Auditoria amb llista de mesures correctores€¦ · c/ Sant Agustí n 1 1º 1ª · 08301 Mataró ·T. 934.961.845 · @ [email protected] Num. Protocol a.- 39/2017 1 ÍNDEX GENERAL DE

Centre Integral de

Protecció de la

Informació

Auditoria amb llista de mesures correctores

La Fundació Social del Raval

Exercici 2017 Barcelona, c/ Bisbe Laguarda n. 1C

c/ Sant Agustí n 1 1º 1ª · 08301 Mataró ·T. 934.961.845 · @ [email protected] Num. Protocol a.- 39/2017

1

ÍNDEX GENERAL DE L’INFORME

D’AUDITORIA EXTERNA (Arts. 96 i 110 del RD 1720/2007 de 21 de desembre)

PRESENTACIÓ

GLOSSARI

1.- ANÀLISI DE LA BASE DE DADES DE LA FUNDACIÓ

1.1.- FITXERS DECLARATS: 1.1.1.- VERIFICACIÓ EFECTUADA 1.1.2.- FONAMENT LEGAL. 1.1.3.- INSTRUCCIONS DE L’AUDITOR I MESURES CORRECTORES 1.1.3.1.- Instruccions de l’auditor 1.1.3.2.- Mesures correctores 1.2.- COMPOSICIÓ: LES LLISTES PER FINALITATS.- 1.2.1.- VERIFICACIÓ EFECTUADA 1.2.2- FONAMENT LEGAL.- 1.2.3- INSTRUCCIONS DE L’AUDITOR I MESURES CORRECTORES.- 1.2.3.1.- Instruccions de l’auditor. 1.2.3.2.- Mesures correctores 1.3.- LA QUALITAT DE LES DADES.- 1.3.1.- VERIFICACIÓ EFECTUADA 1.3.1.1- La longitud de les dades: 1.3.1.2.- Adequació, pertinença i excés 1.3.1.3.- Actualitat.- 1.3.1.4.- Conservació 1.3.1.5.- Destrucció 1.3.2.- FONAMENT LEGAL.- 1.3.3.- INSTRUCCIONS DE L’AUDITOR 1.3.4.- MESURES CORRECTORES.- . 1.4.- FORMULARI D’AUTOCONTROL DE L’APARTAT.-

2.- ANÀLISI LA LEGITIMACIÓ PER AL TRACTAMENT DE LA

INFORMACIÓ I LES DADES 2.1.- EL PERSONAL.


2

2.1.1 ANÀLISI DEL DOCUMENT DE CONSENTIMENT INFORMAT GENERAL (TARGETES ALFA): 2.1.1.1.- Verificació efectuada 2.1.1.2.- Fonament Jurídic 2.1.1.3.- Comentari de l’auditor 2.1.1.4.- Mesures correctores. 2.1.2.- LA CONFIDENCIALITAT. 2.1.2.1.- Verificació efectuada. 2.1.2.2.- Fonament Jurídic 2.1.2.3.- Comentari de l’auditor 2.1.2.4.- Mesura correctora. 2.1.3.- FORMACIÓ I NIVELL DE CONEIXEMENT DE LES MES URES DE SEGURETAT I PROTOCOLS ESTABLERTS AL REGLAMENT INTER N DE SEGURETAT. 2.1.3.1.- Verificació efectuada. 2.1.3.2.- Fonament jurídic 2.1.3.3.- Comentari de l’auditor 2.1.3.4.- Mesures correctores. 2.1.4.- EL TRACTAMENT DE LES IMATGES. 2.1.4.1.- Verificació efectuada 2.1.4.2.- Fonament Jurídic 2.1.4.3.- Comentari de l’auditor 2.1.4.4.- Mesura correctora 2.1.5.- TIPUS DE DOCUMENTS I CONSERVACIÓ. 2.1.5.1.- Verificació efectuada 2.1.5.2.- Fonament jurídic 2.1.5.3.- Comentari de l’auditor 2.1.5.4.- Mesures correctores 2.1.6.- FORMULARI D’AUTOCONTROL DE L’APARTAT.- 2.2.- ELS BENEFICIARIS I ELS DONANTS. 2.2.1 ANÀLISI DEL DOCUMENT DE CONSENTIMENT INFORMAT GENERAL (TARGETES ALFA): 2.2.1.1.- Verificació efectuada. 2.2.1.2.- Fonament jurídic. 2.2.1.3.- Comentari de l’auditor 2.2.1.4.- Mesures correctores


3

2.3.2.1.- Consentiment Informat General: 2.2.2.- ALTRES DOCUMENTS I CONSENTIMENTS (TRACTAMEN TS ESPECÍFICS) 2.2.2.1.-Verificació efectuada 2.2.2.2.- Fonament jurídic. 2.2.2.3.- Instruccions de l’auditor 2.2.2.4.- Mesures correctores 2.2.3.- FORMULARI D’AUTOCONTROL DE L’APARTAT.-

3.- LES MESURES DE SEGURETAT APLICADES.

3.1.- SUPORTS NO AUTOMATITZATS 3.1.1.- ANÀLISI DE LES MESURES DE SEGURETAT 3.1.1.1.- Verificació efectuada. 3.1.1.2.- Fonament jurídic 3.1.1.3. - Instruccions de l’auditor i mesures correctores.- 3.1.1.4.- Mesures correctores 3.1.2.- EL REGISTRE D’ACCESSOS 3.1.2.1.- Verificació efectuada 3.1.2.2.- Fonament jurídic 3.1.2.3.- Comentari de l’auditor 3.1.2.4.- Mesures correctores 3.1.3.- FORMULARI D’AUTOCONTROL DE L’APARTAT.- 3.2.- SUPORTS INFORMATITZATS 3.2.1.- VERIFICACIÓ EFECTUADA. 3.2.1.1- Dades generals 3.2.1.2.- La xarxa 3.2.1.3.- Els servidors 3.2.1.4.- Claus d’accés 3.2.1.5.- Registre de accessos. 3.2.1.6.- Gestió de suports 3.2.1.7.- Les còpies de seguretat 3.2.1.8.- El correu electrònic 3.2.1.9.- La Plataforma. 3.2.1.10.- Autocontrol 3.2.2.- FONAMENT JURÍDIC


4

3.2.3.- INSTRUCCIONS DE L’AUDITOR 3.2.4.- MESURES CORRECTORES. 3.2.5.- FORMULARI D’AUTOCONTROL DE L’APARTAT

4.- LA WEB I CORREU ELECTRÒNIC.

4.1.- OBLIGACIÓ D’INFORMAR 4.1.1.- VERIFICACIÓ EFECTUADA. 4.1.2.- FONAMENT JURÍDIC. 4.1.3.- INDICACIONS DE L’AUDITOR 4.1.4.- MESURES CORRECTORES 4.2.- COMUNICACIONS COMERCIALS 4.2.1.- VERIFICACIÓ EFECTUADA 4.2.2.- FONAMENT JURÍDIC 4.2.3.- INDICACIONS DE L’AUDITOR. 4.2.4.- MESURES CORRECTORES 4.3.- CONTRACTACIÓ ELECTRÒNICA 4.3.1.- VERIFICACIÓ EFECTUADA 4.3.2.- FONAMENT JURÍDIC 4.3.3.- INDICACIONS DE L’AUDITOR 4.3.4.- MESURA CORRECTORA 4.4.- CONTINGUT 4.4.1.- VERIFICACIÓ EFECTUADA 4.4.2.- FONAMENT JURÍDIC 4.4.3.- INDICACIONS DE L’AUDITOR 4.4.4.- MESURES CORRECTORES 4.5.- FORMULARI D’AUTOCONTROL DE L’APARTAT.- 5.- EL REGLAMENT INTERN DE SEGURETAT I ELS PROTOCOLS

5.1.- EL DOCUMENT INTERN DE SEGURETAT 5.1.1.- VERIFICACIÓ EFECTUADA. 5.1.2.- FONAMENT JURÍDIC. 5.1.3.- COMENTARI DE L’AUDITORI. 5.1.4.- MESURES CORRECTORES 5.2.- EL PROTOCOL D’INCIDÈNCIES


5

5.2.1.- VERIFICACIÓ EFECTUADA 5.2.2.- FONAMENT JURÍDIC 5.2.3.- COMENTARI DE L’AUDITOR 5.2.4.- MESURES CORRECTORES: 5.3.- EL PROTOCOL D’ACTUACIÓ EN SITUACIONS EXTRAORD INÀRIES. 5.3.1.- VERIFICACIÓ EFECTUADA 5.3.2.- FONAMENT JURÍDIC. 5.3.3.- COMENTARI DE L’AUDITOR I FONAMENT. 5.3.4.- MESURES CORRECTORES: 5.4.- EL PROTOCOL D’EXERCICI DE DRETS 5.4.1.- VERIFICACIÓ EFECTUADA. 5.4.2.- FONAMENT JURÍDIC 5.4.3.- COMENTARI DE L’AUDITOR I FONAMENT JURÍDIC: 5.4.4.- MESURES CORRECTORES: 5.5.- EL PROTOCOL DE CAPTACIÓ I PUBLICACIÓ DE LES I MATGES. 5.5.1.- VERIFICACIÓ EFECTUADA. 5.5.2.- FONAMENT JURÍDIC 5.5.3.- COMENTARI DE L’AUDITOR 5.5.4.- MESURES CORRECTORES 5.6.- EL PROTOCOL D’ÚS DE LES TECNOLOGIES DE LA INF ORMACIÓ I LA COMUNICACIÓ (TIC). 5.6.1.- VERIFICACIÓ EFECTUADA 5.6.2.- FONAMENT JURÍDIC 5.6.3.- COMENTARI DE L’AUDITOR I FONAMENT 5.7.- PROTOCOL DE PROTECCIÓ DE LA PROPIETAT INTEL·L ECTUAL. 5.7.1.- VERIFICACIÓ EFECTUADA. 5.7.2.- FONAMENT JURÍDIC 5.7.3.- COMENTARI DE L’AUDITOR I FONAMENT 5.7.4.- MESURES CORRECTORES 5.8.- LA SORTIDA D’INFORMACIÓ DE LA FUNDACIÓ 5.8.1.- ELS ENCARREGATS DEL TRACTAMENT 5.8.1.1.- Verificació efectuada 5.8.1.2.- Fonament jurídic. 5.8.1.3.- Comentari de l’auditor i fonament jurídic 5.8.1.4.- Mesures correctores


6

5.8.2.- LES INSTITUCIONS ANNEXES 5.8.2.1.- Verificació efectuada 5.8.1.2.- Fonament jurídic 5.8.1.3.- Comentari de l’auditor 5.8.1.4.- Mesures correctores 5.8.3.- TRANSFERÈNCIES INTERNACIONALS DE DADES 5.8.3.1.- Verificació efectuada. 5.8.3.2.- Fonament jurídic. 5.8.3.3.- Comentari de l’auditor 5.8.3.4.- Mesures correctores 5.9.- L’AUDITORIA. 5.9.1.- VERIFICACIÓ EFECTUADA. 5.9.2.- FONAMENT JURÍDIC 5.9.3.- COMENTARI DE L’AUDITOR. 5.9.4.- MESURES CORRECTORES. 5.10.- FORMULARI D’AUTOCONTROL DE L’APARTAT.-

6 - CONCLUSIONS.

6.1.- ANÀLISI DE LA BASE DE DADES. 6.2.- ANÀLISI DE LA LEGITIMACIÓ DELS USUARIS PER FE R EL TRACTAMENT DE LA INFORMACIÓ. 6.3.- ANÀLISI DE LES MESURES DE SEGURETAT APLICADES A LES DADES.- 6.4.- LA WEB 6.5.- EL REGLAMENT INTERN DE SEGURETAT I ELS PROTOC OLS


7

PRESENTACIÓ INFORME TÈCNIC que emet CIPDI TRACTAMENT DE LA INFORMACIÓ S.L., NIF B-65223893, societat inscrita al registre mercantil de Barcelona al foli 155 Tom 41768, per verificar el compliment de les obligacions en matèria de tractament i protecció de la informació en tots els suports físics i en el núvol quan la informació es troba en estat dinàmic i/o estàtic. CONSIDERACIONS PRÈVIES. Aquest informe ha estat elaborat pel lletrat auditor Sr. Raül Postigo Córdoba nº col·legiat 2.089 de l’ICASF sota la direcció de D. Antoni Ruiz Carrillo, Col·legiat nº 15.059 de l’ICAB OBJECTE DE L’INFORME.- Analitzar el nivell de compliment de les normes que regulen el tractament i la seguretat de la informació en tots els suports i, concretament, l’aplicació de normes següents: a.- El Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades, en virtut del qual es deroga la Directiva 95/46 / CE (Reglament general de protecció de dades). b.- Llei orgànica 15/1999, de 13 de desembre, de Protecció de dades de caràcter personal. c.- Reial Decret 1720/2007, de 21 de desembre, pel qual s'aprova el Reglament de desenvolupament de la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal. d.- Directiva 2006/24/CE, del Parlament Europeu i del Consell de 15 de març de 2006, sobre la conservació de dades generades o tractades en relació a la prestació de serveis de comunicacions electròniques d’accés públic. e.- Directiva 2002/58/CE del Parlament Europeu i del Consell, de 12 de juliol de 2002, relativa al tractament de dades personals y a la protecció de la intimidat en el sector de las comunicacions electròniques (Directiva sobre privacitat i les comunicacions electròniques). f.- Llei 34/2002, de 11 de juliol, de serveis de la societat de la informació i de comerç electrònic.


8

GLOSSARI • Afectat : Persona física titular de les dades que siguin objecte del tractament (Art. 3.e). • Autenticació : Procediment de comprovació de la identitat d’un usuari mitjançant el qual es garanteix que l’usuari que accedeix a un sistema informàtic o digital és qui diu ser. En general, els sistemes d’autenticació estan basats en el xifrat mitjançant una clau o contrasenya privada i secreta que només coneix l’ emissor autèntic. • Bloqueig de les dades : La identificació i reserva de dades amb la finalitat d’impedir que es tractin. • Cessió de dades : Revelació de dades a una persona diferent de l’afectat. • Clàusula d’obligació de confidencialitat i prohibic ió d’ús: És una declaració de voluntat per la qual el personal que tracta informació (contactat o no) es compromet a no fer servir la informació, ni els suports del centre per assolir una finalitat diferent de les expressament permeses per la direcció del centre. • Comunicació de dades : Transmissió de dades que resulta de la connexió de diversos fitxers dins d’una mateixa Base de Dades. • Cookies : Conjunt de dades que envia un servidor Web a qualsevol navegador que el visita amb informació sobre la utilització que ha fet el navegador de les pàgines del servidor, de la direcció IP del navegador, direcció de les pàgines visitades, direcció de la pàgina des de la qual s’accedeix, data, hora, etc. Aquesta informació s’emmagatzema en un fitxer a l’ordinador de l’usuari per a ser utilitzada en una pròxima visita al servidor. Hi ha servidors que restringeixen la utilització de determinades funcionalitats dels seus serveis o, fins i tot, en deneguen l’ús si l’usuari decideix no acceptar l’enregistrament o col·locació de la cookie al seu ordinador. • Consentiment de l’afectat : Es una manifestació de voluntat, lliure, inequívoca, específica i informada, per la qual l’interessat consent que es tractin les seves dades personals (Art. 3.h). • Consentiment informat : Consentiment atorgat per l’afectat o, en el seu cas, el seu representant legal, a qui prèviament s’ha informat de totes les prescripcions legals exigibles. • Contrasenya : Informació de caràcter confidencial, freqüentment constituïda per una cadena de caràcters, que es fa servir per autenticar a un usuari del sistema.


9

• Contracte perimetral: És un conveni que han de signar el responsable i l’encarregat del tractament mitjançant el qual les parts es comprometen a garantir els drets dels afectats i els de les parts quan tractin la informació objecte del contracte. L’article 12.2 de la LOPD obliga a signar ’un contracte regulador del tractament. Sempre que una tercera persona accedeixi a algun tipus d’informació del centre, cal signar un contracte o una clàusula contractual que garanteixi els drets de les persones afectades pel tractament de dades.. Normalment es signa amb el Banc per cobrar rebuts, amb la Gestoria amb motiu del tractament de dades de les nòmines del personal. Control de l’accés : Mecanisme que permet accedir a dades o recursos en funció de la identificació quan ja estigui autenticada. • Confidencialitat : Característica o atribut de la informació que es pot revelar als usuaris que tinguin permís per a tractar-la. • Dades de caràcter personal : La informació numèrica, gràfica, fotogràfica, acústica o de qualsevol altre tipus, que sigui susceptible de ser recollida, registrada, tractada o transmesa relativa a una persona física identificada o identificable. Es considera identificable la persona, la identitat de la qual es pugui determinar de forma directa o indirecta, en particular a partir d’un nombre d’identificació o de diversos elements específics, característics de la seva identitat física, fisiològica, psíquica, econòmica, cultural o social. • Dret d’accés: Està regulat a l’article 15 de la L.O.P.D. i al 27 del R.D. 1720/2007, de 21 de desembre. És la facultat que té l’afectat per demanar i obtenir gratuïtament informació sobre les seves dades, i de les comunicacions que s’hagin fet o que es tingui previst de fer. S’executa quan el responsable del fitxer emet una certificació dirigida a l’afectat declarant la informació que consta en la base de dades del centre de la seva persona. Aquest dret no es pot exercir en intervals inferiors a un any sense acreditar interès legítim. El director del centre ha de resoldre la petició d’accés en el termini màxim d’un mes a comptar des que rebi l’escrit demanant l’accés • Dret d’oposició: És una objecció que fa l’afectat quan el responsable del fitxer l’informa de que tractarà les seves dades d’una determinada manera. • Drets de rectificació i cancel·lació: Són drets que tenen els afectats pels quals poden demanar al responsable del fitxer que canviï el contingut de les seves dades o que esborri qualsevol informació sobre la seva persona. Estan Regulats en els articles 16 de la LOPD i 31 a 33 del RD 1720/2007. El responsable del Fitxer té la obligació de mantenir les dades exactes, de manera que responguin amb veracitat a la situació actual de l’afectat (art. 4.3 de la LOPD). Cancel·lar vol dir suprimir una informació perquè no és exacta, no és adequada, o és excessiva. També es consideren cancel·lades les dades bloquejades o que no s’han pogut esborrar. Rectificar vol dir esborrar una dada i canviar-la per una altra, o posar-ne una altra rectificativa de la anterior.


10

• Destinatari : La persona física o jurídica, autoritat pública, servei o qualsevol altre organisme que rebi comunicació de dades. • Destinatari en transferència internacional de dades : Persona física o jurídica, pública o privada, situada fora del territori espanyol que rebi dades transferides. • DHCP: (Dynamic Host Configuration Protocol) Protocol que fan servir les xarxes locals amb mes d’un PC per assignar direccions IP automàticament a cada un d’ells mitjançant un servidor. • Domini o Nom de Domini : És un nom registrat que identifica el lloc de la xarxa d’una organització accessible al usuaris d’Internet. • Expedient acadèmic : conjunt d’informació, en qualsevol tipus de suport, que conté dades d’un alumne, les circumstàncies personals, les qualificacions i qualificacions acadèmiques, dades sobre el seu perfil social, familiar, psicològic i, en particular, de salut en els casos que convingui. • Fitxer : Conjunt organitzat de dades accessibles segons els criteris determinats per la direcció del centre de tractament, ja sigui de forma centralitzada, descentralitzada o repartida de manera funcional o geogràfica qualsevol que sigui la forma o modalitat de la seva creació, registre, organització i accés. • Firewall : Aplicació de seguretat que regula i controla l’accés als sistemes connectats a Internet. • Fonts accessibles al públic : El fitxer que qualsevol persona pot consultar sempre que cap llei ho impedeixi Són fonts d’accés públic, exclusivament, el cens promocional, els repertoris telefònics en els termes que preveu la normativa específica i les llistes de persones que pertanyen a grups professionals que incloguin, únicament, les dades del nom, títol, professió, activitat, grau acadèmic, direcció i la indicació de formar part del grup. Tanmateix tenen caràcter de fonts d’accés públic, els Diaris i Butlletins oficials i els mitjans de comunicació (Art. 3.j). • Identificació : Procediment per reconèixer la identitat d’un usuari. • Incidència : Qualsevol anomalia que afecti o pugui afectar la seguretat de les dades. • Integritat : Garantia de l’exactitud de la informació davant l’alteració, pèrdua o destrucció, ja sigui de forma accidental o fraudulenta. • Internet : Xarxa digital de transmissió basada en el protocol TCP/IP que interconnecta entre si xarxes de menor mida, permetent la comunicació entre qualsevol parell d’ordinadors connectats a xarxes subsidiàries.


11

• LOPD: Llei Orgànica 15/1.999, de 13 de desembre, de Protecció de Dades de Caràcter Personal. • LSSICE o LSSI : Llei 34/2.002, d’11 de juliol, de Serveis de la Societat de la Informació i el Comerç Electrònic. • Procediment de dissociació : El tractament de dades personals de manera que la informació que s’obtingui no pugui ser associada a cap persona física identificada o identificable (Art. 3.f). • Protocol : Conjunt de regles que se segueixen en una comunicació. • Recurs : Qualsevol part d’un sistema d’informació. • Registre d’accessos : Es una llista de les persones que poden accedir a un sistema o recurs. • Registre d’incidències : Es un arxiu en el que es recullen els esdeveniments que puguin afectar al tractament de la informació del centre de tractament, com la pèrdua d’una clau, un canvi de contrasenya, un canvi de responsable, etc. • Reglament Intern de Seguretat (RIS): És el cos normatiu que regula com s’ha de gestionar la informació dintre d’una organització. • Responsable del fitxer o del tractament. Persona física o jurídica, de naturalesa pública o privada, o òrgan administratiu, que sol o conjuntament amb altres decideixi sobre la finalitat, contingut i ús del tractament, encara que no ho realitzi materialment. Als efectes d’aquest informe, s’entendrà que el responsable del fitxer és la Fundació Social del Raval • Responsable de Seguretat : Persona o persones a qui el responsable del fitxer ha assignat formalment la funció de coordinar i controlar les mesures de seguretat aplicables. Serà la persona encarregada de fer l’informe d’autocontrol semestral. • Servidor : Màquina que es fa servir per a emmagatzemar informació o prestar un servei a altres màquines. • Sistema d’informació : Conjunt de fitxers automatitzats, programes, suports i equips que es fan servir per enregistrar el tractament de dades. • Suport : Objecte físic sobre el qual es poden gravar o recuperar dades. • Targeta Alfa : Document bàsic per informar i demanar el consentiment als afectats abans d’incloure les seves dades dins d’un fitxer amb la finalitat de tractar-les amb posterioritat. • Tercer : La persona física o jurídica, autoritat pública, servei o qualsevol altre organisme diferent de l’afectat, del responsable del tractament, de l’encarregat


12

del tractament i de les persones autoritzades, per tractar les dades sota l’autoritat directa del responsable del tractament o de l’encarregat del tractament. • Usuari : Subjecte o procés autoritzat per accedir a dades o recursos. A efectes de la normativa sobre telecomunicacions, la persona que utilitza un servei públic de telecomunicacions amb finalitats privades o comercials, encara que no sigui ell directament qui hagi contractat aquest servei. • Xifrat : Transformació d’un missatge en un altre, utilitzant una clau per impedir que el missatge transformat pugui ser interpretat per aquells que no coneixen la clau.


13

1.- ANÀLISI DE LA BASE DE DADES DE LA

FUNDACIÓ

1.1.- FITXERS DECLARATS: 1.1.1.- VERIFICACIÓ EFECTUADA Consulta telemàtica feta al Registre General de Fitxers Privats de l’Agència Espanyola de Protecció de dades el dia 15 de maig de 2017, a les 9.00 hores: Responsable del fichero: Nombre o Razón Social: FUNDACIÓ SOCIAL DEL RAVAL Sector de actividad principal: ACTIVIDADES DE SERVICIOS SOCIALES CIF/NIF: G62494026 Dirección: C/ BISBE LAGUARDA N. 1C Código Postal - Población: 08001-BARCELONA Provincia - País: BARCELONA-ESPAÑA Teléfono: 934433464 Fax: 934413729 Correo Electrónico: [email protected] Derechos de oposición, acceso, rectificación y cancelación: Nombre de la oficina: Dirección: C/ BISBE LAGUARDA N. 1C Código Postal - Población: 08001-BARCELONA Provincia - País: BARCELONA-ESPAÑA Teléfono: Fax: Correo Electrónico: Identificación y finalidad del fichero: Nombre del fichero: BDGAFSR Descripción de la finalidad: GESTIÓN DE TODA LA INFORMACIÓN DE LA FUNDACIÓN EN TODOS LOS SOPORTES DAR CUMPLIMIENTO A SUS OBLIGACIONES LEGALES Y CONTRACTUALES PUBLICIDAD Tipificación de la finalidad: GESTIÓN DE CLIENTES, CONTABLE, FISCAL Y ADMINISTRATIVA RECURSOS HUMANOS GESTIÓN DE ACTIVIDADES ASOCIATIVAS, CULTURALES, RECREATIVAS, DEPORTIVAS Y SOCIALES GESTIÓN DE ASISTENCIA SOCIAL EDUCACIÓN FINES ESTADÍSTICOS, HISTÓRICOS O CIENTÍFICOS Tipos de datos, estructura y organización del fichero: Datos especialmente protegidos: Otros datos especialmente protegidos: SALUD Datos de carácter identificativo: D.N.I./N.I.F.


14

Nº SS/MUTUALIDAD TARJETA SANITARIA NOMBRE Y APELLIDOS DIRECCION TELEFONO FIRMA IMAGEN/VOZ Otros tipos de datos: CARACTERISTICAS PERSONALES CIRCUNSTANCIAS SOCIALES ACADEMICOS Y PROFESIONALES DETALLES DEL EMPLEO ECONOMICOS, FINANCIEROS Y DE SEGUROS Sistema de tratamiento: MIXTO Origen y procedencia de los datos: Origen: EL PROPIO INTERESADO O SU REPRESENTANTE LEGAL ADMINISTRACIONES PUBLICAS ENTIDAD PRIVADA Colectivos: EMPLEADOS CLIENTES Y USUARIOS PROVEEDORES ASOCIADOS O MIEMBROS ESTUDIANTES PADRES O TUTORES Cesión o comunicación de datos: Destinatarios: ORGANIZACIONES O PERSONAS DIRECTAMENTE RELACIONADAS CON EL RESPONSABLE ORGANISMOS DE LA SEGURIDAD SOCIAL ADMINISTRACIÓN TRIBUTARIA OTRAS ENTIDADES FINANCIERAS ASOCIACIONES Y ORGANIZACIONES SIN ÁNIMO DE LUCRO ADMINISTRACIÓN PÚBLICA CON COMPETENCIA EN LA MATERIA Transferencia internacional: Destinatarios en países con nivel de protección adecuado: Destinatarios en países sin nivel de protección adecuado: Otros destinatarios de Transferencias Internacionales: Transferencias internacionales con autorización del Director de la AEPD: 1.1.2.- FONAMENT LEGAL. Títol V del RD 1720/2007. Capítol I, del Títol II, del RIS 1.1.3.- INSTRUCCIONS DE L’AUDITOR I MESURES CORRECT ORES


15

1.1.3.1.- Instruccions de l’auditor Entenem que la base de dades està al dia. 1.1.3.2.- Mesures correctores En aquest cas, no calen. 1.2.- REGISTRE D’ACTIVITATS DE TRACTAMENT.- 1.2.1.- VERIFICACIÓ EFECTUADA El Responsable de fitxer realitza les següent activitats de tractament, totes elles incloses a la base de dades anomenada BDGAFSR: 1.- LA GESTIÓ DE BENEFICIARIS. a) Finalitat del tractament . Gestió de la informació que cal de les persones i entitats que reben l’ajuda de la fundació. b) Categories d’interessats: Beneficiaris, representants legals, col·laboradors i contractats per a prestar serveis.

c) Categoria de dades personals:

o Dades identificatives dels beneficiaris i dels seus representants

legals: NIF/DNI/CARTA D’IDENTITAT, adreces, imatges/veus, telèfon, nom i cognom i signatures.

o Dades de característiques personals : estat civil, dades familiars, data i lloc de naixement, edat, sexe, nacionalitat i llegua materna.

o Dades acadèmiques i professionals : formació, titulació, historial de l’estudiant i experiència professional

o Dades econòmiques, financeres i d’assegurances : Dades bancàries, assegurances, deduccions impositives i impostos i ingressos i rendes (per a la gestió de beques i d’altres exempcions)

d) Destinataris o persones a qui es comunicaran les dades:

• Administracions públiques en l’àmbit de les seves competències.

• Organitzacions o persones directament relacionades amb la fundació que fan activitats de suport o presenten altres serveis.

• Entitats asseguradores .

e) Terminis de conservació de la informació.

• Es conserva la informació durant cinc anys


16

2.- GESTIÓ D’INFORMACIÓ DE RECURSOS HUMANS a) Finalitat del tractament. Gestió de la informació que cal per a gestionar els contractes de treball i de voluntariat i la formació dels treballadors i els voluntaris. b) Categories d’interessats : Treballadors, alumnes de pràctiques i voluntaris. c) Categoria de dades personals:

• Dades especialment protegides : Baixes mèdiques i, en alguns casos grau de minusvalidesa. També dades d’afiliació sindical.

• Dades identificatives dels treballadors : NIF/DNI/CARTA D’IDENTITAT, adreces, imatges/veu, número de la seguretat social, telèfon, nom i cognoms, signatures i targeta sanitària

• Dades de característiques personals: estat civil, dades familiars, data i lloc de naixement, edat, sexe, nacionalitat.

• Dades acadèmiques i professionals : formació, titulació i experiència professional

• Dades de detalls de feina: professió, lloc de treball, dades no econòmiques de nòmina i historial del treballador.

• Dades econòmiques, financeres i d’assegurances : Dades bancàries, dades econòmiques de nòmina, assegurances, deduccions impositives i impostos i ingressos.

• Dades de circumstàncies socials : pertinença a clubs o associacions.

d) Destinataris i persones a qui es comunicaran les dades:

• Administració pública en l’àmbit de les seves competències (seguretat social i administració tributària).

• Organitzacions o persones directament relacionades amb la fundació que fan activitats de suport o presenten serveis.

• Entitats asseguradores.


• Es conserva la informació durant cinc anys

3.- GESTIÓ DE LA INFORMACIÓ DELS PROVEÏDORS a) Finalitat del tractament. La informació que cal per a gestionar els contractes de prestació de serveis de les empreses que col·laboren amb la fundació


17

b) Categories d’interessats : Proveïdors i altres persones que presten serveis. c) Categoria de dades personals:

• Dades identificatives de les empreses i de les seve s persones de contacte . Les dades que corresponen a aquesta categoria són: CIF/NIF/DNI,CARTA D’IDENTITAT adreces, imatges/veus, telèfon, nom i cognom, signatures.

• Dades acadèmiques i professionals : formació, titulació i experiència professional

• Dades de detalls de feina : professió, lloc de treball.

• Dades econòmiques, financeres i d’assegurances : Dades bancàries, assegurances, deduccions impositives i impostos i ingressos i rendes


• Administració pública en l’àmbit de les seves competències.


• Entitats asseguradores.


• Es conserva un mínim de 5 anys

4.- GESTIÓ DE LA INFORMACIÓ COMPTABLE a) Finalitat del tractament. Controlar els drets i les obligacions econòmiques i comptables de la fundació. Es fa un tractament transversal de dades que rauen en totes les llistes. b) Categories d’interessats : Beneficiaris, representants legals, treballadors, voluntaris, col·laboradors i proveïdors. c) Categoria de dades personals:

• Dades identificatives dels interessats. Les dades que corresponen a aquesta categoria són: CIF/NIF/DNI/CARTA D’INDENTITAT, adreces, telèfon, nom i cognom, signatures.

• Dades econòmiques, financeres i d’assegurances: Dades bancàries, assegurances, deduccions impositives i impostos i ingressos i rendes

d) Destinataris i persones a qui es comunicaran le s dades: • Administració pública en l’àmbit de les seves competències (seguretat

social i administració tributària).


18


e) Terminis de conservació de la informació .

• Es conserva un mínim de 5 anys

5.- EL FITXER ROBINSON a) Finalitat del tractament. Gestió de la informació de les persones a les quals cal dispensar-les-hi un tracte excepcional b) Categories d’interessats : Beneficiaris, representants legals, treballadors proveïdors i contactes. c) Categoria de dades personals: Totes. d) Destinataris a qui es comunicaran les dades:

• Administració pública en l’àmbit de les seves competències (seguretat social i administració tributària).

• Organitzacions o persones directament relacionades amb el centre que fan activitats de suport o presenten serveis.


• No s’ha definit un termini de conservació de la informació.

6.- EL LLISTAT DE CONTACTES. a) Finalitat del tractament . És una llista amb dades personals en la qual s'inclouen les dades de les persones que han tingut, tenen, o poden tenir, un contacte amb el centre i que no es poden incloure dins de cap categoria anterior. Comprèn les dades de les persones que han deixat les seves dades al centre per diversos motius i han consentit la conservació sense cap impediment. b) Categories d’interessats : persones contactes. c) Categoria de dades personals :

• Dades identificatives dels interessats. Les dades que corresponen a aquesta categoria són: CIF/NIF/DNI/CARTA D’IDENTITAT, adreces, telèfon, nom i cognom, signatures.


• Administració pública en l’àmbit de les seves competències.


19


e) Terminis de conservació de la informació .

• Es conserva de manera indefinida.

1.2.2- FONAMENT LEGAL.- Article 29 del RIS Art. 88.3.d) del Rd 1720/2007 Art. 30 del Reglament Europeu 1.2.3- INSTRUCCIONS DE L’AUDITOR I MESURES CORRECTO RES.- 1.2.3.1.- Instruccions de l’auditor. Cada responsable del tractament i, si escau, el seu representant han de portar un registre de les activitats de tractament efectuades sota la seva responsabilitat. Aquest registre ha de contenir tota la informació indicada a continuació: a) el nom i les dades de contacte del responsable i, si escau, del representant del responsable, i del delegat de protecció de dades; b) les finalitats del tractament; c) una descripció de les categories d'interessats i de les categories de dades personals; d) les categories de destinataris als que es van comunicar o de comunicar les dades personals, inclosos els destinataris en tercers països o organitzacions internacionals; e) si és el cas, les transferències de dades personals a un tercer país o una organització internacional, inclosa la identificació d'aquest tercer país o organització internacional i, en el cas de les transferències indicades en l'article 49, apartat 1, paràgraf segon del reglament europeu, la documentació de garanties adequades; f) quan sigui possible, els terminis previstos per a la supressió de les diferents categories de dades; g) quan sigui possible, una descripció general de les mesures tècniques i organitzatives de seguretat a què es refereix l'article 32, apartat 1 del reglament europeu.


20

1.2.3.2.- Mesures correctores Cal definir terminis de conservació, limitant al màxim el volum de dades a conservar. Es proposa: 1.- Beneficiaris

• Amb caràcter general, la informació s’ha de mantenir durant el temps de prescripció que calgui per a garantir l’exercici de les accions legals.

• A efectes fiscals: Els llibres de comptabilitat i altres llibres registres obligatoris segons la normativa tributària que procedeixi (IRPF, IVA, IS, etc), així com els suports documentals que justifiquin les anotacions registrades en els llibres (inclosos els programes i arxius informàtics i qualsevol altre justificant que tingui transcendència fiscal), han de conservar-se, almenys, durant el període en què l'Administració té dret a comprovar i investigar i en conseqüència, a liquidar deute tributari. 4 anys segons els articles 66 a 70 llei General Tributària

• Documentació relativa al blanqueig de capitals Els subjectes obligats s’han de conservar durant un període mínim de deu anys la documentació en què es formalitzi el compliment de les obligacions establertes en la Llei 10/2010 de 28 d'abril, de prevenció del blanqueig de capitals i del finançament del terrorisme. (Article 25)

2.- Gestió d’informació laboral

• Amb caràcter general, la informació s’ha de s’ha de mantenir durant el temps de prescripció que calgui per a garantir l’exercici de les accions legals. La informació laboral s’ha de conservar un mínim de 5 anys. El director pot ampliar aquest termini.

• La informació mínima per poder certificar el temps que un treballador ha prestat el seus serveis. S’ha de conservar de manera indefinida.

• S’ha de conservar indefinidament la informació que, a criteri del director, tingui un caràcter històric.

3.- Gestió de la informació dels proveïdors

• Amb caràcter general, la informació s’ha de mantenir durant el temps de prescripció que calgui per a garantir l’exercici de les accions legals. El director pot ampliar aquest termini.

• La informació que, a criteri del director, tingui un caràcter històric es pot conservar de manera indefinida.

4.- Gestió de la informació comptable


21

• Amb caràcter general, la informació s’ha de mantenir durant el temps de prescripció que calgui per a garantir l’exercici de les accions legals. La informació laboral i fiscal s’ha de mantenir un mínim de 5 anys. El director del centre pot ampliar aquest termini.

• La informació que, a criteri del director, tingui un caràcter històric s’ha de conservar de manera indefinida.

5.- El fitxer Robinson

• Amb caràcter general la informació s’ha de mantenir durant el temps de prescripció que calgui per a garantir l’exercici de les accions legals. El director del centre pot ampliar aquest termini.


6.- El llistat de contactes.

• Amb caràcter general, la informació s’ha de mantenir durant el temps de prescripció que calgui per a garantir l’exercici de les accions legals. El director pot ampliar aquest termini.


1.3.- LA QUALITAT DE LES DADES.- 1.3.1.- VERIFICACIÓ EFECTUADA 1.3.1.1- La longitud de les dades: A la base de dades anomenada BDGAFSR hi ha els següents tipus de dades: I.- Dades especialment protegides dels beneficiaris i usuaris i dels treballadors: Dades de salut i baixes mèdiques. II.- Dades identificatives dels beneficiaris, dels seus representants legals, dels treballadors, dels voluntaris i dels proveïdors. Les dades que corresponen a aquesta categoria són: NIF/DNI, adreces, imatges/veus, número de la seguretat social, telèfon, nom i cognom, signatures i targeta sanitària III.- Dades de característiques personals: estat civil, dades familiars, data i lloc de naixement, edat, sexe, nacionalitat i llegua materna. IV.- Dades acadèmiques i professionals: formació, titulació, historial de l’estudiant i experiència professional


22

V.- Dades de detalls de feina: professió, lloc de treball, dades no econòmiques de nòmina i historial del treballador. VI.- Dades econòmiques, financeres i d’assegurances: Dades bancàries, dades econòmiques de nòmina, assegurances, deduccions impositives i impostos i ingressos i rendes (amb la gestió de les beques) 1.3.1.2.- Aplicació dels principis aplicats al trac tament de dades (art 4 de la LOPD i 5 del Reglament Europeu 2016/679) • Adequació : Les dades s’adapten a les condicions i circumstàncies que requereix l’objecte per al qual es demanen.

• Pertinència: Les dades formen part de llistes organitzades d’informació. • Excés: S’han detectat algunes dades als formularis de recollida del usuaris que poden ser considerades excessives perquè, realment, no tenien cap utilitat. • Licitud: El tractament és lícit perquè, en tots els casos, es donen alguna de les següents condicions:

a) l'interessat ha atorgat el seu consentiment per al tractament de les seves dades personals per a un o diversos fins específics;

b) el tractament és necessari per a l'execució d'un contracte en el qual l'interessat és part o per a l'aplicació a petició d'aquest de mesures precontractuals;

c) el tractament és necessari per al compliment d'una obligació legal aplicable al responsable del tractament;

d) el tractament és necessari per protegir interessos vitals de l'interessat o d'una altra persona física;

e) el tractament és necessari per al compliment d'una missió realitzada en interès públic o en l'exercici de poders públics conferits al responsable del tractament;

f) el tractament és necessari per a la satisfacció d'interessos legítims perseguits pel responsable del tractament o per un tercer, sempre que sobre aquests interessos no prevalguin els interessos o els drets i llibertats fonamentals de l'interessat que requereixin la protecció de dades personals, en particular quan l'interessat sigui un nen.

• Lleialtat: Les dades només es tracten en compliment del que disposen les lleis i l’autorització atorgada per l’afectat.


23

• Transparència: S’ha comunicat als afectats totes les finalitats per a les que es demanen les dades. A l’Agència Espanyola de Protecció de Dades consten inscrites les anteriors finalitats. Només es fan servir les dades per a les finalitats comunicades a l’afectat. • Limitació de la finalitat: Només es demana el permís per a dues finalitats, ambdues legítimes: donar compliment a la sol·licitud del serveis que demanen els afectats i la difusió d’activitats organitzades pel responsable del tractament. • Minimització de les dades: De vegades es demanen més dades de les necessàries per a complir amb les obligacions legals i això pot ser un risc. Entenem que només cal conservar la informació necessària per poder certificar que una persona ha estat un determinat temps al centre. • Exactitud: S’ha de distingir entre:

a) Dades actives. Són les dades de les persones amb les que es manté una relació actual. Entenem que les dades són exactes perquè es conserven tal i com les ha proporcionat l’afectat i perquè quan un afectat demana rectificar una dada, es modifica a la base de dades

b) Dades històriques. Són les dades de les persones amb les que ja no es manté cap relació. Les dades es conserven bloquejades durant el temps de prescripció de les accions legals i posteriorment.

• Limitació del termini de conservació: En general, la informació es conserva durant cinc anys. • Integritat i confidencialitat: Totes les dades generades durant el tractament són conservades al sistema. S’apliquen les mesures de seguretat necessàries per garantir correcta conservació i reserva de les dades • Responsabilitat proactiva: Existeix una política definida de protecció de dades. No obstant això, no consta que s’hagi fet cap activitat formativa externa en matèria de tractament de la informació. 1.3.2.- FONAMENT LEGAL.- Art. 4 de la LOPD Art. 8 a 11 del RD 1720/2007 Art. 22 a 29 del RIS 1.3.3.- INSTRUCCIONS DE L’AUDITOR Cal que tots els tractaments de dades que faci el responsable del tractament respecti els següents principis d’adequació, pertinència, prohibició de tractar


24

dades excessives, licitud, lleialtat, transparència, limitació de la finalitat, minimització de les dades, exactitud, limitació del termini de conservació, integritat i confidencialitat, responsabilitat proactiva. 1.3.4.- MESURES CORRECTORES.- . • Adequació : En aquest cas, no calen.

• Pertinència: En aquest cas, no calen. • Excés: Cal revisar els formularis de recollida de dades i només demanar les dades que realment calguin per a complir amb les finalitats licites. • Licitud: En aquest cas, no calen • Lleialtat: En aquest cas, no calen • Transparència: En aquest cas, no calen • Limitació de la finalitat: En aquest cas, no calen • Minimització de les dades: Només es poden conservar les dades que encara siguin útils per a la finalitat autoritzada per l’afectat. La resta s’han de destruir. • Exactitud: En aquest cas, no calen • Limitació del termini de conservació: En aquest cas, no calen. • Integritat i confidencialitat: En aquest cas, no calen • Responsabilitat proactiva: Convé fer una formació específica al personal. 1.4.- FORMULARI D’AUTOCONTROL DE L’APARTAT.- Aquest apartat està dissenyat per a què el responsable de seguretat del centre pugui verificar el compliment de les mesures correctores proposades. Pot marcar les caselles de verificació en funció de si la mesura correctora està aplicada o no.

Sí No

I.- La base de dades està inscrita?............................................................. II.- La base de dades és actual? ................................................................ III.- L’estructura de la base de dades correspon a la real de la fundació?


25

IV.- Hi ha dades excessives? ..................................................................... V.- Els terminis de conservació de la informació estan definits?................ VI.- El Procediment de destrucció de la informació és correcte?................ Consultes i comentaris a fer a l’auditor:


26

2.- ANÀLISI LA LEGITIMACIÓ PER AL

TRACTAMENT DE LA INFORMACIÓ I LES

DADES 2.1.- EL PERSONAL. 2.1.1 ANÀLISI DEL DOCUMENT DE CONSENTIMENT INFORMAT GENERAL (TARGETES ALFA): 2.1.1.1.- Verificació efectuada Ni els voluntaris, alumnes de practiques, ni els treballadors han signat la targeta alfa.

2.1.1.2.- Fonament Jurídic Art. 5, 6 i 11 de la LOPD Capítol II, Títol II del RD 1720/2007 (art. 12 a 19 del Rd 1720/2007) Art. 11 a 21 del RIS Art 12 a 14 del Reglament Europeu de Protecció de Dades. 2.1.1.3.- Comentari de l’auditor Els documents de consentiment compleixen amb el que disposa la LOPD i el RD 1720/2007; no obstant això, amb l’aprovació del nou Reglament Europeu cal ampliar la informació que es proporciona al treballadors. 2.1.1.4.- Mesures correctores. Cal que tots els treballadors, tots els alumnes en pràctiques i tots els voluntaris signin la targeta alfa. 2.1.2.- LA CONFIDENCIALITAT. 2.1.2.1.- Verificació efectuada. Tots els treballadors, tots els alumnes en pràctiques i tots els voluntaris han signat una clàusula de confidencialitat. 2.1.2.2.- Fonament Jurídic Art. 10 de la LOPD


27

Art. 1902 a 1904 del Codi Civil Art. 31. del Codi Penal Art. 118 del RIS 2.1.2.3.- Comentari de l’auditor L’article 10 de la LOPD disposa que: El responsable del fitxer i els qui intervinguin en qualsevol fase del tractament de les dades de caràcter personal estan obligats al secret professional pel que fa a les dades i al deure de guardar-les, obligacions que subsisteixen fins i tot després de finalitzar les seves relacions amb el titular del fitxer o, si s’escau, amb el seu responsable. L’article 31,bis del Codi Penal disposa que: 1. En els supòsits previstos en aquest Codi, les persones jurídiques seran penalment responsables dels delictes comesos en nom o per compte de les mateixes, i en el seu profit, pels seus representants legals i administradors de fet o de dret. En els mateixos supòsits, les persones jurídiques seran també penalment responsables dels delictes comesos, en l'exercici d'activitats socials i per compte i en profit de les mateixes, per qui, estant sotmesos a l'autoritat de les persones físiques esmentades al paràgraf anterior , han pogut realitzar els fets per no haver exercit sobre ells el degut control ateses les concretes circumstàncies del cas. Els articles 1902 i 1903 del Codi Civil disposen que: Article 1902 El que per acció o omissió causa dany a un altre, intervenint culpa o negligència, està obligat a reparar el dany causat. Article 1903 L'obligació que imposa l'article anterior és exigible, no només pels actes o omissions propis, sinó pels d'aquelles persones de qui s'ha de respondre. Ho són igualment els amos o directors d'un establiment o empresa respecte dels perjudicis causats pels seus dependents en el servei dels rams en què els tinguessin empleats, o en ocasió de les seves funcions. La Sentència del Tribunal Suprem 1323/2011 de 8 de març de 2011, al seu fonament de dret 3, sobre el conflicte sorgit entre el dret a la intimitat i privacitat


28

del treballador i dret de l’empresa de control dels suports informàtics, disposa que: Per això, el que ha de fer l'empresa d'acord amb les exigències de bona fe és establir prèviament les regles d'ús d'aquests mitjans (informàtics) -amb aplicació de prohibicions absolutes o parcials- i informar els treballadors que existirà control i dels mitjans que s'han d'aplicar en ordre a comprovar la correcció dels usos, així com de les mesures que s'han d'adoptar en el seu cas per garantir l'efectiva utilització laboral del mitjà quan calgui, sense perjudici de la possible aplicació d'altres mesures de caràcter preventiu, com l'exclusió de determinades connexions. D'aquesta manera, si el mitjà s'utilitza per a usos privats en contra d'aquestes prohibicions i amb coneixement dels controls i mesures aplicables, no podrà entendre que, en realitzar el control, s'ha vulnerat "una expectativa raonable d'intimitat" en els termes que estableixen les sentències del Tribunal Europeu de Drets Humans de 1997.06.25 (cas Halford) i 3-4-2007 (cas Copland) per valorar la existència d'una lesió de l'art. 8 del Conveni Europeu per a la protecció dels drets humans. 2.1.2.4.- Mesura correctora. En aquest cas, no calen. 2.1.3.- FORMACIÓ I NIVELL DE CONEIXEMENT DE LES MES URES DE SEGURETAT I PROTOCOLS ESTABLERTS AL REGLAMENT INTER N DE SEGURETAT. 2.1.3.1.- Verificació efectuada. No consta que s’hagi fet cap formació específica en matèria de tractament de al informació. 2.1.3.2.- Fonament jurídic Art. 9 de la LOPD Art. 89.2 del RD 1720/2007 Títol IV del RIS (art. 58 a 66) 2.1.3.3.- Comentari de l’auditor El personal ha de conèixer les seves obligacions. Les activitats ordinàries, com pot ser informar la família d’un menor, pot esdevenir un problema, si el personal encarregat d’informar no és conscient de què pot dir, i a qui ho pot dir. Això és


29

aplicable als casos d’emergències sanitàries, accidents, etc. Cal que el personal conegui la normativa i, en especial, els termes de la part que els afecta del Reglament Intern de Seguretat de la fundació. 2.1.3.4.- Mesures correctores. És convenient que tot el personal i els voluntaris de la fundació faci formacions periòdiques amb professionals especialitzats de manera que puguin resoldre tots els dubtes dels professors en aquesta matèria. 2.1.4.- EL TRACTAMENT DE LES IMATGES. 2.1.4.1.- Verificació efectuada I.- L’ús de les imatges per assolir finalitats no comercials No està legitimat l’ús de la imatge dels treballadors. II.- Les càmeres de seguretat La fundació no disposa de càmeres de seguretat instal·lades. III.- L’ús comercial No es fa ús comercial de les imatges del personal laboral, ni dels voluntaris. 2.1.4.2.- Fonament Jurídic Art. 5, 6 i 11 de la LOPD Art. 2 de la LO 1/1982 Art. 10 a 20 i 80 a 89 del RIS 2.1.4.3.- Comentari de l’auditor Per fer servir la seva imatge, cal disposar del consentiment dels treballadors. Quan es facin servir imatges amb una finalitat comercial (inclusió en tríptics publicitaris o anuncis), cal demanar un consentiment específic que reguli la part econòmica dels drets d’imatge. Les càmeres de vídeo vigilància tenen una finalitat preventiva. Per això, cal que tot el personal conegui que estan instal·lades i enregistren veu i imatge. 2.1.4.4.- Mesura correctora Tot el personal i tots els voluntaris han de signar la nova targeta alfa. En aquest document consta l’autorització expressa per a la publicació d’imatges.


30

2.1.5.- TIPUS DE DOCUMENTS I CONSERVACIÓ. 2.1.5.1.- Verificació efectuada Tota la informació que es genera es conserva arxivada, sense que consti cap termini de destrucció de la informació. 2.1.5.2.- Fonament jurídic Art. 16.5 de la LOPD Art. 29 del RIS 2.1.5.3.- Comentari de l’auditor Només s’ha de conservar la informació que calgui per complir les lleis i els objectius del centre. En virtut del que disposa l’article 21 del RDL 5/2000, de 4 d’agost, s’han de conservar durant 4 anys: la documentació o els registres o suports informàtics en què s’hagi transmès les corresponents dades que acreditin el compliment de les obligacions en matèria d'afiliació, altes, baixes o variacions que, en el seu cas, es produeixin en relació amb aquestes matèries, així com els documents de cotitzacions i els rebuts justificatius del pagament de salaris i del pagament delegat de prestacions. A l’anterior documentació cal afegir tota la documentació contractual (el RD 1424/2002, de 27 de desembre, pel qual es regula la comunicació del contingut dels contractes i de sobre còpies bàsiques, res estableix referent a això, de manera que analògicament aplicarem el precepte anterior). No obstant això, es recomana que es conservi de manera indefinida la informació mínima per poder certificar el temps que ha estat un treballador contractat. (contracte de treball i liquidació del contracte) 2.1.5.4.- Mesures correctores Cal establir un termini màxim de conservació de la informació. La Fundació ha de conservar tota la informació que calgui per poder emetre els certificats legals. La resta d’informació no cal conservar-la. 2.1.6.- FORMULARI D’AUTOCONTROL DE L’APARTAT.- Aquest apartat està dissenyat per a què el responsable de seguretat del centre pugui verificar el compliment de les mesures correctores proposades. Pot marcar les caselles de verificació en funció de si la mesura correctora està aplicada o no.


31

Sí No

I.- Tot el personal ha signat la targeta alfa?................................................ II.- La targeta alfa és actual? ..................................................................... III.- El personal ha signat la clàusula de confidencialitat? .......................... IV.- La clàusula de confidencialitat és actual? ........................................... V.- Els terminis de conservació de la informació estan definits?................ VI.- El personal ha autoritzat l’ús de la seva imatge?................................. VII.- S’ha informat al personal de la presència de les càmeres de seguretat? .................................................................................................. Consultes i comentaris a fer a l’auditor: 2.2.- BENEFICIARIS I DONANTS. 2.2.1 ANÀLISI DEL DOCUMENT DE CONSENTIMENT INFORMAT GENERAL (TARGETES ALFA): 2.2.1.1.- Verificació efectuada. Quan un donant omple un butlleta de donació mitjançant l’adreça de web http://www.fsraval.org/contenido/aportacions.asp, no se li informa de manera correcta. Els representants legals dels menors que participen de les activitats que organitza la fundació han signat la targeta alfa. 2.2.1.2.- Fonament jurídic. Art. 5, 6 i 11 de la LOPD Capítol II, Títol II del RD 1720/2007 (art. 12 a 19 del Rd 1720/2007) Art. 13 a 20 del RIS 2.2.1.3.- Comentari de l’auditor Per tractar la informació dels afectats, a més de complir amb els requisits que disposen els articles 5, 6 i 11 de la LOPD Els afectats menors de 14 anys: han d’estar representats pel seu pare, mare o tutor. Si ostenta el dret d’exercici de la pàtria potestat, pot signar qualsevol d’ells. Els afectats majors de 14 anys: S’ha d’estar al que digui l’afectat.


32

2.2.1.4.- Mesures correctores Cal posar al dia la targeta alfa amb els nous requisits legals. Sempre que sigui possible, els afectats hauran de signar la targeta alfa. Quan no sigui possible, però signin algun formulari per a la recollida de dades, caldrà incorporar la següent clàusula informativa:

Les dades que ens cediu al formulari adjunt seran incloses a una base de dades denominada BDGAFSR

amb la finalitat de gestionar la vostra sol·licitud i informar-vos de les nostres activitats. Només cedirem

les dades a l’administració pública, en l’àmbit de les seves competències, en compliment de les lleis en

vigor. El responsable del tractament és la Fundació Social del Raval. Podeu exercitar els drets d’accés,

rectificació, cancel·lació, oposició, limitació del tractament, portabilitat i revocació dirigint-vos a les

nostres oficines a Barcelona, c/ Bisbe Laguarda n. 1C

L’organisme competent per conèixer dels conflictes derivats de la signatura d’aquest document és

l’AEPD ubicada al c/Jorge Juan, 6 (Madrid).

Quan no sigui possible complir amb cap dels anteriors requisits, a cada comunicació que es faci als afectats, s’ha d’incloure la següent clàusula:

Us comuniquem que les vostres dades s’han inclòs a una base de dades denominada BDGAFSR amb la

finalitat de gestionar la relació que manteniu amb la Fundació, vostra aportació voluntària i informar-vos

de les nostres activitats. Només cedirem les dades a l’administració pública, en l’àmbit de les seves

competències, en compliment de les lleis en vigor. El responsable del tractament és la Fundació Social

del Raval. Podeu exercitar els drets d’accés, rectificació, cancel·lació, oposició, limitació del tractament,

portabilitat i revocació dirigint-vos a les nostres oficines a Barcelona, c/ Bisbe Laguarda n. 1C

L’organisme competent per conèixer dels conflictes derivats de la política de protección de dades és


2.2.2.- ALTRES DOCUMENTS I CONSENTIMENTS (TRACTAMEN TS ESPECÍFICS) 2.2.2.1.-Verificació efectuada S’han detectat els següents tractaments específics de dades: I.- Permís per publicar imatges a.- Finalitat no comercial . La publicació de fotos per a finalitats no comercials està legitimada per la signatura de la targeta alfa.


33

b.- L’ús comercial No es fa un ús comercial de les imatges dels usuaris. c.- Les càmeres de seguretat La Fundació Social del Raval no ha instal·lat càmeres de seguretat. II.- Comunicacions amb els afectats. Normalment, el personal de la fundació es comunica amb els afectats fent servir Whatsapp. 2.2.2.2.- Fonament jurídic. Art. 162 i 1902 a 1904 del Codi civil Art. 31 del Codi Penal Art. 77 de la llei 9/2006, de 26 de juliol, de garanties i ús racional dels medicaments i productes sanitaris. Art. 5, 6, 7 i 11 de la LOPD Art. 2 de la LO 1/1982 Art. 1 a 4 RDL 1/1996, de 12 de abril, pel qual s'aprova el text refós de la Llei de Propietat Intel·lectual, regularitzant, aclarint i harmonitzant les disposicions legals vigents sobre la matèria Art. 20 de la Llei d’educació de Catalunya. 2.2.2.3.- Instruccions de l’auditor Qualsevol tractament de dades que no sigui ordinari, exigeix l’atorgament del consentiment exprés de l’afectat. Com a tractaments extraordinaris entenem que son els que no estan compresos en l’activitat acadèmica i tots aquells que, per llei, convingui demanar un consentiment expressament declarat (per exemple, la participació a reportatges o programes de premsa, participació a concursos literaris organitzats per un tercer, o el tractament de la imatge dels afectats en tríptics publicitaris). 2.2.2.4.- Mesures correctores I.- Permís per publicar imatges


34

Cal tenir el permís de totes les persones, les imatges de les quals es publiquin. II.- Comunicacions amb els afectats. S’ha d’incloure la següent clàusula informativa a totes les comunicacions que es facin.









2.2.3.- FORMULARI D’AUTOCONTROL DE L’APARTAT.- Aquest apartat està dissenyat per a què el responsable de seguretat del centre pugui verificar el compliment de les mesures correctores proposades. Pot marcar les caselles de verificació en funció de si la mesura correctora està aplicada o no.

Sí No

I.- El centre disposa de totes les targetes alfa signades dels beneficiaris? II.- Tots els consentiments específics es gestionen correctament? .......... Consultes i comentaris a fer a l’auditor:


35

3.- LES MESURES DE SEGURETAT

APLICADES. 3.1.- SUPORTS NO AUTOMATITZATS 3.1.1.- ANÀLISI DE LES MESURES DE SEGURETAT 3.1.1.1.- Verificació efectuada. La major part de la informació de la Fundació Social del Raval es conserva a les oficines, dintre d’armaris que disposen de panys i claus. Normalment, l’accés a les oficines està controlat. Només les persones autoritzades hi tenen accés. Quan hi ha d’accedir una persona no autoritzada, sempre ho fa en companyia d’un autoritzat. S’ha verificat que als espais d’ús comú, on els usuaris poden desenvolupar les activitats organitzades per la fundació, hi ha informació especialment protegida sense cap tipus de control. 3.1.1.2.- Fonament jurídic Art. 105 a 114 del RD 1720/2007. Art. 30 a 42 del RIS 3.1.1.3. - Instruccions de l’auditor i mesures corr ectores .- S’han d’aplicar les mesures de seguretat adients al tipus d’informació que hi hagi als suports. Hi ha tres nivells de mesures de seguretat que s’han d’aplicar d’acord a l’article 81 del RD 1720/2007 de 21 de desembre: 1. Tots tractaments d’informació han d’adoptar les mesures de seguretat qualificades de nivell bàsic. 2. S’han d’implantar, a més de les mesures de seguretat de nivell bàsic, les mesures de nivell mitjà, en els següents fitxers o tractaments de dades de caràcter personal:

a) Els relatius a la comissió d’infraccions administratives o penals. b) Aquells el funcionament dels quals es regeixi per l’article 29 de la Llei

orgànica 15/1999, de 13 de desembre. c) Aquells els responsables dels quals siguin administracions tributàries i

es relacionin amb l’exercici de les seves potestats tributàries.


36

d) Aquells els responsables dels quals siguin les entitats financeres per a finalitats relacionades amb la prestació de serveis financers.

e) Aquells els responsables dels quals siguin les entitats gestores i serveis

comuns de la Seguretat Social i es relacionin amb l’exercici de les seves competències. De la mateixa manera, aquells els responsables dels quals siguin les mútues d’accidents de treball i malalties professionals de la Seguretat Social.

f) Els que continguin un conjunt de dades de caràcter personal que

ofereixin una definició de les característiques o de la personalitat dels ciutadans i que permetin avaluar determinats aspectes de la seva personalitat o comportament.

3. A més de les mesures de nivell bàsic i mitjà, les mesures de nivell alt s’han d’aplicar en els següents fitxers o tractaments de dades de caràcter personal:

a) Els que es refereixin a dades d’ideologia, afiliació sindical, religió, creences, origen racial, salut o vida sexual.

b) Els que continguin o es refereixin a dades obtingudes per a fins policials

sense consentiment de les persones afectades. c) Els que continguin dades derivades d’actes de violència de gènere.

4. En el cas de fitxers o tractaments de dades d’ideologia, afiliació sindical, religió, creences, origen racial, salut o vida sexual només s’han d’implantar les mesures de seguretat de nivell bàsic quan:

a) Les dades es tractin amb la finalitat de fer una transferència dinerària a les entitats de què els afectats en siguin associats o membres.

b) Es tracti de fitxers o tractaments on s’incloguin de forma incidental o

accessòria dades sense tenir relació amb la finalitat.

5. També es poden implantar les mesures de seguretat de nivell bàsic en els fitxers o tractaments que continguin dades relatives a la salut, referents exclusivament al grau de discapacitat o la simple declaració de la condició de discapacitat o invalidesa de l’afectat, amb motiu del compliment de deures públics. 6. Les mesures incloses en cadascun dels nivells descrits anteriorment tenen la condició de mínims exigibles, sense perjudici de les disposicions legals o reglamentàries específiques vigents que puguin ser aplicables en cada cas o les que per pròpia iniciativa adopti el responsable del fitxer. 7. Quan en un sistema d’informació hi hagin tractaments que, en funció de la finalitat o ús concret, o de la naturalesa de les dades que continguin, requereixin l’aplicació d’un nivell de mesures de seguretat diferent al del


37

sistema principal, es poden segregar, i, aleshores, es pot aplicar el nivell de mesures de seguretat corresponent, sempre que es puguin concretar i delimitar les dades afectades dels usuaris que hi tinguin accés, i que això es faci constar en el document de seguretat. 3.1.1.4.- Mesures correctores Els usuaris han de tenir accés a la informació i als recursos que els calgui per fer la seva feina, per això cal aplicar les següents mesures de seguretat, depenent del tipus d’informació que es tracti i del nivell de seguretat que la direcció de la fundació hagi determinat en cada cas: a).- Si no es fa servir un suport físic en el que hi hagi informació sensible, s’ha de desar tancat. Si és possible, es pot desar a un armari, arxiu, o calaix amb pany. Si no és possible, n’hi ha prou amb tancar la porta d’accés al local on es trobi el suport. b).- Quan el suport contingui alguna de les dades, a les quals calgui aplicar-hi com a mínim, les mesures de seguretat de nivell mig, s’han d’aplicar, a més, de les establertes en el paràgraf anterior, les següents mesures de control d’accés: � Els suports s’han d’organitzar aplicant criteris de finalitat. No es poden

desar plegats suports que continguin dades que puguin ser consultades per persones que no estiguin autoritzades.

� El local ha d’estar equipat amb mesures antiincendis.

� Només han de poder accedir als suports les persones que tinguin permís de la direcció

Quan el suport contingui alguna de les dades a les quals calgui aplicar les mesures de seguretat de nivell alt, (salut o les qualificades de molt sensibles), caldrà aplicar totes les mesures anteriors i, a més a més:

• Desar-les a armaris, arxivadors o altres elements en els que l’accés estigui protegit amb portes dotades de sistemes d’obertura amb clau, o un altre dispositiu equivalent.

• Les àrees hauran de romandre tancades quan no sigui precís l’accés als documents que hi hagi a dins.

Si cal que persones accedeixin a una informació de “nivell alt”, cal establir un registre d’accessos en el que ha de constar el document accedit, la data i hora de l’accés i la data i hora de devolució. Aquest registre s’ha de conservar, almenys, durant 2 anys.


38

El registre d’accés de nivell alt ha de contenir, com a mínim, les següents dades:

• Nom de la persona autoritzada

• Nom del fitxer accedit:

• Data i hora de l’accés:

• Data i hora de la devolució:

• Signatura de la persona autoritzada.

3.1.2.- EL REGISTRE D’ACCESSOS 3.1.2.1.- Verificació efectuada No consta cap registre de claus. 3.1.2.2.- Fonament jurídic Art 105, en relació amb l’article 91 tots dos del RD 1720/2007. Art. 38 i 39 del RIS 3.1.2.3.- Comentari de l’auditor No és possible garantir la seguretat física si la fundació no sap quantes claus dels espais on es desa informació hi ha en circulació i quines persones les tenen. Per això, cal deixar constància de les claus que hi ha de cada espai i les persones que les poden tenir. 3.1.2.4.- Mesures correctores Si per accedir a una informació continguda en un suport informàtic cal la identificació i, a més, l'autenticació, per accedir a la mateixa informació continguda en un suport documental serà necessària la identificació i, a més, l'autorització del responsable. D'aquesta manera, per accedir al suport no automatitzat, a més de comptar amb la identificació de l'usuari, hem de substituir l'autenticació informàtica per a l'autorització documentada. Es proposen dos sistemes de control de les claus del centre i és la fundació qui n’ha de triar un:

• Gestió de l'accés físic per clau única . Aquest sistema implica que només hi hagi dues còpies de cada clau que obre cadascun dels panys que restringeixen l'accés als suports que contenen la informació. Una còpia es guardarà a “l’Arxiu General De Claus (AGL), la custòdia de la qual l'ostentarà el responsable del servei de seguretat i/o


39

manteniment. L'altra, formarà part del" Armari General De Claus en Ús "(AGLU), que serà custodiat per un responsable, que, al mateix temps, serà l'encarregat de controlar tots els accessos físics als locals que continguin suports amb informació sobre persones. Aquest quadre de claus estarà a disposició de tots aquells que siguin a la llista d'autoritzats. D'aquesta manera, només el que estigui autoritzat i consti en el llistat en poder del responsable, podrà demanar la clau per poder accedir al lloc. La persona que, estant autoritzada, tingui una clau i l'estigui fent servir, respondrà de tot el que pugui passar en el moment en que només ell tingui la clau del lloc. La responsabilitat s'estén des que adquireix la clau fins que la torni. Com que només hi ha una clau, la responsabilitat recaurà sobre aquell que la posseeixi. Per adquirir la clau caldrà que se signi un paper on consti el dia i l'hora en què es lliura la clau. L'encarregat de registrar l'hora de lliurament de la clau i penjarà en el lloc on havia d'haver la clau el paper amb el nom de l'usuari que en té la possessió. Quan se’n retorni, el que ha utilitzat la clau recuperarà el paper signat i el responsable ha de fer constar en el registre d'accessos l'hora que ha estat tornada la clau.

• Control d'accés per adjudicació de claus codificada . Cal que hi hagi

l'Arxiu General de Claus (AGL) i que s'hagi confeccionat el llistat d'accessos físics (personal que pot accedir físicament a les dependències on es troben suports amb informació sobre persones, encara que no tinguin dret a tractar informació, per exemple , el personal de neteja).

Al costat del llistat de claus que obren els accessos als llocs on es pot tractar informació, es farà un llistat d'usuaris que disposen de còpia de les claus. Al costat del nom de cada usuari posarem un nombre de còpia de manera que s'assignarà un número a cada còpia.

En cas de destrucció, es reposarà per una altra nova que s'anotarà en lloc de la destruïda, fent constar el mateix codi però anotant en les incidències la data de la renovació de la clau.

Les claus perdudes segueixen existint i, per tant, no podran donar-se de baixa fins que no hi hagi certesa que s'han destruït.

Quan es canviï el pany, s'ha d'anotar en el registre i es canviaran les claus, però no els codis, fent constar la incidència al registre corresponent. El lliurament de les claus es farà com si se substitueix per destrucció.

Les claus que no es vagin a utilitzar seran destruïdes. Si no es destrueixen, cal fer constar que es dipositen i qui té la custòdia.


40

En tots els casos, quan una persona se l'inclou en una llista d'accessos comporta la corresponent prohibició d'ús antireglamentari de la informació accedida. 3.1.3.- LA DESTRUCCIÓ DE LA INFORMACIÓ 3.1.3.1.- Verificació efectuada La Fundació disposa d’una destructora de documents que permet la eliminació de suports no automatitzats de manera mecanitzada. Quan el volum d’informació a destruir és molt gran, es demanen els serveis d’una empresa especialitzada que certifica la destrucció d’informació, però amb la que no s’ha signat cap contracte perimetral. 3.1.3.2.- Fonament jurídic Protocol de destrucció 3.1.3.3.- Comentari de l’auditor Un document no es considera destruït si es pot recuperar la informació que hi conté. La destrucció defectuosa d’informació pot provocar una cessió inconsentida d’informació i pot provocar la revelació de secrets. 3.1.3.4.- Mesures correctores Cal signar un contracte perimetral amb l’empresa de destrucció de la informació. 3.1.4.- FORMULARI D’AUTOCONTROL DE L’APARTAT.- Aquest apartat està dissenyat per a què el responsable de seguretat del centre pugui verificar el compliment de les mesures correctores proposades. Pot marcar les caselles de verificació en funció de si la mesura correctora està aplicada o no.

Sí No

I.- Tots els espais on hi ha informació es poden tancar amb clau?............ II.- S’estan aplicant mesures de nivell alt a les dades més sensibles? ...... III.- Hi ha un registre de claus? .................................................................. IV.- El registre de claus està al dia? .......................................................... V.- El protocol de destrucció de la informació s’aplica correctament....... Consultes i comentaris a fer a l’auditor:


41

3.2.- SUPORTS INFORMATITZATS 3.2.1.- VERIFICACIÓ EFECTUADA. 3.2.1.1- Dades generals - Sistema operatiu general: Windows i Linux - Antivirus: McAfee - Filtre de continguts: No - Tipus de connexió a internet: 1 línia de fibra òptica. - Numero de terminals: 10. - Filtre de continguts. No n’hi ha. - Per gestionar la informació es fan servir els següents programes informàtics: Office. 3.2.1.2.- La xarxa Hi ha dues xarxes separades. Una connecta els ordinadors d’administració i l’altra les màquines que fan servir els alumnes. No hi ha cap filtre de continguts instal·lat, amb la qual cosa tots els usuaris es poden connectar a pàgines prohibides. No obstant això, els menors mai naveguen sols per internet. Cada persona té accés a la informació que necessita per donar compliment a les seves funcions. És possible la connexió remota amb la fundació per fer manteniments informàtics. 3.2.1.3.- Els servidors Hi ha un servidor central de la fundació que està ubicat a un armari que disposa de panys i clau. 3.2.1.4.- Claus d’accés


42

No s’ha definit cap política de seguretat en aquesta matèria. 3.2.1.5.- Registre de accessos. No n’hi ha. 3.2.1.6.- Gestió de suports 3.2.1.6.1.- Propietat dels suports. En general, cap persona fa servir suports que no siguin titularitat de la Fundació per a tractar informació. 3.2.1.6.2.- Mesures de seguretat: En general, no s’observen monitors orientats cap a portes o finestres que permetin l’accés visual a la informació que apareix en pantalla. Al sistema informàtic es pot desar informació especialment protegida. 3.2.1.7.- Les còpies de seguretat Es fan còpies de seguretat del servidor. S’ha establert el següent protocol: Es fan còpies de seguretat incrementals cada dia. Les còpies es fan a un disc dur que està connectat al servidor. Mensualment es fa una còpia de seguretat de recuperació que es desa fora dels locals on està el servidor. 3.2.1.8.- El correu electrònic No s’aplica cap mesura de seguretat de nivell alt quan s’envien correus amb informació especialment protegida. 3.2.1.9.- La destrucció de suports. Els suports es destrueixen físicament o es formaten per les persones autoritzades. 3.2.1.10.- Autocontrol No consta que es facin activitats d’autocontrol periòdiques. 3.2.2.- FONAMENT JURÍDIC


43

Art. 89 a 104 del RD 1720/2007 Art. 43 a 66 del RIS 3.2.3.- INSTRUCCIONS DE L’AUDITOR L’article 1903 del Codi Civil preveu que les persones o entitats que siguin titulars d’un centre docent d’ensenyament no superior responen pels danys i perjudicis que causin els seus alumnes menors d’edat durant els períodes de temps en què aquests es trobin sota el control o vigilància del professorat del centre, desenvolupant activitats escolars o extraescolars i complementàries. L’article 1904 del Codi Civil preveu el dret que té centre a repetir (tornar a demanar) contra la persona responsable del fet que ha provocat la responsabilitat per la quantitat que hagi hagut de pagar el centre. Per evitar aquesta responsabilitat, no n’hi ha prou amb l’aplicació de les mesures de seguretat ordinàries del centre; cal regular l’ús dels suports personals dels alumnes quan estan a al centre. Per tant, convé redactar unes normes que regulin l’ús dels aparells de la fundació i els personals i han de ser imposades a tots els usuaris (personal i alumnes), que les hauran de complir obligatòriament. El correu electrònic pot ser una via d’intercanvi d’informació i, per tant, cal aplicar mesures de seguretat equivalents a les definides fins ara. L’article 92.2 del RD 1720/2007, de 21 de desembre disposa que a sortida de suports i documents que continguin dades de caràcter personal, inclosos els compresos i / o annexos a un correu electrònic, fora dels locals sota el control del responsable del fitxer o tractament ha de ser autoritzada pel responsable del fitxer o trobar degudament autoritzada en el document de seguretat. L’article 104 del mateix Reial Decret afegeix que quan, d'acord amb l'article 81.3 s'hagin d'implantar les mesures de seguretat de nivell alt, la transmissió de dades de caràcter personal a través de xarxes públiques o xarxes sense fils de comunicacions electròniques es realitzarà xifrant les dades o bé utilitzant qualsevol altre mecanisme que garanteixi que la informació no sigui intel·ligible ni manipulada per tercers. 3.2.4.- MESURES CORRECTORES. 3.2.4.1.- Dades generals En aquest cas, no calen 3.2.4.2.- Xarxa


44

Convé instal·lar filtres de continguts per evitar que des de la fundació s’accedeixi a dominis i pàgines que poden posar en risc l’entitat. 3.2.4.3.- Servidors En aquest cas, no calen. 3.2.4.4.- Claus d’accés Cal establir un procediment d'assignació, distribució i emmagatzematge de contrasenyes que garanteixi la seva confidencialitat i integritat. Es proposa que: 1.- La direcció de la fundació ha de definir la longitud del permís d’accés de cada usuari. 2.- L’administrador del sistema ha de crear un usuari a cada persona amb permís d’accés, d’acord a les instruccions rebudes de la direcció. 3.- A cada usuari se li ha d’assignar una contrasenya provisional d’un sol ús que caducarà el primer cop que la introdueixi al sistema. 4.- Quan caduqui la contrasenya provisional, l’usuari ha d’introduir una contrasenya personal nova. 5.- Les contrasenyes han de tenir longitud mínima de 6 dígits, han de combinar números i lletres. 6.- Ha d’haver un històric de les tres darreres contrasenyes introduïdes, de manera que no es puguin tornar a fer servir. 7.- S’ha d'establir la periodicitat, que en cap cas serà superior a un any, amb la qual han de ser canviades les contrasenyes que, mentre estiguin vigents, s'han d'emmagatzemar de forma inintel·ligible. 3.2.4.5.- Registre de accessos Cal identificar a totes les persones que puguin accedir al sistema y definir quina es la seva longitud d’accés (a on pot accedir). Quan s’accedeixi a un fitxer amb informació especialment protegida (salut, religió, vida sexual, afiliació sindical, creences, ideologia i origen racial o ètnic) cal: � Que de cada accés es desi, com a mínim, la identificació de l’usuari, la

data i l’hora en què s’hagi fet, el fitxer al què s’ha accedit, el tipus d’accés que s’ha fet, i si s’ha autoritzat, o s’ha denegat.


45

� Que quan es permeti l’accés, es desi la informació que permeti identificar el registre al què s’hagi accedit.

� Que la direcció activi tots els procediments de control, i que no es puguin desactivar sense permís.

� Que es conservin les dades enregistrades durant dos anys.

� Que es revisi com a mínim, un cop cada mes, la informació de control enregistrada i que s’elabori un informe dels controls que s’hagin fet amb els problemes detectats.

3.2.4.6.-Gestió de suports Els terminals no han de tenir habilitades les unitats que permetin gravar en suports extraïbles, fora del cas de que disposin del permís de la direcció. S’ha d’establir un sistema que, en cas de pèrdua del suport, impedeixi la reproducció de la informació a una altra màquina. S’hauria de codificar la informació, protegir-la amb contrasenya, o fer servir programes que desin la informació en formats que no siguin comuns. (evitar el *.doc, *.ppt, *.pps, *.xls, etc.)

Només es poden fer servir núvols, o altre tipus de suports virtuals, si la direcció autoritza l’ús expressament. Es recomana que la direcció autoritzi l’ús si pot controlar tots els accessos.

Tal i com disposa 92.5 del RD 1720/2007, la identificació dels suports que continguin dades personals que l’organització consideri especialment sensibles es poden fer servir sistemes d’etiquetatge comprensibles i amb significat que permetin als usuaris amb permís identificar el seu contingut.

3.2.4.7.- Còpies de seguretat Cal portar un registre d’entrada i sortida de suports de seguretat. Les còpies de seguretat mensuals han d’estar encriptades. 3.2.4.8.- El correu electrònic. Cal codificar la informació que s’enviï per correu quan faci referència a la salut, situació social, familiar o econòmica dels usuaris. 3.2.4.9.- Destrucció En aquest cas, no calen.


46

3.2.4.10.- Autocontrol S’ha de verificar periòdicament el correcte compliment de les anteriors mesures de seguretat. 3.2.5.- FORMULARI D’AUTOCONTROL DE L’APARTAT.- Aquest apartat està dissenyat per a què el responsable de seguretat del centre pugui verificar el compliment de les mesures correctores proposades. Pot marcar les caselles de verificació en funció de si la mesura correctora està aplicada o no.

Sí No

I.- Hi ha un control d’accés efectiu al servidor?.......................................... II.- S’ha implementat al política de gestió d’usuaris i contrasenyes definida al RIS? ........................................................................................ III.- Hi ha un registre d’usuaris i permisos assignats als usuaris? ............ IV.- La política de còpies de seguretat és la definida a l’informe? ............ V.- Els suports que contenen dades personals estan identificats? ............ VI.- S’han implementat mesures de seguretat de nivell alt? ...................... Consultes i comentaris a fer a l’auditor:


47

4.- LA WEB I CORREU ELECTRÒNIC. 4.1.- OBLIGACIÓ D’INFORMAR 4.1.1.- VERIFICACIÓ EFECTUADA. No s’ha inclòs cap avís legal informatiu. Es fan servir cookies pròpies i de tercers però no s’avisa de la seva presència.

4.1.2.- FONAMENT JURÍDIC. Art. 10 de la Llei de Serveis de la Societat de la Informació i Comerç Electrònic Art. 5, 6 i 11 de la LOPD. Títol X del RIS. 4.1.3.- INDICACIONS DE L’AUDITOR A la pàgina web s’ha d’incloure informació bàsica que permeti als usuaris identificar qui és el titular de la pàgina. S’ha de deixar constància de forma permanent, fàcil, directa i gratuïta. La falta d’alguna de les informacions previstes a l’art. 10.1 de la (LSSI) està considerada com a infracció greu (art. 38.3), mereixedora de sancions que poden anar des de 30.001 fins 150.000 euros. Respecte a la resta de paràgrafs -b), c), d) i e)- de la llei de protecció de dades (LOPD), cal fer les informacions necessàries, malgrat que si no es fan, es considera com a infracció lleu i es sanciona amb multes de fins a 30.000 euros. La informació exigida a l’article 10.1 LSSI és la següent: a) Nom o denominació social, domicili, adreça Electrònica i qualsevol altra dada que permeti contactar directament amb el titular del domini. b) Les dades d’inscripció en el Registre (en el seu cas).


48

c) Les dades relatives a l’autorització administrativa prèvia si és que calgués. d) Les dades relatives al Col·legi professional al que s’estigui adscrit. e) El Número d’Identificació Fiscal. f) Informació clara sobre preus, indicant si inclou, o no, els imposts aplicables i, en el seu cas, les despeses de tramesa. g) Codis de Conducta a què, en el seu cas, estigui adherit i la forma de consultar-los electrònicament. A més a més, si a través de la web és possible recollir dades personals de manera directa (a través de formularis), o de manera indirecta (a través de correus electrònics), s’ha d’informar dels extrems que exigeix l’article 5.1 de la LOPD.

4.1.4.- MESURES CORRECTORES S’ha d’incorporar el següent avís legal: 1. - IDENTIFICACIÓ DEL TITULAR DEL DOMINI En compliment del deure d'informació recollit a l’article 10 de la Llei 34/2002, de 11 de juliol, de Serveis de la Societat de la Informació i del Comerç Electrònic, a continuació es publiquen les següents dades: El titular d'aquesta website és: La Fundació Social del Raval amb domicili a Barcelona, c/ Bisbe Laguarda n. 1C, amb número de CIF: G62494026 Inscrit al Registre ............................................. Dades de l’autorització administrativa: ............................. Telèfon de contacte: 934.433.464 Correu electrònic de contacte: [email protected] 2. - CONDICIONS D'ÚS DE LA WEB. S'entendrà com a usuari a la persona que accedeix i faci servir aquest website. L'usuari pel sol fet de ser-ho accepta aquestes condicions d'ús. L'usuari assumeix la responsabilitat de l'ús que pugui fer d'aquesta web. Aquesta responsabilitat s'estén al registre que fos necessari per accedir a determinats serveis o continguts. L'usuari serà responsable d'aportar informació veraç i lícita en el procés de registre. L'USUARI es compromet a fer un ús adequat dels continguts i serveis que la Fundació Social del Raval ofereix a través d'aquesta web i amb caràcter enunciatiu però no limitador, a no fer-los servir per a:

1. Provocar danys en els sistemes físics i lògics de la Fundació Social del Raval, dels seus proveïdors o de terceres persones, introduir o difondre a la xarxa virus informàtics o qualssevol altres sistemes físics o lògics que siguin susceptibles de provocar els danys anteriorment esmentats.


49

2. Intentar accedir i, si escau, fer servir els comptes de correu electrònic d'altres usuaris i modificar o manipular els seus missatges. Queda prohibida la publicació en els nostres espais web de continguts que atemptin contra els principis enumerats a continuació, reservant-se el titular del domini l'exercici de quantes accions siguin procedents en dret contra els responsables de la seva publicació:

a. La salvaguarda de l'ordre públic, la investigació penal, seguretat pública i defensa nacional,

b. La protecció de la salut pública o de les persones físiques que tinguin la

condició de consumidors o usuaris, c. El respecte a la dignitat de la persona i al principi de no discriminació per

motius de raça, sexe, opinió, nacionalitat, discapacitat o qualsevol altra circumstància personal o social,

d. La protecció de la joventut i de la infància. e. El respecte a l'autonomia de la voluntat de l'afectat f. El respecte a la propietat intel·lectual del publicat g. En general, el respecte a la legalitat vigent

La Fundació Social del Raval es reserva el dret de retirar tots aquells comentaris i aportacions que vulnerin el respecte a la dignitat de la persona, que siguin discriminatoris, xenòfobs, racistes, pornogràfics, que atemptin contra la joventut o la infància, l'ordre o la seguretat pública o que, al seu judici, no fossin adequats per a la seva publicació. En qualsevol cas, el titular del domini no serà responsable de les opinions abocades pels usuaris a través dels fòrums, xats, o altres eines de participació que es puguin incorporar a aquesta web. 3. - PROPIETAT INTEL·LECTUAL I INDUSTRIAL La Fundació Social del Raval és titular de tots els drets de propietat intel·lectual i industrial de les seves pàgines web, com també ho és de tot el seu contingut, per la qual cosa tota reproducció, distribució i comunicació pública total o parcial del seu contingut queda expressament prohibida sense l'autorització expressa del titular. 4. – RESPONSABILITAT El titular del domini no serà responsable dels danys i perjudicis que es puguin derivar d'interferències o avaries telefòniques, desconnexions en el sistema electrònic, presència de virus informàtics, programes maliciosos o qualsevol altre factor aliè al seu control. Tampoc serà responsable dels continguts o sistemes de tercers connectats amb el seu domini. 5. - PRIVACITAT. 5.1. - DRET D'INFORMACIÓ En virtut del que disposa l'article 5 de la Llei Orgànica 15/1999 de 13 de desembre, de Protecció de Dades de Caràcter Personal (en endavant LOPD) i el 13 del Reglament Europeu de Protecció de dades, us informem que:


50

La Fundació Social del Raval, amb domicili a Barcelona, c/ Bisbe Laguarda n. 1C és el responsable del tractament de dades de caràcter personal. Les dades que ens faciliti fent servir els formularis que trobarà a la web i les que ens envieu a la nostra adreça de correu electrònic, seran incorporats, tal com ens les cedeixi, a un fitxer de nom BDGAFSR inscrit en el Registre de Fitxers Privats de l'Agència Espanyola de Protecció de dades i seran utilitzades per gestionar la prestació dels serveis que ens demani i per a gestionar l'enviament d'informació sobre les nostres activitats a través del correu electrònic o adreça postal. Els destinataris de la informació són el personal del centre i les persones i entitats que col·laboren per donar compliment a les obligacions. Quan hi hagi obligació legal, les seves dades també poden ser cedides a l'administració pública, en l'àmbit de les seves competències. Cal que ens faciliti totes les dades que li sol·licitem i que aquests responguin amb veracitat a la seva situació actual. Si es nega a facilitar-los, no podrem atendre'l correctament Té dret a exercir els drets d'accés a les seves dades personals, a la seva rectificació o supressió, a la limitació del seu tractament, a oposar-se al tractament proposat, i a consentir expressament la possibilitat de fer portabilitat de la seva informació. Per exercir els drets i per a qualsevol aclariment, pot dirigir-se a per escrit a l'adreça postal que consta en aquest document, a l'adreça electrònica [email protected] i al telèfon 934.433.464 L'organisme competent per conèixer dels conflictes derivats de la signatura d'aquest document és l'Autoritat Espanyola de Protecció de Dades ubicada a Madrid (28001), c / Jorge Juan nombre 6. 5.2. - CONSENTIMENT DE L'USUARI S'entendrà que l'usuari accepta les condicions establertes si prem el botó 'ACCEPTAR' que es troba a tots els formularis de recollida de dades, o envia un correu electrònic a les adreces de contacte que figuren a la web. 5.3. – SEGURETAT Les dades personals recollides dels nostres usuaris són emmagatzemades a la base de dades abans descrita, que garanteix les mesures oportunes d'índole tècnica i estructural per a prevenir la integritat i seguretat de la informació personal aportada i disposa d'un document de seguretat que compleix amb el Reial Decret 1720/2007, de 21 de desembre, pel qual s'aprova el Reglament de desenvolupament de la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal. (BOE núm. 17 de 19/1/2008) i ha establert tots els mitjans tècnics al seu abast per evitar la pèrdua, mal ús, alteració, accés no autoritzat i robatori de les dades que vostè ens faciliti, sense perjudici d'informar-li que les mesures de seguretat a Internet no són inexpugnables. El tractament de les dades personals està ajustat a la normativa establerta en la Llei Orgànica 15/1999, 13 de desembre, de Protecció de Dades de Caràcter Personal (BOE 14/12/1999). 5.4. - US D’ADRECES IP I RECOLLIDA DE DADES ESTADÍS TIQUES La Fundació Social del Raval l'informa que la navegació d'un usuari per aquesta web deixa com a rastre l'adreça IP que li ha estat assignada pel seu proveïdor d'accés a Internet. Només es fa servir aquesta adreça per a fins exclusivament interns, com són les estadístiques d'accés al Portal. 5.5. – ENLLAÇOS


51

Per facilitar la recerca de recursos que creiem que són del seu interès, pot trobar en aquesta web enllaços a altres pàgines. Aquesta política de privacitat només és d'aplicació a aquest web. La Fundació Social del Raval no garanteix el compliment d'aquesta política en altres webs, ni es fa responsable dels accessos mitjançant enllaços des d’aquest lloc. 5.6.- COOKIES Per a la utilització d'aquesta web, és possible que s'utilitzin cookies. Les cookies que es puguin utilitzar s'associen únicament amb el navegador d'un ordinador determinat (un usuari anònim), i no proporcionen per si mateixes cap dada personal de l'usuari. Aquesta web pot utilitzar els següents tipus de galetes1: - Cookies pròpies:

- Cookies tècniques : permeten a l'usuari la navegació a través de la pàgina web i la utilització de les diferents opcions o serveis que en ella existeixen com, per exemple, controlar el trànsit i la comunicació de dades, identificar la sessió, accedir a parts d'accés restringit, recordar els elements que integren una comanda, realitzar el procés de compra d'una comanda, realitzar la sol · licitud d'inscripció o participació en un esdeveniment, utilitzar elements de seguretat durant la navegació o emmagatzemar, difondre i / o compartir continguts.

- Cookies de tercers:

- Youtube: pot obtenir més informació a: https://support.google.com/youtube/answer/32050?hl=es

L'usuari té la possibilitat de configurar el seu navegador per ser avisat en pantalla de la recepció de cookies i per evitar la seva instal·lació en el seu disc dur. Tots els navegadors permeten fer canvis amb la finalitat de desactivar la configuració de les galetes. Aquests ajustaments es troben ubicats en les "opcions" o "preferències" del menú del seu navegador. A continuació podrà trobar els links de cada navegador per desactivar les cookies seguint les instruccions: - Explorer: http://windows.microsoft.com/es-es/windows7/how-to-manage-cookies-in-internet-explorer-9 - Firefox: http://goo.gl/F5pHX - Chrome: http://support.google.com/chrome/bin/answer.py?hl=es&answer=95647 - Safari: http://support.apple.com/kb/ph5042 - Opera: http://www.opera.com/help/tutorials/security/privacy/ L'informem, però, que hi ha la possibilitat de que la desactivació d'alguna galeta impedeixi o dificulti la navegació o la prestació dels serveis oferts en aquesta web. 6. - MODIFICACIONS DE LES PRESENTS CONDICIONS I VIGÈNCIA La Fundació Social del Raval pot modificar les presents condicions en qualsevol moment,

1 Afegir el tipus de galetes que es facin servir.


52

sense previ avís, publicant les seves modificacions tal com aquí apareixen. Un cop modificades, les presents condicions deixaran de ser vigents i seran substituïdes per la seva modificació. 7. - LEGISLACIÓ APLICABLE I JURISDICCIÓ La relació entre la Fundació Social del Raval i l'usuari es regirà per la normativa espanyola vigent i qualsevol controvèrsia se sotmetrà als Jutjats i tribunals de la ciutat de Barcelona. 4.2.- COMUNICACIONS COMERCIALS 4.2.1.- VERIFICACIÓ EFECTUADA No s’envien correus electrònics amb informació comercial, però sí es poden enviar correus amb informació general de la fundació. 4.2.2.- FONAMENT JURÍDIC Art. 22 de la LSSI Art. 30.2 de la LOPD Art. 124 del RIS. 4.2.3.- INDICACIONS DE L’AUDITOR. L’article 22 de la Llei de Serveis de la Societat de la Informació i Comerç Electrònic estableix que sempre que el prestador d’un servei pretengui fer servir una adreça electrònica per fer trameses de comunicacions comercials, ha de notificar la intenció al client i ha de demanar el consentiment per poder enviar les comunicacions, abans de que s’acabi el procediment de subscripció. S’ha de donar la possibilitat de revocar el consentiment prestat pel destinatari amb la simple notificació de la seva voluntat. S’han d’identificar com a tals totes les comunicacions comercials i indicar la persona física o jurídica en nom de la que es fan. Al començament del missatge s’ha d’incloure la paraula "publicitat". 4.2.4.- MESURES CORRECTORES Cal incloure la següent clàusula al correus electrònics.






53





4.3.- CONTRACTACIÓ ELECTRÒNICA 4.3.1.- VERIFICACIÓ EFECTUADA Mitjançant la web es poden fer aportacions econòmiques. A la web no consten les condicions generals de la contractació. 4.3.2.- FONAMENT JURÍDIC Art 23 a 29 de la LSSI Art. 100 a 109 del RIS. 4.3.3.- INDICACIONS DE L’AUDITOR Els contractes atorgats per via electrònica produeixen tots els efectes previstos a l’ordenament jurídic, quan s’acompleixen els mateixos requisits que s’exigeixen a la contractació ordinària. A més a més, per què la celebració de contractes per via electrònica sigui vàlida, no cal que les parts es posin d’acord prèviament. 4.3.4.- MESURA CORRECTORA Cal complir les següents obligacions: 1. - OBLIGACIONS ABANS DE COMENÇAR EL PROCEDIMENT D E CONTRACTACIÓ Abans de començar el procediment de contractació, la fundació ha de posar a disposició del client les condicions generals de manera que el destinatari les pugui emmagatzemar i reproduir. S’ha d’ informar al destinatari del servei de:

a) Els diferents tràmits que s’han de seguir per subscriure el contracte. b) Si el prestador arxiva el document electrònic en el qual es formalitzi el contracte i si aquest és accessible. c) Els mitjans tècnics que posa en la seva disposició per identificar i corregir errors en la introducció de les dades, i d) La llengua o llengües a les quals pot formalitzar el contracte.

El centre no te l’obligació de facilitar la informació assenyalada en l’apartat anterior quan:


54

a) Ambdós contractants ho acordin i cap d’ells no tingui la consideració de consumidor, o b) El contracte s’hagi subscrit exclusivament mitjançant intercanvi de correu electrònic o un altre tipus de comunicació electrònica equivalent, quan aquests mitjans no siguin emprats amb l’exclusiu propòsit d’eludir el compliment de tal obligació.

Les ofertes o propostes de contractació realitzades per via electrònica seran vàlides durant el període que fixi l’oferent o, en el seu defecte, durant tot el temps que romanguin accessibles als destinataris del servei. 2. - OBLIGACIONS POSTERIORS A LA RECEPCIÓ DEL CONTR ACTE Un cop rebut el contracte, el centre confirmarà la recepció de l’acceptació a qui la va fer per algun dels següents mitjans:

a) La tramesa d’un justificant de recepció per correu electrònic o un altre mitjà de comunicació electrònica equivalent a la adreça que l’acceptant hagi assenyalat, en el termini de les vint-i-quatre hores següents a la recepció de l’acceptació, o b) La confirmació, per un mitjà equivalent al fet servir al procediment de contractació, de l’acceptació rebuda, tan aviat com l’acceptant hagi completat l’esmentat procediment, sempre que la confirmació pugui ser arxivada pel seu destinatari.

S’entén que s’ha rebut l’acceptació i la seva confirmació quan les parts a les quals es dirigeixin en puguin tenir constància. En el cas que la recepció de l’acceptació es confirmi mitjançant justificant de recepció, es presumirà que el destinatari pot tenir la constància referida des que aquell hagi estat emmagatzemat al servidor en el qual estigui donat d’alta el seu compte de correu electrònic, o al dispositiu utilitzat per rebre comunicacions. No cal confirmar la recepció de l’acceptació d’una oferta quan:

a) Ho acordin ambdós contractants i cap d’ells no tingui la consideració de consumidor, o b) El contracte s’hagi subscrit exclusivament mitjançant intercanvi de correu electrònic o un altre tipus de comunicació electrònica equivalent, quan aquests mitjans no siguin emprats amb l’exclusiu propòsit d’eludir el compliment de tal obligació.

4.4.- CONTINGUT


55

4.4.1.- VERIFICACIÓ EFECTUADA La pàgina web no atempta contra els principis enumerats a l’article 8 de la LSSI. 4.4.2.- FONAMENT JURÍDIC Art. 8 de la LSSI Art. 100 a 109 del RIS. 4.4.3.- INDICACIONS DE L’AUDITOR L’article 8 LSSI estableix que, en cas que un determinat servei de la societat de la informació atempti o pugui atemptar contra els principis que s’expressen, els òrgans competents per a protegir-los podran adoptar les mesures perquè s’interrompi la prestació, o per retirar les dades que els vulnerin. Els principis a què es refereix són els següents:

1. La salvaguarda de l’ordre públic, la investigació penal, seguretat pública i defensa nacional,

2. La protecció de la salut pública o de les persones físiques que tinguin la condició de consumidors o usuaris,

3. El respecte a la dignitat de la persona i al principi de no discriminació per motius de raça, sexe, opinió, nacionalitat, discapacitat o qualsevol altra circumstància personal o social, i

4. La protecció de la joventut i de la infantesa. La web del centre no atempta contra aquests principis. 4.4.4.- MESURES CORRECTORES En aquest cas, no calen 4.5.- FORMULARI D’AUTOCONTROL DE L’APARTAT.- Aquest apartat està dissenyat per a què el responsable de seguretat del centre pugui verificar el compliment de les mesures correctores proposades. Pot marcar les caselles de verificació en funció de si la mesura correctora està aplicada o no.

Sí No

I.- Consta l’avís legal a la web?.................................................................. II.- S’ha inclòs la clàusula informativa als correus electrònics? ................. III.- Si es pot contractar algun servei, consten les condicions generals a la web?......................................................................................


56

Consultes i comentaris a fer a l’auditor:


57

5.- EL REGLAMENT INTERN DE

SEGURETAT I ELS PROTOCOLS 5.1.- EL DOCUMENT INTERN DE SEGURETAT 5.1.1.- VERIFICACIÓ EFECTUADA.

S’acompanya a aquest informe un reglament intern posat al dia. Segons les disposicions del nou reglament europeu de protecció de dades. 5.1.2.- FONAMENT JURÍDIC. Art. 88 del RD 1720/2007. 5.1.3.- COMENTARI DE L’AUDITORI. a).- El Reglament Intern de Seguretat regula la gestió de la informació de la fundació. Tant el Reglament, com les auditories periòdiques obligatòries i la resta de protocols han d’estar a disposició de l’Agència Espanyola de Protecció de Dades. En cas d’inspecció, aquesta documentació ha de estar al dia. b).- Quan s’adoptin mesures noves, cal fer-ho constar al Reglament de Seguretat. 5.1.4.- MESURES CORRECTORES En aquest cas, no calen 5.2.- EL PROTOCOL D’INCIDÈNCIES 5.2.1.- VERIFICACIÓ EFECTUADA No s’ha posat en pràctica el protocol de notificació d’incidències definit al document de seguretat. 5.2.2.- FONAMENT JURÍDIC Art. 90 del RD 1720/2007 Art. 76 del RIS 5.2.3.- COMENTARI DE L’AUDITOR


58

Una incidència és qualsevol esdeveniment que pugui produir-se esporàdicament, i que pugui suposar un perill per a la seguretat de la informació que hi ha a la fundació. El registre d’incidències garanteix la prevenció i la seguretat de la informació i és imprescindible per elaborar els informes d’autocontrol periòdics. El control de les incidències és una obligació legal establerta a l’article 90 del RD 1720/2007 de 21 de desembre . Aquest registre té dues funcions fonamentals:

� Augmentar el control de gestió de la informació i de les dades per part dels òrgans direcció.

� Disminuir les incidències. Les incidències es redueixen si s’obliga als usuaris a notificar-les per escrit.

És freqüent que alguns usuaris del sistema truquin a l’informàtic perquè no poden imprimir, i no miren si la impressora està connectada. El fet de fer obrir una incidència, fa que sigui més còmode mirar si la impressora està connectada, que emplenar el full amb la incidència i notificar-la reglamentàriament. 5.2.4.- MESURES CORRECTORES: S’ha d’incloure un full per apuntar les incidències dels departaments d’accés comú (administració, carpeta compartida de la xarxa).

I. Els usuaris del sistema estan obligats a notificar totes les incidències en el moment que en tinguin coneixement. Els usuaris que detectin una incidència, han d’emplenar tots els camps del full d’incidències i ho han de notificar al responsable de seguretat.

II. Quan es solucioni la incidència, la mesura correctora que s’hagi pres s’ha d’enregistrar. El registre i s’ha de conservar durant 3 anys.

III. Cada sis mesos, el responsable de seguretat ha de redactar un informe d’autocontrol tenint en compte les incidències esdevingudes.

IV. Respon com a autor d’una falta contra la seguretat de la base de dades l’usuari que conegui i no notifiqui una incidència La greugesa de la incidència també incidirà en la greugesa de la sanció

V. Requisits bàsics per a notificar les incidències:

• tipus d’incidència,

• data i hora en què es va produir,


59

• persona que fa la notificació,

• persona a qui es comunica,

• efectes que pot produir,

• descripció detallada de la incidència

• comentaris .

En els casos d’incidències greus, sobretot quan es detecti que un menor està en una situació de risc, s’ha de deixar constància escrita (digital, paper, correu, arxiu a la plataforma) de la incidència i ha de provocar, necessàriament, l’obertura d’un procediment informatiu en el que es reculli tota la informació que cal per iniciar un procediment sancionador (en el cas de que es pugui posar una mesura disciplinària segons la normativa interna); o per obtenir els indicis necessari per comunicar el fets a les autoritats competents. Si en el procés informatiu no es recullen les dades mínimes que fonamenti una o altre decisió, el procediment s’ha d’arxivar. 5.3.- EL PROTOCOL D’ACTUACIÓ EN SITUACIONS EXTRAORDINÀRIES. 5.3.1.- VERIFICACIÓ EFECTUADA És possible proporcionar informació als serveis socials dels usuaris. 5.3.2.- FONAMENT JURÍDIC. Article 162 del Codi Civil Espanyol. Article 236-18 del Codi Civil de Catalunya. Article 33 de la Llei d’educació. Article 23 del RD 1720/2007. Protocol sobre situacions extraordinàries del RIS. 5.3.3.- COMENTARI DE L’AUDITOR I FONAMENT . Quan es demani informació personal, cal verificar si qui la demana està legitimat per a rebre-la. Només estan legitimats per tenir accés a la informació dels afectats, els propis afectats, qui legalment els representi, o els òrgans administratius quan desenvolupen les seves funcions.


60

L’article 162 del Codi Civil Espanyol, estableix que els pares que tinguin concedit el dret d’exercici de la pàtria potestat tenen la representació legal dels seus fills menors no emancipats. S’exceptuen d’aquesta regla: 1.- Els actes relatius a drets de la personalitat o a altres que pugui fer el fill, d’acord amb les lleis i amb les seves condicions de maduresa, 2.- Aquells en què hi hagi conflicte d’interessos entre els pares i el fill 3.- Els relatius a béns que estiguin exclosos de l’administració dels pares. El llibre segon del codi civil de Catalunya, es pronuncia en el mateix sentit. L’article 236-18 defineix el límits de la Representació legal: 1. L’exercici de la potestat sobre els fills comporta la representació legal. 2. S’exclouen de la representació legal dels fills els següents actes:

• Els relatius als drets de la personalitat, llevat que les lleis que els regulen estableixin una altra cosa.

• Els relatius a béns o serveis propis de l’edat dels fills, d’acord amb els usos socials, i, en cas de potestat prorrogada o rehabilitada, els que pugui realitzar el fill d’acord amb la seva capacitat natural.

• Els actes en què hi hagi un conflicte d’interessos entre ambdós progenitors o entre el progenitor que exerceix la potestat i els fills.

• Els relatius als béns exclosos de l’administració dels progenitors.

Finalment, l’article 23 del RD 1720/2007, estableix que els drets d’accés, rectificació, cancel·lació i oposició són personalíssims i els ha d’exercir l’afectat. Aquests drets els ha d’exercir:

a) L’afectat, acreditant la seva identitat. b) Quan l’afectat estigui en situació d’incapacitat o minoria d’edat que l’impossibiliti l’exercici personal d’aquests drets, els pot exercir el seu representant legal, cas en què és necessari que acrediti aquesta condició

5.3.4.- MESURES CORRECTORES: Cal tenir present que només es pot informar:

1. Al propi afectat,


61

2. Al representant legal de l’afectat en cas de minoria d’edat o incapacitat legal.

3. A l’administració pública en l’àmbit de les seves competència, en

compliment d’una obligació legal. En aquest cas, l’òrgan administratiu ha d’acreditar que actua e l’àmbit de les seves competències.

4. Als tercers què l’afectat o el seu representant legal hagi consentit

informar.

En aquest casos es recomana certificar que en algun document de la fundació consta una determinada informació. És important identificar la persona que demana la informació (ha de ser una e les persones que s’han definit anteriorment) i la font d’on s’ha extret la informació. Es proposa fer servir el següent model: A petició de D ........................................., el Sr./a ..................................... com a ................. de la Fundació Social del Raval, amb CIF G62494026

CERTIFICA Que a .......................................(afegiu la font, per exemple: Base de dades, llista d’assistència, comptabilitat) consta ........................................................... Se certifica a tots els efectes legals Barcelona, el dia ..........de ........................ de 20....

La Fundació Social del Raval 5.4.- EL PROTOCOL D’EXERCICI DE DRETS 5.4.1.- VERIFICACIÓ EFECTUADA. A la documentació que s’acompanya amb els informes hi ha una carpeta anomenada “Formularis per l'exercici dels drets” on hi ha els impresos per l’exercici dels drets d’accés, rectificació, cancel·lació i oposició. Durant el bienni que acaba amb aquesta auditoria no consta que s’hagi demanat cap exercici de drets. 5.4.2.- FONAMENT JURÍDIC Art. 15 a 19 de la LOPD Art. 23 a 36 del RD 1720/2007 Art. 68 a 75 del RIS 5.4.3.- COMENTARI DE L’AUDITOR I FONAMENT JURÍDIC:


62

El centre disposa dels formularis per a garantir l’exercici dels drets dels afectats. També disposa del Reglament intern de seguretat que regula com s’han d’exercir. Si un afectat exerceix el seu dret, se l’ha de respondre abans de deu dies hàbils.

a).-Dret d’oposició : Esta regulat als articles 34, 35 i 36 RD 1720/2007 de 21 de desembre. El dret d’oposició suposa l’objecció de l’afectat a un tractament específic de la seva informació. b).- Dret d’accés . Esta regulat a l’article 15 de la LOPD i al 27, 28, 29 i 30 del RD 1720/2007 de 21 de desembre. Consisteix en el dret que tenen els afectats a demanar i obtenir, gratuïtament, informació sobre les seves dades així com de les comunicacions que s’hagin fet, o que s’hagi previst fer. En cas que l’afectat exerceixi reglamentàriament el seu dret, se li ha de donar una certificació en la que consti quina informació de la seva persona hi ha a la base de dades. Aquest dret no es pot exercir a intervals inferiors a un any, sense acreditar interès legítim. La Fundació ha de resoldre la petició d’accés en un termini màxim d’un mes a comptar des del moment que rebi la instància. c).- El dret de rectificació i el de cancel·lació. Estan regulats als articles 16 de la LOPD i 31. 32 i 33 del RD 1720/2007 de 21 de desembre. Son una manifestació de l’obligació prevista a l’article 4.3 de la LOPD, per la qual, el responsable del fitxer, adquireix l’ obligació de mantenir les dades exactes, de manera que responguin amb veracitat a la situació actual de l’afectat.

Cancel·lar vol dir suprimir una informació. Rectificar vol dir, o bé, esborrar una dada i posar-ne una altra, o be, deixar constància de que una dada no es correcta i, seguidament, posar-ne la que ho és.

d).- El dret a la limitació del tractament. L'interessat té dret a obtenir del responsable del tractament la limitació del tractament de les dades quan es compleixi alguna de les condicions següents:

i.- l'interessat impugni l'exactitud de les dades personals, durant un termini que permeti al responsable verificar l'exactitud de les mateixes; ii.- el tractament sigui il·lícit i l'interessat s'oposi a la supressió de les dades personals i sol·liciti en el seu lloc la limitació del seu ús;


63

iii.- el responsable ja no necessiti les dades personals per a les finalitats del tractament, però l'interessat les necessiti per a la formulació, l'exercici o la defensa de reclamacions; iv.- l'interessat s'hagi oposat al tractament en virtut de l'article 21, apartat 1 del reglament europeu, mentre es verifica si els motius legítims del responsable prevalen sobre els de l'interessat.

e).- El dret a la portabilitat de la informació. L'interessat té dret a rebre les dades personals que li incumbeixin, que hagi facilitat un responsable del tractament, en un format estructurat, d'ús comú i lectura mecànica, i a transmetre-les a un altre responsable del tractament sense que ho impedeixi el responsable a que se les hagin facilitat, quan:

i.- el tractament estigui basat en el consentiment d'acord amb l'article 6, apartat 1, lletra a), o l'article 9, apartat 2, lletra a), o a un contracte d'acord amb l'article 6, apartat 1, lletra b) , tots ells del reglament europeu. ii.- el tractament s'efectuï per mitjans automatitzats.

En exercir el seu dret a la portabilitat de les dades la persona interessada tindrà dret a que les dades personals es transmeten directament de responsable a responsable quan sigui tècnicament possible. f) Dret a la revocació. Els afectats tenen dret a revocar el consentiment atorgat en qualsevol moment.

5.4.4.- MESURES CORRECTORES: Convé que es conservi una còpia de cada formulari a disposició dels afectats. Cal que el personal de la Fundació sigui conscient del procediment que ha de seguir en cas que algun afectat demani l’exercici de qualsevol dels drets reconeguts per la LOPD. Cal incorporar a la documentació els impresos per a l’exercici dels drets de revocació, limitació del tractament i portabilitat de les dades 5.5.- EL PROTOCOL DE CAPTACIÓ I PUBLICACIÓ DE LES IMATGES. 5.5.1.- VERIFICACIÓ EFECTUADA. No s’ha regulat l’ús dels aparells que gravin per part de les persones que participen de les activitats organitzades des de la fundació. 5.5.2.- FONAMENT JURÍDIC


64

Art. 1902 a 1904 del Codi Civil Art. 31 del Codi Penal Article 4 de la Llei Orgànica 1/1996 de protecció jurídica del menor Article 7 de la LO 1/1982 Protocol de captació de les imatges del RIS 5.5.3.- COMENTARI DE L’AUDITOR L’article 4 de la Llei Orgànica 1/1996 de protecció jurídica del menor, disposa que els menors tenen dret a l’honor, a la intimitat personal i familiar i a la pròpia imatge, inviolabilitat del domicili familiar, de la correspondència i del secret de les comunicacions. El dret a l’honor, a la intimitat personal i familiar i a la pròpia imatge està regulat a la Llei Orgànica 1/1982.

L’article 7 de la LO 1/1982 disposa que tenen la consideració d’intromissions il·legítimes en l’àmbit de protecció delimitat per l’article segon d’aquesta Llei:

La captació, reproducció o publicació per fotografia, film, o qualsevol altre procediment, de la imatge d’una persona en llocs o moments de la seva vida privada o fora d’ells, llevat dels casos que preveu l’article vuitè, dos2.

5.5.4.- MESURES CORRECTORES

Quan es creïn CD o altres suports amb imatges per lliurar als afectats convé d’incloure la següent clàusula

Només autoritzat l’ús domèstic.

La Fundació Social del Raval ha de penjar en un lloc ben visible un cartell informatiu d’aquesta prohibició.

Només poden captar imatges i veus amb el consentiment de la pròpia persona titular de les

imatges.

Quan un mitjà de comunicació pretengui captar imatges d’alguna activitat

2 Dos. En particular, el dret a la pròpia imatge no impedeix: a. La seva captació, reproducció o publicació per qualsevol mitjà quan es tracti de persones que exerceixin un càrrec públic o una professió de notorietat o projecció pública i la imatge es capti durant un acte públic o en llocs oberts al públic. b. La utilització de la caricatura d'aquestes persones, d'acord amb l'ús social. c. La informació gràfica sobre un succés o esdeveniment públic quan la imatge d'una persona determinada aparegui com a merament accessòria.


65

organitzada per la fundació, s’ha d’informar als afectats del dia que faran l’activitat.

S’ha de fer una normativa que reguli tots els aparells presents i futurs; per això, convé que es reguli l’ús dels suports en general. Convé que tots els usuaris, tots els treballadors i totes els voluntaris acceptin aquesta normativa.

5.6.- LA SORTIDA D’INFORMACIÓ DE LA FUNDACIÓ 5.6.1.- ELS ENCARREGATS DEL TRACTAMENT 5.6.1.1.- Verificació efectuada

No consta que s’hagi signat contractes perimetrals amb:

• Entitats financeres.

• Serveis centrals d’Escola Pia

• Neteja

• Informàtica

• Piscina

• Escola de música

• Tallerista

• Destrucció.

5.6.1.2.- Fonament jurídic. Art. 12.2 de la LOPD Art. 20 a 22 del RD 1720/2007 Títol IX del document de seguretat. 5.6.1.3.- Comentari de l’auditor i fonament jurídic L’article 12.2 de la LOPD estableix que la realització de tractaments per compte de tercers ha d’estar regulada a un contracte que ha de constar per escrit o en alguna altra forma que permeti acreditar la celebració i contingut, establint-se expressament:


66

a) Que l’encarregat del tractament només tractarà les dades seguint les

instruccions del responsable del tractament (la fundació),

b) Que no les aplicarà o farà servir per assolir una finalitat diferent a la que figuri al contracte,

c) Que no comunicarà les dades a altres persones., ni tan sols per a que les conservin

d) Que aplicaran les mesures de seguretat a què es refereix l’article 9 de la LOPD.

A més a més, en aquest contracte s’ha de regular la responsabilitat de les parts. 5.6.1.4.- Mesures correctores S’han de signar el contracte perimetral amb les anteriors entitats. 5.6.2.- LES INSTITUCIONS ANNEXES 5.6.2.1.- Verificació efectuada No n’hi ha 5.6.1.2.- Fonament jurídic Art. 12.2 i Art 26 de la LOPD Art 20 a 22 i 55 i següents del RD 1720/2007 5.6.1.3.- Comentari de l’auditor Els titulars de bases de dades han de complir els requisits mínims establerts a la normativa sobre tractament de la informació que són:

• Inscripció de fitxers (art. 26 de la LOPD en relació amb el 55 següents i concordants del RD 1720/2007 de 21 de desembre).

• Redacció d’un document de seguretat amb tots els protocols per a acomplir amb tots els requisits legals (art. 9 de la LOPD en relació amb el 88 següents i concordants del RD 1720/2007 de 21 de desembre.

5.6.1.4.- Mesures correctores En aquest cas, no calen.


67

5.6.3.- TRANSFERÈNCIES INTERNACIONALS DE DADES 5.6.3.1.- Verificació efectuada. No es fan transferències internacionals de dades. 5.6.3.2.- Fonament jurídic. Art 65 a 70 del RD 1720/2007 5.6.3.3.- Comentari de l’auditor Perquè la transferència internacional de dades es pugui considerar conforme al que disposa la Llei Orgànica 15/1999, de 13 de desembre, i el RD 1720/2007 cal l’autorització del director de l’Agència Espanyola de Protecció de Dades, que s’atorgarà a cas que l’exportador aporti un contracte escrit, subscrit entre l’exportador i l’importador, en què constin les necessàries garanties de respecte a la protecció de la vida privada dels afectats i als seus drets i llibertats fonamentals i es garanteixi l’exercici dels seus respectius drets. A tal efecte, es considerarà que hi ha les garanties adequades als contractes que es celebrin d’acord amb el que preveuen les decisions de la Comissió Europea 2001/497/CE, de 15 de juny de 2001, 2002/16/CE, de 27 de desembre de 2001, i 2004/915/CE, de 27 de desembre de 2004 o del que disposin les decisions de la Comissió que donin compliment al que estableix l’article 26.4 de la Directiva 95/46/CE. L’autorització s’atorgarà conforme al procediment establert en la secció primera del capítol V del títol IX del RD 1720/2007 . No cal l’autorització: I. Quan l’Estat en què estigui l’importador ofereixi un nivell adequat de protecció d’acord amb el que preveu el capítol II del RD 1720/2007. II. Quan la transferència es trobi en un dels supòsits que preveu l’article 34 de la Llei Orgànica 15/1999, de 13 de desembre:

a. Quan la transferència internacional de dades de caràcter personal resulti de l’aplicació de tractats o convenis en què Espanya sigui part.

b. Quan la transferència es faci a efectes de prestar o demanar auxili

judicial internacional.

c. Quan calgui la transferència per a la prevenció o per al diagnòstic mèdics, la prestació d’assistència sanitària o tractament mèdics o la gestió de serveis sanitaris.


68

d. Quan faci referència a transferències dineràries d’acord amb la seva legislació específica.

e. Quan l’afectat hagi donat el seu consentiment inequívoc a la

transferència prevista.

f. Quan calgui la transferència per a l’execució d’un contracte entre l’afectat i el responsable del fitxer o per a l’adopció de mesures precontractuals adoptades a petició de l’afectat.

g. Quan calgui la transferència per a la celebració o execució d’un

contracte subscrit o per subscriure, en interès de l’afectat, pel responsable del fitxer i un tercer.

h. Quan calgui la transferència o sigui legalment exigida per salvaguardar

un interès públic. Té aquesta consideració la transferència demanda per una administració fiscal o duanera per al compliment de les seves competències.

i. Quan calgui la transferència per al reconeixement, exercici o defensa

d’un dret en un procés judicial.

j. Quan la transferència s’efectuï, a petició de persona amb interès legítim, des d’un registre públic i aquella estigui d’acord amb la finalitat del mateix.

k. Quan la transferència tingui com a destinació un estat membre de la

Unió Europea, o un estat respecte del qual la Comissió de les Comunitats Europees, en l’exercici de les seves competències, hagi declarat que garanteix un nivell de protecció adequat.

En tot cas, la transferència internacional de dades ha de ser notificada a fi de procedir a la seva inscripció en el Registre General de Protecció de Dades, d’acord amb el procediment establert en la secció primera del capítol IV del títol IX del RD. 1720/2007. 5.6.3.4.- Mesures correctores En aquest cas, no calen. 5.7.- L’AUDITORIA . 5.7.1.- VERIFICACIÓ EFECTUADA. No s’han aplicat totes les mesures correctores proposades als anteriors informes, ni s’han aplicat mesures equivalents.


69

La present auditoria s’ha fet dintre del termini establert a la normativa de referència. 5.7.2.- FONAMENT JURÍDIC Art. 96 i 110 del RD 1720/2007 5.7.3.- COMENTARI DE L’AUDITOR. Els articles 96 i 110 del RD 1720/2007 obliguen a fer una auditoria del nivell de compliment de la normativa de protecció de dades cada dos anys, o sempre qui hi hagi un canvi substancial al sistema de tractament del responsable del fitxer. S’han d’auditar tots els fitxers i tractament als que s’hagi d’aplicar les mesures de seguretat de nivell mig i alt. Els informes d’auditoria han d’estar a disposició de l’Agència de Protecció de Dades. 5.7.4.- MESURES CORRECTORES. S’han de complir amb les mesures correctores definides a aquest informe, o, d’altres equivalents, si les proposades no fossin possibles. Els informes s’han de guardar com a mínim tres anys, que és el temps màxim de prescripció de les infraccions en matèria de protecció de dades. Durant aquest tres anys el centre ha d’haver fet una auditoria com a mínim. Sempre que es canviï el sistema d’informació del centre de manera substancial, s’ha de fer l’auditoria, tot i que no s’hagin complert els dos anys. 5.9.- FORMULARI D’AUTOCONTROL DE L’APARTAT.- Aquest apartat està dissenyat per a què el responsable de seguretat del centre pugui verificar el compliment de les mesures correctores proposades. Pot marcar les caselles de verificació en funció de si la mesura correctora està aplicada o no.

Sí No

I.- El document de seguretat està al dia?................................................... II.- Hi ha un protocol de registre i gestió d’incidències? ............................ III.- S’aplica el protocol de gestió de les imatges?...................................... IV.- Es gestionen correctament les situacions de risc dels menors? ......... V.- S’han signat tots els contractes perimetrals? ....................................... Consultes i comentaris a fer a l’auditor:


70


71

6 - CONCLUSIONS. 6.1.- ANÀLISI DE LA BASE DE DADES. • La Base de Dades està al dia. • Cal revisar els formularis de recollida de dades amb la finalitat de no demanar més dades de les necessàries. 6.2.- ANÀLISI DE LA LEGITIMACIÓ DELS USUARIS PER FE R EL TRACTAMENT DE LA INFORMACIÓ. • El personal - S’ha de fer signar la Targeta Alfa. - Ha signat la clàusula de confidencialitat. - Cal fer sessions formatives periòdiques. • Els voluntaris - Han de signar la Targeta Alfa. - Ha de signar la clàusula de confidencialitat. - Cal fer sessions formatives periòdiques. • Els usuaris i els donants. - Cal posar al dia la targeta alfa.

- S’ha d’afegir les clàusules informatives a totes les comunicacions que es mantinguin amb ells.

6.3.- ANÀLISI DE LES MESURES DE SEGURETAT APLICADES A LES DADES.- • La seguretat física és, en general, correcta. No obstant això, s’han de formar al personal amb la finalitat de què prenguin consciència de com s’ha d’arxivar la informació • La seguretat informàtica és millorable.


72

• El procediment de destrucció no és del tot correcte. Cal signar un contracte perimetral amb l’empresa de destrucció. 6.4.- LA WEB • S’ha d’incorporar l’avís legal corresponent. • Cal incorporar la clàusula informativa als correus electrònics. • Cal incorporar les condicions generals de la contractació. 6.5.- EL REGLAMENT INTERN DE SEGURETAT I ELS PROTOCOLS • Convé mantenir al dia el document de seguretat. • S’ha de posar en pràctica el protocol de notificació i gestió d’incidències. • Hi ha Cal fer un registre d’accessos físics. • El centre ha de signar els contractes perimetrals amb els encarregats de tractament. • S’ha de fer l’auditoria biennal obligatòria cada dos anys. A Barcelona a 18 d’abril de 2017

Documents

Auditoria amb llista de mesures correctores€¦ · c/ Sant Agustí n 1 1º 1ª · 08301 Mataró ·T. 934.961.845 · @ [email protected] Num. Protocol a.- 39/2017 1 ÍNDEX GENERAL DE