Manualresponsableseguridad PDF

Manual de responsable de seguridad en
materia de protección de datos de carácter

personal de la entidad
Universidad de Almería.
ADAPTADO AL REAL DECRETO 1720/2007
Mayo de 2011
Universidad de Almería. - Manual del responsable de seguridad
Índice
1. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
2. Funciones y obligaciones del responsable de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
3. Explicación de las funciones y obligaciones encomendadas al responsable . . . . . . . . . . . . . . . . . . .5
3.1. Tareas que garantizan el cumplimiento del RDLOPD para FFAA . . . . . . . . . . . . . . . . . . . . . . . . . .5
3.2. Tareas que garantizan el cumplimiento del RDLOPD para FFNA . . . . . . . . . . . . . . . . . . . . . . . . . .7
4. Procedimientos fijados en la organización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
4.1.Procedimiento de notificación y gestión de incidencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
4.1.1. Procedimiento para la notificación de incidencias de ficheros automatizados . . . . . . . . . . . . . .21
4.1.2. Procedimiento para la notificación de incidencias de ficheros no automatizados . . . . . . . . . . .23
4.2.Procedimientos de entrada y salida de soportes y documentos . . . . . . . . . . . . . . . . . . . . . . . . . . .26
4.2.1. Procedimiento de registro de entrada de soportes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27
4.2.2. Procedimiento de registro de salida de soportes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31
4.3.Procedimientos de gestión de usuarios de los ficheros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36
4.3.1. Procedimiento de alta de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36
4.3.2. Procedimiento de baja de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41
4.4.Procedimiento de desechado y reutilización de soportes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45
4.4.1. Procedimiento de desechado y reutilización de soportes automatizados . . . . . . . . . . . . . . . . . .45
4.4.2. Procedimiento de desechado y reutilización de soportes no automatizados . . . . . . . . . . . . . . .48
4.5. Procedimiento para los envíos telemáticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .51
4.6. Procedimiento para el uso del correo electrónico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .54
4.7. Procedimiento ante solicitudes de ejercicio de derechos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57
4.8.Procedimientos de archivo y custodia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .62
4.8.1. Procedimiento de custodia de soportes no automatizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . .62
4.8.2. Procedimiento de archivo de ficheros no automatizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .65
4.8.3. Procedimiento de restricción de acceso a ficheros no automatizados . . . . . . . . . . . . . . . . . . . .68
4.9. Procedimiento de copia y reproducción de documentos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .71
4.10. Procedimiento de traslado de documentación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .74
5. Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .77
II
1. Introducción
La protección de los datos de carácter personal de los ciudadanos ha sido regulada por el
legislador español mediante la L.O. 15/1999 (en adelante LOPD), que establece toda una
serie de medidas de obligado cumplimiento para aquellas entidades que, en el ejercicio de
su actividad, sometan a tratamiento este tipo de datos. A su vez el Reglamento de Desarrollo
de la LOPD (RD 1720/2007 o RDLOPD) desarrolla lo previsto en la LOPD. Para coordinar
tales medidas el RDLOPD contempla la figura del responsable de seguridad. A su vez en
ocasiones existen determinadas funciones que conviene delegar en responsables de
seguridad delegados (de aspectos jurídico organizativos y técnicos respectivamente).
Para coordinar tales medidas el RDLOPD contempla la figura del responsable/s de

seguridad.
Es objeto de este manual detallar las funciones que al responsable de seguridad Carmen
Alicia García de Universidad de Almería. le corresponden así como darle pautas al mismo
para que conozca como ejecutar las tareas que le corresponden.
2. Funciones y obligaciones del responsable de

seguridad
"En el documento de seguridad deberán designarse uno o varios

responsables de seguridad encargados de coordinar y controlar las medidas
definidas en el mismo. Esta designación puede ser única para todos los
ficheros o tratamientos de datos de carácter personal o diferenciada según
los sistemas de tratamiento utilizados, circunstancia que deberá hacerse
constar claramente en el documento de seguridad.
En ningún caso esta designación supone una exoneración de la
responsabilidad que corresponde al responsable del fichero o al encargado
del tratamiento de acuerdo con este Reglamento." Artículo 95 RDLOPD.
1
El Responsable de Seguridad es el encargado de autorizar, coordinar, controlar y en algunos

supuestos ejecutar las medidas definidas en el documento seguridad.
Corresponde al Responsable de Seguridad, por si mismo o a través del

responsable delegado, cumplir con las siguientes obligaciones:
- Someter los sistemas de información, al menos cada 2 años, a una auditoría interna o
externa que verifique el cumplimiento del Reglamento, procedimientos e instrucciones.
(El informe de auditoría dictaminará sobre la adecuación de las medidas y controles,
identificará deficiencias y propondrá medidas correctoras o complementarias. Deberá
incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y
recomendaciones propuestas. ART. 96.2.)
- Analizar el informe de auditoría y elevar las conclusiones al responsable del fichero para
que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia
de Protección de Datos
- Implantar (o, en su caso, modificar) controles periódicos para verificar el cumplimiento de
lo establecido en el documento de seguridad
- Revisar los controles periódicos para verificar el cumplimiento de lo establecido en el
documento de seguridad
- Controlar que sólo el personal autorizado a ello pueda acceder a la información en papel
de nivel alto.
- Actualizar el listado de personal autorizado a acceder a datos personales en soporte
papel de nivel alto
- Cuidar que los armarios y archivadores que contengan información con datos personales
de nivel alto se encuentren en áreas en las que el acceso esté protegido con puertas de
acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente.
- Cuidar que las áreas en que se encuentren los armarios y archivadores que contengan
información con datos personales de nivel alto permanezcan cerradas cuando no sea
preciso el acceso a los documentos que contienen. (Salvo que atendidas las
características de los locales no fuera posible disponer de áreas cerradas en cuyo caso
el responsable adoptará medidas alternativas que, debidamente motivadas, se incluirán
en el documento de seguridad).
- Someter los sistemas de información, al menos cada 2 años, a una auditoría interna o
externa que verifique el cumplimiento de las medidas de seguridad exigidas para los
ficheros no automatizados.
- Analizar el informe de auditoría y elevar las conclusiones al responsable del fichero para
que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia
de Protección de Datos
- Adoptar las medidas oportunas para que el acceso de los usuarios esté limitado a los
recursos que precisen para el desarrollo de sus funciones.
2
- Confeccionar y mantener una relación actualizada de usuarios y perfiles de usuarios a

ficheros no automatizados, y los accesos autorizados para cada uno de ellos
- Establecer mecanismos para evitar que un usuario pueda acceder a ficheros no
automatizados con derechos distintos de los autorizados
- Adoptar las medidas para que solo pueda conceder, alterar o anular el acceso
autorizado a ficheros no automatizados el personal autorizado para ello en el documento
de seguridad, conforme a los criterios establecidos por el responsable del fichero.
- Adoptar las medidas oportunas para que el personal ajeno que tenga acceso a los
ficheros no automatizados esté sometido a las mismas condiciones y obligaciones de
seguridad que el personal propio.
- Controlar que únicamente realicen copias de los documentos que contengan datos de
nivel alto las personas autorizadas en el documento de seguridad.
- Actualizar el listado de personas autorizadas a realizar copias de información que
contenga datos de nivel alto
- Redactar y revisar la existencia de un procedimiento que indique como proceder a la
destrucción de las copias o reproducciones desechadas que contengan datos de nivel
alto de forma que se evite el acceso a la información
- Proceder a la destrucción de las copias o reproducciones de desechadas de forma que
se evite el acceso a la información contenida en las mismas o su recuperación posterior.
- Definir las funciones y obligaciones del personal en relación con los ficheros no
automatizados
- Documentar las funciones y obligaciones del personal en relación con los ficheros no
automatizados
- Nombrar y en su caso reemplazar a los responsables de seguridad oportunos
(encargados de coordinar las medidas de seguridad de los ficheros no automatizados).
- Adoptar las medidas necesarias para que los responsables de seguridad conozcan las
normas de seguridad que afecten al desarrollo de sus funciones así como las
consecuencias en que pudiera incurrir en caso de incumplimiento
- Establecer un procedimiento de notificación y gestión de las incidencias relativas a los
ficheros no automatizados
- Establecer un registro en el que se haga constar el tipo de incidencia, el momento en
que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a
quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas
correctoras aplicadas, en relación con los ficheros no automatizados
- Disponer lo oportuno para que se archiven los soportes o documentos de acuerdo con
criterios que garanticen la correcta conservación de los documentos, la localización y
consulta de la información y posibilitar el ejercicio de los derechos de oposición al
tratamiento, acceso, rectificación y cancelación. (Ello se hará con los criterios previstos
en su respectiva legislación, o en aquellos casos en los que no exista norma aplicable,
según los criterios y procedimientos que disponga el responsable del fichero o en quien
delegue este).
3
- Cuidar que los dispositivos de almacenamiento de los documentos que contengan datos
de carácter personal dispongan de mecanismos que obstaculicen su apertura. (Cuando
las características físicas de aquéllos no permitan adoptar esta medida, el responsable
del fichero o tratamiento adoptará medidas que impidan el acceso de personas no
autorizadas, medida que podrá consistir en la custodia por parte de quien se encuentre
al cargo).
- Identificar el tipo de información que contienen los soportes y documentos que
contengan datos de carácter personal
- Inventariar los soportes y documentos que contengan datos de carácter personal
- Adoptar las medidas para que los soportes y documentos que contengan datos de
carácter personal sólo sean accesibles por el personal autorizado para ello en el
documento de seguridad.
- No se etiquetarán cuando las características físicas del soporte imposibiliten su
cumplimiento, quedando constancia motivada de ello en el documento de seguridad
- Podrán etiquetarse crípticamente (sólo comprensibles para los usuarios con acceso
autorizado) cuando contengan datos de carácter personal que la organización
considerase especialmente sensibles.
- La salida de soportes y documentos que contengan datos de carácter personal, fuera de
los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada
por el responsable del fichero o encontrarse debidamente autorizada en el documento
de seguridad.
- Establecer mecanismos que permitan identificar los accesos realizados en el caso de
documentos que contengan datos de nivel alto que puedan ser utilizados por múltiples
usuarios
- Revisar periódicamente el registro de los accesos a datos de nivel alto contenidos en
documentos
- Establecer un procedimiento para que cuando se proceda al traslado físico de la
documentación con datos de nivel alto contenida en ficheros se adopten medidas
dirigidas a impedir el acceso
- Con carácter extraordinario realizar dicha auditoría siempre que se realicen
modificaciones sustanciales en el sistema de información que puedan repercutir en el
cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la
adaptación, adecuación y eficacia de las mismas (Esta auditoría inicia el cómputo de dos
años para la realización de la auditoría bienal del artículo 96.1. RDLOPD)
4
3. Explicación de las funciones y obligaciones

encomendadas al responsable
A continuación se presenta, en relación con cada una de las tareas asignadas al

responsable, una explicación de la ejecución de las mismas.
NOTA IMPORTANTE: Ya que muchas de ellas han de ejecutarse utilizando funcionalidades

de GESDATOS el responsable deberá tener en cuenta los manuales sobre GESDATOS que
en la guía de ayuda de GESDATOS existen.
3.1. Tareas relativas a medidas que garanticen

el cumplimiento de las medidas de seguridad
que detalla el reglamento de desarrollo de la
LOPD para ficheros automatizados.
AUDITORÍA
Art. 96.1 Con carácter extraordinario realizar dicha auditoría

siempre que se realicen modificaciones
sustanciales en el sistema de información que
puedan repercutir en el cumplimiento de las
medidas de seguridad implantadas con el objeto de
verificar la adaptación, adecuación y eficacia de las
mismas (Esta auditoría inicia el cómputo de dos
años para la realización de la auditoría bienal del
artículo 96.1. RDLOPD)
Esta obligación supone auditar los sistemas de información cuando se produzcan
modificaciones sustanciales en el sistema de información que puedan repercutir en el
cumplimiento de las medidas de seguridad. El objeto de esta auditoria será verificar la
adaptación, adecuación y eficacia de las nuevas medidas de seguridad implantadas. Esta
auditoría iniciará el cómputo de dos años para la realización de la auditoría legalmente
establecida. GESDATOS le permite (en cualquier modalidad contratada) llevar un control de
las auditorías efectuadas. Acceda al módulo CONTROLES y acceda a AUDITORÍAS. Allí
5
podrá subir el informe de auditoría que se haya realizado en formato electrónico consignado
los datos identificativos del mismo.
Art. 96.1 Someter los sistemas de información, al menos

cada 2 años, a una auditoría interna o externa que
verifique el cumplimiento del Reglamento,
procedimientos e instrucciones. (El informe de
auditoría dictaminará sobre la adecuación de las
medidas y controles, identificará deficiencias y
propondrá medidas correctoras o
complementarias. Deberá incluir los datos, hechos
y observaciones en que se basen los dictámenes
alcanzados y recomendaciones propuestas. ART.
96.2.)
Esta obligación de someter los sistemas de información, al menos cada 2 años, a una
auditoría interna o externa que verifique el cumplimiento del Reglamento, procedimientos e
instrucciones supone la remisión en bloque a todo lo relativo a las auditorias en protección
de datos. GESDATOS le permite (en cualquier modalidad contratada) llevar un control de las
auditorías efectuadas. Acceda al módulo CONTROLES y acceda a AUDITORÍAS. Allí podrá
subir el informe de auditoría que se haya realizado en formato electrónico consignado los
datos identificativos del mismo. Si desea realizar la auditoria en protección de datos que
exige el reglamento en relación con los ficheros automatizados o desea realizarla sobre las
medidas de seguridad relativas a ficheros automatizados, incluso si desea realizar una
auditoria voluntaria sobre las obligaciones y principios que recoge la LOPD puede utilizar (si
lo ha contratado) el módulo de auditorías de GESDATOS.
Art. 96.3 Analizar el informe de auditoría y elevar las

conclusiones al responsable del fichero para que
adopte las medidas correctoras adecuadas y
quedarán a disposición de la Agencia de
Protección de Datos
El informe de auditoría (bien realizado con el módulo de auditorías de GESDATOS bien de
otro modo) debe ser analizado por el responsable de seguridad y elevar las conclusiones al
responsable del fichero (a través de su representante)para que este adopte las medidas
correctoras adecuadas. Asimismo deberá guardarse y quedar a disposición de la Agencia de
Protección de Datos. Para facilitarle esta obligación GESDATOS le ofrece la siguiente
6
funcionalidad: acceda al módulo CONTROLES y acceda a AUDITORÍAS. Allí podrá subir el

informe de auditoría que se haya realizado en formato electrónico.
CONTROLES PERIÓDICOS
Art. 88.7 Implantar (o, en su caso, modificar) controles

periódicos para verificar el cumplimiento de lo
establecido en el documento de seguridad
El art. 15 del reglamento de medidas de seguridad establece que se deberán realizar
controles periódicos para verificar el cumplimiento de lo dispuesto en el documento de
seguridad. En GESDATOS, se dispone de un módulo denominado CONTROLES, y dentro
del mismo, puede elegir la opción de CONTROLES PERIÓDICOS, que le permitirá realizar
dichos controles con la periodicidad establecida en relación con cada uno de los
responsables de seguridad y - en su caso - gestores de fichero concreto que se hayan
designado. La tarea consistente en implantar (o en su caso modificar) los controles supone
poner en marcha o modificar dicho sistema de controles, particularmente su periodicidad.El
art. 15 del reglamento de medidas de seguridad establece que se deberán realizar controles
periódicos para verificar el cumplimiento de lo dispuesto en el documento de seguridad.
Art. 88.7 Revisar los controles periódicos para verificar el

cumplimiento de lo establecido en el documento de
seguridad
Revisar los citados controles supone pasar los citados controles en el apartado controles
periódicos de GESDATOS y revisar la realización o no de las tareas que en dichos controles
se han asignado a cada persona. Ello supondrá -como consecuencia lógica- que en el
apartado tareas pendientes se genere el correspondiente pdf que deberá imprimirse,
firmarse y guardarse. También podrá guardarse el citado pdf en la zona de recursos en una
carpeta denominada controles periódicos (en el citado formato pdf) y con la fecha de cada
control y nombre del responsable. Ejemplo. Control241006juanperez.pdf
3.2. Tareas relativas a medidas que garanticen

el cumplimiento de las medidas de seguridad
que detalla el reglamento de desarrollo de la
LOPD para ficheros no automatizados.
7
ACCESO A LA DOCUMENTACIÓN
Art. 113.1 Controlar que sólo el personal autorizado a ello

pueda acceder a la información en papel de nivel
alto.
Cuando se genera un Alta de Usuario o de Responsable en GESDATOS se puede
especificar los ficheros a los que accede y la modalidad del acceso. El responsable de
seguridad deberá velar porque esta medida se cumpla de modo que solo tengan acceso a
los documentos que contengan datos personales de nivel alto el personal autorizado a ello
conforme a su Alta de Usuario firmada.
Art. 113.1 Actualizar el listado de personal autorizado a

acceder a datos personales en soporte papel de
nivel alto
Del mismo nodo que para los ficheros en formato automatizado, el listado de los usuarios
con acceso autorizado a los ficheros en formato papel deberá mantenerse actualizada.
ALMACENAMIENTO DE INFORMACIÓN
Art. 111.1 Cuidar que los armarios y archivadores que

contengan información con datos personales de
nivel alto se encuentren en áreas en las que el
acceso esté protegido con puertas de acceso
dotadas de sistemas de apertura mediante llave u
otro dispositivo equivalente.
El artículo 111 del Reglamento establece la obligación de que los armarios y archivadores
donde se almacenen documentos que contengan información con datos de nivel alto se
encuentren en áreas en las que el acceso esté protegido con puertas dotadas de sistemas
de apertura mediante llave y otro dispositivo equivalente. Asimismo, si estas medidas,
atendidas las características de los locales, fueran imposible adoptarlas deberá dejar
constancia motivada de ello en el Documento de Seguridad. GESDATOS le permite reflejar
las medidas adoptadas o, en su caso, los motivos por los que no puede adoptarse las
medidas de seguridad exigidas.
8
Art. 111.1 - Cuidar que las áreas en que se encuentren los

111.2 armarios y archivadores que contengan
información con datos personales de nivel alto
permanezcan cerradas cuando no sea preciso el
acceso a los documentos que contienen. (Salvo
que atendidas las características de los locales no
fuera posible disponer de áreas cerradas en cuyo
caso el responsable adoptará medidas alternativas
que, debidamente motivadas, se incluirán en el
documento de seguridad).
Los procedimientos de gestión de documentos deberán especificar esta medida a fin de que
todos los Usuarios conozcan esta obligación. No obstante, en los manuales que pueden
generarse con GESDATOS encontrará el procedimiento establecido al efecto.
AUDITORÍA
Art. 110 Someter los sistemas de información, al menos

cada 2 años, a una auditoría interna o externa que
verifique el cumplimiento de las medidas de
seguridad exigidas para los ficheros no
automatizados.
Esta obligación de someter los sistemas de información, al menos cada 2 años, a una
auditoría interna o externa que verifique el cumplimiento del Reglamento, procedimientos e
instrucciones supone la remisión en bloque a todo lo relativo a las auditorias en protección
de datos. GESDATOS le permite (en cualquier modalidad contratada) llevar un control de las
auditorías efectuadas. Acceda al módulo CONTROLES y acceda a AUDITORÍAS. Allí podrá
subir el informe de auditoría que se haya realizado en formato electrónico consignado los
datos identificativos del mismo. Si desea realizar la auditoria en protección de datos que
exige el reglamento en relación con los ficheros automatizados o desea realizarla sobre las
medidas de seguridad relativas a ficheros automatizados, incluso si desea realizar una
auditoria voluntaria sobre las obligaciones y principios que recoge la LOPD puede utilizar (si
lo ha contratado) el módulo de auditorías de GESDATOS.
9
Art. 110 Analizar el informe de auditoría y elevar las

conclusiones al responsable del fichero para que
adopte las medidas correctoras adecuadas y
quedarán a disposición de la Agencia de
Protección de Datos
El informe de auditoría (bien realizado con el módulo de auditorías de GESDATOS bien de
otro modo) debe ser analizado por el responsable de seguridad y elevar las conclusiones al
responsable del fichero (a través de su representante)para que este adopte las medidas
correctoras adecuadas. Asimismo deberá guardarse y quedar a disposición de la Agencia de
Protección de Datos. Para facilitarle esta obligación GESDATOS le ofrece la siguiente
funcionalidad: acceda al módulo CONTROLES y acceda a AUDITORÍAS. Allí podrá subir el
informe de auditoría que se haya realizado en formato electrónico.
CONTROL DE ACCESOS
Art. 105.2 - Adoptar las medidas oportunas para que el acceso

91.1 de los usuarios esté limitado a los recursos que
precisen para el desarrollo de sus funciones.
La medida consistente en que el acceso de los usuarios esté limitado a los recursos que
precisen para el desarrollo de sus funciones se trata de un hecho físico, es decir, una
medida física que no de cumple con GESDATOS sino que deberán articularse los medios
físicos para que el acceso físico a los datos personales en soporte papel sólo sea posible por
aquellos que tienen acceso autorizado. No obstante si que GESDATOS obliga a llevar un
listado de los usuarios autorizados en el cual se establecen los accesos de los usuarios a los
ficheros, tanto automatizados como no automatizados. También con GESDATOS se definen
las funciones y obligaciones de los usuarios, una de las cuales sería la de no acceder a
datos o recursos no autorizados.
Art. 105.2 - Confeccionar y mantener una relación actualizada

91.2 de usuarios y perfiles de usuarios a ficheros no
automatizados, y los accesos autorizados para
cada uno de ellos
RELACIÓN ACTUALIZADA DE USUARIOS Existen diferentes opciones para mantener una
relación actualizada de usuarios: - Listado de usuarios: en los que se especifique a que
ficheros acceden los mismos. Para ello tiene a su disposición en GESDATOS de un módulo
denominado PERSONAL, mediante el cual puede dar de alta a los usuarios y especificar
acceso y tipo de acceso, departamento, etc. Este módulo es fácilmente actualizable, dada su
facilidad para dar de alta, modificar o dar de baja usuarios. Puede utilizar su propio listado de
10
usuarios. - Listado de perfiles: Otra de las opciones sería mantener actualizado un listado de
perfiles de acceso de la organización, teniendo como complemento una relación de usuarios
a los que se les asignaría su correspondiente perfil. Asimismo, se debería indicar cual es el
sistema utilizado y la forma de obtener el listado. La AEPD permite que la relación
actualizada de usuarios se mantenga de forma informatizada, pero, en ese caso, se deberá
indicar en el Documento de Seguridad cual es el sistema utilizado y la forma de obtener el
listado. Asimismo, establece que, siempre que sea posible, es conveniente imprimir la
relación de usuarios y adjuntarla periódicamente al documento de seguridad. Además de
todo, se debería mantener una relación actualizada de los terceros que acceden a los datos
para la prestación de un servicio. PROCEDIMIENTO DE IDENTIFICACIÓN Y
AUTENTICACIÓN El Reglamento de Desarrollo de la LOPD (RDLOPD) establece que el
Responsable del Fichero se encargará de que exista un procedimiento de identificación y
autenticación para permitir el acceso de los usuarios a los datos de carácter personal. El
procedimiento de identificación y autenticación es aquel mediante el que se verifica la
identidad del usuario. Existen numerosas opciones entorno a este tipo de procedimientos. El
más habitual es el establecido mediante Usuario y contraseña, aunque existen otros en los
que se utilizan datos biométricos, como la utilización de características biométricas. La
tendencia actual es implementar, en los sistemas de información actuales, al menos 2
contraseñas, una a nivel de Sistema Operativo o a nivel de red, y otra para acceder a la
aplicación que edita los ficheros de carácter personal. En GESDATOS, podrá describir, el
procedimiento de identificación y autenticación en Configuración; Posteriormente podrá
modificarlo en mantenimiento accediendo al módulo Organización y seleccionando el
apartado de Control de acceso lógico.
Art. 105.2 - Establecer mecanismos para evitar que un usuario

91.3 pueda acceder a ficheros no automatizados con
derechos distintos de los autorizados
La información en formato papel que trate cada departamento deberá ser almacenada en un
lugar de acceso restringido a personal ajeno al departamento de modo que garantice que los
datos de carácter personal contenidos en los soportes y documentos no puedan ser
accedidos por usuarios con derechos distintos de los autorizados. Se trata de una medida
técnica que debe reflejarse en el Documento de Seguridad.
11
Art. 105.2 - Adoptar las medidas para que solo pueda

91.4 conceder, alterar o anular el acceso autorizado a
ficheros no automatizados el personal autorizado
para ello en el documento de seguridad, conforme
a los criterios establecidos por el responsable del
fichero.
La asignación de un determinado espacio de trabajo y los consiguientes accesos a la
documentación, será designado por el Departamento de Recursos Humanos pero el efectivo
acceso a la documentación deberá ser concedido por el Responsable de Seguridad
encargado. Se trata de una medida técnica que debe reflejarse en el Documento de
Seguridad.
Art. 105.2 - Adoptar las medidas oportunas para que el

91.5 personal ajeno que tenga acceso a los ficheros no
automatizados esté sometido a las mismas
condiciones y obligaciones de seguridad que el
personal propio.
GESDATOS también le permite generar Altas de Usuarios y Manuales (en el apartado
FORMACIÓN) para los usuarios externos a la organización. Tenga en cuenta que un usuario
externo es aquél que accede con cierta periodicidad a los lugares físicos para la realización
de las tareas que tenga encomendadas. Normalmente este usuario externo formará parte del
personal de otra empresa con la que deberá tener firmado el preceptivo contrato de acceso a
datos por terceros exigido en el articulo 12 de la LOPD.
COPIA O REPRODUCCIÓN. CONTROL DE COPIAS O REPRODUCCIONES
Art. 112.1 Controlar que únicamente realicen copias de los

documentos que contengan datos de nivel alto las
personas autorizadas en el documento de
seguridad.
El art. 112.1 establece la obligación de controlar que únicamente el personal autorizado
pueda realizar copias de los documentos que contengan datos de nivel alto. Por lo que el
acceso a cualquier dispositivo que permita hacer copias de los documentos deberá quedar
restringido a los Usuarios con acceso autorizado. Se trata de una medida técnica que debe
reflejarse en el Documento de Seguridad.
12
Art. 112.1 Actualizar el listado de personas autorizadas a

realizar copias de información que contenga datos
de nivel alto
Cuando se da de alta un nuevo usuario en GESDATOS puede reflejarse si está autorizado a
realizar copias de seguridad de documentos en formato papel.
COPIA O REPRODUCCIÓN. DESTRUCCIÓN
Art. 112.2 Redactar y revisar la existencia de un

procedimiento que indique como proceder a la
destrucción de las copias o reproducciones
desechadas que contengan datos de nivel alto de
forma que se evite el acceso a la información
GESDATOS le permite establecer un procedimiento de destrucción de documentos o copias.
Este procedimiento deberá reflejarse en el apartado establecido para Ficheros No
Automatizados: PROCEDIMIENTO DE DESTRUCCIÓN DE DOCUMENTOS.
COPIA O REPRODUCCIÓN. DESTRUCCIÓN.
Art. 112.2 - Proceder a la destrucción de las copias o

105.2 - 92.2 reproducciones de desechadas de forma que se
evite el acceso a la información contenida en las
mismas o su recuperación posterior.
Los art. 112.2 y 92.2 en relación con el 105.2, establecen la obligación de proceder a la
destrucción de los documentos para evitar un acceso no autorizado a la información que
pudieran contener los documentos por lo que deberá disponer en su organización de una
destructora de papel o de un contenedor específico para los documentos o copias de
documento que vayan a desecharse.
FUNCIONES Y OBLIGACIONES DEL PERSONAL
Art. 105.2 - Definir las funciones y obligaciones del personal

89.1 en relación con los ficheros no automatizados
GESDATOS le permite definir las funciones y obligaciones del personal respecto de los
ficheros no automatizados. En el apartado PERSONAL encontrará el subapartado
PROCEDIMIENTOS Y OBLIGACIONES donde puede establecer las funciones, obligaciones
y procedimientos a seguir respecto de este tipo de ficheros.
13
Art. 105.2 - Documentar las funciones y obligaciones del

89.1 personal en relación con los ficheros no
automatizados
De acuerdo con el RDLOPD, es necesario documentar claramente las funciones y
obligaciones de cada una de las personas con acceso a los datos de carácter personal y a
los sistemas de información. Para ello mediante GESDATOS se dispone de la opción
siguiente: Mediante el Módulo PERSONAL, tanto en CONFIGURACIÓN como en
MANTENIMIENTO, dentro del apartado PROCEDIMIENTOS Y OBLIGACIONES, podrá
definir las funciones y obligaciones de usuarios respecto de los ficheros no automatizados.
Art. 109 Nombrar y en su caso reemplazar a los

responsables de seguridad oportunos (encargados
de coordinar las medidas de seguridad de los
ficheros no automatizados).
En el apartado PERSONAL subapartado RESPONSABLES puede nombrar a los
Responsables de Seguridad especificando el departamento al que pertenece, cargo que
ocupa y ficheros a los que accede. Asimismo, podrá asignar las tareas que asumirá cada
Responsable de Seguridad.
Art. 105 - Adoptar las medidas necesarias para que los

89.2 responsables de seguridad conozcan las normas
de seguridad que afecten al desarrollo de sus
funciones así como las consecuencias en que
pudiera incurrir en caso de incumplimiento
Con GESDATOS puede generar los manuales necesarios para dar formación a los
responsable de seguridad. En el apartado FORMACIÓN, subapartado RESPONSABLES
puede generar unos manuales personalizados en los que se detallan las obligaciones
GESTIÓN DE INCIDENCIAS
Art. 105.2 - Establecer un procedimiento de notificación y

90 gestión de las incidencias relativas a los ficheros
no automatizados
INCIDENCIA: Se trata de cualquier anomalía que pudiera afectar a la seguridad de los datos
de su organización. Muchas de las incidencias pueden ser causadas por un usuario como el
14
olvido de destrucción de las copias de documentos, generación de copias por personal no

autorizado en el Documento de Seguridad o perdida de documentos durante un traslado de
documentación. También, pueden deberse a un acceso por parte de usuarios no autorizados
a las áreas donde se almacene la documentación que contenga datos de nivel alto. En caso
de que el Responsable no comunique la baja temporal o definitiva de un usuario obligaría a
verificar si se dio con posterioridad un acceso ilícito. Las incidencias pueden tener relación
con el almacenamiento de la documentación, el traslado de la misma, las copias o
reproducciones de documentos o pueden deberse a hechos extraordinarios tales como
incendios, inundaciones o robos. Estos hechos podrían incidir gravemente en la correcta
conservación de los documentos dificultando enormemente la localización de la información
en caso de tener que atender el ejercicio de un derecho por parte de un afectado. Ante estas
situaciones es conveniente que su organización disponga de un procedimiento que le
permita llevar el control y una adecuada gestión de las incidencias. El responsable de
seguridad, tiene a su disposición, en GESDATOS, un módulo específico de gestión de
incidencias denominado INCIDENCIAS. A través del mismo puede fijar el procedimiento de
notificación. En caso de no utilizar GESDATOS para el establecimiento de un procedimiento
de declaración y gestión de las incidencias deberá reflejarlo en el anexo preparado al efecto
en el Documento de Seguridad.
Art. 105.2 - Establecer un registro en el que se haga constar el

90 tipo de incidencia, el momento en que se ha
producido, o en su caso, detectado, la persona que
realiza la notificación, a quién se le comunica, los
efectos que se hubieran derivado de la misma y las
medidas correctoras aplicadas, en relación con los
ficheros no automatizados
En GESDATOS dispone de un apartado específico denominado INCIDENCIAS que le
permite llevar un registro de las incidencias ocurridas en su organización así como de la
resolución de las mismas. Caso de que no se utilice el registro de incidencias que
GESDATOS pone a su disposición deberá cuidar que el registro esté actualizado en el
documento de seguridad existente y que el mismo contenga la información indicada: tipo,
fecha-hora, persona que notifica, a quién se comunica y efectos que produzca la incidencia.
En el documento de seguridad generado por GESDATOS en el apartado modelos dispone
de un modelo de registro de incidencias al efecto.
GESTIÓN DE SOPORTES Y DOCUMENTOS. CRITERIOS DE ARCHIVO
15
Art. 106 Disponer lo oportuno para que se archiven los

soportes o documentos de acuerdo con criterios
que garanticen la correcta conservación de los
documentos, la localización y consulta de la
información y posibilitar el ejercicio de los
derechos de oposición al tratamiento, acceso,
rectificación y cancelación. (Ello se hará con los
criterios previstos en su respectiva legislación, o
en aquellos casos en los que no exista norma
aplicable, según los criterios y procedimientos que
disponga el responsable del fichero o en quien
delegue este).
El artículo 106 del RDLOPD obliga a que se archiven los soportes o documentos que
contengan datos personales de acuerdo con criterios que garanticen la correcta
conservación de los documentos, la localización y consulta de la información y posibilitar el
ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación. Se
trata de una obligación que consiste en un archivo correcto de los citados documentos y
soportes. GESDATOS le permite inventariar dichos soportes y su localización mediante la
vinculación a una sede concreta. Si el volumen de documentos y soportes de su
organización es pequeño posiblemente ello, unido a una indexación clara de los archivos
será suficiente. Si se trata de una organización con un volumen mayor posiblemente requiera
de alguna herramienta (más o menos específica) que le ayude a cumplir con esta obligación.
Tenga en cuenta que ello se hará con los criterios previstos en su respectiva legislación, o
en aquellos casos en los que no exista norma aplicable, según los criterios y procedimientos
que disponga el responsable del fichero o en quien delegue este.
GESTIÓN DE SOPORTES Y DOCUMENTOS. CUSTODIA
Art. 107 Cuidar que los dispositivos de almacenamiento de

los documentos que contengan datos de carácter
personal dispongan de mecanismos que
obstaculicen su apertura. (Cuando las
características físicas de aquéllos no permitan
adoptar esta medida, el responsable del fichero o
tratamiento adoptará medidas que impidan el
acceso de personas no autorizadas, medida que
podrá consistir en la custodia por parte de quien se
encuentre al cargo).
16
El artículo 107 del Reglamento establece la obligación de que los dispositivos de

almacenamiento estén dotados de algún mecanismo que impida su apertura. Se trata de una
medida técnica que debe reflejarse en el Documento de Seguridad.
GESTIÓN DE SOPORTES Y DOCUMENTOS. ETIQUETADO
Art. 105.2 - Identificar el tipo de información que contienen los

92.1 soportes y documentos que contengan datos de
carácter personal
En GESDATOS, al igual que se inventarían los soportes informáticos también se inventarían
los soportes no automatizados al describir los sistemas de tratamiento. Cuando introduza los
soportes que contengan datos no automatizados deberá también indicar los ficheros no
automatizados que contiene cada uno de ellos.
Art. 105.2 - Inventariar los soportes y documentos que

92.1 contengan datos de carácter personal
De acuerdo con el Reglamento, en el caso de que en su organización existan soportes o
documentos en formato papel con datos de carácter personal, debe inventariarlos. Para ello
y dado que los habrá dado de alta en fase de configuración, GESDATOS (en el módulo
denominado ORGANIZACIÓN, en mantenimiento), en concreto el apartado Soportes de
almacenamiento le permite dar de alta nuevos soportes o modificar o dar de baja los
existentes. Asimismo el Reglamento obliga a almacenarlos en un lugar seguro con acceso
restringido al personal autorizado.
Art. 105.2 - Adoptar las medidas para que los soportes y

92.1 documentos que contengan datos de carácter
personal sólo sean accesibles por el personal
autorizado para ello en el documento de seguridad.
En GESDATOS, en el apartado de personal, cabe la opción de dar de alta nuevos usuarios,
modificarlos o darlos de baja indicando - en su caso - los niveles de acceso que tienen.
17
Art. 105.2 - No se etiquetarán cuando las características físicas

92.1 del soporte imposibiliten su cumplimiento,
quedando constancia motivada de ello en el
documento de seguridad
GESDATOS le permite, en aquellos casos en los que las características físicas del soporte
imposibilite el cumplimiento de la obligación anterior, dejar constancia motivada de esta
circunstancia.
Art. 105.2 - Podrán etiquetarse crípticamente (sólo

92.5 comprensibles para los usuarios con acceso
autorizado) cuando contengan datos de carácter
personal que la organización considerase
especialmente sensibles.
En caso de que la organización maneje datos que considere especialmente sensible el
etiquetado de los estos documentos puede hacerse de modo que solo sea comprensible
para la usuarios que vayan a tratar esos datos.
GESTIÓN DE SOPORTES Y DOCUMENTOS. REGISTRO DE SALIDA
Art. 105.2 - La salida de soportes y documentos que

92.2 contengan datos de carácter personal, fuera de los
locales bajo el control del responsable del fichero o
tratamiento deberá ser autorizada por el
responsable del fichero o encontrarse debidamente
autorizada en el documento de seguridad.
Al igual que respecto de los ficheros automatizados, el art. 93.2 del RDLOPD en relación con
el art. 105.2 del RDLOPD, establece que para la salida de soportes o documentos que
contengan datos de carácter personal, debe haber una previa autorización del responsable
del fichero. Cada vez que registre una salida de soportes en GESDATOS, al finalizar el
registro aparecerá una pantalla, mediante la cual, podrá imprimir una autorización para dicha
salida. Dicha autorización deberá imprimirse, firmarse y guardarse debidamente. No
obstante caso de que no se utilice GESDATOS para la gestión de las salidas de soportes
deberá cuidar que el procedimiento utilizado permita recabar la autorización por escrito del
responsable del fichero para cada salida. En el documento de seguridad generado por
GESDATOS en el apartado modelos dispone de un modelo de autorización al efecto.
18
REGISTRO DE ACCESOS
Art. 113.2 Establecer mecanismos que permitan identificar

los accesos realizados en el caso de documentos
que contengan datos de nivel alto que puedan ser
utilizados por múltiples usuarios
La obligación dispuesta en el artículo 113.2 del RDLOPD de establecer mecanismos que
permitan identificar los accesos realizados en el caso de documentos que contengan datos
de nivel alto que puedan ser utilizados por múltiples usuarios obliga a llevar un control de las
personas que han accedido a dicha información de nivel alto. Se trata de una obligación
cuyo cumplimiento se puede efectuar de diferentes, más o menos complejas, en función no
sólo de la dimensión de la organización sino también de la actividad de la misma. En
organizaciones pequeñas estos se puede realizar de forma rudimentaria mediante la
anotación en un papel o registro informático. Existen sistemas de control de acceso físico
que ya permiten cumplir con esta medida. Aunque el RDLOPD no indica qué información se
debe guardar parece que - como mínimo - se debería conservar el nombre y apellidos del
usuario que ha accedido, la fecha (y posiblemente la hora), y el tipo de acceso: si para
consultar o modificar. Aunque no lo disponga el RDLOPD parece lógico, que al igual que
sucede con el registro de accesos de ficheros automatizados, este registro deberá
custodiarse por persona competente impidiendo el acceso indebido de terceros que impida
su alteración.
Art. 113.3 Revisar periódicamente el registro de los accesos

a datos de nivel alto contenidos en documentos
La información contenida en el fichero de registros de acceso generados deberá ser
revisarse - al menos - mensualmente. Gesdatos permite - una vez analizado dicho registro
de accesos- generar un informe mensual de las incidencias que se hayan producido o no en
relación con dicho registro de accesos. Para ello una vez al mes debe acceder al módulo de
Registro de accesos y a través de la opción Informe mensual, seleccionar el mes
correspondiente. La aplicación generará un informe de acuerdo con los datos que se hayan
ido introduciendo en el apartado Nueva incidencia.
TRASLADO DE DOCUMENTACIÓN
Art. 114 Establecer un procedimiento para que cuando se

proceda al traslado físico de la documentación con
datos de nivel alto contenida en ficheros se
adopten medidas dirigidas a impedir el acceso
19
La obligación consistente en establecer un procedimiento para que cuando se proceda al

traslado físico de la documentación con datos de nivel alto contenida en ficheros se adopten
medidas dirigidas a impedir el acceso supone a su vez varias obligaciones: Por un lado fijar
dicho procedimiento, por otro lado difundirlo y por ultimo comprobar que se cumple. El
reglamento no detalla cuales son las medidas de seguridad concretas que deberán constar
en el procedimiento pero estas deberán ser seguras. De nuevo estas han de adecuarse al
tipo de información que se trasalada, puesto que aunque toda es información de nivel alto,
dentro de esta parece lógico entender que existe información más o menos sensible. Envíos
con sobre especiales, envíos "mano a mano", con servicios especiales de mensajería, con
dispositivos especiales que garanticen que no se ha accedido a los soportes etc... son
algunos ejemplos.
20
4. Procedimientos fijados en la organización
A continuación se muestran los diferentes procedimientos fijados por la organización para el

correcto cumplimiento de la normativa en materia de protección de datos.
4.1.Procedimiento de notificación y gestión de

incidencias
4.1.1. Procedimiento para la notificación de incidencias de ficheros
automatizados
La gestión de notificación de incidencias se notificará a través de un enlace de una
cuenta de correo electrónico (incidencias.lopd@ual.es) en la página web de la
comisión de Seguridad informática.
Dicho correo será gestionado por el personal competente que gestionará las
incidencias y llevará un registro de las mismas.
Ficheros afectados
21
- ACCIÓN SOCIAL
- ALOJAMIENTO RELACIONES INTERNACIONALES
- ALUMNOS ENTRANTES RELACIONES INTERNACIONALES
- ALUMNOS SALIENTES. RELACIONES INTERNACIONALES
- AYUDAS INDIVIDUALES INVESTIGACIÓN
- BECARIOS Y CONTRATOS LABORALES DE INVESTIGACIÓN
- BILINGÜISMO PDI
- BOLSA DE EMPLEO Y PRÁCTICAS EN EMPRESAS
- CLAUSTRO UNIVERSITARIO
- CLIENTES EDITORIAL
- COMPLEMENTOS PRODUCTIVIDAD PAS
- CONSEJO DE GOBIERNO
- CONSULTAS BIBLIOTECA
- CONSULTAS JURÍDICAS
- CONTRATOS OTRI
- CONTROL DE ACCESOS
- CONVENIOS
- DECLARACIONES TRIBUTARIAS
- DIRECTORIO PERSONAL
- EMPRESAS DE BASE TECNOLÓGICA
- ENCUESTAS EVALUACIÓN DE LAS COMPETENECIAS PAS
- ENSEÑANZAS PROPIAS
- ENTREGA DE DOCUMENTOS ARCHIVO
- ENVÍO TÍTULOS A EMBAJADAS Y SUBDELEGACIONES DEL GOBIERNO
- EVALUADORES EXTERNOS
- EXPEDIENTES ACADÉMICOS ALUMNOS
- EXPEDIENTES ADMINISTRATIVOS PAS
- EXPEDIENTES ADMINISTRATIVOS PDI
- EXPEDIENTES ALUMNOS CENTRO DE LENGUAS
- EXPEDIENTES AUTORES
- EXPEDIENTES BECAS Y AYUDAS
- EXPEDIENTES DE CONTRATACIÓN
- EXPEDIENTES LITIGIOS
- EXTENSIÓN UNIVERSITARIA
- FORMACIÓN BIBLIOTECA
- FORMACIÓN DOCENTE
- FORMACIÓN PREVENCIÓN RIESGOS
- GESTIÓN ALQUILER INSTALACIONES
22
- GESTIÓN CERTIFICACIÓN ELECTRÓNICA

- GESTIÓN DE ACCESO Y ADMISIÓN
- GESTIÓN DE ALOJAMIENTO CON MAYORES
- GESTIÓN DE ALOJAMIENTO PARTICULARES
- GESTIÓN DE LA FORMACIÓN DEL PAS
- GESTIÓN DE OFERTA CIENTÍFICA
- GESTIÓN INCIDENCIAS STIC
- GESTIÓN PRÉSTAMO INTERBIBLIOTECARIO
- GESTIÓN PUBLICACIONES
- HOMOLOGACIÓN DE TÍTULOS EXTRANJEROS DE DOCTOR
- INFORMACIÓN GENERAL UNIVERSITARIA
- INFORMES DE PREVENCIÓN
- INFORMES GABINETE JURÍDICO
- INTERCAMBIO LINGÜÍSTICO
- LIBRO REGISTRO ENTREGA TITULOS OFICIALES
- MOVILIDAD BILINGÜISMO PDI
- PAS, PDI E INVESTIGADORES RELACIONES INTERNACIONALES
- PATENTES
- PROFESORES FORMACIÓN PAS
- PROVISIÓN Y PROMOCIÓN DEL PERSONAL
- PROYECTOS EUROPEOS DE INVESTIGACIÓN
- PROYECTOS INVESTIGACIÓN
- QUEJAS, CONSULTAS Y RECLAMACIONES DEFENSOR UNIVERSITARIO
- REFEREES
- REGISTRO
- REGISTRO ACCESOS STIC
- SOLICITUDES CONSULTA Y PRÉSTAMO DOCUMENTOS
- SOLICITUDES EJEMPLARES BIBLIOTECA
- SOLICITUDES EXTRAORDINARIAS DIRIGIDAS AL RECTOR
- SOLICITUDES RESERVAS INSTALACIONES DEPORTIVAS
- TRIBUNALES DE EVALUACIÓN PRUEBAS DE ACCESO
- UNIDAD DE DEPORTES
- USUARIOS SERVICIOS STIC
- VIDEO VIGILANCIA
4.1.2. Procedimiento para la notificación de incidencias de ficheros no

automatizados
23
La gestión de notificación de incidencias se notificará a través de un enlace de una

cuenta de correo electrónico (incidencias.lopd@ual.es) en la página web de la
comisión de Seguridad informática.
Dicho correo será gestionado por el personal competente que gestionará las
incidencias y llevará un registro de las mismas.
Ficheros afectados
24
- ACCIDENTES E INCIDENTES
- ACCIÓN SOCIAL
- ARCHIVO GENERAL
- BILINGÜISMO PDI
- CARTAS DE APTITUD
- CONTRATOS FÁBRICA NACIONAL DE MONEDA Y TIMBRE
- CONTRATOS OTRI
- CONVENIOS
- CURRICULUMS RRHH
- FACTURAS
- FICHAS RECONOCIMIENTO DE FIRMAS
25

- GESTIÓN SEGUROS VEHÍCULOS
- GRUPOS DE INVESTIGACIÓN
- NÓMINAS PERSONAL
- PATENTES
- REFEREES
- REGISTRO
- SINIESTROS
- SOLICITUDES PRÉSTAMOS USUARIOS EXTERNOS
- SOLICITUDES PRETÍTULOS
4.2.Procedimientos de entrada y salida de

soportes y documentos
26
4.2.1. Procedimiento de registro de entrada de soportes

Las entradas de soportes que contengan datos personales, cuyo nivel de seguridad
sea como mínimo de nivel medio, deberán ser registradas en el registro de
GESDATOS que contiene la siguiente información: el tipo de documento o soporte,
la fecha y hora, el emisor, el número de documentos o soportes incluidos en el envío,
el tipo de información que contienen, la forma de envío y la persona responsable de
la recepción que deberá estar debidamente autorizada.
Ficheros afectados
27
- ACCIÓN SOCIAL
- BILINGÜISMO PDI
- CONTRATOS OTRI
- CONVENIOS
28

- PATENTES
- REFEREES
- REGISTRO
- VIDEO VIGILANCIA
- ACCIÓN SOCIAL
29

- ARCHIVO GENERAL
- BILINGÜISMO PDI
- CARTAS DE APTITUD
- CONTRATOS OTRI
- CONVENIOS
- CURRICULUMS RRHH
- FACTURAS
30

- NÓMINAS PERSONAL
- PATENTES
- REFEREES
- REGISTRO
- SINIESTROS
4.2.2. Procedimiento de registro de salida de soportes

Las salidas de soportes que contengan datos personales, como mínimo de nivel
medio, deberán ser registradas en el registro de GESDATOS que contiene la
siguiente información: el tipo de documento o soporte, la fecha y hora, el emisor, el
número de documentos o soportes incluidos en el envío, el tipo de información que
contienen, la forma de envío y la persona responsable de la entrega que deberá
estar debidamente autorizada.
31
Ficheros afectados
32
- ACCIÓN SOCIAL
- BILINGÜISMO PDI
- CONTRATOS OTRI
- CONVENIOS
33

- PATENTES
- REFEREES
- REGISTRO
- VIDEO VIGILANCIA
- ACCIÓN SOCIAL
34

- ARCHIVO GENERAL
- BILINGÜISMO PDI
- CARTAS DE APTITUD
- CONTRATOS OTRI
- CONVENIOS
- CURRICULUMS RRHH
- FACTURAS
35

- NÓMINAS PERSONAL
- PATENTES
- REFEREES
- REGISTRO
- SINIESTROS
4.3.Procedimientos de gestión de usuarios de

los ficheros
4.3.1. Procedimiento de alta de usuarios
En el caso de los alumnos, se realiza una carga automática de los listados pasados
por la Junta de Andalucia. Eso permite a los usuarios de nuevo ingreso realizar su
36
automatricula y asignarle un identificador de usuario y contraseña.

En el caso de PAS y PDI (y otras figuras existentes: colaboradores, becarios, etc..)
las solicitudes de alta de usuarios se realizan mediante presentación escrita de
solicitud, firmada por el usuario y su superior inmediato. También se admite
presentación electrónica de solicitud, siempre que la Universidad reconozca a la
autoridad certificadora.
Ficheros afectados
37
- ACCIÓN SOCIAL
- BILINGÜISMO PDI
- CONTRATOS OTRI
- CONVENIOS
38

- PATENTES
- REFEREES
- REGISTRO
- VIDEO VIGILANCIA
- ACCIÓN SOCIAL
39

- ARCHIVO GENERAL
- BILINGÜISMO PDI
- CARTAS DE APTITUD
- CONTRATOS OTRI
- CONVENIOS
- CURRICULUMS RRHH
- FACTURAS
40

- NÓMINAS PERSONAL
- PATENTES
- REFEREES
- REGISTRO
- SINIESTROS
4.3.2. Procedimiento de baja de usuarios

El procedimiento de baja de usuarios, deberán comunicarlo los responsables del
usuario a dar de baja, utilizando para ello la aplicación CAU (Herramienta de centro
de atención a usuarios).
Ficheros afectados
41
- ACCIÓN SOCIAL
- BILINGÜISMO PDI
- CONTRATOS OTRI
- CONVENIOS
42

- PATENTES
- REFEREES
- REGISTRO
- VIDEO VIGILANCIA
- ACCIÓN SOCIAL
43

- ARCHIVO GENERAL
- BILINGÜISMO PDI
- CARTAS DE APTITUD
- CONTRATOS OTRI
- CONVENIOS
- CURRICULUMS RRHH
- FACTURAS
44

- NÓMINAS PERSONAL
- PATENTES
- REFEREES
- REGISTRO
- SINIESTROS
4.4.Procedimiento de desechado y reutilización

de soportes
4.4.1. Procedimiento de desechado y reutilización de soportes automatizados
El procedimiento de reutilización de soportes consiste en el formateado previo del
dispositivo si éste lo permite, para su posterior reutilización.
45
En el caso de proceder a la destrucción del soporte (siempre que se procede a su

destrucción es porque el soporte ha dado error), se procederá a su destrucción
física.
Ficheros afectados
46
- ACCIÓN SOCIAL
- BILINGÜISMO PDI
- CONTRATOS OTRI
- CONVENIOS
47

- PATENTES
- REFEREES
- REGISTRO
- VIDEO VIGILANCIA
4.4.2. Procedimiento de desechado y reutilización de soportes no

automatizados
48
Siempre que vaya a desecharse cualquier documento o soporte que contenga datos
de carácter personal deberá procederse a su destrucción o borrado, mediante la
adopción de medidas dirigidas a evitar el acceso a la información contenida en el
mismo o su recuperación posterior. Las medidas a aplicar serán:
En el caso de que se trate de documento en papel, cuando éstos contengan datos de
carácter personal, queda prohibida su reutilización (a modo de papel reciclado). En
todo caso, se procederá a su destrucción mediante el uso de la destructora de papel.
Para la destrucción de un gran volumen de información se contratan los servicios de
una empresa de destrucción confidencial.
Ficheros afectados
49
- ACCIÓN SOCIAL
- ARCHIVO GENERAL
- BILINGÜISMO PDI
- CARTAS DE APTITUD
- CONTRATOS OTRI
- CONVENIOS
- CURRICULUMS RRHH
- FACTURAS
50

- NÓMINAS PERSONAL
- PATENTES
- REFEREES
- REGISTRO
- SINIESTROS
4.5. Procedimiento para los envíos telemáticos
51
El RDLOPD, para los ficheros de nivel alto, obliga al cifrado de datos o la utilización
de cualquier otro mecanismo que garantice que la información no sea inteligible ni
manipulada por terceros, cuando los mismos vayan a ser objeto de transmisión a
través de redes de telecomunicaciones.
El envío de datos a través de redes de telecomunicaciones supone la adopción de

una serie de medidas organizativas y técnicas que se han de respetar y constituyen
el procedimiento a seguir. Este procedimiento afecta a diversos niveles:
1) A nivel organizativo:
a) Los usuarios deben conocer (y así se debe reflejar en su manual y/o en las
normas usuario del sistema de información) las pautas a seguir al respecto.
b) El usuario deberá contar con la autorización del Responsable del Fichero o del
Responsable de Seguridad, que tenga atribuidas estas funciones por delegación.
2) A nivel técnico, el Usuario, bien por su propia cuenta, mediante los mecanismos
que se hubieran puesto a disposición o bien, por parte del Resposable de Seguridad
y/o técnico informático, debe proceder al cifrado de los datos o la utilización de
cualquier otro mecanismo que garantice que la información no sea inteligible ni
manipulada por terceros.
Los envíos telemáticos de becas al Ministerio se realizan a través de un Web

Service, comprimido en Zip y encriptado con 64 bits.
Ficheros afectados
52
- ACCIÓN SOCIAL
- BILINGÜISMO PDI
- CONTRATOS OTRI
- CONVENIOS
53

- PATENTES
- REFEREES
- REGISTRO
- VIDEO VIGILANCIA
54
4.6. Procedimiento para el uso del correo

electrónico
La normativa de uso del correo electrónico se detalle en el documento del
hipervínculo.
Ficheros afectados
55
- ACCIÓN SOCIAL
- BILINGÜISMO PDI
- CONTRATOS OTRI
- CONVENIOS
56

- PATENTES
- REFEREES
- REGISTRO
- VIDEO VIGILANCIA
57
4.7. Procedimiento ante solicitudes de ejercicio

de derechos
1. Ante la consulta (por ejemplo llamada) sobre algún ejercicio de derechos por parte
de algún interesado.: - Dar información sobre en qué consiste el Derecho, plazos
etc... Es decir sobre el procedimiento. - No ofrecerle datos sobre la persona, sobre el
fondo del asunto etc. - Tomar nota (sólo tomar nota) de la persona de que se trata
(de su identidad) y del motivo. - Hacerle llegar (si lo pide) el impreso correspondiente
para ejercitar el derecho por una vía que permita dejar constancia (reporte de fax o
copia email).
2. Ante la recepción de alguna petición de ejercicio de derechos (normalmente por
carta, fax o email): - Si dispone del módulo de ejercicio de derechos de GESDATOS:
introducir la solicitud en la herramienta. - Si no dispone del módulo de ejercicio de
derechos de GESDATOS: remitir la solicitud inmediatamente al responsable de
seguridad que tenga atribuida esta tarea.
3. Ante cualquier otra cuestión en esta materia.: - Acudir al responsable de seguridad
que tenga atribuida esta tarea.
Ficheros afectados
58
- ACCIÓN SOCIAL
- BILINGÜISMO PDI
- CONTRATOS OTRI
- CONVENIOS
59

- PATENTES
- REFEREES
- REGISTRO
- VIDEO VIGILANCIA
- ACCIÓN SOCIAL
60

- ARCHIVO GENERAL
- BILINGÜISMO PDI
- CARTAS DE APTITUD
- CONTRATOS OTRI
- CONVENIOS
- CURRICULUMS RRHH
- FACTURAS
61

- NÓMINAS PERSONAL
- PATENTES
- REFEREES
- REGISTRO
- SINIESTROS
4.8.Procedimientos de archivo y custodia

4.8.1. Procedimiento de custodia de soportes no automatizados
Los dispositivos de almacenamiento de los documentos que contengan datos de
carácter personal disponen de mecanismos que obstaculizan su apertura. En el
documento de seguridad se relaciona el mecanismo que obstaculiza la apertura en
relación con cada soporte.
62
Ficheros afectados
63
- ACCIÓN SOCIAL
- ARCHIVO GENERAL
- BILINGÜISMO PDI
- CARTAS DE APTITUD
- CONTRATOS OTRI
- CONVENIOS
- CURRICULUMS RRHH
- FACTURAS
64

- NÓMINAS PERSONAL
- PATENTES
- REFEREES
- REGISTRO
- SINIESTROS
4.8.2. Procedimiento de archivo de ficheros no automatizados

El archivo de los soportes se realiza siguiendo un criterio funcional, según un cuadro
de clasificación, que permite su localización visual. Debido a su poco volumen no se
dispone de un registro informático de localización.
65
Debido al volumen de soportes existentes se dispone de un registro informático que

posibilita su localización.
Adicionalmente y debido al volumen de archivos, una vez los soportes han

permanecido durante su vida útil en el archivo vivo pasan al archivo histórico.
Ficheros afectados
66
- ACCIÓN SOCIAL
- ARCHIVO GENERAL
- BILINGÜISMO PDI
- CARTAS DE APTITUD
- CONTRATOS OTRI
- CONVENIOS
- CURRICULUMS RRHH
- FACTURAS
67

- NÓMINAS PERSONAL
- PATENTES
- REFEREES
- REGISTRO
- SINIESTROS
4.8.3. Procedimiento de restricción de acceso a ficheros no automatizados

Deberán encontrarse en áreas en las que el acceso esté protegido con puertas de
acceso dotadas de sistemas de apertura mediante llave u otro dispositivo
equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el
68
acceso a los documentos incluidos en el fichero.
Ficheros afectados
69
- ACCIÓN SOCIAL
- ARCHIVO GENERAL
- BILINGÜISMO PDI
- CARTAS DE APTITUD
- CONTRATOS OTRI
- CONVENIOS
- CURRICULUMS RRHH
- FACTURAS
70

- NÓMINAS PERSONAL
- PATENTES
- REFEREES
- REGISTRO
- SINIESTROS
4.9. Procedimiento de copia y reproducción de

documentos
71
La generación de copias o la reproducción de los documentos únicamente podrá ser

realizada bajo el control del personal autorizado en el documento de seguridad. La
reproducción de copias se realiza mediante petición formal escrita al personal
competente en la materia (personal de archivo), según legislación vigente en la
materia.
Deberá procederse a la destrucción de las copias o reproducciones desechadas de
forma que se evite el acceso a la información contenida en las mismas o su
recuperación posterior.
Ficheros afectados
72
- ACCIÓN SOCIAL
- ARCHIVO GENERAL
- BILINGÜISMO PDI
- CARTAS DE APTITUD
- CONTRATOS OTRI
- CONVENIOS
- CURRICULUMS RRHH
- FACTURAS
73

- NÓMINAS PERSONAL
- PATENTES
- REFEREES
- REGISTRO
- SINIESTROS
4.10. Procedimiento de traslado de

documentación
74
TRASLADO DE DOCUMENTACIÓN PARA FICHEROS DE NIVEL ALTO

Siempre que se proceda al traslado de la documentación contenida en un fichero
deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la
información objeto de traslado.
Ficheros afectados
75
- ACCIÓN SOCIAL
- ARCHIVO GENERAL
- BILINGÜISMO PDI
- CARTAS DE APTITUD
- CONTRATOS OTRI
- CONVENIOS
- CURRICULUMS RRHH
- FACTURAS
76

- NÓMINAS PERSONAL
- PATENTES
- REFEREES
- REGISTRO
- SINIESTROS
5. Antivirus
77
Se dispone de una aplicación antivirus. La actualización del software se realiza de

forma centralizada.
78

Manualresponsableseguridad PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Manualresponsableseguridad PDF

Uploaded by

Copyright:

Available Formats

Manual de responsable de seguridad en

materia de protección de datos de carácter

ADAPTADO AL REAL DECRETO 1720/2007

Para coordinar tales medidas el RDLOPD contempla la figura del responsable/s de

2. Funciones y obligaciones del responsable de

"En el documento de seguridad deberán designarse uno o varios

El Responsable de Seguridad es el encargado de autorizar, coordinar, controlar y en algunos

Corresponde al Responsable de Seguridad, por si mismo o a través del

- Confeccionar y mantener una relación actualizada de usuarios y perfiles de usuarios a

3. Explicación de las funciones y obligaciones

A continuación se presenta, en relación con cada una de las tareas asignadas al

NOTA IMPORTANTE: Ya que muchas de ellas han de ejecutarse utilizando funcionalidades

3.1. Tareas relativas a medidas que garanticen

Art. 96.1 Con carácter extraordinario realizar dicha auditoría

Art. 96.1 Someter los sistemas de información, al menos

Art. 96.3 Analizar el informe de auditoría y elevar las

funcionalidad: acceda al módulo CONTROLES y acceda a AUDITORÍAS. Allí podrá subir el

Art. 88.7 Implantar (o, en su caso, modificar) controles

Art. 88.7 Revisar los controles periódicos para verificar el

3.2. Tareas relativas a medidas que garanticen

Art. 113.1 Controlar que sólo el personal autorizado a ello

Art. 113.1 Actualizar el listado de personal autorizado a

Art. 111.1 Cuidar que los armarios y archivadores que

Art. 111.1 - Cuidar que las áreas en que se encuentren los

Art. 110 Someter los sistemas de información, al menos

Art. 110 Analizar el informe de auditoría y elevar las

Art. 105.2 - Adoptar las medidas oportunas para que el acceso

Art. 105.2 - Confeccionar y mantener una relación actualizada

Art. 105.2 - Establecer mecanismos para evitar que un usuario

Art. 105.2 - Adoptar las medidas para que solo pueda

Art. 105.2 - Adoptar las medidas oportunas para que el

COPIA O REPRODUCCIÓN. CONTROL DE COPIAS O REPRODUCCIONES

Art. 112.1 Controlar que únicamente realicen copias de los

Art. 112.1 Actualizar el listado de personas autorizadas a

COPIA O REPRODUCCIÓN. DESTRUCCIÓN

Art. 112.2 Redactar y revisar la existencia de un

COPIA O REPRODUCCIÓN. DESTRUCCIÓN.

Art. 112.2 - Proceder a la destrucción de las copias o

FUNCIONES Y OBLIGACIONES DEL PERSONAL

Art. 105.2 - Definir las funciones y obligaciones del personal

Art. 105.2 - Documentar las funciones y obligaciones del

Art. 109 Nombrar y en su caso reemplazar a los

Art. 105 - Adoptar las medidas necesarias para que los

Art. 105.2 - Establecer un procedimiento de notificación y

olvido de destrucción de las copias de documentos, generación de copias por personal no

Art. 105.2 - Establecer un registro en el que se haga constar el

GESTIÓN DE SOPORTES Y DOCUMENTOS. CRITERIOS DE ARCHIVO

Art. 106 Disponer lo oportuno para que se archiven los

GESTIÓN DE SOPORTES Y DOCUMENTOS. CUSTODIA

Art. 107 Cuidar que los dispositivos de almacenamiento de

El artículo 107 del Reglamento establece la obligación de que los dispositivos de

GESTIÓN DE SOPORTES Y DOCUMENTOS. ETIQUETADO

Art. 105.2 - Identificar el tipo de información que contienen los

Art. 105.2 - Inventariar los soportes y documentos que

Art. 105.2 - Adoptar las medidas para que los soportes y

Art. 105.2 - No se etiquetarán cuando las características físicas

Art. 105.2 - Podrán etiquetarse crípticamente (sólo

GESTIÓN DE SOPORTES Y DOCUMENTOS. REGISTRO DE SALIDA

Art. 105.2 - La salida de soportes y documentos que

Art. 113.2 Establecer mecanismos que permitan identificar

Art. 113.3 Revisar periódicamente el registro de los accesos

Art. 114 Establecer un procedimiento para que cuando se

La obligación consistente en establecer un procedimiento para que cuando se proceda al