AYUNTAMIENTO DE CASTRO DE FILABRES |
El considerando 74 del RGPD dice, ".el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el Reglamento General de Protección de Datos, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas físicas".
El Articulo 24 del RGPD dice,"Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.
La disposicion adicional primera de la LOPDGDD dice, "Las administraciones publicas deberán aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado."
Id. | Descripcion Medida de Seguridad |
---|---|
199 |
DIP_AYT-Formación apropiada del personal sobre protección de datos , seguridad y uso adecuado de las TIC. |
200 |
DIP_AYT-Comunicación auditable y clara de las responsabilidades del personal en relación con el cumplimiento de las políticas de privacidad de la organización así como de las sanciones aparejadas al incumplimiento de las mismas. |
201 |
DIP_AYT-Nombrar a una persona o departamento como responsable de la interlocución con los afectados en todo aquello relativo a la privacidad y la protección de datos personales, y comunicar claramente la forma de contactar con ella. |
202 |
DIP_AYT-Nombrar un Delegado de Protección de Datos o Data ProtectionOfficer (que dependiendo del tamaño de la organización será una persona o un departamento interno o externo) para ocuparse de todas las cuestiones relativas a la privacidad dentro de la organización y contar con asesoramiento cualificado. Si se procede a este nombramiento, el Delegado de Protección de Datos puede hacerse cargo también de la interlocución con los afectados. |
203 |
DIP_AYT-Incluir dentro de los procedimientos de diseño y desarrollo de nuevos productos y servicios la incorporación del DPD en las fases iniciales de los mismos. |
204 |
DIP_AYT-Establecer desde la dirección las funciones, competencias y atribuciones del DPD en el desarrollo y gestión de los proyectos, y exigir cumplimiento de dichas funciones y competencias. |
206 |
DIP_AYT-Usar datos disociados o pseudonimos siempre que sea posible y no implique un esfuerzo desproporcionado |
207 |
DIP_AYT-Evitar el uso de datos biométricos salvo que resulte imprescindible o esté absolutamente justificada |
209 |
DIP_AYT-Si se ceden datos personales, establecer por escrito acuerdos que contemplen las condiciones bajo las que se produce la cesión y, en su caso, las relativas a cesiones ulteriores así como las posibilidades de supervisión y control del cumplimiento del acuerdo. |
210 |
DIP_AYT-Asegurarse de que no existen otras causas de legitimación más adecuadas |
211 |
DIP_AYT-Cuando el tratamiento de datos personales se legitime por una relación contractual, ofrecer siempre la posibilidad de consentimiento separado para tratar datos con finalidades que no son necesarias para el cumplimiento o perfeccionamiento de la misma, evitando incluirlas de forma indisoluble en las cláusulas del contrato |
212 |
DIP_AYT-Evitar forzar el consentimiento desde una posición de prevalencia del responsable o cuando existen otras causas legitimadoras suficientes y más adecuadas |
213 |
DIP_AYT-Establecer procedimientos claros para manifestar la revocación del consentimiento o la solicitud de oposición a un determinado tratamiento. Si la organización realiza acciones publicitarias, tener en cuenta las reglas especiales existentes para las comunicaciones comerciales y, en particular, cuando estas se llevan a cabo a través de comunicaciones electrónicas. |
214 |
DIP_AYT-Exigir garantías de que los datos personales provenientes de terceros se han obtenido y cedido lealmente. |
215 |
DIP_AYT-Verificar que el tratamiento de datos especialmente protegidos es absolutamente imprescindible para la finalidad o finalidades perseguidas y se realiza según la normativa de proteccion de datos |
216 |
DIP_AYT-Verificar la legitimidad de la interconexión de datos prevista y Definir claramente los datos personales resultantes del tratamiento y verificar tras el proceso que son los únicos que se han generado |
217 |
DIP_AYT-Evitar el uso de cookies u otros mecanismos de rastreo y monitorización. En caso de que se utilicen, preferir las menos invasivas (cookies propias frente a cookies de terceros, cookies de sesión frente a cookies permanentes, periodos cortos de caducidad de las cookies, etc.). |
218 |
DIP_AYT-Informar con transparencia sobre el uso y finalidades de las cookies. En particular, esta información se podrá ofrecer a través de un sistema de capas |
221 |
DIP_AYT-Incluir en los procesos y metodologías de desarrollo de nuevos proyectos una fase o tarea relativa a la revisión de la necesidad de cumplimiento normativo y de la necesidad de registrar la creación, modificación o cancelación de actividades de tratamiento |
222 |
DIP_AYT-Informar con transparencia sobre el uso y finalidades de las cookies. En particular, esta información se podrá ofrecer a través de un sistema de capas. |
223 |
DIP_AYT-Establecer procedimientos para la revisión sistemática y obligatoria de los distintos formularios de recogida de datos personales que garanticen el cumplimiento de la política de privacidad, la homogeneidad de la información y, en particular, que se ofrece la información adecuada y Estructurada, y proporcionar la información sobre los tratamientos de datos personales en varios niveles fácilmente accesibles por los afectados y valorar la utilización de iconos u otros sistemas gráficos para facilitar su comprensión. |
224 |
DIP_AYT-Estructurar y proporcionar la información sobre los tratamientos de datos personales en varios niveles fácilmente accesibles por los afectados y valorar la utilización de iconos u otros sistemas gráficos para facilitar su comprensión. |
225 |
DIP_AYT-Implantar políticas de privacidad claras, concisas y fácilmente accesibles por los afectados, en formatos estandarizados, y con uniformidad en todos los entornos de la organización. |
226 |
DIP_AYT-Revisar de forma exhaustiva los flujos de información para detectar si se solicitan datos personales que que luego no son utilizados en ningún proceso. |
227 |
DIP_AYT-Establecer medidas técnicas y organizativas que garanticen que las actualizaciones de datos de los afectados se comunican a todos los sistemas de información y departamentos de la Organización que estén autorizados a utilizarlo |
228 |
DIP_AYT-Siempre que sea posible, utilizar datos anónimos, disociados o pseudónimos. Y garantizar que se apliquen las medidas de seguridad adecuadas |
229 |
DIP_AYT-Utilizar pseudónimos o atribuir códigos de sustitución de los datos identificativos que, aunque no consigan la disociación absoluta de los mismos, sí que pueden contribuir a que la información sobre la identidad de los afectados solo sea accesible a un número reducido de personas |
230 |
DIP_AYT-Suminitra información transparente y clara sobre las finalidades para las que se tratarán los datos personales, en particular, a traves de una política de privacidad visible y accesible |
231 |
DIP_AYT-Establecer mecanismos y procedimientos que permitan resolver de una manera rápida y eficaz los errores que se hayan podido cometer. |
232 |
DIP_AYT-Definir claramente los plazos de cancelación de todos los datos personales de los sistemas de información, y establecer los controles adecuados. |
233 |
DIP_AYT-Evitar el uso de datos especialmente protegidos salvo que resulte absolutamente necesario y si es necesario. Y establecer procedimientos que garanticen la obtención del consentimiento expreso (y por escrito cuando sea necesario) y que permitan probar que se cuenta con él. |
234 |
DIP_AYT-Establecer mecanismos y procedimientos de concienciación sobre la obligación de guardar secreto sobre los datos personales que se conozcan en el ejercicio de las funciones profesionales. |
235 |
DIP_AYT-Establecer procedimientos que garanticen que se notifica formalmente a los trabajadores que acceden a datos personales de la obligación de guardar secreto sobre aquellos datos personales que conozcan en el ejercicio de sus funciones y de las consecuencias de su incumplimiento |
236 |
DIP_AYT-Establecer procedimientos para garantizar la destrucción de soportes desechados que contengan datos personales |
237 |
DIP_AYT-Formación adecuada de los empleados sobre sus obligaciones y responsabilidades respecto a la confidencialidad de la información |
238 |
DIP_AYT-Procedimiento para establecimiento de sanciones disuasorias para los empleados que violen la confidencialidad de los datos personales y comunicación clara y completa de las mismas. |
239 |
DIP_AYT-Establecer procedimientos que garanticen que siempre que se recurre a un encargado de tratamiento se firma el correspondiente contrato en los términos establecidos por la legislación de protección de datos |
240 |
DIP_AYT-Seleccionar encargados de tratamiento que proporcionen garantías suficientes de cumplimiento de los contratos y de la adopción de las medidas de seguridad. Establecer contractualmente mecanismos de supervisión, verificación y auditoría de los tratamientos encargados a terceros estipuladas a través, por ejemplo, de su adhesión a posibles códigos de conducta o a esquemas de certificación homologados y de acreditada solvencia |
241 |
DIP_AYT-Establecer mecanismos y procedimientos que garanticen el control sobre las actividades de los subcontratistas que pueda elegir un encargado de tratamiento. |
242 |
DIP_AYT-Definir acuerdos de nivel de servicio que garanticen el correcto cumplimiento de las instrucciones del responsable y la adopción de las medidas de seguridad adecuadas |
243 |
DIP_AYT-Incluir en el contrato de encargo la obligacion de comunicar al responsable las peticiones de ejercicio de los derechos de los interesados. Y Definir los procedimientos operativos para que esta comunicación se lleve a cabo de forma ágil y eficiente. |
244 |
DIP_AYT-Incluir la obligación de portabilidad en el contrato y en los acuerdos de nivel de servicio. Y Establecer medidas técnicas y organizativas que garanticen la portabilidad |
245 |
DIP_AYT-Implantar sistemas transparentes que permitan a los afectados acceder de forma fácil, directa y con la apropiada seguridad a sus datos personales, así como ejercitar sus derechos |
246 |
DIP_AYT-Formar a todo personal para que conozca qué ha de hacer si recibe una petición de derecho de los interesados o ha de informar a los afectados sobre cómo ejercerla. |
247 |
DIP_AYT-Definir qué personas o departamentos se ocuparán de gestionar los derechos de los interesados y atenderlos adecuadamente |
248 |
DIP_AYT-Definición de procedimientos de gestión y puesta en marcha de herramientas que garanticen que todos los empleados conocen cómo actuar ante un ejercicio de derechos de los interesados y que pueden suministrar la información adecuada a los afectados |
249 |
DIP_AYT-Definición de procedimientos de gestión y puesta en marcha de herramientas que garanticen la comunicación de rectificaciones, cancelaciones y oposiciones a las organizaciones a las que se hayan cedido los datos personales de que se trate. |
250 |
DIP_AYT-Implantar las Medidas de seguridad del Esquema Nacional de Seguridad (ENS) |
251 |
DIP_AYT-Definir los procedimientos y Adecuar los formularios de recogida para cumplir con los principios adecuados del tratamiento de datos personales (Deber de Informar, Minimizacion de datos, etc.) |
252 |
DIP_AYT-Utilizar archivadores o salas de archivo con llaves o sistemas de cerrado, así como de registro del personal que accede a los documentos en papel. |
253 |
DIP_AYT-Política de mesas Limpias, y cajones en las mesas con llaves |
254 |
DIP_AYT-Procedimientos para el traslado de documentos en papel entre los distintos edificios y dependencias. |
255 |
DIP_AYT-Definir los procedimientos y normas para la destrucción de documentos en papel que contienen datos personales. |
267 |
DIP_AYT- Establecer procedimiento y medidas necesarias para registro de incidencias y violaciones de seguridad y en su caso notificación a órgano de control correspondiente. |
Numero de Medidas de Seguridad para aplicar: 54