Manual LOPDmanager v 11 · Manual de la plataforma Emplea el tiempo en tu cliente, no rellenando formularios y plantillas “El$valor$que$percibe$el$cliente$es$el$tiempo$que$le$

Manual de la plataforma

Emplea el tiempo en tu cliente, no rellenando

formularios y plantillas

www.lopdmanager.es

“El valor que percibe el cliente es el tiempo que le dedicas a él, no el que empleas en la oficina”

v.4.0

Construyendo Futuro Informático S.L. ·∙ Av. Madrid, 10 ·∙ 34004 Palencia ·∙ Tf. 901 001 802 ·∙ www.lopdmanager.es

1. Introducción LOPDmanager® es una plataforma especializada para consultores de protección de datos que les permite realizar todo el proceso de implantación y gestión de la LOPD de una entidad de forma rápida, cómoda y eficaz.

Con LOPDmanager® el consultor puede emplear su tiempo en lo que aporta valor, una buena consultoría con el cliente y automatizar todo aquello que no aporta valor al cliente: generación de documentación, notificación de ficheros a la AEPD, elaboración de carteles, etc.

Resultado: un trabajo de mucha más calidad realizado en mucho menos tiempo.

2. Acceso El acceso como consultor se realiza a través de un navegador de internet. La dirección de acceso al panel de consultor se realiza a través de https://www.lopdcenter.com/consultores

Nota: En caso de que disponga del servicio de Plataforma Privada Virtual, el acceso se realiza a través de: https://subdominio.lopdcenter.com/consultores

2.1 Acceso como clientes finales El acceso a la plataforma por parte de los clientes finales para que gestione su adaptación se realiza a través de la dirección: https://www.lopdcenter.com

3. El panel de control de consultor Una vez realizado el ‘login’ en la plataforma, aparece la siguiente pantalla:


El menú dispone de las siguientes opciones:

Consultor > Mis datos: Permite definir el nombre de usuario y contraseña del consultor y los datos de contacto que quiere que sean vistos en caso de darle acceso al cliente final.

Clientes > Empresas: Muestra el listado de empresas que gestionamos.

Clientes > Alta empresa: Permite dar de alta una empresa nueva para su gestión.

Soporte > Enviar consulta: Permite enviar una consulta al soporte de la plataforma.

Licencias > Operaciones: Permite consultar el saldo de licencias disponibles y los movimientos que se realizan.

Configuración > General: Permite definir si deseamos que los carteles informativos y de videovigilancia incorporen los datos del consultor o no.

Configuración > Logotipo: Permite gestionar el logotipo de nuestra empresa Consultora. ). Sólo los consultores Administradores pueden gestionar el logotipo.

Además del menú, disponemos de los siguientes botones:

Nos informa de manera visual del estado de la adaptación LOPD de la empresa.

Genera el contrato de adaptación con esa empresa. Lo más relevante de este contrato es la autorización para actuar como declarante ante la Agencia Española de Protección de Datos que la empresa otorga al consultor.

A través de este botón se accede a la gestión propia de LOPD de esa empresa.

Botón para renovar la licencia de la empresa por un año más año (hecho que nos consumirá una licencia de las que tengamos en bolsa). Sólo los consultores Administradores pueden renovar licencias.


Botón para eliminar la empresa. Dicho botón estará disponible a partir del año desde la fecha de alta de la empresa. Sólo los consultores Administradores pueden eliminar una empresa.

Licencia Nos informa de la fecha en la que expira la licencia anual de esa empresa.

Búsqueda Avanzada Cuando nos encontramos en el listado de nuestras empresas cliente disponemos de la opción de hacer una búsqueda simple por nombre de empresa y de hacer una Búsqueda Avanzada.

Por fecha de renovación De acuerdo a las fechas que cada empresa tenga insertadas esta búsqueda nos filtrará aquellas que tienen que renovar el servicio entre las fechas que hemos indicado.

Por porcentaje de adaptación A medida que vamos avanzando en la adaptación LOPD de una empresa (Consultoría, Recogida de datos, Notificar ficheros, etc.) disponemos de una pestaña en cada empresa para ir marcando los pasos que vamos realizando.

En esta sección podemos filtrar empresas dependiendo de los pasos que hayamos marcado en cada una de ellas.

Por ejemplo, queremos encontrar aquellas empresas a las que hayamos notificado sus ficheros y que aún no hayamos recibido la respuesta de la AEPD. Marcaremos entonces en Tareas realizadas ‘Ficheros notificados’ y en Tareas no realizadas ‘Respuesta de la Agencia recibida’.


3.1. Alta empresa

3.1.1. Datos empresa

Desde la opción de alta empresa se dan de alta nuevas empresas en la plataforma. Aquí debemos rellenar los datos fiscales de la empresa, así como el nº máximo de usuarios que se van a poder dar de alta dentro de la gestión de la LOPD de la empresa.

Todos estos datos, a excepción de la razón social y el CIF se podrán modificar posteriormente (ver 3.2.1.).

En el campo Notifica ficheros y recibe notificación escogemos quién va a realizar la notificación de ficheros a la Agencia Española de Protección de Datos. Al pulsar sobre el botón de selección aparecerán los datos de quién va a realizar la notificación, puede ser:

1. La empresa que realiza la consultoría. En este caso el cliente nos habrá firmado una autorización para que declaremos los ficheros en su nombre (esto los obtenemos posteriormente de la plataforma a pulsando el icono de esa empresa). El declarante será el consultor asignado y la respuesta de la Agencia a la notificación se enviará a la dirección de la empresa que realiza la consultoría (su empresa).

2. El consultor asignado a la empresa. En este caso el declarante será el consultor y la respuesta de la Agencia a la notificación se enviará a su dirección personal. Estos datos hay que introducirlos en Consultor-‐>Mis Datos.

3. La empresa cliente. En este caso, quien aparece en la notificación es la persona que hayamos designado como el administrador de la empresa (ver punto 3.1.2). El declarante será el usuario administrador de esta empresa y la respuesta de la Agencia a la notificación se enviará a la dirección de la empresa cliente.

En el campo Archivos Repositorio asignaremos el número máximo de archivos que esta empresa podrá alojar en el Repositorio de Documentación.


En el campo Renovación Servicio insertaremos la fecha prevista para renovar o volver a ponernos en contacto con el cliente. Esta fecha nos servirá para buscar empresas desde Búsqueda Avanzada.

3.1.2 Administrador

En los datos del administrador rellenamos los datos de la persona que va a firmar el contrato de adaptación (esta persona será la que aparezca en la notificación de ficheros a la AEPD en caso de que escojamos que notifica la empresa cliente).

El campo de Contraseña se refiere a la contraseña que creará el consultor para dar acceso a la plataforma a su cliente (en caso de que quiera darle acceso). El programa genera una contraseña aleatoria, es obligatorio insertar una contraseña.

Al pulsar el botón de Alta Empresa se nos abre una ventana de confirmación de los datos introducidos. Tras confirmar estos datos se abrirá una ventana emergente con los datos de acceso para enviarlos a la empresa cliente en caso de que queramos que tenga acceso a su adaptación.

Nota: Si no aparece esa ventana, quizás sea porque esté activado el bloqueador de elementos emergentes del navegador o de alguna barra de utilidades de google, yahoo, etc.


3.2. Modificar los datos de una empresa

3.2.1. Datos de empresa Pulsando en el nombre de la empresa entramos en la edición de los datos de esa empresa.

Desde aquí podemos corregir datos incorrectos en una empresa dada de alta excepto la razón social y el CIF, que requiere de una validación previa por nuestra parte, ya que una licencia no puede utilizarse para adaptar más de una empresa a la LOPD.

Desde aquí podemos:

• Cambiar el consultor (sólo si somos administradores en la Consultora) asignado a la empresa.

• Cambiar sus datos generales como dirección, código postal, teléfonos, etc. • Cambiar el número de usuarios (trabajadores) que forman parte de la empresa. • Establecer los datos para la notificación de ficheros visto en el punto anterior. • Activar el módulo LSSI para generar el Aviso Legal para incorporar a la web de esa empresa • Introducir la fecha de la Última auditoría que hemos realizado en la empresa. Esta fecha será la que aparezca en el cartel informativo para el cliente que genera la plataforma.

• Asignar el máximo de archivos de repositorio para la empresa. Del total de archivos a alojar en nuestros servidores por parte de la Consultora en este campo establecemos cuantos asignamos a esta empresa.

• Modificar la fecha de Renovación de servicio. Esta fecha sirve para introducir una estimación de tiempo en el que tenemos que volver a contactar con el cliente. Posteriormente se utilizará, en el listado de empresas -‐> búsqueda avanzada -‐> fecha de renovación, para por ejemplo ver con qué clientes tenemos que contactar el mes siguiente o las fechas por las que filtremos.


3.2.2. Usuarios empresa En caso de que queramos dar acceso a nuestro cliente a la plataforma podemos gestionarlo desde esta sección. Vemos que ya tenemos insertado el usuario Administrador (visto en el punto 3.1.2. Administrador).

Podemos insertar y modificar usuarios con acceso a la plataforma como veamos conveniente pero solo puede haber un usuario Administrador (sus datos son los que notificarán ficheros en caso de seleccionar esta opción en la empresa cliente).

Podemos cambiar los privilegios que otorgamos a los usuarios con acceso entre Total y Limitado teniendo éste último secciones comprometidas de la adaptación bloqueadas.

3.2.3. Tareas realizadas A medida que vamos avanzando en la adaptación LOPD de nuestro cliente debemos ir marcando las tareas realizadas en esta sección. Esto nos va a ser muy útil ya que, en el listado de empresas, disponemos de una opción de Búsqueda Avanzada por Tareas realizadas en el que podemos filtrar empresas dependiendo de su estado en el proceso de adaptación LOPD.

3.3. Gestionar la LOPD de una empresa Para gestionar la LOPD de una empresa, pulsamos el botón:

3.4. Logotipo Los consultores que sean Administradores pueden gestionar el logotipo de su Consultora a través de la siguiente pantalla.

Desde esta sección se puede insertar un logotipo nuevo, actualizar el existente y borrar el logotipo.


También tienen la posibilidad de seleccionar, para sus empresas cliente, si incluir el logotipo en el Documento de Seguridad o no.

En caso de insertar un logotipo éste se utilizará en varias partes del programa así como en varios documentos que encontraremos cuando entremos a la gestión LOPD de una empresa:

Gestión LOPD de la empresa Carteles Documento de Seguridad


4.0. La gestión de la LOPD de una empresa Una vez pulsado el botón Gestionar de una empresa, entramos en la gestión propia de la LOPD de esa empresa en concreto.

El menú que aparece sigue el desarrollo de una consultoría y está diseñado para introducir los datos en tiempo real mientras de desarrolla dicha consultoría.

4.1. Empresas Desde este apartado se gestionan las empresas que intervienen en la LOPD: nuestra empresa, las empresas encargadas del tratamiento y, en su caso, las empresas cliente.

4.1.1. Empresa Propia Aquí aparecen los datos de la empresa que estamos gestionando para ratificar que son del todo correctos (en caso de no ser correctos pueden cambiarse desde el panel de consultor).


En la pestaña Firma de documentos definimos la persona que por defecto va a aparecer en los contratos que se elaboren desde la plataforma (encargados, clientes, etc.).

4.1.2. Encargados En Encargados introducimos los encargados del tratamiento que tiene la empresa.

• Asesoría fiscal/contable/laboral. • Prevención de riesgos laborales. • Mantenimiento informático. • Mantenimiento de software. • Mantenimiento de cámaras de vigilancia. • Hosting. • Auditoría/consultoría de calidad. • Etc.

También en este apartado se incluirán las empresas que prestan servicios sin acceso a datos personales como la empresa de limpieza, seguridad, etc.

Nota: Para eliminar un encargado del tratamiento, se deberán borrar antes los contratos que tiene creados ese encargado.

Posteriormente se crearán los contratos con estas empresas en Contratos-‐>Encargados.

4.1.3. Clientes En caso de que la empresa que estemos adaptando sea encargada del tratamiento de otras (ej. asesorías, mantenimiento informático, etc.), aquí se introducirán los clientes a los que esa empresa presta servicio y actúa para ello como encargada del tratamiento de estos clientes.

A través del icono podemos importar los datos directamente de un fichero Excel.

Con el icono se realiza un borrado masivo de todos los clientes introducidos.


Posteriormente se crearán los contratos con esas empresas en Contratos > Clientes.

4.2. Ficheros

4.2.1. Ficheros Propios Desde este apartado se introducen los ficheros de los que esa empresa es responsable.

4.2.1.1. Nuevo fichero Pulsando el botón Nuevo Fichero generamos un nuevo fichero en esa empresa.

Podemos generar el fichero a partir de una plantilla preexistente o bien, podemos generar el fichero desde cero, sin utilizar ninguna plantilla; en todo caso, debemos seleccionar el nivel de medidas de seguridad a aplicar a dicho fichero.

Nota: aunque el fichero se cree desde una plantilla, SIEMPRE es preciso cotejar con el cliente todos y cada uno de los datos, ya que la realidad de cada entidad en el tratamiento de datos personales es única.


Si marcamos Los datos personales de este fichero se incorporan y tratan de modo exclusivo en los sistemas del encargado del tratamiento estamos indicando que aunque el fichero es de ese responsable, el tratamiento SOLO SE REALIZA EN LOS SISTEMAS DEL ENCARGADO, no teniendo el responsable dicho fichero en sus instalaciones.

Nota: en este caso, no se tendrá en cuenta el nivel de seguridad de ese fichero a la hora de generar el documento de seguridad, ya que dicho fichero no se trata en las instalaciones del responsable.

Pulsando el botón Siguiente continuamos con la generación del fichero.

Vamos pasando por las distintas pestañas y completando todos los datos del fichero; en caso de que hayamos seleccionado alguna plantilla, habrá muchas opciones que ya estén marcadas previamente.


Importante: En la notificación a la AEPD se debe notificar el encargado del tratamiento principal de ese fichero (normalmente es la asesoría), encargado que se escoge en la primera pestaña, Identificación.

Cuando hayamos pasado por todas las pestañas, pulsamos Crear Fichero para darlo de alta.

Así vamos creando todos los ficheros, uno tras otro.

4.2.1.2. Notificación del fichero a la AEPD Desde el listado de ficheros se pueden realizar dos tipos de notificaciones a la AEPD, notificaciones de Alta y notificaciones de Modificación.

Desde el apartado Ficheros -‐> Suprimir se pueden realizar notificaciones de Supresión.

Alta: vamos a proceder a notificar por primera vez el fichero a la AEPD.

Modificación: sobre un fichero inscrito en la AEPD, vamos a proceder a modificar sus datos en la AEPD.

Supresión: sobre un fichero inscrito en la AEPD, vamos a proceder a eliminarle de la AEPD.

Notificación de Alta

Para realizar una notificación de alta del fichero a la AEPD, debemos pulsar el botón Notificar que se encuentra al lado de cada fichero.

Al pulsar el botón Notificar podremos elegir el medio de notificación del fichero a la AEPD. La plataforma ofrece dos posibilidades: con firma digital y sin firma digital, nos encontramos la siguiente pantalla:


4.2.1.2.1. Notificación con firma Si va a proceder a realizar una notificación con firma digital le recomendamos que lea la guía que se encuentra justo debajo del botón Continuar.

Al pulsar el botón Continuar le aparecerá una ventana para seleccionar el certificado con el que desea realizar la firma. Dicha ventana le mostrará un listado con los certificados reconocidos por cualquiera de estos navegadores: Internet Explorer, Firefox, Chrome y Safari que tenga instalados en su equipo. En caso de que haya realizado el procedimiento de instalación para firmas digitales con el DNI electrónico éste también le aparecerá insertando el DNIe en un lector de su equipo.

Es importante saber que el DNI de la persona que actúa como declarante de la notificación del fichero (campo Notifica Ficheros en la configuración de la empresa visto anteriormente) tiene que coincidir con el DNI del certificado con el que se va a firmar la notificación.

Seleccionamos un certificado de la lista y pulsamos Aceptar.

Una vez realizada la notificación de forma correcta aparecerá en pantalla la confirmación de la misma. El fichero ya ha sido notificado y no tiene que hacer nada más.


En un plazo de 7-‐10 días recibiremos por carta la respuesta de la AEPD de los ficheros notificados.

4.2.1.2.2. Notificación sin firma Al pulsar el botón Continuar, el contenido del fichero se envía a la AEPD en formato XML y la Agencia devuelve una hoja de solicitud en formato PDF con el membrete de la AEPD. (Aparece una ventana nueva con el fichero PDF).

Ahora solo resta imprimir esa hoja, firmarla y mandarla a la AEPD por fax o correo ordinario (aparecen los datos en la plataforma) para completar la notificación del fichero.

En un plazo de 15-‐45 días recibiremos por carta la respuesta de la AEPD de los ficheros notificados.

Nota: en el caso de que recibamos por parte de la AEPD, en lugar del código de inscripción del fichero una notificación indicando que algún dato es erróneo, subsanaremos el error, anularemos la notificación realizada y volveremos a notificar de nuevo el fichero a la AEPD mandando la nueva hoja de confirmación generada tras esa segunda notificación.

Una vez que hemos realizado una notificación de alta y el fichero ha sido inscrito correctamente en la AEPD debemos insertar el código de inscripción que nos han enviado, lo haremos en la ventana de modificación del fichero:


Notificación de Modificación

Con el código de inscripción ya podremos realizar notificaciones de modificación del fichero en la AEPD a través de la plataforma.

Observamos que en el listado de ficheros, una vez insertado el código de inscripción, disponemos del botón para realizar la notificación de modificación.

Debemos dejar el fichero con los datos que estimemos oportunos ya que son esos datos los que se van a enviar en la notificación.

Al pulsar el botón podremos elegir el medio de notificación del fichero a la AEPD. El proceso es exactamente igual que en una notificación de alta, elegiremos con firma digital o sin firma digital siguiendo los pasos detallados anteriormente (puntos 4.2.1.2.1 Notificación con firma y 4.2.1.2.2 Notificación sin firma) y finalizaremos el proceso como se ha indicado en estos puntos.


Notas aclaratorias sobre la modificación de los datos del fichero en la AEPD:

1. La notificación de modificación lo que hace es enviar los datos del fichero que tenga en ese momento. Hay que dejar el fichero como se estime y hacer la modificación.

2. Ya es posible eliminar contenido inscrito en la Agencia en una notificación de modificación en los apartados Encargado del tratamiento, Cesión y Transferencias internacionales. Puede encontrar más información al final de este documento en Observaciones – Punto 2.

4.2.1.2.3. Estado de la Notificación En el listado de ficheros, una vez notificado el fichero, le aparecerán los datos de la última notificación realizada con la siguiente información:

Medio de notificación elegido: Firma manual o Firma digital.

Fecha de la notificación.

Consultar el estado de la notificación: este botón le abrirá una ventana de la AEPD mostrándole información sobre el estado de la notificación del fichero en cuestión. Este servicio sirve únicamente para consultar en qué estado se encuentra la notificación (bien sea de alta o de modificación) de un fichero. Una vez que la AEPD gestiona la notificación de dicho fichero procede a eliminar la información de sus registros.

Hoja de solicitud para notificaciones firmadas manualmente.

Anular la notificación: Este botón anulará la notificación de la plataforma. Tenga en cuenta que si el fichero ya ha sido inscrito en la AEPD deberá proceder a su eliminación en la propia AEPD mediante una notificación de supresión.

Realizar notificación de modificación.

Notificación de Supresión

Para eliminar un fichero inscrito en la AEPD vamos a Ficheros -‐> Suprimir del Menú Principal:


Insertamos el código de inscripción del fichero que queramos eliminar, los motivos y el destino de la información de ese fichero y pulsamos el botón Continuar donde podremos elegir el medio de notificación del fichero a la AEPD. El proceso es exactamente igual que en una notificación de alta, elegiremos con firma digital o sin firma digital siguiendo los pasos detallados anteriormente (puntos 4.2.1.2.1 Notificación con firma y 4.2.1.2.2 Notificación sin firma) y finalizaremos el proceso como se ha indicado en estos puntos.

4.2.2. Ficheros De Terceros En esta sección se introducirán los ficheros y tratamientos de terceros que se realizan en concepto de Encargado del tratamiento (ver art. 88.5 del RD 1720/2007).

Es decir, si la empresa que estamos adaptando es, por ejemplo, una asesoría laboral, además de sus ficheros (CLIENTES, PROVEEDORES, LABORAL, etc.), dicha asesoría trata los datos de los trabajadores de las empresas a las que presta el servicio de elaboración de nóminas y seguros sociales para poder desempeñar esos trabajos.

Dichos datos no son de la asesoría, sino de las empresas a las que presta el servicio; ella sólo trata esos datos en concepto de encargada del tratamiento con la finalidad de prestar los servicios descritos. No son por tanto, ficheros propios, ya que no son suyos (son de sus clientes).

Esos ficheros y tratamientos realizados por la asesoría con datos de los cuáles no es responsable (sino encargada) son los que se recogen en este apartado, y solo debe completarse cuando la empresa sea encargada del tratamiento de otras (asesorías, prevención de riesgos laborales, mantenimiento informático, etc.).

Pulsando en el Botón Nuevo Tratamiento se introducirán los tratamientos de igual forma que los ficheros propios (con la particularidad de que estos tratamiento no se notifican a la Agencia Española de Protección de Datos, únicamente deben aparecer reflejados en el documento de seguridad, así como los usuarios que tienen acceso a ellos y el resto de requisitos que el reglamento establece, tal y como si se tratase de ficheros propios).


4.3. Usuarios En este apartado se crearán los perfiles de usuario con los accesos que tienen asignados a los ficheros y tratamientos para, posteriormente, introducir los usuarios y asignarles su perfil.

4.3.1. Perfiles Desde Usuarios -‐> Perfiles se crean los distintos perfiles que tiene la empresa.

4.3.1. Crear un nuevo Perfil Para crear un nuevo perfil de usuarios, se ha de pulsar el botón Nuevo Perfil.

En la primera pestaña, Descripción se deben introducir los siguientes datos:

Nombre: Es el nombre que le asignamos al perfil (DIRECCIÓN, VENTAS, TECNICOS, etc.).

Funciones: Describimos las funciones asignadas a ese perfil.


Responsable de autorizar: Con este check indicamos qué perfil o perfiles son los responsables de autorizar al resto, es decir, el administrador o gerente de la entidad.

En la segunda pestaña, Ficheros, indicamos los siguientes datos:

Fichero: Marcamos a qué ficheros tiene acceso ese perfil.

Acceso: Indicamos el tipo de acceso (manual, automatizado ó mixto) al fichero marcado.

Administrador: el administrador del fichero es quién concede acceso afectivo al mismo, es decir, quien da las claves de acceso a los ficheros automatizados, o las llaves para acceder a los ficheros manuales.

Resp. Seg.: Indicamos aquí que el perfil es responsable de seguridad de los ficheros correspondientes. Nota: Esta casilla solo aparece si tenemos algún fichero propio o tratamiento de terceros de nivel medio o alto.

4.3.2. Usuarios Desde este apartado se crean los usuarios y se les asigna su perfil correspondiente.

Desde el botón se pueden importar usuarios desde un fichero Excel.

Con el botón podemos generar el compromiso de confidencialidad de ese usuario.

4.3.2.1. Crear un nuevo usuario Para crear un nuevo usuario, pulsamos el botón Nuevo Usuario.


En la primera pestaña, Datos personales puede introducir, además del nombre, apellidos y perfil al que pertenece ese usuario los siguientes datos opcionales:

Departamento: indicamos el departamento al que pertenece el usuario.

Identificador: es el nombre de usuario que tiene asignada esa persona para acceder al equipo y las aplicaciones.

La segunda pestaña, Delegaciones solo se deberá tener en cuenta si esa persona ha sido delegada por el Responsable de autorizar (antes indicado) para otorgar autorizaciones a otras personas; en ese caso, se indicarán las autorizaciones que puede otorgar.

4.4. Sistemas En este apartado indicaremos el equipamiento informático (hardware y software) del que dispone la entidad para el tratamiento de los datos personales.

4.4.1. Equipamiento En Equipamiento daremos de alta las distintas sedes de la entidad en las cuáles se tratan datos personales.

4.4.1.1. Crear Sedes Con el botón Nueva Sede crearemos cada una de las sedes de la entidad, pasando por todas las pestañas y completando todos los datos relativos a cada sede.

Hay algunos campos que ya están rellenos de forma predefinida, debemos asegurarnos que su contenido se ajusta a la realidad y si no es así, modificarlo para que se ajuste de forma fehaciente a la misma.


4.4.1. Software En el apartado de Software daremos de alta las distintas aplicaciones que se utilizan para tratar datos personales.

4.4.1.1. Crear aplicaciones A través del botón Nueva Aplicación, iremos dando de alta las distintas aplicaciones que utiliza la entidad para el tratamiento de los datos personales.


En cada aplicación indicaremos su nombre, cometido, a qué ficheros tiene acceso esa aplicación, qué perfiles tienen acceso a la misma y con qué nivel de privilegios.

4.5. Soportes Desde esta sección se introducen todos los procedimientos para la gestión de soportes que contengan datos personales (archivadores, carpetas, cds, memorias usb, etc.), así como el lugar donde se almacenan los mismos y otras gestiones.

4.5.1. Procedimientos En Procedimientos introducimos los procedimientos establecidos por la entidad para la gestión de los soportes con datos personales.

Por defecto, ya aparecen algunos procedimientos establecidos, aunque es posible editar todos y cada uno de ellos de forma que se adecúen a la realidad de la entidad.


Aparecerán más o menos procedimientos en función del nivel de los ficheros tratados por la entidad.

Vamos a detenernos en uno de los procedimientos más importantes para la gestión de soportes que establece el RD1720/2007 y cómo lo podemos implementar de forma muy sencilla con esta plataforma:

El art. 92.1 (gestión de soportes y documentos) del RD1720/2007 establece:

Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y solo deberán ser accesibles por el personal autorizado para ello en el documento de seguridad.

Es decir, que para una correcta gestión de los soportes (memorias usb, cds, archivadores, etc.) se deben realizar las siguientes operaciones:

1. Establecer un procedimiento de etiquetado e inventariado de los soportes. 2. Etiquetar dichos soportes según el procedimiento establecido. 3. Inventariar los soportes etiquetados. 4. Elaborar una lista de personal autorizado para acceder a los lugares donde se

almacenan los soportes mencionados (esta lista debe estar en el documento de seguridad).

Todos estos pasos los podemos realizar de forma muy rápida con esta plataforma:

1. Establecer procedimiento. En el apartado Procedimientos, el primero que aparece es Etiquetado, y es el siguiente: Las tres primeras letras del fichero que contiene seguido del número de soporte, que será correlativo para cada nuevo soporte dado de alta. Es decir, que etiquetaremos con CLI0001 el primer soporte que contenga datos de clientes (facturas, albaranes, etc.), CLI0002 el segundo y así sucesivamente. En el caso de proveedores, las etiquetas serán PRO0001, PRO0002, etc. Bien, ya tenemos el procedimiento de etiquetado.

2. Etiquetar. Desde el apartado Soportes-‐>Etiquetas podemos generar de forma automática las etiquetas necesarias para realizar el etiquetado y entregarlas al cliente para que las pegue en los soportes.

3. Inventariar. Una vez el cliente las haya pegado, nos comunica las que ha consumido de cada tipo. Desde el apartado Soportes-‐>Inventariado se generará el inventario de forma también totalmente automática.

4. Lista de personal autorizado. Esta lista se genera posteriormente y de forma también automática desde el apartado Autorizaciones-‐>Permanentes.

El etiquetado e inventariado de los soportes es de suma importancia, ya que los soportes son los que contienen los datos personales que deben ser protegidos de pérdidas, acceso no autorizado, etc.

Más adelante veremos todos los apartados indicados anteriormente de forma detallada.


4.5.2. Recintos Los recintos son los distintos lugares dentro de la entidad donde se tratan y/o almacenan datos personales.

Dentro de una entidad podrían ser recintos:

• Las oficinas (OFICINA DIRECCIÓN, OFICINA COMERCIAL). • El ARCHIVO HISTORICO donde se archivan los datos de periodos anteriores. • El CENTRO DE DATOS (la sala donde están los servidores). • La CAJA FUERTE en la que se guarda la copia de seguridad. • Cualquier otro recinto dentro de la sede donde se traten datos personales.

Después de definir los recintos insertaremos los dispositivos que se encuentran en cada uno de los recintos introducidos.

4.5.2.1. Crear un nuevo Recinto Para crear un nuevo recinto, pulsamos el botón Nuevo Recinto.


En cada recinto debemos indicar su nombre, su dispositivo de apertura (libre acceso, llave, etc.) y la sede en que está ubicado dicho recinto.

4.5.3. Dispositivos Los Dispositivos son las cajoneras, armarios, estantes, caja fuerte, etc., donde se encuentran los soportes (archivadores, carpetas, cds, memorias usb, etc.) que contienen datos personales.

Es muy importante introducir correctamente todos estos datos porque posteriormente se van a generar las autorizaciones para el personal que trata datos y una de ellas es la autorización para acceder a los lugares donde se almacenan datos personales (los dispositivos).

4.5.3.1. Crear un nuevo Dispositivo Para crear un nuevo Dispositivo pulsamos el botón Nuevo Dispositivo.


Para cada recinto debemos especificar su nombre, dispositivo de apertura, tipo de soportes que almacena y lugar donde está situado (sede y recinto).

En el caso de que se traten datos de nivel alto, debemos especificar si el dispositivo almacena datos de nivel alto o no.

4.5.4. Inventario Desde el apartado Inventario podemos realizar de forma totalmente automática el inventariado de los soportes que contienen datos personales, tanto automatizados como manuales, así como gestionar la fecha de alta y baja (destrucción) de dichos soportes.

4.5.4.1. Insertar un soporte en el inventario Desde el menú Acciones sobre los soportes, escogemos la opción Nuevo soporte individual:


Los datos que debemos introducir son:

Identificador: es la etiqueta que identifica al soporte (CLI0001, PRO0005, SPT0067, etc.).

Tipo: si es un soporte automatizado o no automatizado.

Soporte o documento: el tipo de soporte (archivador, cd, carpeta, memoria usb, etc.).

Información contenida: aquí indicaremos, al menos, el fichero que contiene, pero podemos ser tan exhaustivos como deseemos (ej. Facturas de clientes año 2011).

4.5.4.2. Insertar un soporte en el inventario Desde el menú Acciones sobre los soportes, escogemos la opción Insertar varios soportes:


Los campos que varían respecto a la inserción de un soporte individual son:

Prefijo: Indicaremos el prefijo de los soportes a inventariar (CLI, PRO, LAB, etc.), con un máximo de 3 caracteres.

Desde: Indicamos desde que soporte queremos comenzar el inventariado.

Hasta: Indicamos hasta que soporte queremos inventariar.

Por ejemplo, si rellenamos con los datos que se ven en la figura, el inventario generado es el siguiente: CLI0001, CLI0002, CLI003 …………… CLI0048.

4.5.5. Etiquetas Es posible generar desde aquí las etiquetas para inventariar los soportes con datos personales.

Solo debemos introducir el prefijo y desde que etiqueta se quiere comenzar, entonces, se generará un fichero PDF con 65 etiquetas desde el valor definido.

Posteriormente podremos imprimir el PDF generado en el formato de etiquetas estándar de 65 etiquetas por hoja de A4.


4.5.6. Registro de E/S Desde este apartado podremos gestionar el registro de entradas y salidas de soportes y documentos automatizados que contengas datos de nivel medio y alto que exige el art. 97 del RD1720/2007.

En caso de que todos los ficheros sean de nivel básico, no aparecerá este apartado.

4.6. Nombramientos Esta es una sección para seguimiento de la implantación; podemos ver en ella a las personas que hemos asignado para los cargos específicos de la gestión de la LOPD en la entidad.


4.6.1. Nombramientos Desde este apartado podremos consultar de forma muy visual las personas que hemos seleccionado como responsable/s de autorizar, administrador/es de los ficheros y responsable/s de seguridad.

4.6.2. Delegaciones Desde este apartado podremos consultar de forma muy visual las personas que hemos seleccionado como delegadas por el responsable de autorizar para que tengan capacidad de otorgar autorizaciones a otras personas.

4.7. Autorizaciones Desde este apartado se podrán crear tanto las autorizaciones permanentes del documento de seguridad como las autorizaciones puntuales para salida de soportes que contengan datos personales que sea necesario generar.


4.7.1. Autorizaciones permanentes Las autorizaciones permanentes identifican en el documento de seguridad las personas autorizadas para realizar determinadas operaciones con los datos personales (salida de datos, recepción de soportes, copia de documentos de nivel alto, etc.).

4.7.1. Crear una nueva autorización Para crear una nueva autorización, seleccionamos en el menú el tipo de autorización que queremos generar.

En función del nivel de los ficheros tendremos más o menos autorizaciones para seleccionar.

Autorizaciones del Nivel Básico • La salida de soportes y/o documentos: ver art.92.2 del RD1720/2007. • El tratamiento de datos fuera de los locales: ver art.86.1 del RD1720/2007. • El tratamiento de datos en dispositivos portátiles: ver art.86.1 del RD1720/2007. • El acceso al lugar donde se almacenan los soportes y/o documentos: ver art.92.1 del

RD1720/2007.

Autorizaciones del Nivel Medio • La entrega de soportes y/o documentos de ficheros de nivel medio y alto: ver art.97.2 del

RD1720/2007. • La recepción de soportes y/o documentos de ficheros de nivel medio y alto: ver art.97.1

del RD1720/2007. • El acceso a los lugares donde se encuentran los sistemas de información: ver art.99 del

RD1720/2007.


• La recuperación de datos en los ficheros de nivel medio y alto: ver art.100.2 del RD1720/2007.

Autorizaciones del Nivel Alto • La copia o reproducción de documentos que contengan datos de nivel alto: ver art.112.1

del RD1720/2007.

Las autorizaciones se pueden crear para un usuario en concreto, para todo un perfil, e incluso, para todos los usuarios activos.

4.7.1. Salidas de soportes Las autorizaciones para salida de soportes se utilizan cuando una persona, que no está autorizada de forma permanente en el documento de seguridad, necesita sacar datos personales fuera de las instalaciones del responsable.

En este caso, el responsable del fichero le autorizará de forma puntual para que realice esta salida de datos.


Nota: en el Documento de Seguridad siempre se imprime una plantilla vacía para poder rellenar la autorización a bolígrafo.

4.8. Contratos Desde esta sección podremos crear los contratos de acceso a datos por cuenta de terceros con los encargados del tratamiento, los contratos de acceso a datos con los clientes para los que la entidad actúa como encargada del tratamiento y los contratos de cesión de datos.

4.8.1. Contratos con Encargados del tratamiento Al acceder a Contratos -‐> Encargados, se ven los contratos de acceso a datos por cuenta de terceros que la empresa tiene creados con los encargados del tratamiento.

Si pulsamos el icono la plataforma nos generará el contrato para ese encargado por duplicado junto con una hoja identificativa del contrato generado para adjuntarla en el Documento de Seguridad (imprescindible si el contrato no se archiva en el propio Documento


de Seguridad, ya que ha de existir en el mismo una referencia expresa a los encargados del tratamiento que existen).

4.8.1.1. Crear un nuevo contrato con un Encargado del tratamiento Para crear un nuevo contrato con un encargado del tratamiento, vamos al apartado Nuevo contrato para el encargado del tratamiento y escogemos la opción Con acceso a datos.

En los Datos generales del contrato que aparece, tenemos los siguientes apartados:

Referencia: Es la referencia del contrato. Por defecto ya aparece rellenada, pero es posible modificar el contenido de ese campo.

Encargado del tratamiento: Especifica el encargado del tratamiento para el que vamos a crear el contrato.

Fecha: Es la fecha en la que el encargado nos ha firmado el contrato (sólo a título informativo, no sale en el contrato).

Duración: Especifica la duración del contrato (usualmente es INDEFINIDA).

Servicios prestados: Describe los servicios que nos presta el encargado del tratamiento.

Servicios subcontratados: En el caso de que el encargado del tratamiento subcontrate alguno de los servicios con otra entidad, debe detallarse en este apartado qué servicios pueden ser objeto de subcontratación.

Empresa subcontratada: En el caso de que se rellene el apartado anterior, aquí deberá indicarse la empresa con la que se subcontratan los servicios anteriores.

En el apartado Ficheros afectados se marcarán los ficheros que resultan afectados por el encargo del tratamiento.


Nota: La plataforma posteriormente convierte estos ficheros y su nivel de seguridad a un texto plano editable, con el fin de poder elaborar contratos de encargado más detallados.

En el apartado Prestaciones se indicará la forma en la que el encargado presta el servicio al responsable:

• De forma remota. • En los locales del responsable. • En los locales del encargado.

En el apartado Implicaciones se indicarán las implicaciones de cara a la incorporación de datos en los sistemas del encargado del tratamiento:

• Se incorporan datos en los sistemas del encargado. • No se incorporan datos en los sistemas del encargado. • Los datos se incorporan y tratan, de forma exclusiva en los sistemas del encargado.


Por último, en el apartado Firma del contrato introduciremos la persona de nuestra entidad que firma el contrato de acceso a datos, y que aparece ya relleno con los datos por defecto.

4.8.1.2. Crear un nuevo contrato con un Prestador de servicio sin acceso a datos Para crear un nuevo contrato con un prestador de servicio sin acceso a datos, vamos al apartado Nuevo contrato para el encargado del tratamiento y escogemos la opción Sin acceso a datos.

Los datos a rellenar son los mismos que para un encargado del tratamiento, omitiéndose todo lo relativo a Ficheros afectados e Implicaciones.

4.8.2. Contratos con Clientes Los contratos con clientes (a los que prestamos un servicio que implica el acceso a datos personales de ese cliente y somos por tanto, encargados del tratamiento de dicho cliente) son exactamente iguales a los contratos con los encargados (ver el apartado anterior).

La única variación es la situación de cada parte: nosotros estaremos como encargados del tratamiento y nuestro cliente está como responsable del fichero.

4.8.2.1. Crear contratos con clientes de forma masiva Es posible automatizar la generación de los contratos para todos los clientes introducidos previamente en la plataforma.

Tan solo debemos escoger como cliente la opción PARA TODOS LOS CLIENTES. Esto generará de forma automática un contrato para cada cliente con las características indicadas.


4.8.3. Contratos de cesiones Se podrán crear desde este apartado los contratos de cesión de datos, ya sea como cedente o como cesionario de los datos.

4.9. Incidencias Desde esta sección gestionamos el procedimiento para la notificación, gestión y respuesta ante las incidencias, así como el procedimiento de registro de las incidencias y el propio registro de las mismas.

4.9.1. Procedimiento de gestión de incidencias Por defecto, la plataforma nos genera un procedimiento para la notificación, gestión y respuesta ante las incidencias, así como el registro de las mismas.

Dicho procedimiento es editable para ajustarle, si es caso, a la realidad de la empresa.


4.9.2. Registro de incidencias También es posible realizar la llevanza del registro de incidencias, anotando en la propia plataforma las incidencias que se van produciendo, según los requisitos marcados por el RD1720/2007.

4.9.2.1. Insertar una incidencia

Pulsamos el botón Nueva Incidencia y completamos la todos los campos del formulario que aparece.

4.10. Cláusulas legales Desde esta sección generamos las cláusulas legales necesarias para legitimar la recogida de los datos personales y cumplir con los principios de información y consentimiento que exige la normativa.


4.10.1. Cláusulas En este apartado podemos generar los cuatro tipos de cláusulas básicas que necesitamos:

• Cláusula informativa para documentos que contengan datos personales: se utiliza para documentos que son remitidos al titular (facturas, albaranes, etc.).

• Cláusula informativa para el e-‐mail: se utiliza para firmar los correos electrónicos. • Cláusula para obtención de consentimiento para recabar datos personales: se utiliza

para obtener consentimiento para la recogida (y cesión) de los datos personales. • Cláusula informativa para recabar datos personales: se utiliza cuando no es necesario

el consentimiento en la recogida de los datos.

Podemos generar tantas cláusulas de cada tipo como se necesiten, en función de los distintos ficheros que trate la entidad o las distintas finalidades para las cuáles se recogen los datos.

En cada cláusula es posible editar la descripción y la finalidad de la recogida, así como la actividad de los cesionarios de datos y la finalidad de la cesión, en caso de que exista dicha cesión.

La plataforma, en función de los ficheros que se dan de alta, genera de forma automática cláusulas por defecto acordes a dichos ficheros. Más tarde es posible añadir más ó editar las existentes.

Estas cláusulas, una vez generadas, las incorporaremos en los documentos de recogida de datos personales (facturas, correo electrónico, contratos, etc.).

4.10.2. Circulares Desde este apartado podemos generar tres tipos de circulares:

• Circular de respuesta a la recepción de un Curriculum vitae: utilizada para responder a los individuos que nos envían un CV.


• Circular informativa para clientes: modelo de carta para informar a los clientes que la entidad se ha adaptado a la LOPD.

• Circular informativa para trabajadores: modelo de circular para los trabajadores que no tienen acceso a datos en la cual les informamos de la existencia de un fichero y recabamos su firma para acreditar que les hemos informado adecuadamente, tal y como establece el art. 5 de la LOPD.

4.10.3. LSSI Desde este apartado podemos generar el Aviso Legal que toda web debe tener, así como el procedimiento y cláusula para que la recogida de los datos a través de un formulario en la web se realice según establece la normativa.

Desde el icono se genera el Aviso Legal en un fichero PDF para copiar el texto e insertarlo en la página web de la empresa.


Nota: el Aviso Legal generado es válido para una web que sea ESCAPARATE DE PRODUCTOS Y SERVICIOS, pero que no realice comercio electrónico, y siempre que no esté sujeta a ninguna autorización administrativa previa. Tampoco es válido para profesiones reguladas.

4.11. Peticiones ARCO Desde esta sección podemos descargar las plantillas necesarias para que la entidad atienda cualquier derecho que le sea solicitado, así como realizar el registro de los derechos ARCO atendidos.

4.11.1. Plantillas En este apartado generamos la plantilla necesaria en formato PDF para imprimir o enviar por e-‐mail.

4.11.2. Registro En este apartado vamos registrando las peticiones de derechos que se producen, así como otros datos relativos a la atención del mismo.


4.12. Documentación Desde esta sección generamos toda la documentación y carteles necesarios para cumplir la normativa.

4.12.1. Documento de Seguridad Podemos generar el Documento de Seguridad completo, listo para entregar al cliente, o bien, anexos independientes por separado para actualizar sólo las partes del documento de seguridad que hayan cambiado (usuarios, sistemas, software, etc.).

4.12.2. Extracto del Documento de Seguridad Este documento es un resumen escueto de los principales apartados del Documento de Seguridad. Tiene como finalidad cotejarlo junto con el cliente y que éste nos dé su visto bueno en cuanto al contenido del Documento de Seguridad que posteriormente le entregamos.

4.12.3. Carteles Podemos generar de forma automática el cartel de video vigilancia y el informativo para el establecimiento.


Desde el panel de consultor seleccionamos si los carteles se van a generar con los datos y logotipo de la empresa que realiza la adaptación o no.

4.12.3.1. Cartel video vigilancia Como domicilio donde ejercer los derechos siempre aparecerá el que tenga la empresa en Empresas -‐> Propia -‐> Derechos ARCO, desde esta sección se puede modificar.

4.12.3.2. Cartel informativo En este cartel se mostrará como domicilio donde ejercer los derechos:

• El domicilio fiscal si éste coincide con los datos del domicilio ARCO (Empresas -‐> Propia -‐> Derechos ARCO).

• El domicilio ARCO si éste es distinto al domicilio fiscal.

4.12.4. Repositorio En el Repositorio de documentación podemos alojar archivos asociados a la empresa como contratos, información, etc. Dichos archivos estarán siempre disponibles para su descarga en cualquier momento.


Desde el panel de consultor asignamos el número máximo de archivos que una empresa puede tener alojados.

Nota: Hemos de tener en cuenta que el tamaño máximo de los archivos que se pueden subir al repositorio es de 2Mb.

4.13. Auditorías Desde esta sección podemos realizar la auditoría bienal que requieren los ficheros de nivel medio y alto.

La auditoría está compuesta de un máximo de 92 preguntas que han de responderse únicamente marcado la casilla “sí”, “no” y “omitir”.

En base a las respuestas introducidas se genera, de forma totalmente automática, el informe de auditoría, que incluye:

• Referencia legal de los controles efectuados. • Observaciones realizadas. • Deficiencias detectadas. • Propuesta de medidas correctoras a aplicar. • Observaciones del auditor.

Para realizar una auditoría a una empresa en la que la implantación no se haya realizado con la plataforma LOPDmanager®, se deberá dar de alta la entidad y posteriormente introducir los siguientes datos (no se requiere ningún dato más que los indicados):

• Los ficheros que tiene la entidad y su nivel de seguridad. • Las sedes en las que se tratan esos ficheros.


4.14. Contactar Esta sección es informativa para el cliente, aparecen los datos del consultor que gestiona esta entidad y que se han introducido previamente en el panel de consultor.


OBSERVACIONES

1. CAMBIOS EN APARTADOS DE FICHEROS Se han modificado ciertos campos en la sección Estructura -‐> Datos de carácter identificativo, se detallan a continuación:

a. El campo antiguo Firma/Huella pasa a llamarse solamente Firma, los ficheros que

tuvieran Firma/Huella marcado ahora tendrán Firma marcado. Este campo marcado indica, según la Agencia, que el fichero recoge la firma manual o digitalizada.

b. Se ha creado un nuevo campo Huella a raíz del desglose del antiguo Firma/Huella que, según la Agencia, indica que el fichero recoge la huella dactilar, plantar, etc.

c. El nuevo campo Huella va a estar desmarcado en la Plataforma para todos los ficheros. De acuerdo a la consulta realizada a la Agencia sobre los condicionantes del desglose de los campos:

I. ¿Cómo van a aparecer esos datos cuando se consulten?

II. Si firma/huella está recogido, ¿Firma Manual estará recogido o Huella (dactilar, plantar) estará recogido?

Su respuesta fue:

Por defecto, se recogerá firma en aquellos ficheros ya declarados. Si en la descripción del fichero se detectase la incorporación de datos biométricos o huella, se modificará de oficio.

Debido a que desconocemos cómo la Agencia va a detectar, a través de la descripción del fichero, la incorporación de datos biométricos o huella, no tenemos la posibilidad de marcar o no el campo huella automáticamente en los ficheros de la Plataforma y hemos decidido dejar el campo Huella como desmarcado.

d. Se ha creado un nuevo campo Otros datos biométricos el cual no está relacionado con el desglose anterior y que, según la Agencia, indica que el fichero recoge datos biométricos de la persona distintos de la huella. Va a estar desmarcado en todos los ficheros.

2. CAMBIOS EN NOTIFICACIONES DE MODIFICACIÓN De acuerdo a las últimas funcionabilidades que la Agencia ha introducido en las notificaciones telemáticas se podrá solicitar la modificación de ficheros inscritos sobre apartados no obligatorios (Encargado de Tratamiento, Cesiones y Transferencias Internacionales) que tenían contenido y dejan de tenerlo.

Para eliminar contenido inscrito en la Agencia en los apartados mencionados basta con dejarles vacíos en el fichero en cuestión y hacer una notificación de modificación.

Documents

Manual LOPDmanager v 11 · Manual de la plataforma Emplea el tiempo en tu cliente, no rellenando formularios y plantillas “El$valor$que$percibe$el$cliente$es$el$tiempo$que$le$