contenido en soportes recibidos • Cualquier otro incumplimiento del procedimiento de gestión de soportes d. Incidencias que afecten a los procedimientos de copias de seguridad • Errores en los procesos de realización de copias de seguridad • Procedimientos de recuperación de datos realizados • No custodiar la copia de seguridad debidamente e. Cualquier otra incidencia que se observe al ejecutar cualquiera de los controles definidos en el Documento de Seguridad • Actualización del Sistema Operativo a causa de un parche de seguridad f. Incidencias que afecten al tratamiento de documentos y de datos en soporte papel • Envío de datos personales a través de correo-­‐e, carta, fax a destinatario equivocado • Extravío de documentos con datos personales Página 12 de 31

• Extravío de llave de apertura de dispositivo donde se almacenan datos especialmente protegidos • Destrucción de datos de nivel alto sin mecanismos que impidan la recuperación posterior (trituradora) • Documentación con datos especialmente protegidos que se encuentre en revisión o tramitación sin la debida custodia. 7. Elaboración de informes de seguimiento y control de las incidencias. EI responsable del fichero o responsable de seguridad, en su caso, analizaran las incidencias. Este procedimiento de Registro de Incidencias contendrá necesariamente un registro de gestión de incidencias que serán objeto de registro y seguimiento. En el registro establecido se hará constar: • El tipo de incidencia • Entorno en el que se produce la incidencia • El momento en que se ha producido 0 detectado • La persona que realiza la notificación • A quien se le comunica • Los efectos que se hubieran derivado de la misma • Persona que se encarga de la resolución EI responsable de seguridad tendrá a disposición el formulario de detección de incidencias en soporte papel, que servirá para notificar todas las incidencias. Las incidencias se notifican para conocer el funcionamiento de los sistemas de información, sus errores y la resolución de cada incidencia, de tal modo que en caso de repetirse la incidencia, bastará acudir al registro de incidencias para buscar una rápida solución, EI registro de incidencias debe estar en todo momento a disposición de la Agencia Española de Protección de Datos. Anexo 5. 3.6 Control de Acceso EI procedimiento de control de acceso a los sistemas de información que van a destinarse a AWAKE INTERNATIONAL DRIVER MANAGEMENT, S.L. se basan en la definición de perfiles de usuario-­‐socio y su correspondiente asignación de derechos de acceso. Según establece el Art. 91 del Reglamento, los usuarios recibirán sus derechos de acceso, siguiendo la política de mínimo privilegio. Es decir, únicamente tendrán acceso autorizado a aquellos datos personales y recursos informáticos que precisen para el desarrollo de sus funciones. Para tal fin las aplicaciones y sistemas operativos dispondrán de diferentes perfiles de usuario que garanticen la implantación de esta política. Los socios que accedan al fichero de datos personales objeto del presente documento acceden solo a aquellos datos y recursos que precisen, de modo que no se permite el acceso a cualesquiera otras carpetas de red que no estén relacionadas con sus funciones. Página 13 de 31

Los mecanismos establecidos para evitar el acceso a datos o recursos distintos de los autorizados se garantizan al no conceder privilegios de acceso a las carpetas de red, de modo que el intento de acceso dará como resultado la denegación del mismo. En el momento de ejecutar un nombre de usuario y contraseña se recomienda dotar a los equipos de un script concreto que determine las carpetas a las que cada nombre de usuario-­‐socio tiene permiso. Esta es la medida adecuada para que un usuario-­‐socio no pueda acceder a recursos 0 datos que no le corresponden. En el Apartado 3.4 del presente Documento de Seguridad, se recogen las funciones y obligaciones del responsable y personas autorizadas (gestor de contenidos), y contiene edemas el acceso autorizado a los recursos permitidos por el responsable y el gestor. Si en el futuro se contara con más personal autorizado para el acceso a los ficheros, se deberán tener en cuenta las prescripciones siguientes: • EI responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a datos 0 recursos con derechos distintos de los autorizados. • EI Responsable del fichero es el ejecutor de las órdenes de mantenimiento de usuarios de la empresa y deberá autorizar el alta/baja del usuario por medio de la Solicitud de Alta/Baja de Usuario. La relación de usuarios o socio con acceso a los recursos es la que Figura en el apartado 3.4. Cuando un usuario/socio esté intentando acceder al sistema, en caso de que se supere el número máximo de reintentos fallidos permitido, se procederá a la revocación del usuario. Para volver a acceder al sistema, el usuario/socio deberá solicitarlo, y el responsable de seguridad le facilitará una contraseña nueva. 3.7 Gestión de soportes y documentos Sera necesario que, siempre que la Sociedad utilice soportes informáticos ya sean memorias USB, CD, DVD, cintas, discos duros externos, agendas electrónicas, Smartphone, tablets, etc., en los que se conserven datos personales, en cumplimiento con el Art. 92 del Reglamento, se lleve con l o que a continuación se dispone. Los soportes informáticos que contengan datos de carácter personal deberán permitir: • identificar el tipo de información que contienen (etiqueta con pequeña memoria de contenido) • ser inventariados Página 14 de 31

La salida de soportes informáticos y documentos que contengan datos de carácter personal, fuera de los locales en los que está ubicado el fichero, incluidos documentos que comprenda o anexe un correo electrónico. Únicamente podrá ser autorizada por el responsable del fichero o según las autorizaciones que este Documento comprenda. EI traslado de la documentación debe realizarse habiendo confirmado la dirección del destinatario, para evitar la sustracción, pérdida 0 el acceso indebido a la documentación. EI cifrado es un mecanismo eficaz para evitar accesos no autorizados a los documentos durante su transporte. Cuando un soporte o documento vaya a ser desechado, se adoptaran las medidas necesarias para impedir cualquier recuperación posterior de la información almacenada en él, previamente a que se proceda a su baja en el inventario, por ejemplo el formateo de un disquete 0 el borrado de todos los datos de un CD-­‐ ROM, incluido de la papelera de reciclaje del ordenador. 3.8 Identificación: autenticación EI responsable del fichero se encargara de que exista una relación actualizada de usuarios/ socios (Iistado de usuarios en cada momento) que tengan acceso autorizado al sistema de información, 0 a las aplicaciones, y de establecer procedimientos de identificación y autenticación para dicho acceso. Tal procedimiento permitirá la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información. Por consiguiente, la presente medida de seguridad obligatoria se limitará a la introducción de código de identificación de usuario o socio y contraseña del mismo, cada vez que el usuario acceda al sistema. La introducción del identificador y la confirmación de que está identificado se produce con la contraseña de cada uno de los usuarios del sistema, personal e intransferible y necesaria para el acceso a los datos. Para la asignación, distribución y almacenamiento de los identificadores de usuario, que garantice la confidencialidad e integridad de las contraseñas asignadas, se recomienda seguir las siguientes pautas. 3.8.1. Generación Todos los usuarios o socios disponen de su nombre de usuario y contraseña designada por el responsable del fichero. La contraseña debe autenticar un solo nombre de usuario. Los identificadores de usuario y las contraseñas de acceso asociadas son de uso personal e intransferible y no puede ser compartido. Para el primer acceso del usuario al sistema, elegirá un identificador o nombre de usuario, y una contraseña, ambos confidenciales e intransferibles. La contraseña de acceso inicial debe ser distinta para cada usuario, de igual forma que el nombre del usuario. Página 15 de 31

3.8.2. Privacidad Las contraseñas deben ser conocidas únicamente por el usuario/socio propietario de la misma y tratadas como información personal e intransferible. Es responsabilidad del usuario asegurar la confidencialidad y custodia de la contraseña. La sociedad ha establecido ciertas consideraciones a la hora de elegir una contraseña: • No se r e c o m i e n d a u t i l i z a r p a l a b r a s s i m p l e s y d e d u c i b l e s • Se recomienda de igual modo no seleccionar como contraseña palabras en cualquier idioma 0 códigos de valores asociables al usuario (nombres de personas, fechas, teléfonos, matriculas, etc.), permutaciones sencillas (111111), secuencias de teclado (123456, qwerty) 0 secuencias lógicas fácilmente deducibles. • La contraseña debe mantener una longitud mínima de 8 caracteres alfanuméricos, haciendo distinción entre mayúsculas y minúsculas. • Las aplicaciones que realizan la autenticación del usuario, permiten de forma general: • La introducción de la contraseña y su representación en pantalla en el momento de la identificación se realizara en un formato ininteligible. • EI sistema permitirá que el usuario cambie de contraseña, siguiendo la recomendaciones generales anunciadas anteriormente. • Las aplicaciones que lleven su propio control de usuarios, almacenaran las contraseñas en un formato ininteligible. • Se evitara en la comunicación escrita que se revele la contraseña de cualquier usuario. En caso necesario se tomaran las precauciones necesarias, tal y como se describe en el apartado de distribución. • En aquellos sistemas o aplicaciones que tengan una contraseña inicial o una contraseña par defecto, deberán cambiarse inmediatamente 3.8.3. Almacenamiento Las contraseñas se almacenaran de manera automática por el sistema, y estará bajo la responsabilidad del responsable autorizado. 3.8.4. Mantenimiento En caso de olvido o cualquier dificultad relacionada con contraseñas los usuarios/ socios podrán disponer de otra nueva, pulsando el botón “olvidé mi contraseña” que se facilita en la misma web. Se le aportará al usuario, a través del correo electrónico aportado Página 16 de 31

en sus datos personales, una nueva contraseña, la cual deberá validar entrando de nuevo en la web. 3.8.5. Distribución La elección de contraseñas será por parte de los propios usuarios – socios. Ellos mismos, al registrarse en la web, elegirán un nombre de usuario al igual que una contraseña, con los requisitos mínimos recogidos en el apartado de privacidad de este documento. 3.9 Copias de respaldo y recuperación Se recomienda una copia de respaldo y de los procedimientos de recuperación de los datos, para el caso de fallo del sistema, cumpliendo en todo caso las medidas de seguridad exigidas en este Documento. En la actualidad estos procedimientos se realizan de la siguiente forma: diariamente se hace copia de seguridad en un servidor virtual de almacenamiento que garantiza este servicio de basckup, p u d i e n d o r e a l i z a r s e e n una unidad de almacenamiento externa, como un disco duro externo que estará a cargo del responsable autorizado, encargado de realizar la copia. EI responsable adopta las medidas necesarias para que la información no sea recuperada indebidamente por terceros. Se adoptan medidas para impedir cualquier recuperación posterior de la información almacenada en los discos duros externos. EI responsable del fichero adopta las medidas necesarias para que la información no sea recuperada indebidamente por terceros. De este modo se cumple con la necesidad de protección de la información, que en caso de existir una catástrofe no se producirán pérdidas importantes en la información. Una vez cada seis meses, el responsable de seguridad deberá verificar la correcta definición, funcionamiento y aplicación del procedimiento de realización de copias de seguridad establecido en el presente apartado 3.10 Criterios de archivo Los documentos deberán archivarse de modo que se garantice la correcta conservación de los mismos, la localización y consulta de información y posibilitar el ejercicio de los derechos de acceso, cancelación, rectificación y oposición, Los criterios y procedimientos de actuación para el archivo de los documentos se resumen en la veracidad y actualidad de los datos, de modo que los datos se refieran a una situación real y actual, y el acceso a los mismos únicamente Página 17 de 31

por el personal habilitado para ello por ser necesario para el desempeño de su puesto de trabajo. Se conservaran en todo caso los contratos y documentos que pueden ser solicitados por las Administraciones públicas y se conservaran aquellos otros documentos que puedan probar la relación comercial, durante al menos 15 años. Todos los datos pueden encontrarse por el personal habilitado ya que los datos se conservan ordenados según criterios establecidos para cada tipo de archivo. Los datos se conservan por orden alfabético (clientes-­‐usuarios), cronológico y por orden numerado. 3.11 Dispositivos de almacenamiento Los dispositivos de almacenamiento de los documentos relativos a los datos personales se encontraran bajo custodia del responsable del archivo. 3.12 Custodia de los soportes En supuestos de documentos con datos personales que no se encuentren archivados por encontrarse en proceso de revisión o tramitación, el personal que se encuentre al cargo de la misma, deberá custodiarla. 4. DELEGACION DE AUTORIZACIONES Las autorizaciones que se atribuyen al responsable del fichero, pueden ser delegadas a las personas que se designen para ello en el presente Documento de Seguridad. La persona habilitada para otorgar las autorizaciones son los socios fundadores de la compañía. 5. PROCEDIMIENTO DE ACTUALIZACIÓN DEL DOCUMENTO DE SEGURIDAD EI Responsable del fichero debe de velar por el cumplimiento del presente Documento de Seguridad. Debe de asegurar el cumplimiento efectivo del mismo, al mismo tiempo que minimiza el riesgo de sanción ante una posible inspección de la Agencia Española de Protección de Datos. Es necesario que el Responsable del fichero dedique tiempo al presente Documento, a su comprensión y a la implementación de los procedimientos, reglas y medidas de seguridad necesarias, incluidas las medidas de formación a los empleados para asegurar su deber de secreto, el conocimiento de la LOPD y el cumplimiento de las demás obligaciones de la LOPD según su participación en el tratamiento de los datos. Página 18 de 31

EI responsable de seguridad o responsable del fichero debe de emplear sus tácticas de organización para comunicar las políticas de protección de datos y de seguridad de la información y asegurar que se cumplen dentro del ámbito de la empresa. EI Documento de seguridad se ha establecido según las directrices del Real Decreto 1720/2007, de 21 de diciembre. Deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información que incluida en los ficheros 0 tratamientos 0 como consecuencia de los controles periódicos realizados. De igual forma, el Documento de seguridad deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal. Por ello se recomienda que los cambios organizativos y técnicos menos significativos se documenten y se anexen al documento de seguridad para que este permanentemente actualizado. En caso de realizarse cambios relevantes en los sistemas de información 0 en la organización, se procederá a una revisión integral del documento de seguridad. EI responsable del fichero se encargara de la correcta actualización del Documento de seguridad. Se recomienda que una vez al año se proceda a una revisión de los procedimientos que establece el Documento de Seguridad con la finalidad de mantener a la empresa en el mínima nivel de riesgo en materia de protección de datos. 6. RECOMENDACIONES PARA EL CUMPLIMIENTO DEL DOCUMENTO DE SEGURIDAD 6.1. Principios de la protección de Datos de carácter Personal Los datos personales deben ser siempre adecuados, pertinentes y no excesivos con relación a la finalidad para la que han sido obtenidos. Los datos que contiene el fichero no podrán usarse para finalidades incompatibles con respecto a la finalidad para la que han sido recogidos. En el caso en el que el responsable del fichero decida utilizar los datos personales para otra finalidad distinta a la que motive su recogida, debe obtener el consentimiento de cada interesado, que basta en este caso con que sea implícito, pero es necesario poder acreditarlo. Si se trata de datos especialmente protegidos, el responsable debe de contar con el consentimiento expreso del afectado. Y si se trata de datos especial mente protegidos de ideología, afiliación sindical, religión y creencias se necesita el consentimiento expreso y edemas por escrito. Los datos deben de ser exactos en todo momento y puestos al día. Deben de ser veraces y deben de cancelarse cuando hayan dejado de ser necesarios para la finalidad para la que se han recogido. EI deber de información es preceptivo y obligatorio, es decir, es necesario informar en todo caso a cada interesado acerca de la existencia de un fichero, de la identidad y dirección del responsable del fichero y de la posibilidad de ejercitar los Derechos de Acceso, Cancelación, Rectificación y Oposición, Página 19 de 31

EI deber de información debe llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado. EI tratamiento de datos de carácter personal requerirá el consentimiento inequívoco del interesado, a no ser que se encuentre en los casos en que la Ley exime del consentimiento. No se pueden ceder datos personales sin consentimiento del interesado. En el caso en que se solicite el consentimiento para la cesión, el afectado deberá ser informado de forma que conozca inequívocamente la finalidad a la que se destinaran sus datos y el tipo de actividad desarrollada por el cesionario. Corresponderá al responsable la prueba de la existencia del consentimiento del afectado. EI responsable debe permitir en todo momento que el afectado pueda manifestar expresamente su negativa al tratamiento 0 comunicación de datos, en su caso, en aquellos supuestos de tratamientos cuya finalidad no guarde relación directa con el mantenimiento, desarrollo y control de la relación contractual, ya se recabe durante el proceso de formación de un contrato o posteriormente. EI modo de manifestar expresamente esta negativa es por escrito a través del correo electrónico que se facilita en la página web o en la siguiente dirección de correo electrónico “info@medal-­‐book.com”. EI afectado podrá revocar su consentimiento en cualquier momento del mismo modo. 6.2. Los Derechos de los Afectados Los Derechos de Acceso, Cancelación, Oposición y rectificación son derechos personalísimos y gratuitos para los interesados. Los derechos se ejercitan por el afectado, acreditando su personalidad, o por su representante legal, en su caso, o por su representante voluntario expresamente designado a este fin. No se ejercitan ante la Agencia Española de Protección de Datos, sino ante el responsable del fichero. Por ello este responsable debe implementar procedimientos que aseguren el correcto curso de estos derechos para evitar procedimientos de Tutela de Derechos que puedan incoarse en contra del responsable del fichero. Los derechos de acceso, rectificación, oposición y cancelación son derechos independientes: el ejercicio de uno de ellos no es requisito previo para el ejercicio del otro. EI ejercicio de estos cuatro derechos se realizará gratuitamente para el interesado, en forma de solicitud en la que se concrete la petición de acceso, cancelación, rectificación u oposición. La solicitud debe enviarse al responsable del fichero mediante una comunicación a su dirección de correo electrónico; info@medal-­‐ book.com o a la dirección postal Calle Alcalá, número 87, 3ºD. (28009), Madrid. La comunicación dirigida al responsable debe contener: Página 20 de 31

Nombre y apellidos del interesado, debe acompañar fotocopia de DNI, aunque también es válido acompañara con fotocopia de permiso de conducción, pasaporte o cualquier documento válido que l o identifique y, en su caso, de la persona que lo represente o instrumentos electrónicos equivalentes (DNI-­‐e) petición en que se concreta la solicitud dirección a efectos de notificaciones, fecha y firma del solicitante documentos acreditativos de la petición que se formula. Si alguna persona ejercita sus derechos de acceso, cancelación, oposición y/o rectificación sin cumplir todos los requisitos el responsable del fichero deberá requerirle la subsanación de los mismos. Si se recibe la solicitud de uno de los derechos de los ciudadanos debe de responderse por escrito y de modo fehaciente en los plazos que se describen dentro de cada uno de los derechos (subapartados de 8.2.1 a 8.2.4). EI responsable del fichero deberá conservar la acreditación del cumplimiento del mencionado deber. Muchas de las sanciones de la Agencia Española de Protección de Datos se imponen por no haber implementado el procedimiento que permita atender en tiempo y en forma el ejercicio de los derechos de los ciudadanos en materia de protección de datos. Desde este punto de vista, debe de atenderse las solicitudes dentro del plazo que se describe en cada una. De no hacerlo así, se entenderá desestimado el ejercicio del derecho. Debe de responderse siempre al ejercicio de estos derechos, incluso cuando el afectado no forme parte del fichero. En estos casos se debe decir que no se cuenta con datos personales del afectado en los ficheros. EI afectado podrá denunciar el hecho de no haber obtenido respuesta ante la Agencia Española de Protección de Datos. La sanción por impedir u obstaculizar el ejercicio de los derechos de acceso, rectificación, cancelación y oscila entre los 40.001 y 300.000 Euros. 6.2.1. Derecho de Acceso EI Derecho de Acceso es el derecho del afectado a obtener información sobre si sus propios datos personales están siendo sometidos a tratamiento, la finalidad del tratamiento que se esté realizando, el origen de los datos y las cesiones realizadas o previstas de los mismos. EI afectado puede solicitar información relativa a datos concretos, a datos incluidos en un determinado fichero o a la totalidad de sus datos sometidos a tratamiento. En el supuesto de recibir la solicitud de un Derecho de Acceso, se debe contestar en el plazo máximo de un mes, a través de correo certificado o cualquier otro medio que permita acreditar la resolución que da por cumplido el ejercicio del derecho de acceso, su envío y recepción. El afectado puede optar por recibir la información a través de las siguientes formas: Página 21 de 31

• • •

Una visualización en pantalla de los ficheros por parte del afectado (presentándose en las dependencias donde se ubique el fichero y comprobando por sí mismo sus datos) Una comunicación de los datos al afectado en forma de escrito, copia o fotocopia, certificada o no, en forma legible o inteligible. Correo electrónico u otros sistemas de comunicaciones electrónicas Cualquier otro sistema adecuado a la implantación o configuración material del fichero 0 a la naturaleza del tratamiento, ofrecido por el responsable.

Los sistemas anteriores podrán restringirse en función de la implementación 0 configuración material del fichero 0 a la naturaleza del tratamiento, siempre que el que se ofrezca al afectado sea gratuito. Ahora bien, si el responsable ofrece un sistema para hacer efectivo el derecho de acceso y el afectado exigiese que se materializara por un procedimiento que implique un coste desproporcionado, surtiendo el mismo efecto y garantizando la misma seguridad, serán de cuenta del afectado los gastos derivados de su elección. Recibida la solicitud de acceso, si el responsable del Fichero no responde en un mes, el afectado puede acudir a la Agencia Española de Protección de Datos. Pedir la tutela de su derecho, lo que podría significar una multa para el responsable del fichero por no atender la solicitud. 6.2.2. Derecho de Cancelación EI derecho de cancelación es la facultad que tiene el afectado para solicitar al responsable del fichero para que cumpla con su obligación de suprimir los datos inadecuados o excesivos, sin perjuicio del deber de bloqueo. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones Publicas y Jueces y Tribunales, solo para determinar posibles responsabilidades nacidas de su tratamiento. La Ley obliga a conservar los datos durante los plazos previstos en las normas aplicables o en las relaciones contractuales entre el responsable del tratamiento y el interesado. La cancelación de los datos no supone su destrucción, sino más bien su retirada de conocimiento público a través de su bloqueo. Solo cumplidos los plazos previstos, se procederá a la eliminación de estos datos. Por tanto, en los casos en que los afectados soliciten la cancelación de sus datos personales, indicando a que datos se refiere, deberá procederse al bloqueo de los datos, es decir, a sacarlos del tratamiento (sin suprimirlos), durante los plazos siguientes: • 15 años, para los datos de los miembros del fichero, según establece el Código civil en su Art. 1964 acerca del plazo general para la prescripción de las acciones personales en el Código civil. Página 22 de 31

• 6 años, para los datos de proveedores y suministradores. EI Art. 30 del Código de comercio, impone a los empresarios la obligación de conservar sus libros, correspondencia, documentación y demás justificantes concernientes a su negocio, durante el plazo señalado en la legislación mercantil. • 5 años para los datos de empleados, conforme a lo establecido en la legislación laboral y de prevención de riesgos laborales (Ley sobre infracciones y sanciones en el orden social, Ley General de la Seguridad Social y Ley de prevención de riesgos laborales) Una vez transcurridos los plazos anteriores ya podrán suprimirse los datos personales, es decir, proceder a su efectiva cancelación. EI responsable hará efectivo el derecho de cancelación en un plazo de 10 días siguientes a la solicitud, que, transcurrido sin respuesta, se entenderá denegada. En este supuesto y en el de denegación expresa, el afectado podrá ejercitar la tutela de derechos, como ocurre con el derecho de acceso. Si los datos hubieran sido cedidos a terceros, el responsable del fichero deberá notificar las cancelaciones efectuadas al cesionario en idéntico plazo, para que proceda al bloqueo y a la posterior eliminación de los datos en el plazo de 10 días desde que reciba la notificación de este responsable. La cancelación no procede cuando los datos deban ser conservados durante plazos previstos en disposiciones aplicables o en las relaciones contractuales entre la persona o entidad responsable del tratamiento y en interesado o afectado. 6.2.3. Derecho de rectificación EI derecho de rectificaci6n es la facultad que el afectado dispone para instar al responsable del fichero a modificar los datos personales que sean inexactos incompletos. La LOPD prevé en el artículo 16 la posibilidad de que los datos personales puedan resultar inexactos 0 incompletos, en cuyo caso deberán ser rectificados o cancelados, a petición del interesado. La Ley obliga a los responsables de los ficheros a mantener actualizados los datos, rectificando o cancelando los que no sean necesarios. La Ley contempla el derecho de los afectados a comprobar el contenido y la veracidad de los datos para poder rectificarlos o cancelarlos. EI responsable del fichero hará efectivo el derecho de rectificación en el plazo máximo de los 10 días siguientes a la recepción de la solicitud. Si no responde expresamente después de esos 10 días, se entenderá denegado este derecho de rectificación, y el afectado podrá dirigirse a la Agencia Española de Protección de Datos a ejercitar la tutela de derechos. En los casas en que los datos personales se hayan cedido, el responsable del fichero que rectifique los datos deberá notificar la rectificación a quien se los ha cedido en el mismo plazo, y esta notificación es vinculante, de manera que Página 23 de 31

este último deberá también proceder a la rectificaci6n 0 cancelación. EI cesionario dispone de 10 días desde que reciba la notificaci6n de este responsable para modificar los datos. 6.2.4. Derecho de Oposición EI derecho de oposición es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos personales 0 se cese en el mismo en los siguientes supuestos: • Cuando no sea necesario su consentimiento para el tratamiento, como consecuencia de la concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal que lo justifique, siempre que una Ley no disponga lo contrario. • Cuando se trate de ficheros que tengan por finalidad la realización de actividades de publicidad y prospección comercial. • Cuando el tratamiento tenga por finalidad la adopci6n de una decisi6n referida al afectado y basada en un tratamiento automatizado de sus datos personales. En el caso de envío de comunicaciones para fines publicitarios remitidos a través del correo electrónico, el responsable del fichero deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante una dirección electrónica valida donde pueda ejercitar este derecho de oposición, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección. 6.3. Otras recomendaciones En caso en que se reciban correos electrónicos o llamadas telefónicas de interesados o que soliciten cualquiera de los derechos de acceso, cancelación, oposición 0 rectificación, recomendamos que se conteste a estas peticiones siempre que se tenga la total certeza de que quien llama 0 se comunica es quien dice ser y el afectado. Mucha prudencia con el derecho de acceso, de no dar información a persona distinta del interesado. En los casas en que se admita el ejercicio de uno de estos derechos por medio del correo electrónico se recomienda que se envíe utilizando mecanismos de cifrado. Se recomienda llevar al día el Acta de Seguimiento de los Derechos Efectuados, lo que permitirá en todo momento el control del cumplimiento de respuesta de los plazos para evitar que puedan iniciar un procedimiento de Página 24 de 31

Tutela de derechos por no haber dado cumplimiento a uno de ellos dentro del plazo establecido. Del mismo modo es aconsejable, siempre que se empiecen a producir ejercicios de derechos de cancelación, mantener actualizada la Lista Robinson para conocer en todo momento las personas que no autorizan el tratamiento de sus datos. 7. COMUNICACIONES ELECTRÓNICAS Correos electrónicos: Con la entrada en vigor de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y del Comercio Electrónico, y con la reforma que la Nueva Ley General de Telecomunicaciones ha introducido en la Ley 34/2002, en la actualidad queda prohibido el envío de comunicaciones publicitarias 0 promocionales a través del correo electrónico o cualquier medio de comunicación electrónico. Para poder enviar comunicaciones electrónicas publicitarias promocionales es necesario que el destinatario de las mismas lo solicite o que el responsable del fichero que las envía consiga el consentimiento expreso del destinatario. EI consentimiento expreso se puede obtener en medios online con una casilla que el usuario señale que consiente expresamente. En medios tradicionales puede conseguirse con una firma del destinatario, bien porque se ha introducido una clausula en unas Condiciones Generales, bien porque un contrato incorpora una cláusula que solicita ese consentimiento expreso, o bien mediante un formulario de solicitud del consentimiento que debe ser firmado. Se recomienda que el formulario incorpore la dirección de correo electrónico utilizada. Aun en presencia de esta excepción, la Ley de Protección de Datos, por su parte (siempre que se trate de clientes que sean personas físicas particulares que no ostenten la condición de autónomos o profesionales), exige el consentimiento para el tratamiento de los datos, y la publicidad o prospección comercial es un tratamiento derivado de la finalidad principal que es la de prestar el servicio a los clientes. Por esta razón, hay siempre que habilitar un procedimiento de solicitud de consentimiento para finalidades de publicidad o prospección comercial. En cada comunicación que se dirija al interesado, debe señalarse la palabra PUBLICIDAD o PUBLI y debe contener un mecanismo sencillo y gratuito que permita al destinatario ejercitar su negativa a seguir recibiendo comunicaciones comerciales. En caso de adquirir bases de datos de terceros, estas deben obtenerse de fuentes accesibles al público, y no se p o d r á n enviar e-­‐mails o SMS sin haber obtenido previamente el consentimiento de los destinatarios, puesto que la adquisición de las bases de datos no conllevan la adquisición de los consentimientos de los destinatarios. Fax: según el Art. 38.3.h) de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, no se puede enviar fax con fines de venta directa a persona física o jurídica, sin consentimiento previo, expreso e informado para ello, lo Página 25 de 31

que quiere decir, que no se permite el envío de faxes publicitarios a clientes 0 a terceros si no se cuenta con el consentimiento. En cuanto a los envíos de fax para otros usos, no se permite el envío por fax de datos especialmente protegidos, de nivel alto o datos a los que el Real Decreto 1720/2007 Ie atribuye la implantación de las medidas de seguridad de nivel alto (ideología, afiliación sindical, religión, creencias, origen racial o étnico, salud, vida sexual, datos recabados para fines policiales sin consentimiento de los afectados, datos de violencia de género). Según el Art. 104 del Real Decreto, la transmisión de datos personales a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizara cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. EI fax no es un medio apropiado para la transmisión de información conteniendo datos de nivel alto. Con su utilización se incumple la medida de seguridad prevista en la normativa de protección de datos puesto que aquellos que manejan 0 tratan datos personales tienen el deber de conocer las normas aplicables. 8. . GLOSARIO DE TERMINOS 1. Sistema de información: Conjunto de ficheros, tratamientos, programas, soportes y equipos empleados para el tratamiento de datos de carácter personal. 2. Sistema de tratamiento: modo en que se realiza 0 utiliza un sistema de información. Atendiendo al sistema de tratamiento, los sistemas de información podrán ser automatizados, no automatizados o parcialmente automatizados. 3. Usuario: Sujeto o proceso autorizado para acceder a datos o recursos, incluidos los procesos que permitan acceder a datos o recursos sin identificación de un usuario físico. 4. Recurso: Cualquier parte componente de un sistema de información. 5. Accesos autorizados: A u t o r i z a c i o n e s concedidas a un usuario para la utilización de los diversos recursos, incluidas autorizaciones 0 funciones que tenga atribuidas un usuario por delegación del responsable del fichero 0 responsable de seguridad. 6. Identificación: P r o c e d i m i e n t o de reconocimiento de la identidad de un usuario. 7. Autenticación: P r o c e d i m i e n t o de comprobación de la identidad de un usuario. 8. Control de acceso: Mecanismo que en función de la identificación ya autenticada permite acceder a datos o recursos. Página 26 de 31

9. Contraseña: Información confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser usada en la autenticación de un usuario o en el acceso a un tercero. 10. Incidencia: Cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos. 11. Perfil de usuario: accesos autorizados a un grupo de usuarios. 12. Soporte: Objeto físico que almacena 0 contiene datos 0 documentos, u objeto susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar 0 recuperar datos. 13. Responsable de seguridad: P ersona 0 personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables. 14. Copia del respaldo: Copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación, 15. Documento: t o d o escrito, grafico, sonido, imagen 0 cualquier otra clase de información que puede ser tratada en un sistema de información como una unidad diferenciada. 16. Transmisión de documentos: cualquier traslado, comunicación, envío, envío, entrega, 0 divulgación de la información contenida en el mismo. 17. Ficheros temporales: ficheros de trabajo creados por usuarios 0 procesos que son necesarios para un tratamiento ocasional 0 como paso intermedio durante la realización de un tratamiento. 18. Transferencia internacional de datos: el tratamiento de datos que supone una transmisión de los mismos fuera del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español. 19. Exportador de datos personales: la persona física 0 jurídica, publica 0 privada u órgano administrativo situado en territorio español que real ice un transferencia de datos personales a un país tercero. 20. Importador de datos personales: la persona física 0 jurídica, publica 0 privada u órgano administrativo receptor de los datos en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del fichero, encargada del tratamiento 0 tercero. 21. Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica,, acústica 0 de cualquier otro tipo, concerniente a una persona física identificada 0 identificable. 22. Datos de carácter personal relacionados con la salud: informaciones concernientes a la salud pasada, presente y futura, física 0 mental, de un Página 27 de 31

individuo. Son datos de salud los referidos a su porcentaje de discapacidad y su información genética, 23. Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma 0 modalidad de su creación. Almacenamiento, organización y acceso, que permita acceso a los datos con arreglo a ficheros determinados. 24. Fichero no automatizado: todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquel centralizado, descentralizado 0 repartido de forma funcional 0 geométrica. 25. Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado 0 no, que permitan la recogida, grabación, conservación, elaboración, modificación. consulta, utilización. bloqueo, supresión y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. 26. Responsable del fichero 0 tratamiento: Persona física 0 jurídica, de naturaleza publica 0 privada, u órgano administrativo, que solo 0 conjuntamente con otros decida sobre la finalidad, contenido y usa del tratamiento, aunque no l o realizase materialmente. También tienen esta consideración los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados. 27. Afectado 0 interesado: Persona física titular de los datos que sean objeto del tratamiento de datos de carácter personal. 28. Procedimiento de disociación: Todo tratamiento de datos personales que permita la obtención de datos disociados. 29. Dato disociado: aquel que no permite la identificación de un afectado o interesado. 30. Persona identificable: toda persona cuya identidad pueda determinarse directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural 0 social. Una persona física no se considerara identificable si dicha identificación requiere plazos 0 actividades desproporcionados. 31. Encargado del tratamiento: La persona física 0 jurídica, publica 0 privada, u órgano administrativo que, solo 0 conjuntamente con otros, trate datos personales por cuenta del responsable del fichero 0 tratamiento, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. También tienen esta consideración los entes sin personalidad jurídica que actúen en el trafico como sujetos diferenciados.

Página 28 de 31

32. Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. 33. Cesión o comunicación de datos: Toda revelación de datos realizada a una persona distinta del interesado. 34. Destinatario o cesionario: persona física 0 jurídica, publica 0 privada u órgano administrativo al que se revelen los datos. También tienen esta consideraci6n los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados. 35. Fuentes accesibles al público: Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación, Tienen la consideración de Fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, titulo, profesi6n, actividad, grado académico, direcci6n e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de Fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicaci6n. Internet por sí misma no es una Fuente de acceso público. 36. Bloqueo de datos: la identificaci6n y reserva de datos con el fin de impedir su tratamiento. 37. Identificación: procedimiento de reconocimiento de la identidad de un usuario. 38. Redes de comunicaciones electrónicas: los sistemas de transmisión y, cuando proceda, los equipos de conmutación o encaminamiento y demás recursos que permitan el transporte de señales mediante cables, ondas hertzianas, medios ópticos u otros medios electromagnéticos con inclusión de las redes de satélites. redes terrestres fijas (de conmutación de circuitos y de paquetes, incluida Internet) y móviles, sistemas de tendido eléctrico, en la medida en que se utilicen para la transmisión de señales, redes utilizadas para la radiodifusión sonora y televisiva y redes de televisi6n por cable, con independencia del tipo de informaci6n transportada. 9. CERTIFICADO DE G A R A N T Í A LOPD EI Sello de Confidencialidad LOPD de 4U ABGADOS es un Certificado de Garantía en virtud del cual, 4U ABOGADOS certifica que AWAKE INTERNATIONAL DRIVER MANAGEMENT TEAM, S.L. cumple, en el ejercicio de su actividad, con lo establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y en el Real Decreto 1720/2007, de 21 de diciembre. Mediante estos Certificados de Garantía, AWAKE INTERNATIONAL DRIVER MANAGEMENT TEAM, S.L. acredita el cumplimiento de las prescripciones legales mencionadas, pudiéndolos incorporar a sus documentos privados Página 29 de 31

(folletos, cartas, facturas, correos electrónicos, fax, etc.) o páginas Web, en su caso. EI objetivo último no es otro que asegurar a los usuarios el uso legal y lícito que hace AWAKE INTERNATIONAL DRIVER MANAGEMENT TEAM, S.L. de sus datos personales, contribuyendo de este modo a obtener toda la confianza de los interesados, a asegurarles su confidencialidad y su intimidad. La vigencia del Sello de Garantía LOPD tiene una validez de dos años desde la fecha de entrega del Certificado. EI Certificado se entregará a partir de dos meses de la entrega del presente Documento, una vez que AWAKE INTERNATIONAL DRIVER MANAGEMENT TEAM, S.L. haya cumplimentado la Hoja de Seguimiento LOPD que Ie enviaremos en su momento y nos la haya remitido. Para su renovación, AWAKE INTERNATIONAL DRIVER MANAGEMENT TEAM, S.L. deberá realizar una Auditoria de Protección de Datos, según establece los artículos 96 y 110 del Real Decreto 1720/2007, de 21 de diciembre. En ningún caso, el acceso a estos certificados de garantía implica por parte de 4U ABOGADOS una prestación de servicios de certificación en el sentido de la Ley 59/2003, de 19 de diciembre, de firma electrónica, ni tampoco la observancia de cualesquiera normas técnicas 0 de calidad contenidas en cualesquiera otras normas legales 0 reglamentarias vigentes en España. Los sellos de confidencialidad significan únicamente el compromiso de 4U ABOGADOS de haber realizado los trabajos necesarios que acreditan que AWAKE INTERNATIONAL DRIVER MANAGEMENT TEAM, S.L. está adaptado a la LOPD. La responsabilidad última del cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, es de AWAKE INTERNATIONAL DRIVER MANAGEMENT TEAM, S.L. quien debe implementar eficazmente en sus sistemas de informaci6n las medidas jurídicas, técnicas y organizativas que contiene el Documento de Seguridad elaborado por 4U ABOGADOS. Los sellos están protegidos con su correspondiente Copyright y por la Ley de Propiedad Intelectual. Queda prohibida la cesión para uso de terceros o comunicación pública del Certificado de Garantía LOPD sin permiso expreso y por escrito de 4U ABOGADOS. 10. PROCEDIMIENTOS DE SEGURIDAD 10.1. y 10.2. Procedimientos jurídicos, Información, consentimiento y cesión de datos. • INFORMACIÓN CLIENTES Cláusula para Socios. Página 30 de 31

Previamente al momento de recogida de datos de los socios , deberá informarse a los mismos de lo que se dispone a continuación, de modo que se insertara la siguiente clausula en presupuestos, contratos, albaranes, formularios, y en cualquier procedimiento de recogida de datos: "Los datos personales del SOCIO van a formar parte de un fichero titularidad de AWAKE INTERNATIONAL DRIVER MANAGEMENT TEAM, S.L. Y van a ser tratados para la finalidad de desarrollar una RED SOCIAL PROFESIONAL PARA DEPORTISTAS. EI cliente presta además su consentimiento expreso para que sus datos sean utilizados por AWAKE INTERNATIONAL DRIVER MANAGEMENT TEAM, S.L para remitirle, por cualquier medio incluidos los electrónicos, información comercial o publicidad sobre sus productos 0 servicios. En caso de que no desee que sus datos sean utilizados para estos fines publicitarios, señale la siguiente casilla . Los datos del cliente van a ser tratados en todo momento según lo establecido en la Ley orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Tiene a su disposición el ejercicio de los derechos de acceso, rectificación, oposición y cancelación, mediante un escrito ante el responsable del Fichero a la siguiente dirección: Calle Alcalá número 87, 3ºD. (28009), Madrid. En las facturas destinadas a clientes deberá contenerse: "Los datos suministrados por usted pasan a formar parte de un fichero de datos y serán utilizados con la finalidad de gestión de Clientes, facturación, mantenimiento, publicidad y prospección comercial, para lo que usted consiente expresamente. En caso en que desee ejercitar los derechos de acceso, rectificación, cancelación u oposición que le asisten, diríjase por escrito a AWAKE INTERNATIONAL DRIVER MANAGEMENT TEAM, S.L Calle Alcalá número 87, 3ºD. (28009), Madrid. lo que ponemos en su conocimiento, en cumplimiento de lo dispuesto en la Ley orgánica 15/1999, de 13 de diciembre." • CORREOS ELECTRÓNICOS Deberá situarse en la nota al pie del correo electrónico, debajo de la firma, la siguiente leyenda: "Los datos personales que pueda contener el presente mensaje, ya sea en su contenido 0 en los destinatarios, cumplen con 10 establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protecci6n de Datos de Carácter Personal. Si usted no es el destinatario de este correo electrónico, le ha llegado como consecuencia de un error informático, destrúyalo en base a la buena fe y no lo utilice para ninguna finalidad".

Página 31 de 31

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.