Escudo

AYUNTAMIENTO DE SANTA FE DE MONDÚJAR

MEDIDAS DE SEGURIDAD:

El considerando 74 del RGPD dice, ".el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el Reglamento General de Protección de Datos, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas físicas".

El Articulo 24 del RGPD dice,"Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.

La disposicion adicional primera de la LOPDGDD dice, "Las administraciones publicas deberán aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado."

MEDIDAS DE SEGURIDAD QUE IMPLANTA AYUNTAMIENTO DE SANTA FE DE MONDÚJAR

Id. Descripcion Medida de Seguridad

199

DIP_AYT-Formación apropiada del personal sobre protección de datos , seguridad y uso adecuado de las TIC.

200

DIP_AYT-Comunicación auditable y clara de las responsabilidades del personal en relación con el cumplimiento de las políticas de privacidad de la organización así como de las sanciones aparejadas al incumplimiento de las mismas.

201

DIP_AYT-Nombrar a una persona o departamento como responsable de la interlocución con los afectados en todo aquello relativo a la privacidad y la protección de datos personales, y comunicar claramente la forma de contactar con ella.

202

DIP_AYT-Nombrar un Delegado de Protección de Datos o Data ProtectionOfficer (que dependiendo del tamaño de la organización será una persona o un departamento interno o externo) para ocuparse de todas las cuestiones relativas a la privacidad dentro de la organización y contar con asesoramiento cualificado. Si se procede a este nombramiento, el Delegado de Protección de Datos puede hacerse cargo también de la interlocución con los afectados.

203

DIP_AYT-Incluir dentro de los procedimientos de diseño y desarrollo de nuevos productos y servicios la incorporación del DPD en las fases iniciales de los mismos.

204

DIP_AYT-Establecer desde la dirección las funciones, competencias y atribuciones del DPD en el desarrollo y gestión de los proyectos, y exigir cumplimiento de dichas funciones y competencias.

206

DIP_AYT-Usar datos disociados o pseudonimos siempre que sea posible y no implique un esfuerzo desproporcionado

207

DIP_AYT-Evitar el uso de datos biométricos salvo que resulte imprescindible o esté absolutamente justificada

209

DIP_AYT-Si se ceden datos personales, establecer por escrito acuerdos que contemplen las condiciones bajo las que se produce la cesión y, en su caso, las relativas a cesiones ulteriores así como las posibilidades de supervisión y control del cumplimiento del acuerdo.

210

DIP_AYT-Asegurarse de que no existen otras causas de legitimación más adecuadas

211

DIP_AYT-Cuando el tratamiento de datos personales se legitime por una relación contractual, ofrecer siempre la posibilidad de consentimiento separado para tratar datos con finalidades que no son necesarias para el cumplimiento o perfeccionamiento de la misma, evitando incluirlas de forma indisoluble en las cláusulas del contrato

212

DIP_AYT-Evitar forzar el consentimiento desde una posición de prevalencia del responsable o cuando existen otras causas legitimadoras suficientes y más adecuadas

213

DIP_AYT-Establecer procedimientos claros para manifestar la revocación del consentimiento o la solicitud de oposición a un determinado tratamiento. Si la organización realiza acciones publicitarias, tener en cuenta las reglas especiales existentes para las comunicaciones comerciales y, en particular, cuando estas se llevan a cabo a través de comunicaciones electrónicas.

214

DIP_AYT-Exigir garantías de que los datos personales provenientes de terceros se han obtenido y cedido lealmente.

215

DIP_AYT-Verificar que el tratamiento de datos especialmente protegidos es absolutamente imprescindible para la finalidad o finalidades perseguidas y se realiza según la normativa de proteccion de datos

216

DIP_AYT-Verificar la legitimidad de la interconexión de datos prevista y Definir claramente los datos personales resultantes del tratamiento y verificar tras el proceso que son los únicos que se han generado

217

DIP_AYT-Evitar el uso de cookies u otros mecanismos de rastreo y monitorización. En caso de que se utilicen, preferir las menos invasivas (cookies propias frente a cookies de terceros, cookies de sesión frente a cookies permanentes, periodos cortos de caducidad de las cookies, etc.).

218

DIP_AYT-Informar con transparencia sobre el uso y finalidades de las cookies. En particular, esta información se podrá ofrecer a través de un sistema de capas

221

DIP_AYT-Incluir en los procesos y metodologías de desarrollo de nuevos proyectos una fase o tarea relativa a la revisión de la necesidad de cumplimiento normativo y de la necesidad de registrar la creación, modificación o cancelación de actividades de tratamiento

222

DIP_AYT-Informar con transparencia sobre el uso y finalidades de las cookies. En particular, esta información se podrá ofrecer a través de un sistema de capas.

223

DIP_AYT-Establecer procedimientos para la revisión sistemática y obligatoria de los distintos formularios de recogida de datos personales que garanticen el cumplimiento de la política de privacidad, la homogeneidad de la información y, en particular, que se ofrece la información adecuada y Estructurada, y proporcionar la información sobre los tratamientos de datos personales en varios niveles fácilmente accesibles por los afectados y valorar la utilización de iconos u otros sistemas gráficos para facilitar su comprensión.

224

DIP_AYT-Estructurar y proporcionar la información sobre los tratamientos de datos personales en varios niveles fácilmente accesibles por los afectados y valorar la utilización de iconos u otros sistemas gráficos para facilitar su comprensión.

225

DIP_AYT-Implantar políticas de privacidad claras, concisas y fácilmente accesibles por los afectados, en formatos estandarizados, y con uniformidad en todos los entornos de la organización.

226

DIP_AYT-Revisar de forma exhaustiva los flujos de información para detectar si se solicitan datos personales que que luego no son utilizados en ningún proceso.

227

DIP_AYT-Establecer medidas técnicas y organizativas que garanticen que las actualizaciones de datos de los afectados se comunican a todos los sistemas de información y departamentos de la Organización que estén autorizados a utilizarlo

228

DIP_AYT-Siempre que sea posible, utilizar datos anónimos, disociados o pseudónimos. Y garantizar que se apliquen las medidas de seguridad adecuadas

229

DIP_AYT-Utilizar pseudónimos o atribuir códigos de sustitución de los datos identificativos que, aunque no consigan la disociación absoluta de los mismos, sí que pueden contribuir a que la información sobre la identidad de los afectados solo sea accesible a un número reducido de personas

230

DIP_AYT-Suminitra información transparente y clara sobre las finalidades para las que se tratarán los datos personales, en particular, a traves de una política de privacidad visible y accesible

231

DIP_AYT-Establecer mecanismos y procedimientos que permitan resolver de una manera rápida y eficaz los errores que se hayan podido cometer.

232

DIP_AYT-Definir claramente los plazos de cancelación de todos los datos personales de los sistemas de información, y establecer los controles adecuados.

233

DIP_AYT-Evitar el uso de datos especialmente protegidos salvo que resulte absolutamente necesario y si es necesario. Y establecer procedimientos que garanticen la obtención del consentimiento expreso (y por escrito cuando sea necesario) y que permitan probar que se cuenta con él.

234

DIP_AYT-Establecer mecanismos y procedimientos de concienciación sobre la obligación de guardar secreto sobre los datos personales que se conozcan en el ejercicio de las funciones profesionales.

235

DIP_AYT-Establecer procedimientos que garanticen que se notifica formalmente a los trabajadores que acceden a datos personales de la obligación de guardar secreto sobre aquellos datos personales que conozcan en el ejercicio de sus funciones y de las consecuencias de su incumplimiento

236

DIP_AYT-Establecer procedimientos para garantizar la destrucción de soportes desechados que contengan datos personales

237

DIP_AYT-Formación adecuada de los empleados sobre sus obligaciones y responsabilidades respecto a la confidencialidad de la información

238

DIP_AYT-Procedimiento para establecimiento de sanciones disuasorias para los empleados que violen la confidencialidad de los datos personales y comunicación clara y completa de las mismas.

239

DIP_AYT-Establecer procedimientos que garanticen que siempre que se recurre a un encargado de tratamiento se firma el correspondiente contrato en los términos establecidos por la legislación de protección de datos

240

DIP_AYT-Seleccionar encargados de tratamiento que proporcionen garantías suficientes de cumplimiento de los contratos y de la adopción de las medidas de seguridad. Establecer contractualmente mecanismos de supervisión, verificación y auditoría de los tratamientos encargados a terceros estipuladas a través, por ejemplo, de su adhesión a posibles códigos de conducta o a esquemas de certificación homologados y de acreditada solvencia

241

DIP_AYT-Establecer mecanismos y procedimientos que garanticen el control sobre las actividades de los subcontratistas que pueda elegir un encargado de tratamiento.

242

DIP_AYT-Definir acuerdos de nivel de servicio que garanticen el correcto cumplimiento de las instrucciones del responsable y la adopción de las medidas de seguridad adecuadas

243

DIP_AYT-Incluir en el contrato de encargo la obligacion de comunicar al responsable las peticiones de ejercicio de los derechos de los interesados. Y Definir los procedimientos operativos para que esta comunicación se lleve a cabo de forma ágil y eficiente.

244

DIP_AYT-Incluir la obligación de portabilidad en el contrato y en los acuerdos de nivel de servicio. Y Establecer medidas técnicas y organizativas que garanticen la portabilidad

245

DIP_AYT-Implantar sistemas transparentes que permitan a los afectados acceder de forma fácil, directa y con la apropiada seguridad a sus datos personales, así como ejercitar sus derechos

246

DIP_AYT-Formar a todo personal para que conozca qué ha de hacer si recibe una petición de derecho de los interesados o ha de informar a los afectados sobre cómo ejercerla.

247

DIP_AYT-Definir qué personas o departamentos se ocuparán de gestionar los derechos de los interesados y atenderlos adecuadamente

248

DIP_AYT-Definición de procedimientos de gestión y puesta en marcha de herramientas que garanticen que todos los empleados conocen cómo actuar ante un ejercicio de derechos de los interesados y que pueden suministrar la información adecuada a los afectados

249

DIP_AYT-Definición de procedimientos de gestión y puesta en marcha de herramientas que garanticen la comunicación de rectificaciones, cancelaciones y oposiciones a las organizaciones a las que se hayan cedido los datos personales de que se trate.

250

DIP_AYT-Implantar las Medidas de seguridad del Esquema Nacional de Seguridad (ENS)

251

DIP_AYT-Definir los procedimientos y Adecuar los formularios de recogida para cumplir con los principios adecuados del tratamiento de datos personales (Deber de Informar, Minimizacion de datos, etc.)

252

DIP_AYT-Utilizar archivadores o salas de archivo con llaves o sistemas de cerrado, así como de registro del personal que accede a los documentos en papel.

253

DIP_AYT-Política de mesas Limpias, y cajones en las mesas con llaves

254

DIP_AYT-Procedimientos para el traslado de documentos en papel entre los distintos edificios y dependencias.

255

DIP_AYT-Definir los procedimientos y normas para la destrucción de documentos en papel que contienen datos personales.

267

DIP_AYT- Establecer procedimiento y medidas necesarias para registro de incidencias y violaciones de seguridad y en su caso notificación a órgano de control correspondiente.

Numero de Medidas de Seguridad para aplicar: 54