Derecho Informtico

AEC1 Caso prctico sobre proteccin de datos

Fichero elegido
Inditex

ndice
1.MBITO DE APLICACIN DEL DOCUMENTO .............................................................. 3
2. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTNDARES
ENCAMINADOS A GARANTIZAR LOS NIVELES DE SEGURIDAD EXIGIDOS EN
ESTE DOCUMENTO ................................................................................................................ 4
3. INFORMACIN Y OBLIGACIONES DEL PERSONAL ................................................. 11
4. PROCEDIMIENTOS DE NOTIFIVACION, GESTION Y RESPUESTA ANTE LAS
INCIDENCIAS ........................................................................................................................ 13
5. PROCEDIMIENTOS DE REVISIN ................................................................................. 14

1.MBITO DE APLICACIN DEL DOCUMENTO

El presente documento ser de aplicacin a los ficheros que contienen datos

de carcter personal que se hallan bajo la responsabilidad de Industria de
diseo textil SA (INDITEX SA), incluyendo los sistemas de informacin,
soportes y equipos empleados para el tratamiento de datos de carcter
personal, que deban ser protegidos de acuerdo a lo dispuesto en normativa
vigente, las personas que intervienen en el tratamiento y los locales en los
que se ubican.
En concreto, los ficheros sujetos a las medidas de seguridad establecidas en
este documento, con indicacin del nivel de seguridad correspondiente, son
los siguientes:
Fichero con nombre "CLIENTES TARJETAS AFINITY CARDS" con finalidad de
"INFORMACION PARA LA CONCESION ADMINISTRACION Y GESTION DE
TARJETAS PRIVADAS" y sistema mixto con alta seguridad, acceso restringido
a servidores de la empresa (solo administradores) y otro servidor en la nube.

2.

MEDIDAS,

NORMAS,

PROCEDIMIENTOS,

REGLAS

ESTNDARES

ENCAMINADOS A GARANTIZAR LOS NIVELES DE SEGURIDAD EXIGIDOS EN

ESTE DOCUMENTO

IDENTIFICACIN Y AUTENTICACIN
Medidas y normas relativas a la identificacin y autenticacin del personal
autorizado para acceder a los datos personales.
Cada usuario necesitara de una identificacin previamente recibida por la
empresa constando esta de nueve nmeros y una letra, la clave ser
previamente definida por la empresa, pero el usuario podr modificarla
cumpliendo con los requisitos de esta, debe contener entre seis y ocho
caracteres y al menos una letra mayscula y otra minscula. Todas las
contraseas se guardaran bajo seguridad en los servidores de la empresa y
debern ser modificadas cada seis meses.
CONTROL DE ACCESO
El personal slo acceder a aquellos datos y recursos que precise para el
desarrollo de

sus funciones.

El responsable

del

fichero establecer

mecanismos para evitar que un usuario pueda acceder a recursos con

derechos distintos de los autorizados en este caso cada usuario comienza sin
tener acceso a ningn tipo de dato, conforma vaya solicitndolos se le ir
dando acceso, de este modo el administrador conoce a que informacin tiene
acceso cada usuario en todo momento.
Exclusivamente el administrador del sistema est autorizado para conceder,
alterar o anular el acceso sobre los datos y los recursos, conforme a los
criterios establecidos por el responsable del fichero.
Si un usuario desea tener acceso a algn

dato restringido deber

comunicarse con el administrador del sistema, autentificar su identificacin y

entonces se le podr conceder el acceso.

Tras recibir la peticin de acceso del usuario el administrador comprobara

sus datos y a que puede tener acceso, si fuese necesario el administrador
podra ponerse en contacto con el responsable del fichero para decidir si dar
o no acceso a determinados datos.
De existir personal ajeno al responsable del fichero con acceso a los recursos
deber estar sometido a las mismas condiciones y obligaciones de seguridad
que el personal propio.
REGISTRO DE ACCESOS
En los accesos a los datos de los ficheros de nivel alto, se registrar por cada
acceso la identificacin del usuario, la fecha y hora en que se realiz, el
fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. Si el
acceso fue autorizado, se almacenar tambin la informacin que permita
identificar el registro accedido.
Este sistema no se desactivara en ningn momento y se retransmitir
directamente a seguridad, que podr tomar medidas si fuese necesario.
Los datos del registro de accesos se conservaran durante un ao on-line y en
los servidores de seguridad de la empresa, tras un ao solo se conservan en
los servidores.
El responsable de seguridad revisar al menos una vez al mes la informacin
de control registrada y elaborar un informe segn se detalla en el captulo
de Comprobaciones para la realizacin de la auditora de seguridad de este
documento.
El acceso a la documentacin se limita exclusivamente al personal
autorizado.

GESTIN DE SOPORTES Y DOCUMENTOS

Los soportes que contengan datos de carcter personal debern permitir
identificar el tipo de informacin que contienen, ser inventariados y sern
almacenados en los servidores de la propia empresa, lugar de acceso
restringido al que solo tendrn acceso las personas con autorizacin que se
relacionan a continuacin: El Presidente, el vicepresidente el director, un
encargado de El Banco Honrado, S.A. y el administrador de los servidores. No
se tendr acceso sin presentar su identificacin previamente.
Los siguientes soportes "econmicos financieros y de seguros" se exceptan
de las obligaciones indicadas en el prrafo anterior, dadas sus caractersticas
fsicas, que imposibilitan el cumplimiento de las mismas.
Los siguientes soportes "circunstancias sociales" y "detalles de empleo" se
identificarn utilizando un sistema de etiquetado de bsqueda por relacin
de palabras solo accesible a usuarios autorizados.
Los soportes se almacenarn de acuerdo a las siguientes normas: Se dar
prioridad a los soportes de datos personales, etiquetndolos segn el DNI
del usuario para facilitar su bsqueda. Este proceso se realizara bajo la
supervisin de un encargado uno por uno.
La salida de soportes y documentos que contengan datos de carcter
personal, incluidos los comprendidos en correos electrnicos, fuera de los
locales bajo el control del responsable del tratamiento, deber ser autorizada
por el responsable del fichero o aquel en que se hubiera delegado de
acuerdo al siguiente procedimiento ya que sin su consentimiento est
bloqueada toda clase de traspaso de estos datos.
Los soportes que vayan a ser desechados, debern ser previamente
analizados y divididos para ser totalmente eliminados de forma que no sea
posible el acceso a la informacin contenida en ellos o su recuperacin
posterior.

En el traslado de la documentacin se adoptarn las medidas propuestas por

la empresa encargada de la misma para evitar la sustraccin, prdida o
acceso indebido a la informacin.
REGISTRO DE ENTRADA Y SALIDA DE SOPORTES
Las salidas y entradas de soportes correspondientes a los ficheros de nivel
medio y alto, sern registradas de acuerdo al siguiente procedimiento: Se
grabara automticamente en los servidores de seguridad cada movimiento,
que podr ser revisado en el momento o posteriormente.
El registro de entrada y salida de soportes se gestionar de forma automtica
mediante sistema informtico y en el que debern constar el tipo de
documento o soporte, la fecha y hora, el emisor, el nmero de documentos o
soportes incluidos en el envo, el tipo de informacin que contienen, la forma
de envo y la persona autorizada responsable de la recepcin.
GESTIN Y DISTRIBUCIN DE SOPORTES
En este caso los soportes se identificarn mediante el sistema de etiquetado
de bsqueda por relacin de palabras solo accesible a usuarios autorizados
La distribucin y salida de soportes que contengan datos de carcter
personal de los ficheros de nivel alto se realizar cifrando los datos con la
previa aprobacin por parte del responsable del fichero.
Los siguientes dispositivos porttiles como tablets o smartphones, debido a
su versatilidad y portabilidad, se utilizarn en el tratamiento de datos
personales adoptndose las medidas que a continuacin se explicitan: Tras
identificarse mediante el nombre de usuario y su contrasea, se tendr
acceso de la misma forma que en el resto de dispositivos.
CRITERIOS DE ARCHIVO
El archivo de los soportes o documentos se realizar de acuerdo con los
criterios como el tipo de archivo (privado o pblico) y el tipo de datos que
contengan.
7

ALMACENAMIENTO DE LA INFORMACIN
Los servidores de la empresa tambin se utilizarn para guardar los
documentos con datos personales.
Los ordenadores que almacenan los servidores respecto de los documentos
con datos personales, se encuentran en la propia sede de la empresa, en una
sala, a la que solo tienen acceso el Presidente, el vicepresidente el director,
un encargado de El Banco Honrado, S.A. y el administrador de los servidores
mediante le presentacin de su tarjeta de identificacin.
CUSTODIA DE SOPORTES
En tanto los documentos con datos personales no se encuentren archivados
en los dispositivos de almacenamiento indicados en el punto anterior, por
estar en proceso de tramitacin, las personas que se encuentren a su cargo
debern custodiarlos e impedir el acceso a personas no autorizadas.
ACCESO A DATOS A TRAVS DE REDES DE COMUNICACIONES
Los datos de carcter personal solo sern accesibles para el propio usuario
dueo de esos datos, mientras que el resto de datos solo sern accesibles a
los usuarios que tuvieran acceso previo a los mismos.
Los datos personales correspondientes a los ficheros de nivel alto, que se
transmitan a travs de redes pblicas o inalmbricas de comunicaciones
electrnicas se realizar cifrando previamente estos datos.
RGIMEN DE TRABAJO FUERA DE LOS LOCALES DE LA UBICACIN DEL
FICHERO
Se pueden llevar a cabo todos los tratamientos de datos personales que no
modifiquen el DNI del usuario fuera de los locales del

responsable del

fichero, as como mediante dispositivos porttiles. Esta autorizacin regir

mientras el responsable del fichero lo permita.

Esta autorizacin se realizara para los usuarios que el responsable del fichero
elija.
Se garantizara el nivel de seguridad necesario.
TRASLADO DE DOCUMENTACIN
Siempre que se proceda al traslado fsico de la documentacin contenida en
un fichero, debern adoptarse las medidas que apruebe la empresa
encargada del traslado.
FICHEROS TEMPORALES O COPIAS DE TRABAJO DE DOCUMENTOS
Los ficheros temporales o copias de documentos creados exclusivamente
para trabajos temporales o auxiliares, debern cumplir el nivel de seguridad
que les corresponda con arreglo a los criterios expresados en el Reglamento
de medidas de seguridad, y sern borrados o destruidos una vez que hayan
dejado de ser necesarios para los fines que motivaron su creacin.
COPIA O REPRODUCCIN
La realizacin de copias o reproduccin de los documentos con datos
personales slo se podrn llevar a cabo bajo el control del personal
autorizado por el responsable del fichero.
Las copias desechadas debern ser destruidas imposibilitando el posterior
acceso a la informacin contenida.
COPIAS DE RESPALDO Y RECUPERACIN
Se realizarn copias de respaldo, salvo que no se hubiese producido ninguna
actualizacin de los datos, una vez cada tres das.
Los procedimientos establecidos para las copias de respaldo y para su
recuperacin garantizarn su reconstruccin en el estado en que se
encontraban al tiempo de producirse la prdida o destruccin.

El responsable del fichero verificar semestralmente los procedimientos de

copias de respaldo y recuperacin de los datos.
Las pruebas anteriores a la implantacin o modificacin de sistemas de
informacin se realizarn con datos reales previa copia de seguridad, y
garantizando el nivel correspondiente al tratamiento realizado.
En los ficheros de nivel alto se conservar una copia de respaldo y de los
procedimientos de recuperacin de los datos en varios servidores repartidos
en varias ciudades cercanas.
RESPONSABLE DE SEGURIDAD
Se designa como responsable de seguridad a una persona elegida por el
responsable del fichero, que con carcter general se encargar de coordinar y
controlar las medidas definidas en este documento de seguridad.
En

ningn

caso,

la

designacin

supone

una

exoneracin

de

la

responsabilidad que corresponde al responsable del fichero de acuerdo con

el RLOPD.
El responsable de seguridad desempear las funciones encomendadas
durante el periodo que indique el responsable del fichero. Una vez
transcurrido este plazo el responsable del fichero podr nombrar al mismo
responsable de seguridad o a otro diferente.

10

3. INFORMACIN Y OBLIGACIONES DEL PERSONAL

INFORMACIN AL PERSONAL
Para asegurar que todas las personas conocen las normas de seguridad que
afectan al desarrollo de sus funciones, as como las consecuencias del
incumplimiento de las mismas, sern informadas de acuerdo con el siguiente
procedimiento:

Se

enviara

todos

los

usuarios

la

informacin

correspondiente segn su posicin, tras esto para asegurar que todos la

conocen se debe enviar un "acuse de recibo" con el que se confirma el
conocimiento de la informacin.
Toda esta informacin puede ser consultada de nuevo en cualquier momento
por el usuario que lo desee..
FUNCIONES Y OBLIGACIONES DEL PERSONAL
Todo el personal que acceda a los datos de carcter personal est obligado a
conocer y observar las medidas, normas, procedimientos, reglas y estndares
que afecten a las funciones que desarrolla.
Constituye una obligacin del personal notificar al responsable de seguridad
las incidencias de seguridad de las que tengan conocimiento respecto a los
recursos protegidos,

segn los procedimientos establecidos en este

Documento, y en concreto en el apartado de Procedimientos de notificacin,

gestin y respuesta ante las incidencias.
Todas las personas debern guardar el debido secreto y confidencialidad
sobre los datos personales que conozcan en el desarrollo de su trabajo.
El personal que realice trabajos que no impliquen el tratamiento de datos
personales tendrn limitado el acceso a estos datos, a los soportes que los
contengan, o a los recursos del sistema de informacin.

11

Cuando se trate de personal ajeno, el contrato de prestacin de servicios

recoger expresamente la prohibicin de acceder a los datos personales y la
obligacin de secreto respecto de aquellos datos que hubiera podido conocer
durante la prestacin del servicio.
CONSECUENCIAS DEL INCUMPLIMIENTO DEL DOCUMENTO DE SEGURIDAD
El incumplimiento de las obligaciones y medidas de seguridad establecidas
en el presente documento por el personal afectado, se sancionar con la
censura de todos los datos a los que tena acceso el usuario y una
penalizacin segn la magnitud del incumplimiento pudiendo llegar al
despido de este.

12

4. PROCEDIMIENTOS DE NOTIFIVACION, GESTION Y RESPUESTA ANTE LAS

INCIDENCIAS

Se considerarn como "incidencias de seguridad", entre otras, cualquier

incumplimiento de la normativa desarrollada en este Documento de
Seguridad, as como a cualquier anomala que afecte o pueda afectar a la
seguridad de los datos de carcter personal del responsable del fichero.
El procedimiento a seguir para la notificacin de incidencias se llevara a cabo
ponindose en contacto mediante lnea telefnica o correo electrnico con el
encargado de seguridad, este gestionara la incidencia, si no pudiese
arreglarse se pondra en contacto con el administrador del sistema.
El registro de incidencias se gestionar de forma manual y lo llevara a cabo el
encargado de seguridad, en el debe constar, el tipo de incidencia, el
momento en que se ha producido o detectado, la persona que realiza la
notificacin, a quin se comunica, los efectos que se hubieran derivado de la
misma y las medidas correctoras aplicadas.
En el registro de incidencias se consignarn tambin los procedimientos de
recuperacin de datos que afecten a los ficheros de nivel medio y alto, del
modo que se indica a continuacin el encargado de seguridad o el
administrador del sistema trataran de recuperar los datos, pudiendo ser
necesario tener que recurrir a copias de respaldo si fuese necesario.
Para ejecutar los procedimientos de recuperacin de datos en los ficheros
mencionados en el prrafo anterior, ser necesaria la autorizacin por escrito
del responsable del fichero.

13

5. PROCEDIMIENTOS DE REVISIN

REVISIN DEL DOCUMENTO DE SEGURIDAD

El documento deber mantenerse en todo momento actualizado y deber ser
revisado siempre que se produzcan cambios relevantes en el sistema de
informacin, en el contenido de la informacin incluida en los ficheros o
como consecuencia de los controles peridicos realizados. En todo caso se
entender

como

cambio

relevante

cuando

pueda

repercutir

en

el

cumplimiento de las medidas de seguridad implantadas. Asimismo, deber

adecuarse, en todo momento, a las disposiciones vigentes en materia de
seguridad de los datos de carcter personal.
Para la modificacin de documentos de seguridad se debe tener la
aprobacin y autorizacin del responsable del fichero en este caso se
comunicara al administrador del sistema que proporcionara el permiso al
usuario.
AUDITORA
1. A partir del nivel medio los sistemas de informacin e instalaciones de
tratamiento y almacenamiento de datos se sometern, al menos cada dos
aos, a una auditora interna o externa que verifique el cumplimiento del
presente ttulo. Con carcter extraordinario deber realizarse dicha auditora
siempre que se realicen modificaciones sustanciales en el sistema de
informacin que puedan repercutir en el cumplimiento de las medidas de
seguridad implantadas con el objeto de verificar la adaptacin, adecuacin
y eficacia de las mismas. Esta auditora inicia el cmputo de dos aos
sealado en el prrafo anterior.
2. El informe de auditora deber dictaminar sobre la adecuacin de las
medidas y controles a la Ley y su desarrollo reglamentario, identificar sus
deficiencias

proponer

las

medidas

correctoras

complementarias

necesarias. Deber, igualmente, incluir los datos, hechos y observaciones en

que se basen los dictmenes alcanzados y las recomendaciones propuestas.

14

3. Los informes de auditora sern analizados por el responsable de

seguridad competente, que elevar las conclusiones al responsable del
fichero o tratamiento para que adopte las medidas correctoras adecuadas y
quedarn a disposicin de la Agencia Espaola de Proteccin de Datos o, en
su caso, de las autoridades de control de las comunidades autnomas.
Los ficheros comprendidos en la presente seccin se sometern, al menos
cada dos aos, a una auditora interna o externa que verifique el
cumplimiento del presente ttulo.
INFORME MENSUAL SOBRE EL REGISTRO DE ACCESOS
1. De cada intento de acceso se guardarn, como mnimo, la identificacin
del usuario, la fecha y hora en que se realiz, el fichero accedido, el tipo de
acceso y si ha sido autorizado o denegado.
2. En el caso de que el acceso haya sido autorizado, ser preciso guardar la
informacin que permita identificar el registro accedido.
3. Los mecanismos que permiten el registro de accesos estarn bajo el
control directo del responsable de seguridad competente sin que deban
permitir la desactivacin ni la manipulacin de los mismos.
4. El perodo mnimo de conservacin de los datos registrados ser de dos
aos.
5. El responsable de seguridad se encargar de revisar al menos una vez al
mes la informacin de control registrada y elaborar un informe de las
revisiones realizadas y los problemas detectados.
6. No ser necesario el registro de accesos definido en este artculo en caso
de que concurran las siguientes circunstancias:
a) Que el responsable del fichero o del tratamiento sea una persona fsica.
b) Que el responsable del fichero o del tratamiento garantice que nicamente
l tiene acceso y trata los datos personales.
15

La concurrencia de las dos circunstancias a las que se refiere el apartado

anterior deber hacerse constar expresamente en el documento de
seguridad.

16