Post on 20-Sep-2018
AYUNTAMIENTO DE SONDIKA
Auditoría sobre el Cumplimiento de la Legislación de
Protección de Datos de Carácter Personal
Ver.2.0 Ref.:060314
INTER-IUS Consulting S.L.
Santurtzi, 06 de Marzo de 2014
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
2
CONTROL DOCUMENTAL
Nombre del Documento: AUDITORIA
Organización: Ayuntamiento de Sondika
Cif: P4809800H
Contacto: Inmaculada Sánchez
Auditoría Realizada por: INTER-IUS Consulting S.L.
Fecha de Auditoría: 06/03/2014
Fecha de Publicación de la
Auditoria: 13/03/2014
Referencia del Documento: Audlopd: 060314IIC
Versión del Documento: 2.0
Nº de páginas: 81 ( incluye portada y control
documental)
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
3
INDICE
0. Objeto
1. Recomendaciones
- En cuanto a la Ley 2/2004, de 25 de Febrero, de Ficheros de Datos de
Carácter Personal de Titularidad Pública
- En cuanto al Decreto 308/2005, de 18 de octubre
- En cuanto a la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal
- En cuanto al Real Decreto 1720/2007, Reglamento de Medidas de Seguridad
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
4
0. Objeto y Legislación Vigente
El presente informe persigue los siguientes objetivos:
a) Identificar las deficiencias en el cumplimiento de la LOPD y Ley 2/2004 de
Ficheros de datos de Carácter Personal de titularidad Pública en el ámbito de
la Comunidad Autónoma Vasca en el que han sido identificadas en la fase de
entrevistas con los distintos responsables.
b) Proponer una serie de medidas correctoras a tener en cuenta por la entidad
para resolver los incumplimientos detectados.
c) Concienciar a los destinatarios del mismo de la importancia y complejidad
que reviste el cumplimiento de la normativa en materia de protección de datos
de carácter personal.
d) Describir la Situación Actual de la estructura Informática y la estructura de
datos de carácter personal que el citado Ayuntamiento de Sondika, utiliza y
dispone por motivos de su actividad, su nivel de Requerimiento de Protección
de Datos, así como las medidas de protección adoptadas.
La presente evaluación se ha realizado en base a los siguientes metodologías:
Magerit, Consejo Superior de Informática del Ministerio de las
Administraciones Públicas
Common Criteria, sistema internacional desarrollado conjuntamente por
EE.UU. , Canadá, Francia, Reino Unido, Alemania y Holanda
ISACA, Information Systems Audit. and Control Association
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
5
ISO 17799, ISO
Security Plans, National Institute of Standards and Technology (EE.UU)
A continuación se aporta un breve análisis de la normativa de protección de datos de
carácter personal que se encuentra vigente:
Constitución Española (artículos 18.4 y 105 b).
Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de
Carácter Personal.
Ley 2/2004 de 25 de Febrero de Ficheros de datos de carácter personal de
titularidad pública y de creación de la Agencia Vasca de Protección de Datos
DECRETO 308/2005, de 18 de octubre, por el que se desarrolla la Ley
2/2004, de 25 de febrero, de ficheros de datos de carácter personal de
titularidad pública y de creación de la Agencia Vasca de Protección de Datos.
Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de Octubre,
relativa a la protección de las personas físicas en lo que respecta al tratamiento
de datos personales y a la libre circulación de estos datos.
Real Decreto 1720/2007, de 21 de Diciembre, por el que se aprueba el
Reglamento de Desarrollo de la Ley 15/1999 de Protección de Datos de
Carácter Personal.
Instrucciones de la Agencia Española de Protección de Datos.
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
6
0.1 Ficheros inscritos en la Agencia de Protección de Datos
Habiendo realizado la consulta al registro general de la Agencia Vasca de Protección
de Datos y habiendo consultado en el Registro General de Protección de Datos
dependiente de la Agencia Española de Protección de Datos con fecha 13 de Marzo
de 2014, los ficheros dependientes del Ayuntamiento de Sondika se llega a la
siguiente conclusión:
SE ENCUENTRAN INSCRITOS LOS SIGUIENTES FICHEROS:
Tipo de administración: AYUNTAMIENTOS
Ayuntamiento: AYUNTAMIENTO DE SONDIKA
Area: AYUNTAMIENTO DE SONDIKA
Servicio: AYUNTAMIENTO DE SONDIKA
Nombre del fichero Descripción del fichero Descripción finalidad
EXPEDIENTES SANCIONADORES
DATOS DE LAS PERSONAS INCLUIDAS EN ALGÚN EXPEDIENTE SANCIONADOR MUNICIPAL
GESTIÓN Y SEGUIMIENTO DE LOS DIFERENTES EXPEDIENTES SANCIONADORES ELABORADOS POR EL AYUNTAMIENTO
ARCHIVO MUNICIPAL
DATOS DE LAS PERSONAS INCLUIDAS EN LOS DIFERENTES EXPEDIENTES ADMINISTRATIVOS MUNICIPALES
GESTIÓN DEL ARCHIVO MUNICIPAL Y LOCALIZACIÓN DE EXPEDIENTES MUNICIPALES.
INSPECCIÓN Y RECAUDACIÓN EJECUTIVA
DATOS DE LAS PERSONAS INCURSAS EN EXPEDIENTES DE RECAUDACIÓN EJECUTIVA DEL MUNICIPIO
GESTIÓN Y TRAMITACIÓN DE LOS EXPEDIENTES DE INSPECCIÓN Y RECAUDACIÓN EJECUTIVA DEL AYUNTAMIENTO.
SEGUROS Y RESP PATRIMONIAL
DATOS DE LAS PERSONAS INVOLUCRADAS EN EXPEDIENTES DE RESPONSABILIDAD PATRIMONIAL
GESTIÓN DE LOS EXPEDIENTES DE RESPONSABILIDAD PATRIMONIAL DEL AYUNTAMIENTO.
CENSO CANINO Y ANIMALES PELIGROSOS
DATOS DE LAS PERSONAS TITULARES DE ANIMALES DOMESTICOS Y PELIGROSOS
GESTION DEL REGISTRO DE ANIMALES DOMESTICOS Y PELIGROSOS DEL MUNICIPIO, CONTROL SANITARIO Y RESPONSABILIDAD CIVIL
DEPORTISTAS
DATOS DE LOS PRACTICANTES DE ACTIVIDADES DEPORTIVAS EN
GESTIÓN DE LA PRESTACIÓN DE SERVICIOS MUNICIPALES RELACIONADOS CON EL DEPORTE Y DE INSTALACIONES
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
7
INSTALACIONES DEL MUNICIPIO, O SOLICITANTES DE SERVICIOS RELACIONADOS CON EL DEPORTE
DEPORTIVAS MUNICIPALES.
SUBVENCIONES
DATOS DE LOS SOLICITANTES DE AYUDAS Y SUBVENCIONES
GESTION DE SUBVENCIONES
LICENCIAS DE AUTOTAXIS
DATOS DE LOS TITULARES DE LICENCIAS DE AUTOTAXI Y SUS VEHÍCULOS
GESTIÓN DE LAS LICENCIAS DE AUTOTAXIS DEL MUNICIPIO
DECLARACIÓN DE INTERESES CONCEJALES
DATOS ECONÓMICOS DE LOS CONCEJALES DEL AYUNTAMIENTO Y ACTIVIDADES Y OCUPACIONES DE LOS MISMOS.
CONTROL DE LOS BIENES DE LOS CONCEJALES DEL MUNICIPIO
CONTRATACIONES, COMPRAS Y SUMINISTR
DATOS IDENTIFICATIVOS DE LAS PERSONAS FÍSICAS O JURÍDICAS LICITADORAS QUE PRESENTEN OFERTAS, SUMINISTREN O CELEBREN CONTRATOS CON EL AYTO
GESTIÓN DE LOS EXPEDIENTES DE CONTRATACIÓN QUE CELEBRA EL AYUNTAMIENTO, Y EN LAS LICITACIONES VALORAR LAS PROPUESTAS Y ADJUDICAR EL CONTRATO.
ACREEDORES Y DEUDORES
DATOS PERSONALES NECESARIOS DE QUIENES RESULTEN ACREEDORES O DEUDORES DEL AYUNTAMIENTO
CONTENER DATOS PERSONALES NECESARIOS DE QUIENES POR DIVERSAS TRANSACCIONES ECONOMICAS EFECTUADAS POR EL AYUNTAMIENTO RESULTASEN ACREEDORES O DEUDORES DEL MISMO Y SERVIR DE CONTROL SOBRE LAS OPERACIONES ECONOMICAS QUE SE REALIZAN EN EL AYUNTAMIENTO
REGISTRO DE ASOCIACIONES VECINALES
FICHERO EN EL QUE SE RECOGEN LOS DATOS DE LAS ASOCIACIONES Y ENTIDADES DEL MUNICIPIO, DE SUS REPRESENTANTES Y ORGANOS DE ADMINISTRACION
REGISTRO DE LAS ASOCIACIONES Y ENTIDADES DEL MUNICIPIO PARA LA OBTENCION DE SUBVENCIONES Y UTILIZACION DE LOCALES MUNICIPALES
ACTIVIDADES CULTURALES
FICHERO EN EL QUE SE RECOGEN LOS DATOS DE LAS PERSONAS QUE PARTICIPAN EN LOS DISTINTOS ACTOS CULTURALES ORGANIZADOS POR EL AYUNTAMIENTO
REGISTRO DE LAS PERSONAS QUE PARTICIPAN EN LOS DISTINTOS ACTOS CULTURALES QUE ORGANIZA EL AYUNTAMIENTO
UNIONES CIVILES
FICHERO EN EL QUE SE RECOGEN LOS DATOS DE LAS UNIONES CIVILES HASTA QUE DICHA ATRIBUCION FUE ASUMIDA POR EL GOBIERNO VASCO
REGISTRO DE LAS UNIONES CIVILES PRODUCIDAS EN EL MUNICIPIO HASTA QUE LA ATRIBUCION FUE ASUMIDA POR EL GOBIERNO VASCO
CONTRIBUYENTE
GESTION DE LOS TRIBUTOS MUNICIPALES Y CONFECCION DE LOS RESPECTIVOS PADRONES FISCALES
CONTENER LOS DATOS NECESARIOS DE LOS CONTRIBUYENTES PARA LA GESTION DE LOS TRIBUTOS MUNICIPALES Y LA CONFECCION DE LOS RESPECTIVOS
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
8
PADRONES FISCALES
GESTIÓN DE CULTURA Y DEPORTES
GESTIÓN DE AYUDAS, BECAS, SUBVENCIONES, PREMIOS, CESIONES DE ESPACIOS CULTURALES, ALTAS EN SERVICIOS CULTURALES Y DEPORTIVOS Y CONSULTAS DEL
GESTIÓN DE AYUDAS, BECAS, SUBVENCIONES, PREMIOS, CESIONES DE ESPACIOS CULTURALES, ALTAS EN SERVICIOS CULTURALES Y DEPORTIVOS Y CONSULTAS DEL ARCHIVO MUNICIPAL
BOLSA DE EMPLEO - BISCAYTIK
GESTIÓN DE BOLSA DE EMPLEO
GESTIÓN DE BOLSA DE EMPLEO
GESTIÓN DE CERTIFICADOS - BISCAYTIK
GESTIÓN DE CERTIFICADOS DE BIENES
GESTIÓN DE CERTIFICADOS DE BIENES
SEGURIDAD CIUDADANA - BISCAYTIK
GESTIÓN DE DENUNCIAS, RECLAMACIONES, PERMISOS Y SOLICITUDES DE INFORMES Y ATESTADOS RELACIONADOS CON SEGURIDAD CIUDADANA
GESTION DE DENUNCIAS, RECLAMACIONES, PERMISOS Y SOLICITUDES DE INFORMES Y ATESTADOS RELACIONADOS CON SEGURIDAD CIUDADANA
GESTIÓN DE TASAS Y TRIBUTOS - BISCA
GESTIÓN DE EXACCIONES MUNICIPALES
GESTIÓN DE EXACCIONES MUNICIPALES
RELACIONES CIUDADANAS BISCAYTIK
GESTIÓN DE EXPEDIENTES RELATIVOS A ATENCIÓN DE SOLICITUDES DE CIUDADANOS
GESTIÓN DE EXPEDIENTES RELATIVOS A ATENCIÓN DE SOLICITUDES DE CIUDADANOS
PADRÓN MUNICIPAL DE HABITANTES BISC
GESTIÓN DE PADRÓN GESTIÓN DEL PADRÓN
ADMINISTRACIÓN DE USUARIOS BISCAYTI
GESTIÓN DE USUARIOS DEL SISTEMA
GESTIÓN DE USUARIOS DEL SISTEMA
REGISTRO DE ENTRADA Y SALIDA BISCAY
GESTIÓN DEL REGISTRO DE ENTRADA Y SALIDA DE DOCUMENTOS
GESTIÓN DEL REGISTRO DE ENTRADA Y SALIDA DE DOCUMENTOS
VIDEOVIGILANCIA
GRABACIONES DE IMÁGENES DE LAS PERSONAS QUE TRANSITEN POR LOS LUGARES DONDE ESTA INSTALADA UNA VIDEOCÁMARA DE RESPONSABILIDAD MUNICIPAL.
FUNCIONES DE VIGILANCIA Y SEGURIDAD EN LUGARES PÚBLICOS Y CONTROL DE ACCESOS A EDIFICIOS MUNICIPALES
PADRON MUNICIPAL DE HABITANTES
REALIZAR LA GESTION ADMINISTRATIVA ACTUALIZADA DEL REGISTRO DE LOS RESIDENTES EN EL MUNICIPIO
REALIZAR LA GESTION ADMINISTRATIVA ACTUALIZADA DEL REGISTRO DE LOS RESIDENTES DEL MUNICIPIO Y TRANSEUNTES CONSTANDO LOS DATOS PERSONALES PRECISOS PARA LAS RELACIONES JURIDICAS PUBLICAS
REGISTRO GRAL. ENTRADAS Y SALIDAS
REALIZAR LA GESTION ADMINISTRATIVA PROPIA DEL MUNICIPIO FACILITANDO LA LOCALIZACION DE LAS SOLICITUDES Y RESPUESTAS
FINALIDAD: REALIZAR LA GESTION ADMINISTRATIVA PROPIA DEL MUNICIPIO. USOS: FACILITAR LA LOCALIZACION DE LAS SOLICITUDES, RECURSOS Y ACCIONES DE LAS PERSONAS FISICAS O JURIDICAS QUE SE DIRIGEN AL AYUNTAMIENTO O A ALGUNO DE SUS
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
9
ORGANOS O SERVICIOS, O BIEN LA RESPUESTA O ACTUACION DADA POR LA ADMINISTRACION A AQUELLOS
DATOS DE PERSONAL AL SERVICIO AYTO.
REALIZAR LA GESTION CENTRALIZADA DE NOMINAS DEL PERSONAL ADSCRITO AL AYUNTAMIENTO
GESTION CENTRALIZADA DE NOMINAS DEL PERSONAL ADSCRITO AL AYUNTAMIENTO PARA LA CONSECUCION DE LA NOMINA Y OTROS PROCESOS DE CARACTER ESTADISTICO
GESTIÓN DE URBANISMO BISCAYTIK
REGISTRO, GESTIÓN Y SEGUIMIENTO DE LOS EXPEDIENTES DE URBANISMO
REGISTRO, GESTIÓN Y SEGUIMIENTO DE LOS EXPEDIENTES DE URBANISMO
REGISTRO DE TERCEROS - BISCAYTIK
SOLICITUD DE APORTACIÓN DE DOCUMENTACIÓN Y/O DATOS DE TERCEROS
SOLICITUD DE APORTACIÓN DE DOCUMENTACIÓN Y/O DATOS DE TERCEROS
CEMENTERIO MUNICIPAL
TITULARES DE DERECHOS SOBRE ESPACIOS EN EL CEMENTERIO MUNICIPAL
GESTIÓN DE LOS SERVICIOS DEL CEMENTERIO MUNICIPAL
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
10
1. Recomendaciones
En cuanto a la Ley 2/2004, de 25 de Febrero, de Ficheros de Datos de Carácter
Personal de Titularidad Pública:
Artículo Ámbito de aplicación. (Artículo 2.)
Referencia legal.
1.– La presente ley será aplicable a los ficheros de datos de carácter
personal creados o gestionados, para el ejercicio de potestades de derecho
público, por:
a) La Administración General de la Comunidad Autónoma, los órganos
forales de los territorios históricos y las administraciones locales del ámbito
territorial de la Comunidad Autónoma del País Vasco, así como los entes
públicos de cualquier tipo, dependientes o vinculados a las respectivas
administraciones públicas, en tanto que los mismos hayan sido creados para el
ejercicio de potestades de derecho público.
Evidencias del
auditor.
La LEY 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal
de Titularidad Pública es de aplicación en el Ayuntamiento de Sondika
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
11
Artículo Artículo 4.– Creación, modificación y supresión de ficheros
Referencia legal.
En el caso de ficheros de datos de carácter personal de otras administraciones,
instituciones o corporaciones, el acuerdo o disposición por la que se cree,
modifique o suprima deberá contener todas las menciones exigidas y será
publicada en el Boletín Oficial del País Vasco o del territorio histórico, según
sea el ámbito territorial al que se extienden sus funciones o competencias.
Evidencias del
auditor.
Existen ficheros declarados ante la Agencia de Protección de Datos
Las competencias del Ayuntamiento de Sondika se extienden al ámbito
territorial de Bizkaia.
Propuesta de
medidas
correctoras o
complementarias
- Se realiza correctamente.
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
12
Artículo Artículo 6.– Información a los interesados
Referencia legal.
Los interesados a los que se soliciten datos de carácter personal serán
previamente informados, de conformidad con la legislación sobre protección
de dichos datos. No obstante, cuando los datos no hayan sido recabados del
propio interesado y la información a éste resulte imposible o exija esfuerzos
desproporcionados, en consideración al número de interesados, a la antigüedad
de los datos y a las posibles medidas compensatorias, el director de la Agencia
Vasca de Protección de Datos, de acuerdo con la susodicha legislación, podrá
dispensar al responsable del fichero de la obligación de informar a los
interesados.
Estrategia de
verificación.
Entrevista con el Personal del Ayuntamiento de Sondika
Revisión página web
Visita a los locales e instalaciones del Ayuntamiento
Revisión de formularios de recogida de datos
Evidencias del
auditor.
En la totalidad de los formularios de recogida de datos tanto en papel como en
la página web corporativa se garantiza correctamente el derecho de
información:
- La cláusula incluida en la instancia general del Ayuntamiento es correcta.
- El cartel ubicado en el tablón de anuncios es correcto
- En los envíos por e-mail se garantiza el derecho de información
- Existe un cartel en servicios generales que trata sobre la confidencialidad
- Se han incluido cláusulas informativas en los modelos de instancias de
Padrón, Perros Peligrosos y Cultura
Propuesta de
medidas
correctoras o
complementarias.
- Se realiza correctamente
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
13
Artículo Artículo 7.– Aprobación del contenido mínimo del documento de
seguridad
Referencia legal.
En el ejercicio de sus potestades de autoorganización, los órganos de gobierno
de las administraciones públicas, instituciones y corporaciones a que se refiere
el artículo 2.1 de esta ley podrán aprobar, en aplicación de los preceptos
relativos a la seguridad de los datos y para aplicar a todos o parte de los
ficheros de los que son titulares sus respectivas administraciones, instituciones
o corporaciones, el contenido mínimo del documento de seguridad que, en
todo caso, deberán elaborar e implantar los responsables de fichero para
garantizar la seguridad de los datos de carácter personal contenidos en los
citados ficheros.
Evidencias del
auditor. En el Ayuntamiento de Sondika existe documento de Seguridad
Propuesta de
medidas
correctoras o
complementarias.
- Se realiza correctamente
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
14
Artículo Artículo 8.– Procedimiento para el ejercicio de los derechos de los
interesados
Referencia legal.
1.– Los interesados podrán ejercitar los derechos de oposición, acceso,
rectificación, cancelación y cualesquiera otros que les reconozca la ley. El
contenido material de los mismos será el determinado en la ley.
2.– Cada administración, institución o corporación regulará
reglamentariamente el procedimiento para el ejercicio de los derechos
señalados en el número anterior, en relación con los ficheros de su
titularidad a los que es de aplicación esta ley. No se exigirá contraprestación
alguna por ello.
Estrategia de
verificación.
Entrevista con el Personal del Ayuntamiento de Sondika
Visita a los locales e instalaciones del AYUNTAMIENTO
Revisión de formularios de recogida de datos y página web
www.Sondikakoudala.net
Evidencias del
auditor.
En los formularios de recogida de datos se garantiza correctamente el ejercicio
de los derechos
Existen procedimientos para el ejercicio de derechos en el Ayuntamiento de
Sondika
El personal conoce los principios básicos relativos a los derechos debido a que
se impartió en 2013 una charla informativa
Propuesta de
medidas
correctoras o
complementarias.
- Se realiza correctamente
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
15
Artículo
DISPOSICION ADICIONAL
Primera.– Comunicación de ficheros a la Agencia Vasca de Protección de
Datos
Referencia legal.
Las administraciones públicas, instituciones y corporaciones a que se refiere
el artículo 2.1) de esta ley comunicarán a la Agencia Vasca de Protección de
Datos, en el plazo de tres meses a partir de la entrada en vigor de esta ley,
los ficheros de datos de carácter personal señalados en aquel precepto que
sean de su titularidad. Previamente deberán tener aprobada y publicada la
disposición reguladora del correspondiente fichero.
Estrategia de
verificación.
Entrevista con el Personal del AYUNTAMIENTO
Evidencias del
auditor.
En el año 1995 se dieron de alta ciertos ficheros y en el año 2007 se
modificaron, otros ficheros se inscribieron en 2005 y en 2008, 2012, 2013….
Propuesta de
medidas
correctoras o
complementarias.
- Se realiza correctamente
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
16
En cuanto al Decreto 308/2005, de 18 de octubre, por el que se
desarrolla la Ley 2/2004, de 25 de febrero, de ficheros de datos de
carácter personal de titularidad pública:
En líneas generales el Decreto 308/2005 simplemente desarrolla la Ley 2/2004, por lo que las
recomendaciones expuestas anteriormente serán de aplicación en este Decreto. No obstante nos
encontramos con las siguientes novedades:
Artículo Artículo 4. Carácter personal de los derechos.
Referencia legal.
1. El derecho de oposición y el de acceso a los ficheros de datos de carácter personal creados o gestionados por la Administración de la CAV y por los Entes públicos, de cualquier tipo, dependientes o vinculados a la misma, así como los derechos de rectificación y cancelación de datos, son personalísimos y serán ejercidos por el afectado frente al responsable del fichero, sin más limitaciones que las expresamente previstas en la Ley Orgánica 15/1999 y demás disposiciones en vigor. No obstante, podrá actuar el representante legal del afectado, cuando éste se encuentre en situación de incapacidad o minoría de edad que le imposibilite el ejercicio personal de los derechos.
2. Para el ejercicio de los derechos a que se refiere este artículo, por medio de representante voluntario, deberá acreditarse la representación, para cada actuación concreta, por cualquier medio válido en derecho que deje constancia fidedigna o mediante declaración en comparecencia personal del interesado ante el responsable del fichero.
Estrategia de
verificación. Entrevista con el Personal del Ayuntamiento de Sondika
Evidencias del
auditor.
En los formularios de recogida de datos se garantiza correctamente el ejercicio de
los derechos
Existen procedimientos para el ejercicio de derechos en el Ayuntamiento de
Sondika
El personal conoce los principios básicos relativos a los derechos debido a que se
impartió en 2013 una charla informativa
Propuesta de
medidas
correctoras o
complementarias.
- Se realiza correctamente
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
17
Artículo Artículo 5. Derecho de oposición.
Referencia legal.
1. Cuando el tratamiento de datos de carácter personal requiere el
consentimiento inequívoco del afectado, el derecho de oposición se ejerce
tanto mediante la no manifestación de dicho consentimiento como mediante la
manifestación de la negativa a concederlo.
2. En los casos en los que no sea necesario el consentimiento del afectado para
el tratamiento de datos de carácter personal, y siempre que la Ley no disponga
lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos
fundados y legítimos relativos a una concreta situación personal, mediante
escrito dirigido al responsable del fichero. En tal supuesto, éste excluirá del
tratamiento o tratamientos a que se refiera la petición, los datos relativos al
afectado y le notificará a éste, en un plazo no superior a diez días, los términos
en los que se ha efectuado la exclusión.
Estrategia de
verificación. Entrevista con el Personal del Ayuntamiento de Sondika
Evidencias del
auditor.
En los formularios de recogida de datos se garantiza correctamente el ejercicio
de los derechos
Existen procedimientos para el ejercicio de derechos en el Ayuntamiento de
Sondika
El personal conoce los principios básicos relativos a los derechos debido a que
se impartió en 2013 una charla informativa
Propuesta de
medidas
correctoras o
complementarias.
- Se realiza correctamente
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
18
Artículo Artículo 6. Derecho de acceso.
Referencia legal.
1. El derecho de acceso, a los ficheros de la Administración de la Comunidad
Autónoma del País Vasco y Entes públicos dependientes o vinculados a la
misma, se ejercerá mediante solicitud dirigida al responsable del fichero. Podrá
formularse por cualquier medio que garantice la identificación del afectado y
la constancia del fichero o ficheros a consultar.
2. El afectado podrá optar por uno o varios de los siguientes sistemas de
consulta del fichero, siempre que la configuración e implantación material del
fichero lo permita:
a. Visualización en pantalla.
b. Escrito, copia o fotocopia remitida por correo.
c. Telecopia.
d. Cualquier otro procedimiento que sea adecuado a la configuración e
implantación material del fichero.
3. El responsable del fichero resolverá sobre la petición de acceso en el plazo
de un mes, a contar desde el día de la recepción de la solicitud. Transcurrido
dicho plazo sin resolución expresa, el interesado podrá interponer la
reclamación prevista en el artículo 9 de la Ley 2/2004.
4. Si la resolución fuera estimatoria, el acceso se hará efectivo en el plazo de
los diez días siguientes al de la notificación
Estrategia de verificación.
Entrevista con el Personal del Ayuntamiento de Sondika
Evidencias del
auditor.
En los formularios de recogida de datos se garantiza correctamente el ejercicio
de los derechos
Existen procedimientos para el ejercicio de derechos en el Ayuntamiento de
Sondika
El personal conoce los principios básicos relativos a los derechos debido a que
se impartió en 2013 una charla informativa
Propuesta de
medidas - Se realiza correctamente
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
19
Artículo Artículo 9. Derechos de rectificación y cancelación
Referencia legal.
1. Cuando el interesado considere que sus datos son inexactos o incompletos, inadecuados o excesivos podrá solicitar del responsable del fichero la rectificación o, en su caso, cancelación de los mismos. No obstante, cuando se trate de datos que reflejen hechos constatados en un procedimiento administrativo, aquéllos se considerarán exactos siempre que coincidan con éste.
2. La rectificación o cancelación se hará efectiva, por el responsable del fichero, dentro de los diez días siguientes al de la recepción de la solicitud. Si los datos hubieran sido comunicados a un tercero, el responsable del fichero le notificará, en el mismo plazo, la rectificación o cancelación efectuada, para que, en el caso de que aquél mantenga el tratamiento por cuenta de éste, proceda también a la misma rectificación o cancelación.
3. En el supuesto de que el responsable del fichero considere que no procede acceder a lo solicitado por el afectado, se lo comunicará motivadamente, dentro del plazo señalado en el número anterior, a fin de que éste pueda hacer uso de la reclamación prevista en el artículo 9 de la Ley 2/2004 ante la Agencia Vasca de Protección de Datos.
4. Transcurrido el plazo de diez días sin que se haya notificado expresamente la resolución, el interesado podrá formular la reclamación que corresponda ante la Agencia Vasca de Protección de Datos.
Estrategia de
verificación. Entrevista con el Personal del Ayuntamiento de Sondika
Evidencias del
auditor.
En los formularios de recogida de datos se garantiza correctamente el ejercicio
de los derechos
Existen procedimientos para el ejercicio de derechos en el Ayuntamiento de
Sondika
El personal conoce los principios básicos relativos a los derechos debido a que
se impartió en 2013 una charla informativa
Propuesta de
medidas
correctoras o
complementarias.
- Se realiza correctamente
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
20
En cuanto a la Ley Orgánica 15/1999, de Protección de Datos de Carácter
Personal:
Artículo Calidad de los Datos (Artículo 4)
Referencia legal.
1. Los datos de carácter personal sólo se podrán recoger para su
tratamiento, así como someterlos a dicho tratamiento, cuando sean
adecuados, pertinentes y no excesivos en relación con el ámbito y las
finalidades determinadas, explícitas y legítimas para las que se hayan
obtenido.
2. Los datos de carácter personal objeto de tratamiento no podrán usarse
para finalidades incompatibles con aquellas para las que los datos hubieran
sido recogidos.
Estrategia de
verificación. Formularios de recogida de datos
Evidencias del
auditor.
Los formularios examinados recogen datos adecuados, pertinentes y no
excesivos y cumplen con las finalidades para las que se recogieron
Deficiencias. Se realiza correctamente
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
21
Artículo Calidad de los Datos (Artículo 4)
Referencia legal.
3. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.
4. Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16.
5. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.
No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.
Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento integro de determinados datos.
6. Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.
7. Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.
Estrategia de
verificación.
Entrevista con el personal del Ayuntamiento de Sondika
Revisión de formularios de recogida de datos
Evidencias del
auditor.
- En general los datos no se destruyen, y una vez que no son necesarios se
envían al Archivo General del AYUNTAMIENTO
- Los usuarios sólo disponen de destructoras para los ficheros en papel en la
sala de fotocopiadora
- El resto de áreas carecen de destructoras para ficheros en papel.
- Veracruz Bidarte procede periódicamente a realizar limpieza de
documentación innecesaria del Archivo General y pese a que el último
expurgo del Archivo se realizó en los años 80, se prevé la realización de un
nuevo expediente de Expurgo de documentación del Archivo
Recomendaciones
del Auditor
- Se recomienda el empleo de sistemas que garanticen la eliminación de los
datos y su imposibilidad de recuperación, por ello, para la eliminación de
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
22
datos en ficheros automatizados o informáticos se utilizarán borrados físicos
y no lógicos.
- Para eliminación de datos en soporte físico se recomienda que se utilicen
las destructoras existentes en la organización.
- Se recomienda la adquisición de nuevas destructoras (estas serán al menos
de grado de seguridad 2 (lo recomendable es de grado 3) según la normativa
europea DIN 32757-1) de forma que los usuarios las tengan más a mano y se
pueda fomentar su uso
- Se recomienda la realización del expurgo del Archivo prevista.
Artículo Derecho de información en la recogida de datos (Art. 5)
Referencia legal.
1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco: a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.
4. Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a), d) y e) del apartado 1 del presente artículo.
Estrategia de verificación.
Entrevista con el Personal del Ayuntamiento de Sondika
Revisión página web
Visita a los locales e instalaciones del Ayuntamiento
Revisión de formularios de recogida de datos
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
23
Evidencias del auditor.
En la totalidad de los formularios de recogida de datos tanto en papel como en la
página web corporativa se garantiza correctamente el derecho de información:
- La cláusula incluida en la instancia general del Ayuntamiento es correcta.
- El cartel ubicado en el tablón de anuncios es correcto
- En los envíos por e-mail se garantiza el derecho de información
- Existe un cartel en servicios generales que trata sobre la confidencialidad
- Se han incluido cláusulas informativas en los modelos de instancias de Padrón,
Perros Peligrosos y Cultura
Propuesta de
medidas
correctoras o
complementarias
- Se realiza correctamente
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
24
Artículo Consentimiento del afectado (Artículo 6)
Referencia legal.
1. El tratamiento de los datos de carácter personal requerirá el consentimiento
inequívoco del afectado, salvo que la ley disponga otra cosa.
2. No será preciso el consentimiento cuando los datos de carácter personal se
recojan para el ejercicio de las funciones propias de las Administraciones
públicas en el ámbito de sus competencias; cuando se refieran a las partes de
un contrato o precontrato de una relación negocial, laboral o administrativa y
sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento
de los datos tenga por finalidad proteger un interés vital del interesado, o
cuando los datos figuren en fuentes accesibles al público y su tratamiento sea
necesario para la satisfacción del interés legítimo perseguido por el
responsable del fichero o por el del tercero a quien se comuniquen los datos,
siempre que no se vulneren los derechos y libertades fundamentales del
interesado.
3. El consentimiento a que se refiere el artículo podrá ser revocado cuando
exista causa justificada para ello y no se le atribuyan efectos retroactivos.
4. En los casos en los que no sea necesario el consentimiento del afectado para
el tratamiento de los datos de carácter personal, y siempre que una ley no
disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan
motivos fundados y legítimos relativos a una concreta situación personal. En
tal supuesto, el responsable del fichero excluirá del tratamiento los datos
relativos al afectado.
Estrategia de
verificación. Entrevista con el personal del AYUNTAMIENTO
Evidencias del
auditor.
- En la mayoría de los casos nos encontramos ante una de las excepciones del
apartado 2 del presente artículo
- El personal del Ayuntamiento de Sondika ha firmado documento de
compromiso de confidencialidad
Propuesta de medidas correctoras o complementarias.
- Recabar el consentimiento de los afectados en los formularios de recogida de datos (es la misma cláusula que en el apartado anterior)
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
25
Artículo Datos especialmente protegidos (Art. 7)
Referencia legal.
2. Sólo con el consentimiento expreso y por escrito del afectado podrán ser
objeto de tratamiento los datos de carácter personal que revelen la
ideología, afiliación sindical, religión y creencias.
3. Los datos de carácter personal que hagan referencia al origen racial, a la
salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos
cuando, por razones de interés general, así lo disponga una ley o el
afectado consienta expresamente.
6. No obstante lo dispuesto en los apartados anteriores, podrán ser objeto
de tratamiento los datos de carácter personal a que se refieren los apartados
2 y 3 de este artículo, cuando dicho tratamiento resulte necesario para la
prevención o para el diagnóstico médicos, la prestación de asistencia
sanitaria o tratamientos médicos o la gestión de servicios sanitarios,
siempre que dicho tratamiento de datos se realice por un profesional
sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a
una obligación equivalente de secreto.
Estrategia de
verificación. Entrevista con el personal del AYUNTAMIENTO
Evidencias del
auditor.
No tenemos conocimiento sobre la recogida del consentimiento por escrito
en los casos de los ficheros que contienen este tipo de datos
Propuesta de
medidas correctoras
o complementarias.
Recoger consentimiento en la totalidad de ficheros, especialmente en los de
nivel Alto
Recomendaciones
del Auditor
- Incluir cláusulas de recogida de datos en las que se recabe el
consentimiento expreso y por escrito del interesado en caso de que no se
haya realizado ya en la totalidad de instancias municipales
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
26
Artículo Seguridad de los Datos (Art 9)
Referencia legal.
1. El responsable del fichero, y, en su caso, el encargado del tratamiento
deberán adoptar las medidas de índole técnica y organizativas necesarias
que garanticen la seguridad de los datos de carácter personal y eviten su
alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del
estado de la tecnología, la naturaleza de los datos almacenados y los
riesgos a que están expuestos, ya provengan de la acción humana o del
medio físico o natural.
2. No se registrarán datos de carácter personal en ficheros que no reúnan
las condiciones que se determinen por vía reglamentaria con respecto a su
integridad y seguridad ya las de los centros de tratamiento, locales,
equipos, sistemas y programas.
Estrategia de
verificación.
Entrevista con personal del Ayuntamiento de Sondika
Visita a los locales e instalaciones del AYUNTAMIENTO
Evidencias del
auditor.
Existen incumplimientos de las medidas recogidas tanto en la LOPD como
en el Reglamento de Medidas de Seguridad
Propuesta de
medidas correctoras
o complementarias.
- Cumplir con lo expuesto en el Reglamento de Medidas de Seguridad ( Se
proponen medidas correctoras en el apartado específico)
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
27
Artículo Deber de Secreto (Art. 10)
Referencia legal.
El responsable del fichero y quienes intervengan en cualquier fase del
tratamiento de los datos de carácter personal están obligados al secreto
profesional respecto de los mismos y al deber de guardarlos, obligaciones
que subsistirán aun después de finalizar sus relaciones con el titular del
fichero o, en su caso, con el responsable del mismo.
Estrategia de
verificación. Entrevista con el personal del AYUNTAMIENTO
Evidencias del
auditor.
- Se encuentra firmado por parte de la totalidad del personal y de los cargos
políticos compromiso de confidencialidad
Propuesta de
medidas correctoras
o complementarias.
- Se realiza correctamente.
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
28
Artículo Comunicación de datos (Art 11)
Referencia legal.
1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.
2. El consentimiento exigido en el apartado anterior no será preciso:
a) Cuando la cesión está autorizada en una ley.
b) Cuando se trate de datos recogidos de fuentes accesibles al público.
c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros.
En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.
4. El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable.
5. Aquel a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley.
Estrategia de verificación.
Reunión con el personal del Ayuntamiento de Sondika
Evidencias del
auditor.
Las mayoría de las cesiones de las que ha tenido consentimiento el equipo
auditor están autorizadas por Ley.
Propuesta de
medidas correctoras
o complementarias.
- En caso de que existan cesiones no previstas en ninguna Ley recogida de
consentimiento de los afectados
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
29
Artículo Acceso a los datos por cuenta de terceros (Art. 12)
Referencia legal.
1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.
2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.
3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.
4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.
Estrategia de verificación.
Entrevista con el personal del Ayuntamiento de Sondika
Evidencias del
auditor.
- Existen acceso a datos por parte de terceras empresas, habiendo
nombrado encargados del tratamiento y con la mayoría se ha firmado
contrato específico de protección de datos, no obstante se encuentran sin
firmar los siguientes:
- Gesmunpal
- Ingesit
- Gestisport
- Javier Arieta Araunabeña
Propuesta de medidas correctoras o complementarias.
- Se recomienda firmar un contrato de encargado de tratamiento con la
totalidad de empresas existentes en el Ayuntamiento que pudieran tener
acceso a la información, así como con posibles nuevos encargados del
tratamiento que puedan surgir
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
30
- Se recomienda que en los pliegos de condiciones que se realicen en el
futuro se exija a las empresas licitadoras encontrarse adaptadas a la
Normativa de Protección de Datos mediante la presentación de algún
documento que lo certifique
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
31
Artículo Derecho de Acceso (Art. 15)
Referencia legal.
1. El interesado tendrá derecho a solicitar y obtener gratuitamente
información de sus datos de carácter personal sometidos a tratamiento, el
origen de dichos datos, así como las comunicaciones realizadas o que se
prevén hacer de los mismos.
2. La información podrá obtenerse mediante la mera consulta de los datos
por medio de su visualización, o la indicación de los datos que son objeto
de tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o
no, en forma legible e inteligible, sin utilizar claves o códigos que
requieran el uso de dispositivos mecánicos específicos.
3. El derecho de acceso a que se refiere este artículo sólo podrá ser
ejercitado a intervalos no inferiores a doce meses, salvo que el interesado
acredite un interés legítimo al efecto, en cuyo caso podrán ejercitarlo antes.
Estrategia de
verificación. Entrevista con el Personal del Ayuntamiento de Sondika
Evidencias del
auditor.
En los formularios de recogida de datos se garantiza correctamente el
ejercicio de los derechos
Existen procedimientos para el ejercicio de derechos en el Ayuntamiento
de Sondika
El personal conoce los principios básicos relativos a los derechos debido a
que se impartió en 2013 una charla informativa
Propuesta de
medidas correctoras
o complementarias.
- Se realiza correctamente
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
32
Artículo Derecho de rectificación y cancelación (Art. 16)
Referencia legal.
1. El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días. 2. Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos. 3. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión. 4. Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del tratamiento deberá notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a la cancelación. 5. Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado.
Estrategia de verificación.
Entrevista con el Personal del AYUNTAMIENTO
Evidencias del
auditor.
En los formularios de recogida de datos se garantiza correctamente el
ejercicio de los derechos
Existen procedimientos para el ejercicio de derechos en el Ayuntamiento
de Sondika
El personal conoce los principios básicos relativos a los derechos debido a
que se impartió en 2013 una charla informativa
En el periodo desde la anterior auditoría hasta la actualidad se ha producido
un derecho de cancelación que ha sido atendido correctamente
Propuesta de
medidas correctoras
o complementarias.
- Se realiza correctamente
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
33
Artículo Procedimiento de oposición, acceso, rectificación o cancelación
(Artículo 17)
Referencia legal.
1. Los procedimientos para ejercitar el derecho de oposición, acceso, así
como los de rectificación y cancelación serán establecidos
reglamentariamente.
2. No se exigirá contraprestación alguna por el ejercicio de los derechos de
oposición, acceso, rectificación o cancelación.
Estrategia de
verificación. Entrevista con el Personal del Ayuntamiento de Sondika
Evidencias del
auditor.
En los formularios de recogida de datos se garantiza correctamente el
ejercicio de los derechos
Existen procedimientos para el ejercicio de derechos en el Ayuntamiento
de Sondika
El personal conoce los principios básicos relativos a los derechos debido a
que se impartió en 2013 una charla informativa
Propuesta de
medidas correctoras
o complementarias.
- Se realiza correctamente
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
34
Artículo Artículo 21. Comunicación de datos entre Administraciones públicas.
Referencia legal.
1. Los datos de carácter personal recogidos o elaborados por las
Administraciones públicas para el desempeño de sus atribuciones no serán
comunicados a otras Administraciones públicas para el ejercicio de
competencias diferentes o de competencias que versen sobre materias
distintas, salvo cuando la comunicación hubiere sido prevista por las
disposiciones de creación del fichero o por disposición de superior rango
que regule su uso, o cuando la comunicación tenga por objeto el
tratamiento posterior de los datos con fines históricos, estadísticos o
científicos.
2. Podrán, en todo caso, ser objeto de comunicación los datos de carácter
personal que una Administración pública obtenga o elabore con destino a
otra.
3. No obstante lo establecido en el artículo 11.2.b). la comunicación de
datos recogidos de fuentes accesibles al público no podrá efectuarse a
ficheros de titularidad privada, sino con el consentimiento del interesado o
cuando una ley prevea otra cosa.
4. En los supuestos previstos en los apartados 1 y 2 del presente artículo no
será necesario el consentimiento del afectado a que se refiere el artículo 11
de la presente Ley.
Estrategia de verificación.
Entrevista con el Personal del Ayuntamiento de Sondika
Evidencias del
auditor. No existe recogida del consentimiento en la mayoría de los casos
Propuesta de
medidas correctoras
o complementarias.
- Obtener el consentimiento de los afectados para los casos de cesiones (se
logra incluyendo las cláusulas informativas).
- Informar y Formar al personal del Ayuntamiento de Sondika acerca de
dicho procedimiento
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
35
Artículo Artículo 23. Excepciones a los derechos de acceso, rectificación y
cancelación
Referencia legal.
2. Los responsables de los ficheros de la Hacienda Pública podrán,
igualmente, denegar el ejercicio de los derechos a que se refiere el apartado
anterior cuando el mismo obstaculice las actuaciones administrativas
tendentes a asegurar el cumplimiento de las obligaciones tributarias y, en
todo caso, cuando el afectado esté siendo objeto de actuaciones
inspectoras.
Estrategia de
verificación. Entrevista con el Personal del Ayuntamiento de Sondika
Evidencias del
auditor.
En los formularios de recogida de datos se garantiza correctamente el
ejercicio de los derechos
Existen procedimientos para el ejercicio de derechos en el Ayuntamiento
de Sondika
El personal conoce los principios básicos relativos a los derechos debido a
que se impartió en 2013 una charla informativa
Propuesta de
medidas correctoras
o complementarias.
- Se realiza correctamente
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
36
Artículo Artículo 24. Otras excepciones a los derechos de los afectados
Referencia legal.
1. Lo dispuesto en los apartados 1 y 2 del artículo 5 no será aplicable a la
recogida de datos cuando la información al afectado impida o dificulte
gravemente el cumplimiento de las funciones de control y verificación de
las Administraciones públicas o cuando afecte a la Defensa Nacional, a la
seguridad pública o a la persecución de infracciones penales o
administrativas.
2. Lo dispuesto en el artículo 15 y en el apartado 1 del artículo 16 no será
de aplicación si, ponderados los intereses en presencia, resultase que los
derechos que dichos preceptos conceden al afectado hubieran de ceder ante
razones de interés público o ante intereses de terceros más dignos de
protección. Si el órgano administrativo responsable del fichero invocase lo
dispuesto en este apartado, dictará resolución motivada e instruirá al
afectado del derecho que le asiste a poner la negativa en conocimiento del
Director de la Agencia de Protección de Datos o, en su caso, del órgano
equivalente de las Comunidades Autónomas.
Estrategia de
verificación. Entrevista con el Personal del Ayuntamiento de Sondika
Evidencias del
auditor.
En los formularios de recogida de datos se garantiza correctamente el
ejercicio de los derechos
Existen procedimientos para el ejercicio de derechos en el Ayuntamiento
de Sondika
El personal conoce los principios básicos relativos a los derechos debido a
que se impartió en 2013 una charla informativa
Propuesta de
medidas correctoras
o complementarias.
- Se realiza correctamente
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
37
Artículo Movimiento internacional de datos (Art. 33 y ss.)
Referencia legal.
1. No podrán realizarse transferencias temporales ni definitivas de datos de
carácter personal que hayan sido objeto de tratamiento o hayan sido
recogidos para someterlos a dicho tratamiento con destino a países que no
proporcionen un nivel de protección equiparable al que presta la presente
Ley, salvo que, además de haberse observado lo dispuesto en ésta, se
obtenga autorización previa del Director de la Agencia de Protección de
Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas.
Estrategia de
verificación. Entrevista con el personal del AYUNTAMIENTO
Evidencias del
auditor.
No existe constancia de realización de transferencias internacionales de
datos
Se cumple correctamente con el presente artículo de la Ley
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
38
En cuanto al Real Decreto 1720/2007, Reglamento de Desarrollo de la LOPD:
A continuación, analizamos el debido cumplimiento de cada una de las medidas de seguridad
aplicables a los ficheros y tratamientos del Ayuntamiento de Sondika, según el Real Decreto
1720/2007.
Hemos englobado dichas medidas a analizar en las siguientes áreas temáticas:
1. Documento de Seguridad (Art. 88).
2. Funciones y obligaciones del personal (Art. 82, Art. 83, Art. 89 y Art. 95).
3. Registro de incidencias (Art. 90 y Art. 100).
4. Identificación y autenticación (Art. 93 y Art.98).
5. Control de acceso (Art. 91, Art. 99 y Art. 103).
6. Gestión de soportes (Art. 86, Art. 92, Art. 97 y Art. 101).
7. Copias de respaldo y recuperación (Art. 94 y Art. 102).
8. Telecomunicaciones (Art. 85 y Art. 104).
9. Auditoría (Art. 96)
10. Tratamientos especiales (Art. 87)
11. Ficheros y Tratamientos no automatizados (Art. 105 a 114)
Para cada fichero o tratamiento, se analizarán las áreas aplicables, para identificación de todas las
deficiencias encontradas y propuesta de las medidas correctoras o complementarias
correspondientes, así como de las recomendaciones del auditor.
Posteriormente se acompañan cuadros resúmenes de la totalidad de estas medidas y
recomendaciones.
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
39
1. Documento de Seguridad (Art. 88).
Artículo Artículo 88 (Todos los ficheros)
Referencia legal.
1. El responsable del fichero o tratamiento elaborará un documento de seguridad que recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información.
2. El documento de seguridad podrá ser único y comprensivo de todos los ficheros o tratamientos, o bien individualizado para cada fichero o tratamiento. También podrán elaborarse distintos documentos de seguridad agrupando ficheros o tratamientos según el sistema de tratamiento utilizado para su organización, o bien atendiendo a criterios organizativos del responsable. En todo caso, tendrá el carácter de documento interno de la organización.
3. El documento deberá contener, como mínimo, los siguientes aspectos:
a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos. b) Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento. c) Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros. d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. e) Procedimiento de notificación, gestión y respuesta ante las incidencias. f) Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados. g) Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.
Estrategia de
verificación.
Entrevista con el personal del Ayuntamiento de Sondika
Evidencias del
auditor.
El Ayuntamiento de Sondika dispone de un documento de seguridad y
dicho documento se encuentra actualizado
Propuesta de
medidas correctoras
o complementarias.
- Se realiza correctamente
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
40
Artículo Artículo 88 (Todos los ficheros)
Referencia legal.
4. En caso de que fueran de aplicación a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto, previstas en este título, el documento de seguridad deberá contener además: a) La identificación del responsable o responsables de seguridad. b) Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento. 5. Cuando exista un tratamiento de datos por cuenta de terceros, el documento de seguridad deberá contener la identificación de los ficheros o tratamientos que se traten en concepto de encargado con referencia expresa al contrato o documento que regule las condiciones del encargo, así como de la identificación del responsable y del período de vigencia del encargo. 6. En aquellos casos en los que datos personales de un fichero o tratamiento se incorporen y traten de modo exclusivo en los sistemas del encargado, el responsable deberá anotarlo en su documento de seguridad. Cuando tal circunstancia afectase a parte o a la totalidad de los ficheros o tratamientos del responsable, podrá delegarse en el encargado la llevanza del documento de seguridad, salvo en lo relativo a aquellos datos contenidos en recursos propios. Este hecho se indicará de modo expreso en el contrato celebrado al amparo del artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, con especificación de los ficheros o tratamientos afectados. En tal caso, se atenderá al documento de seguridad del encargado al efecto del cumplimiento de lo dispuesto por este reglamento.
Estrategia de verificación.
Entrevista con el personal del Ayuntamiento de Sondika
Evidencias del
auditor. Existe documento de seguridad y se encuentra actualizado
Propuesta de
medidas correctoras
o complementarias.
- Se realiza correctamente.
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
41
Artículo Artículo 88 (Todos los ficheros)
Referencia legal.
7. El documento de seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados. En todo caso, se entenderá que un cambio es relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas. 8. El contenido del documento de seguridad deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.
Estrategia de verificación.
Entrevista con el personal del Ayuntamiento de Sondika
Evidencias del
auditor.
Existe Documento de Seguridad que se encuentra acutalizado
correctamente
Propuesta de
medidas correctoras
o complementarias.
- Se realiza correctamente
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
42
1. Funciones y obligaciones del personal (Art. 82, 83, 89 y Art. 95).
Artículo Artículo 82 (Todos los ficheros)
Referencia legal.
1. Cuando el responsable del fichero o tratamiento facilite el acceso a los datos, a los soportes que los contengan o a los recursos del sistema de información que los trate, a un encargado de tratamiento que preste sus servicios en los locales del primero deberá hacerse constar esta circunstancia en el documento de seguridad de dicho responsable, comprometiéndose el personal del encargado al cumplimiento de las medidas de seguridad previstas en el citado documento. Cuando dicho acceso sea remoto habiéndose prohibido al encargado incorporar tales datos a sistemas o soportes distintos de los del responsable, este último deberá hacer constar esta circunstancia en el documento de seguridad del responsable, comprometiéndose el personal del encargado al cumplimiento de las medidas de seguridad previstas en el citado documento. 2. Si el servicio fuera prestado por el encargado del tratamiento en sus propios locales, ajenos a los del responsable del fichero, deberá elaborar un documento de seguridad en los términos exigidos por el artículo 88 de este reglamento o completar el que ya hubiera elaborado, en su caso, identificando el fichero o tratamiento y el responsable del mismo e incorporando las medidas de seguridad a implantar en relación con dicho tratamiento. 3. En todo caso, el acceso a los datos por el encargado del tratamiento estará sometido a las medidas de seguridad contempladas en este reglamento.
Estrategia de
verificación.
Entrevista con el personal del Ayuntamiento de Sondika
Evidencias del
auditor.
- Existen contratos de encargado del tratamiento con la mayoría de las empresas que prestan servicios al Ayuntamiento de Sondika
Propuesta de
medidas correctoras
o complementarias.
- El AYUNTAMIENTO debería firmar con los encargados del tratamiento
que aún no se haya realizado (Ver recomendaciones Art.12 LOPD) un
contrato específico incluyendo los términos del presente artículo
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
43
Artículo Artículo 83 (Todos los ficheros)
Referencia legal.
El responsable del fichero o tratamiento adoptará las medidas adecuadas
para limitar el acceso del personal a datos personales, a los soportes que los
contengan o a los recursos del sistema de información, para la realización
de trabajos que no impliquen el tratamiento de datos personales.
Cuando se trate de personal ajeno, el contrato de prestación de servicios
recogerá expresamente la prohibición de acceder a los datos personales y la
obligación de secreto respecto a los datos que el personal hubiera podido
conocer con motivo de la prestación del servicio.
Estrategia de
verificación.
Entrevista con el personal del Ayuntamiento de Sondika
Evidencias del
auditor.
- Existen contratos de confidencialidad con la totalidad de las empresas que
prestan este tipo de servicios al Ayuntamiento de Sondika
Propuesta de
medidas correctoras
o complementarias.
- Se realiza correctamente
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
44
Artículo Artículo 89 (Todos los ficheros)
Referencia legal.
1. Las funciones y obligaciones de cada uno de los usuarios o perfiles de
usuarios con acceso a los datos de carácter personal y a los sistemas de
información estarán claramente definidas y documentadas en el documento
de seguridad.
También se definirán las funciones de control o autorizaciones delegadas
por el responsable del fichero o tratamiento.
2. El responsable del fichero o tratamiento adoptará las medidas necesarias
para que el personal conozca de una forma comprensible las normas de
seguridad que afecten al desarrollo de sus funciones así como las
consecuencias en que pudiera incurrir en caso de incumplimiento.
Estrategia de
verificación.
Entrevista con el personal del Ayuntamiento de Sondika
Evidencias del
auditor.
- Existe documento de seguridad que recoja estas funciones y obligaciones
del personal
- El personal conoce las normas de seguridad y los puntos básicos de la
normativa de protección de datos, debido a que recibió un curso formativo
en el año 2005 y otro en 2013
Propuesta de
medidas correctoras
o complementarias.
- Se realiza correctamente
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
45
Artículo Artículo 95 (Ficheros de nivel medio y alto)
Referencia legal.
En el documento de seguridad deberán designarse uno o varios
responsables de seguridad encargados de coordinar y controlar las medidas
definidas en el mismo. Esta designación puede ser única para todos los
ficheros o tratamientos de datos de carácter personal o diferenciada según
los sistemas de tratamiento utilizados, circunstancia que deberá hacerse
constar claramente en el documento de seguridad.
En ningún caso esta designación supone una exoneración de la
responsabilidad que corresponde al responsable del fichero o al encargado
del tratamiento de acuerdo con este reglamento.
Estrategia de
verificación.
Entrevista con el personal del AYUNTAMIENTO
Evidencias del
auditor.
- Existe documento de seguridad y responsable de seguridad
- Existe firmado documento de aceptación del cargo de responsable de
seguridad
Propuesta de
medidas correctoras
o complementarias.
- Se realiza correctamente
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
46
3. Registro de incidencias (Art. 90 y Art. 100).
Artículo Artículo 10 (Todos los ficheros)
Referencia legal.
Deberá existir un procedimiento de notificación y gestión de las
incidencias que afecten a los datos de carácter personal y establecer un
registro en el que se haga constar el tipo de incidencia, el momento en que
se ha producido, o en su caso, detectado, la persona que realiza la
notificación, a quién se le comunica, los efectos que se hubieran derivado
de la misma y las medidas correctoras aplicadas.
Estrategia de
verificación.
Entrevista con el personal del AYUNTAMIENTO
Evidencias del
auditor.
- Existe un modelo de registro de incidencias sin embargo no se emplea
- La empresa de mantenimiento informático junto con las facturas envía un
registro de las incidencias habidas qu incluye el problema ocurrido y las
gestiones llevadas a cabo para solucionarlo
Propuesta de
medidas correctoras
o complementarias.
- El Ayuntamiento de Sondika debería archivar todo este registro de
incidencias junto con el documento de seguridad para su control por el
responsable de seguridad
- Debería informarse a los usuarios sobre la obligatoriedad de comunicar
las incidencias mediante el mecanismo que se articule a la empresa de
mantenimiento informático.
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
47
Artículo Artículo 100 (Ficheros de Nivel Medio o Alto)
Referencia legal.
1. En el registro regulado en el artículo 90 deberán consignarse, además,
los procedimientos realizados de recuperación de los datos, indicando la
persona que ejecutó el proceso, los datos restaurados y, en su caso, qué
datos ha sido necesario grabar manualmente en el proceso de recuperación.
2. Será necesaria la autorización del responsable del fichero para la
ejecución de los procedimientos de recuperación de los datos.
Estrategia de
verificación. Entrevista con el personal del Ayuntamiento de Sondika
Evidencias del
auditor.
- Existe un modelo de registro de incidencias sin embargo no se emplea
- La empresa de mantenimiento informático junto con las facturas envía un
registro de las incidencias habidas qu incluye el problema ocurrido y las
gestiones llevadas a cabo para solucionarlo
Propuesta de
medidas correctoras
o complementarias.
- El Ayuntamiento de Sondika debería archivar todo este registro de
incidencias junto con el documento de seguridad para su control por el
responsable de seguridad
- Debería informarse a los usuarios sobre la obligatoriedad de comunicar
las incidencias mediante el mecanismo que se articule a la empresa de
mantenimiento informático.
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
48
4. Identificación y autenticación (Art. 93 y Art.98).
Artículo Artículo 93.1 (Todos los ficheros)
Referencia legal.
1. El responsable del fichero o tratamiento deberá adoptar las medidas que
garanticen la correcta identificación y autenticación de los usuarios.
2. El responsable del fichero o tratamiento establecerá un mecanismo que
permita la identificación de forma inequívoca y personalizada de todo
aquel usuario que intente acceder al sistema de información y la
verificación de que está autorizado.
Estrategia de
verificación.
Entrevista con el personal del AYUNTAMIENTO
Visita a los locales del AYUNTAMIENTO
Evidencias del
auditor.
- Existe documento de seguridad
- Existen procedimientos de autenticación de usuarios mediante contraseña
en la totalidad del Ayuntamiento
- En los aspectos referentes a contraseñas y complejidad la totalidad de
usuarios cuentan con su propia clave de usuario a excepción de la policía
municipal que comparte usuario.
- Dichas contraseñas disponen de unos requisitos de complejidad y
longitud mínima de seis caracteres
Propuesta de
medidas correctoras
o complementarias.
- La totalidad de medidas son correctas a excepción del equipo empleado
por la policía, por todo ello se recomienda dotar a cada agente de un código
de usuario y una contraseña individuales.
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
49
Artículo Artículo 93.2 (Todos los ficheros)
Referencia legal.
2.- Cuando el mecanismo de autenticación se base en la existencia de
contraseñas existirá un procedimiento de asignación, distribución y
almacenamiento que garantice su confidencialidad e integridad.
Estrategia de
verificación.
Entrevista con el personal del AYUNTAMIENTO
Visita a los locales del AYUNTAMIENTO
Evidencias del
auditor.
- Existe documento de seguridad
- Existen procedimientos de autenticación de usuarios mediante contraseña
en la totalidad del Ayuntamiento
- En los aspectos referentes a contraseñas y complejidad la totalidad de
usuarios cuentan con su propia clave de usuario a excepción de la policía
municipal que comparte usuario.
- Dichas contraseñas disponen de unos requisitos de complejidad y
longitud mínima de seis caracteres
Propuesta de
medidas correctoras
o complementarias.
- La totalidad de medidas son correctas a excepción del equipo empleado
por la policía, por todo ello se recomienda dotar a cada agente de un código
de usuario y una contraseña individuales.
- Se recomienda proceder al bloqueo automático de la pantalla tras un
periodo de no uso del ordenador (se recomiendan 10 minutos), periodo tras
el cual será necesario de nuevo que el usuario se autentique para poder
acceder al sistema.
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
50
Artículo Artículo 93.3 (Todos los ficheros)
Referencia legal.
4. El documento de seguridad establecerá la periodicidad, que en ningún
caso será superior a un año, con la que tienen que ser cambiadas las
contraseñas que, mientras estén vigentes, se almacenarán de forma
ininteligible.
Estrategia de
verificación.
Entrevista con el personal del AYUNTAMIENTO
Visita a los locales del AYUNTAMIENTO
Evidencias del
auditor.
Se procede al cambio periódico de contraseñas cada tres meses, evitando la
repetición de las tres últimas contraseñas.
Propuesta de
medidas correctoras
o complementarias.
- Se realiza correctamente
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
51
Artículo Artículo 98 (Ficheros de nivel medio y alto)
Referencia legal.
El responsable del fichero o tratamiento establecerá un mecanismo que
limite la posibilidad de intentar reiteradamente el acceso no autorizado al
sistema de información.
Estrategia de
verificación.
Entrevista con el personal del AYUNTAMIENTO
Visita a los locales del AYUNTAMIENTO
Evidencias del
auditor.
- Se bloquean los equipos en caso de errar tres ocasiones al introducir la
contraseña.
Propuesta de
medidas correctoras
o complementarias.
Se realiza correctamente
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
52
5. Control de acceso (Art. 91, Art. 99 y Art. 103).
Artículo Artículo 91 (Todos los ficheros)
Referencia legal.
1. Los usuarios tendrán acceso únicamente a aquellos recursos que precisen
para el desarrollo de sus funciones.
2. El responsable del fichero se encargará de que exista una relación
actualizada de usuarios y perfiles de usuarios, y los accesos autorizados
para cada uno de ellos.
3. El responsable del fichero establecerá mecanismos para evitar que un
usuario pueda acceder a recursos con derechos distintos de los autorizados.
4. Exclusivamente el personal autorizado para ello en el documento de
seguridad podrá conceder, alterar o anular el acceso autorizado sobre los
recursos, conforme a los criterios establecidos por el responsable del
fichero.
5. En caso de que exista personal ajeno al responsable del fichero que tenga
acceso a los recursos deberá estar sometido a las mismas condiciones y
obligaciones de seguridad que el personal propio.
Estrategia de
verificación.
Entrevista con el personal del AYUNTAMIENTO
Visita a los locales del AYUNTAMIENTO
Evidencias del
auditor.
- En los aspectos referentes a control de accesos, la totalidad de usuarios
cuentan con privilegios de acceso a las aplicaciones o a determinados
módulos de las mismas según sus funciones o puesto de trabajo. Las
personas no autorizadas no disponen de acceso a las mismas ni posibilidad
de intentarlo, ya que las mencionadas aplicaciones no se encontrarán
instaladas en sus equipos.
- No obstante, en el apartado de carpetas compartidas existe una unidad de
red en el servidor en la ruta SVR-2008/Datos/Ofimatica/Documentos,
conocida por los usuarios como O:/ donde se conserva un gran número de
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
53
documentos de la totalidad de áreas municipales accesibles y manipulables
por la totalidad del personal independientemente de su cargo.
Propuesta de
medidas correctoras
o complementarias.
- Se recomienda evitar en la medida de lo posible el uso de carpetas
compartidas, y en el caso de que estas se empleen limitar los accesos a las
mismas según las funciones propias del puesto de trabajo evitando
especialmente accesos de empresas externas
- Para la mencionada unidad de red nuestra recomendación es revisar los
permisos de acceso que sea necesario otorgar a cada usuario, así como los
privilegios de lectura, escritura y modificación de los mencionados
documentos.
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
54
Artículo Artículo 99 (Ficheros de nivel medio y alto)
Referencia legal.
Exclusivamente el personal autorizado en el documento de seguridad podrá
tener acceso a los lugares donde se hallen instalados los equipos físicos que
den soporte a los sistemas de información.
Estrategia de verificación.
Entrevista con el personal del AYUNTAMIENTO Visita a los locales donde se almacena la información
Evidencias del auditor.
- Los servidores de la organización, donde se guardan la totalidad de datos
se encuentran en un cuarto destinado en exclusiva para ellos, aunque la
puerta de acceso al mismo suele estar abierta por motivos de refrigeración
de dichos servidores
- Existen usuarios que no guardan los datos en el servidor sino en los
discos duros de sus equipos, por lo que el acceso físico no está garantizado
en las mismas condiciones.
Propuesta de
medidas correctoras
o complementarias.
- Acostumbrarse a mantener bajo llave los despachos que no se estén
empleando en el momento concreto.
- El control de acceso físico se realiza correctamente
- Se recomienda obligar a los usuarios a guardar la totalidad de la
información en el servidor, evitando que exista información que contenga
datos de carácter personal en los equipos de usuarios
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
55
Artículo Artículo 103 (Ficheros de nivel alto)
Referencia legal.
1.- De cada acceso se guardarán, como mínimo, la identificación del
usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de
acceso y si ha sido autorizado o denegado.
2.- En el caso de que el acceso haya sido autorizado, será preciso guardar la
información que permita identificar el registro accedido.
3.- Los mecanismos que permiten el registro de los datos detallados en los
párrafos anteriores estarán bajo el control directo del responsable de
seguridad sin que se deba permitir, en ningún caso, la desactivación ni
manipulación de los mismos.
Estrategia de
verificación.
Entrevista con el personal del AYUNTAMIENTO
Visita a los locales del AYUNTAMIENTO
Evidencias del
auditor.
- No existe constancia de que se generen dichos registros
- El personal desconoce la existencia de los mismos
Propuesta de
medidas correctoras
o complementarias.
- Activación de un mecanismo que permita generar el registro de accesos
en el servidor (sólo para datos de nivel alto)
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
56
Artículo Artículo 103 (Ficheros de nivel alto)
Referencia legal.
4.- El período mínimo de conservación de los datos registrados será de dos
años.
5.- El responsable de seguridad competente se encargará de revisar
periódicamente la información de control registrada y elaborará un informe
de las revisiones realizadas y los problemas detectados al menos una vez al
mes.
6. No será necesario el registro de accesos definido en este artículo en caso
de que concurran las siguientes circunstancias:
a) Que el responsable del fichero o del tratamiento sea una persona física.
b) Que el responsable del fichero o del tratamiento garantice que
únicamente él tiene acceso y trata los datos personales.
La concurrencia de las dos circunstancias a las que se refiere el apartado
anterior deberá hacerse constar expresamente en el documento de
seguridad
Estrategia de
verificación.
Entrevista con el personal del AYUNTAMIENTO
Visita a los locales del AYUNTAMIENTO
Evidencias del
auditor.
- No existe constancia de que se generen registros de accesos
- No existe constancia de que se conserven los accesos a estos registros
durante dos años
- El responsable no redacta informe mensual sobre las revisiones realizadas
ni problemas detectados
Propuesta de
medidas correctoras
o complementarias.
- Guardado de los datos de acceso al sistema de información registrados
durante dos años
- Revisión y elaboración por parte del responsable de seguridad de un
informe mensual de los registros de accesos
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
57
6. Gestión de soportes (Art. 86, Art. 92, Art. 97 y Art. 101).
Artículo Artículo 86 (Todos los ficheros)
Referencia legal.
1. Cuando los datos personales se almacenen en dispositivos portátiles o se
traten fuera de los locales del responsable de fichero o tratamiento, o del
encargado del tratamiento será preciso que exista una autorización previa
del responsable del fichero o tratamiento, y en todo caso deberá
garantizarse el nivel de seguridad correspondiente al tipo de fichero
tratado.
2. La autorización a la que se refiere el párrafo anterior tendrá que constar
en el documento de seguridad y podrá establecerse para un usuario o para
un perfil de usuarios y determinando un periodo de validez para las
mismas.
Estrategia de
verificación.
Entrevista con el personal del AYUNTAMIENTO
Visita a los locales del AYUNTAMIENTO
Evidencias del
auditor.
- No existe constancia de realización de trabajos con datos de carácter
personal fuera de los locales donde se ubica el fichero a excepción del
portátil empleado por alcaldía.
Propuesta de
medidas correctoras
o complementarias.
- Debido a que no se puede garantizar al completo el cumplimiento del
presente artículo, lo conveniente para evitar que se incumpla es realizar una
eficaz gestión de soportes
- También es conveniente informar a los usuarios acerca del trabajo fuera
de los locales (ejemplo: cada uno en su casa)
- Se recomienda disponer de un formulario para solicitar la autorización
para el tratamiento fuera de los locales
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
58
Artículo Artículo 92 (Todos los ficheros)
Referencia legal.
1. Los soportes y documentos que contengan datos de carácter personal
deberán permitir identificar el tipo de información que contienen, ser
inventariados y solo deberán ser accesibles por el personal autorizado para
ello en el documento de seguridad.
Se exceptúan estas obligaciones cuando las características físicas del soporte
imposibiliten su cumplimiento, quedando constancia motivada de ello en el
documento de seguridad.
2. La salida de soportes y documentos que contengan datos de carácter
personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera
de los locales bajo el control del responsable del fichero o tratamiento deberá
ser autorizada por el responsable del fichero o encontrarse debidamente
autorizada en el documento de seguridad.
3. En el traslado de la documentación se adoptarán las medidas dirigidas a
evitar la sustracción, pérdida o acceso indebido a la información durante su
transporte.
4. Siempre que vaya a desecharse cualquier documento o soporte que
contenga datos de carácter personal deberá procederse a su destrucción o
borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la
información contenida en el mismo o su recuperación posterior.
5. La identificación de los soportes que contengan datos de carácter personal
que la organización considerase especialmente sensibles se podrá realizar
utilizando sistemas de etiquetado comprensibles y con significado que
permitan a los usuarios con acceso autorizado a los citados soportes y
documentos identificar su contenido, y que dificulten la identificación para el
resto de personas.
Estrategia de
verificación.
Entrevista con el personal del AYUNTAMIENTO
Visita a los locales del AYUNTAMIENTO
Evidencias del
auditor.
- Los equipos personales se encuentran inventariados por el responsable de
mantenimiento informático
- La mayoría de los usuarios disponen de grabadora de Cd y DVD
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
59
- Existen indicios de existencia de disquettes o Cd que contengan datos de
carácter personal que no se encuentran identificados
- En caso de avería y salida fuera de los locales de equipos informáticos no se
firma autorización de salida de los mismos
Propuesta de
medidas correctoras
o complementarias.
- Mantener el inventario de equipos permanentemente actualizado
- Control e inventariado de los DVD , Cds y Pendrives del
AYUNTAMIENTO
- Guardado de la totalidad de la información en el servidor, lo que permitirá
reducir o incluso acabar con las copias en CD o DVD de los usuarios, las
cuales son muy difíciles de controlar por el Ayuntamiento.
- Implantar procedimiento de autorizaciones para las salidas de soportes fuera
de los locales propiedad del AYUNTAMIENTO
- Se recomienda usar la destructora Cederika para aquellos soportes que ya no
vayan a usarse
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
60
Artículo Artículo 97 (Ficheros de nivel medio y alto)
Referencia legal.
1. Deberá establecerse un sistema de registro de entrada de soportes que
permita, directa o indirectamente, conocer el tipo de documento o soporte,
la fecha y hora, el emisor, el número de documentos o soportes incluidos
en el envío, el tipo de información que contienen, la forma de envío y la
persona responsable de la recepción que deberá estar debidamente
autorizada.
2. Igualmente, se dispondrá de un sistema de registro de salida de soportes
que permita, directa o indirectamente, conocer el tipo de documento o
soporte, la fecha y hora, el destinatario, el número de documentos o
soportes incluidos en el envío, el tipo de información que contienen, la
forma de envío y la persona responsable de la entrega que deberá estar
debidamente autorizada.
Estrategia de verificación.
Entrevista con el personal del AYUNTAMIENTO Visita a los locales del AYUNTAMIENTO
Evidencias del
auditor.
Existe un registro de entrada y salida de soportes que contenga los mínimos
que exige el presente artículo
Dicho registro se encuentra sin completar puesto que en caso de envío o
recepción de soportes se emplea el registro de entrada y salida municipal.
Propuesta de
medidas correctoras
o complementarias.
- Mantener la limitación de uso de soportes externos en los que se puedan
copiar datos de carácter personal a un número limitado de usuarios
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
61
Artículo Artículo 101 (Ficheros de nivel alto)
Referencia legal.
1. La identificación de los soportes se deberá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de personas. 2. La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte. Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero. 3. Deberá evitarse el tratamiento de datos de carácter personal en dispositivos portátiles que no permitan su cifrado. En caso de que sea estrictamente necesario se hará constar motivadamente en el documento de seguridad y se adoptarán medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos.
Estrategia de verificación.
Entrevista con el personal del AYUNTAMIENTO
Evidencias del
auditor.
- Existen soportes que contienen datos de nivel alto sin inventariar o inventariados mediante algún sistema que permite saber que contienen - Los soportes que salen fuera de los locales de la organización no se transportan cifrados - El personal del AYUNTAMIENTO desconoce la obligatoriedad de cifrar los soportes que vayan a salir fuera de los locales del AYUNTAMIENTO - El personal carece de conocimientos informáticos necesarios para cifrar los soportes
Propuesta de
medidas correctoras
o complementarias.
- Establecer un procedimiento sencillo de cifrado de soportes que vayan a
salir fuera de los locales del AYUNTAMIENTO
- Se recomienda proteger los pendrive existentes mediante algún aplicativo
que permita protegerlos mediante contraseña y genere registro de acceso a
los mismos
- Formar e informar a los usuarios afectados acerca de lo contenido en el
presente artículo, así como del mecanismo de cifrado a emplear
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
62
6. Copias de respaldo y recuperación (Art. 94 y Art. 102).
Artículo Artículo 94 (Todos los ficheros)
Referencia legal.
1. Deberán establecerse procedimientos de actuación para la realización
como mínimo semanal de copias de respaldo, salvo que en dicho período
no se hubiera producido ninguna actualización de los datos.
2. Asimismo, se establecerán procedimientos para la recuperación de los
datos que garanticen en todo momento su reconstrucción en el estado en
que se encontraban al tiempo de producirse la pérdida o destrucción.
Únicamente, en el caso de que la pérdida o destrucción afectase a ficheros
o tratamientos parcialmente automatizados, y siempre que la existencia de
documentación permita alcanzar el objetivo al que se refiere el párrafo
anterior, se deberá proceder a grabar manualmente los datos quedando
constancia motivada de este hecho en el documento de seguridad.
3. El responsable del fichero se encargará de verificar cada seis meses la
correcta definición, funcionamiento y aplicación de los procedimientos de
realización de copias de respaldo y de recuperación de los datos.
Estrategia de
verificación.
Entrevista con el personal del AYUNTAMIENTO
Visita a los locales del Ayuntamiento de Sondika
Evidencias del
auditor.
- Sólo se realizan copias de seguridad de los datos contenidos en el servidor
- No se realizan copias de seguridad de los equipos personales (en general)
- Existe personal que desconoce este hecho y por eso no emplea el servidor
para el guardado de sus documentos
- Se realiza una réplica diaria del servidor en otro servidor. Además cada
15 días se realiza copia en un disco duro externo que posteriormente se
conserva en una caja ignífuga en el despacho de Koldo.
- La periodicidad de realización de copias de seguridad del servidor es
correcta.
Propuesta de
medidas correctoras
o complementarias.
- Se recomienda informar a los usuarios para que sean conscientes de la
importancia de guardar la totalidad de información en el servidor de datos
- Se recomienda que los usuarios guarden la totalidad de información en el
servidor de datos de forma que sólo sea necesario realizar copia de
seguridad de los datos contenidos en él
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
63
Artículo Artículo 94 (Todos los Ficheros)
Referencia legal.
4. Las pruebas anteriores a la implantación o modificación de los sistemas
de información que traten ficheros con datos de carácter personal no se
realizarán con datos reales, salvo que se asegure el nivel de seguridad
correspondiente al tratamiento realizado y se anote su realización en el
documento de seguridad.
Si está previsto realizar pruebas con datos reales, previamente deberá
haberse realizado una copia de seguridad
Estrategia de
verificación.
Entrevista con el personal del AYUNTAMIENTO
Visita a los locales del AYUNTAMIENTO
Evidencias del
auditor.
- El personal del AYUNTAMIENTO no realiza pruebas de este tipo
- Empresas de informática externas podrían realizar pruebas de este tipo
Propuesta de
medidas correctoras
o complementarias.
- Firma de contrato de encargado de tratamiento con empresas externas que
vayan a acceder a los datos y puedan realizar operaciones de este tipo
- Solicitud a empresas externas que vayan a realizar pruebas de este tipo de
documento que certifique que cumplen con la normativa de protección de
datos
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
64
Artículo Artículo 102 (Ficheros de nivel alto)
Referencia legal.
Deberá conservarse una copia de respaldo de los datos y de los
procedimientos de recuperación de los mismos en un lugar diferente de
aquel en que se encuentren los equipos informáticos que los tratan, que
deberá cumplir en todo caso las medidas de seguridad exigidas en este
título, o utilizando elementos que garanticen la integridad y recuperación
de la información, de forma que sea posible su recuperación.
Estrategia de
verificación.
Entrevista con el personal del AYUNTAMIENTO
Visita a los locales del AYUNTAMIENTO
Evidencias del
auditor.
- Las copias de seguridad se encuentran en un disco duro externo que se
conserva en una caja ignífuga en un despacho situado a escasos metros del
servidor
Propuesta de
medidas correctoras
o complementarias.
- Se recomienda trasladar las copias de seguridad de la casa consistorial a
otra ubicación física diferente.
- Sobre el resto de departamentos que se encuentran externalizados, es
responsabilidad de la empresa subcontratada el traslado de las copias de
seguridad fuera de los locales en las condiciones exigidas por la Ley.
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
65
8. Telecomunicaciones (Art. 85 y Art. 104).
Artículo Artículo 85 (Todos los ficheros)
Referencia legal.
Las medidas de seguridad exigibles a los accesos a datos de carácter
personal a través de redes de comunicaciones, sean o no públicas, deberán
garantizar un nivel de seguridad equivalente al correspondiente a los
accesos en modo local, conforme a los criterios establecidos en el artículo
80.
Estrategia de
verificación.
Entrevista con el personal del AYUNTAMIENTO
Visita a los locales del AYUNTAMIENTO
Evidencias del
auditor.
- El Acceso a remoto las cámaras de Videovigilancia ubicadas en la Kultur
Etxea y Gaztetxe se realiza mediante contraseña individual exclusivamente
por parte de personal de Cultura y Policía, por lo que es correcto
- El Acceso remoto mediante red privada virtual para la realización de
tareas de mantenimiento informático se realiza únicamente por parte de la
empresa encargada de la realización de las mismas y siempre solicitando
permiso previo, por lo que es correcto.
- Se produce la Recepción de Fax en un número compartido con el Juzgado
de Paz. Posteriormente estos Fax se colocan en una bandeja accesible por
la totalidad del personal.
Propuesta de
medidas correctoras
o complementarias.
- Se recomienda que los informes recibidos en el Fax cuyo destinatario sea
el Juzgado sean introducidos en un buzón controlado exclusivamente por
personal del Juzgado o sean inmediatamente trasladados y conservados en
el interior de las instalaciones cedidas al mencionado Juzgado de Paz
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
66
Artículo Artículo 104 (Ficheros de nivel alto)
Referencia legal.
Cuando, conforme al artículo 81.3 deban implantarse las medidas de
seguridad de nivel alto, la transmisión de datos de carácter personal a
través de redes públicas o redes inalámbricas de comunicaciones
electrónicas se realizará cifrando dichos datos o bien utilizando cualquier
otro mecanismo que garantice que la información no sea inteligible ni
manipulada por terceros.
Estrategia de
verificación.
Entrevista con el personal del AYUNTAMIENTO
Visita a los locales del AYUNTAMIENTO
Evidencias del
auditor.
- Las salidas de datos a través de redes de telecomunicaciones se limitan a
comunicaciones con bancos y cajas de ahorro y a las aplicaciones de
Biscaytik.
- El Acceso remoto mediante red privada virtual para la realización de
tareas de mantenimiento informático se realiza únicamente por parte de la
empresa encargada de la realización de las mismas y siempre solicitando
permiso previo, por lo que es correcto.
- Se produce la Recepción de Fax en un número compartido con el Juzgado
de Paz. Posteriormente estos Fax se colocan en una bandeja accesible por
la totalidad del personal.
Propuesta de
medidas correctoras
o complementarias.
- Se recomienda que los informes recibidos en el Fax cuyo destinatario sea
el Juzgado sean introducidos en un buzón controlado exclusivamente por
personal del Juzgado o sean inmediatamente trasladados y conservados en
el interior de las instalaciones cedidas al mencionado Juzgado de Paz
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
67
9. Auditoría (Art. 17)
Artículo Artículo 96 (Ficheros de nivel medio y alto)
Referencia legal.
1. A partir del nivel medio los sistemas de información e instalaciones de
tratamiento y almacenamiento de datos se someterán, al menos cada dos
años, a una auditoría interna o externa que verifique el cumplimiento del
presente título.
Con carácter extraordinario deberá realizarse dicha auditoría siempre que
se realicen modificaciones sustanciales en el sistema de información que
puedan repercutir en el cumplimiento de las medidas de seguridad
implantadas con el objeto de verificar la adaptación, adecuación y eficacia
de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el
párrafo anterior.
2. El informe de auditoría deberá dictaminar sobre la adecuación de las
medidas y controles a la Ley y su desarrollo reglamentario, identificar sus
deficiencias y proponer las medidas correctoras o complementarias
necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones
en que se basen los dictámenes alcanzados y las recomendaciones
propuestas.
3. Los informes de auditoría serán analizados por el responsable de
seguridad competente, que elevará las conclusiones al responsable del
fichero o tratamiento para que adopte las medidas correctoras adecuadas y
quedarán a disposición de la Agencia Española de Protección de Datos o,
en su caso, de las autoridades de control de las comunidades autónomas.
Estrategia de verificación.
Entrevista con el personal del AYUNTAMIENTO
Evidencias del auditor.
- Existen informes previos de 2004, 2008 y 2011
Propuesta de
medidas correctoras
o complementarias.
- Realización de auditoría sobre el cumplimiento de la normativa al menos
cada dos años
- Análisis de la misma de cara a subsanar las deficiencias encontradas
- Mantener el presente informe de Auditoría a disposición de la Agencia de
Protección de Datos
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
68
10. Tratamientos especiales (Art. 87)
Artículo Artículo 87 (Todos los ficheros)
Referencia legal.
1. Aquellos ficheros temporales o copias de documentos que se hubiesen
creado exclusivamente para la realización de trabajos temporales o
auxiliares deberán cumplir el nivel de seguridad que les corresponda
conforme a los criterios establecidos en el artículo 81.
2. Todo fichero temporal o copia de trabajo así creado será borrado o
destruido una vez que haya dejado de ser necesario para los fines que
motivaron su creación.
Estrategia de verificación.
Entrevista con el personal del AYUNTAMIENTO
Evidencias del auditor.
- Existen ficheros temporales de este tipo en las carpetas de los usuarios
Propuesta de
medidas correctoras
o complementarias.
- Revisión y limpieza de los documentos y sobre todo hojas de cálculo y
bases de datos de Access de cara a proceder al borrado de las que hayan
dejado de ser necesarias (Ej: Participantes en actividades culturales ya
realizadas)
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
69
11. Ficheros y Tratamientos NO automatizados (Art. 105 a 114)
Artículo Artículo 105 (Todos los Ficheros)
Referencia legal.
1. Además de lo dispuesto en el presente capítulo, a los ficheros no
automatizados les será de aplicación lo dispuesto en los capítulos I y II del
presente título
Estrategia de verificación.
Visita a los locales del Archivo Municipal
Propuesta de
medidas correctoras
o complementarias.
Se han de aplicar con los datos no automatizados las mismas medidas que
con los automatizados firmando contratos de encargados del tratamiento,
Prestaciones de servicios sin acceso a datos personales, autorizaciones,
régimen de trabajo fuera de los locales, copias de trabajo de documentos,
existencia de documento de seguridad, funciones y obligaciones del
personal, registro de incidencias, control de acceso y gestión de soportes.
Las recomendaciones son las que se han realizado hasta el momento pero
para los ficheros en papel.
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
70
Artículo Artículo 106 (Todos los Ficheros)
Referencia legal.
El archivo de los soportes o documentos se realizará de acuerdo con los
criterios previstos en su respectiva legislación. Estos criterios deberán
garantizar la correcta conservación de los documentos, la localización y
consulta de la información y posibilitar el ejercicio de los derechos de
oposición al tratamiento, acceso, rectificación y cancelación.
En aquellos casos en los que no exista norma aplicable, el responsable del
fichero deberá establecer los criterios y procedimientos de actuación que
deban seguirse para el archivo.
Estrategia de
verificación.
Entrevista con el personal del AYUNTAMIENTO
Visita a los locales del Archivo Municipal
Evidencias del
auditor.
El Archivo permiten localizar expedientes y posibilitar el ejercicio de
derechos debido a su fácil localización mediante el software específico de
gestión existente.
La ordenación de los expedientes en el resto de despachos o Archivos no es
adecuada, especialmente en el área de Urbanismo
Propuesta de
medidas correctoras
o complementarias.
Se recomienda proceder a ordenar el resto de lugares de Archivo,
especialmente la zona de Urbanismo.
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
71
Artículo Artículo 107 (Todos los Ficheros)
Referencia legal.
Los dispositivos de almacenamiento de los documentos que contengan
datos de carácter personal deberán disponer de mecanismos que
obstaculicen su apertura. Cuando las características físicas de aquéllos no
permitan adoptar esta medida, el responsable del fichero o tratamiento
adoptará medidas que impidan el acceso de personas no autorizadas.
Estrategia de
verificación.
Entrevista con el personal del AYUNTAMIENTO
Visita a los locales del Archivo Municipal
Evidencias del
auditor.
- Intervención: La documentación se conserva en armarios numerados
cerrados bajo llave durante un año, tras el cual se envía al Archivo.
-Urbanismo: Se conserva en un Archivo temporal permanentemente abierto
y en baldas y sobre las mesas de los usuarios.
- Cultura: Se conserva la documentación en baldas, aunque al finalizar la
jornada se procede al cierre bajo llave del despacho.
- Policía: La puerta de acceso al despacho se mantiene permanentemente
abierta y la documentación se conserva en armarios con puerta.
- Secretaría: Se conserva la totalidad de la documentación bajo llave y una
vez finaliza la jornada laboral se retira de encima de la mesa.
- Interior: Se conserva la documentación en Armarios con puerta y
cerradura en los que la llave se mantiene permanentemente en las mismas.
No obstante se cierra el despacho con llave
- El Archivo General se encuentra con la puerta cerrada pero sin llave y
ubicado junto a lugares de tránsito como un vestuario. La puerta de acceso
al Archivo solo se cierra con llave los Lunes
- El resto de documentos son expedientes sin concluir se encuentran en los
despachos de cada usuario
- Las llaves de acceso a la totalidad de despachos son las mismas (llave
maestra)
Propuesta de
medidas correctoras
o complementarias.
- Se recomienda proceder a cerrar bajo llave el Archivo General, así como
el de Urbanismo.
- Se recomienda recordar a los usuarios que no deben conservar
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
72
documentación sobre las mesas y en la medida de lo posible la obligación
de guardarla bajo llave y cerrar los despachos.
- Se recomienda proceder a reemplazar las cerraduras y que cada usuario o
área disponga de una llave propia para evitar accesos no autorizados a
despachos.
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
73
Artículo Artículo 108 (Todos los Ficheros)
Referencia legal.
Mientras la documentación con datos de carácter personal no se encuentre
archivada en los dispositivos de almacenamiento establecidos en el artículo
anterior, por estar en proceso de revisión o tramitación, ya sea previo o
posterior a su archivo, la persona que se encuentre al cargo de la misma
deberá custodiarla e impedir en todo momento que pueda ser accedida por
persona no autorizada.
Estrategia de
verificación.
Entrevista con el personal del AYUNTAMIENTO
Visita a los locales del Archivo Municipal
Evidencias del
auditor.
- Existen multitud de expedientes que se encuentran en los despachos de
cada usuario siendo estos conscientes de que les corresponde la custodia de
los mismos
Propuesta de
medidas correctoras
o complementarias.
- Concienciar al personal de la importancia de mantener permanentemente
vigilados y guardar a ser posible bajo llave los expedientes que salgan
fuera del Archivo
- Concienciar al personal para que no se conserve documentación sobre las
mesas de trabajo o al menos para que las retire al finalizar la jornada
laboral
Artículo Artículo 109 (Ficheros de nivel Medio o Alto)
Referencia legal. Se designará uno o varios responsables de seguridad en los términos y con
las funciones previstas en el artículo 95 de este reglamento
Estrategia de
verificación.
Entrevista con el personal del AYUNTAMIENTO
Visita a los locales del Archivo Municipal
Evidencias del
auditor. Existe responsable de seguridad
Propuesta de
medidas correctoras
o complementarias.
Se realiza correctamente
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
74
Artículo Artículo 110 (Ficheros de nivel Medio o Alto)
Referencia legal.
Los ficheros comprendidos en la presente sección se someterán, al menos
cada dos años, a una auditoría interna o externa que verifique el
cumplimiento del presente título.
Estrategia de
verificación.
Entrevista con el personal del AYUNTAMIENTO
Visita a los locales del Archivo Municipal
Evidencias del
auditor. La anterior auditoría es del año 2011
Propuesta de
medidas correctoras
o complementarias.
- Realización de auditoría sobre el cumplimiento de la normativa al menos
cada dos años
- Análisis de la misma de cara a subsanar las deficiencias encontradas
- Mantener el presente informe de Auditoría a disposición de la Agencia de
Protección de Datos
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
75
Artículo Artículo 111 (Ficheros de nivel Alto)
Referencia legal.
1. Los armarios, archivadores u otros elementos en los que se almacenen
los ficheros no automatizados con datos de carácter personal deberán
encontrarse en áreas en las que el acceso esté protegido con puertas de
acceso dotadas de sistemas de apertura mediante llave u otro dispositivo
equivalente. Dichas áreas deberán permanecer cerradas cuando no sea
preciso el acceso a los documentos incluidos en el fichero.
2. Si, atendidas las características de los locales de que dispusiera el
responsable del fichero o tratamiento, no fuera posible cumplir lo
establecido en el apartado anterior, el responsable adoptará medidas
alternativas que, debidamente motivadas, se incluirán en el documento de
seguridad.
Estrategia de
verificación.
Entrevista con el personal del AYUNTAMIENTO
Visita a los locales del Archivo Municipal
Evidencias del
auditor.
- Intervención: La documentación se conserva en armarios numerados
cerrados bajo llave durante un año, tras el cual se envía al Archivo.
-Urbanismo: Se conserva en un Archivo temporal permanentemente abierto
y en baldas y sobre las mesas de los usuarios.
- Cultura: Se conserva la documentación en baldas, aunque al finalizar la
jornada se procede al cierre bajo llave del despacho.
- Policía: La puerta de acceso al despacho se mantiene permanentemente
abierta y la documentación se conserva en armarios con puerta.
- Secretaría: Se conserva la totalidad de la documentación bajo llave y una
vez finaliza la jornada laboral se retira de encima de la mesa.
- Interior: Se conserva la documentación en Armarios con puerta y
cerradura en los que la llave se mantiene permanentemente en las mismas.
No obstante se cierra el despacho con llave
- El Archivo General se encuentra con la puerta cerrada pero sin llave y
ubicado junto a lugares de tránsito como un vestuario. La puerta de acceso
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
76
al Archivo solo se cierra con llave los Lunes
- El resto de documentos son expedientes sin concluir se encuentran en los
despachos de cada usuario
- Las llaves de acceso a la totalidad de despachos son las mismas (llave
maestra)
Propuesta de
medidas correctoras
o complementarias.
- Concienciar al personal de la importancia de mantener permanentemente
vigilados y guardar a ser posible bajo llave los expedientes que salgan
fuera del Archivo, y proceder al cierre bajo llave del Archivo General y de
Urbanismo, así como el de Policía
- Se recomienda proceder a reemplazar las cerraduras y que cada usuario o
área disponga de una llave propia para evitar accesos no autorizados a
despachos..
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
77
Artículo Artículo 112 (Ficheros de nivel Alto)
Referencia legal.
1. La generación de copias o la reproducción de los documentos
únicamente podrá ser realizada bajo el control del personal autorizado en el
documento de seguridad.
2. Deberá procederse a la destrucción de las copias o reproducciones
desechadas de forma que se evite el acceso a la información contenida en
las mismas o su recuperación posterior.
Estrategia de
verificación.
Entrevista con el personal del AYUNTAMIENTO
Visita a los locales del Archivo Municipal Temporal y Definitivo
Evidencias del
auditor.
- Sólo el personal autorizado tiene acceso teórico a los expedientes del
Archivo y por tanto realizar copias de los mismos, no obstante en la
práctica el mismo se encuentra abierto y no existe control sobre los
préstamos realizados porque cada usuario accede al mismo y coge
expedientes según necesidad y sin ningún control.
Hay una destructora de documentos situada en la sala de fotocopias y otra
en urbanismo, aunque al parecer se encuentra averiada
Propuesta de
medidas correctoras
o complementarias.
Se recomienda la instalación de destructoras de documentación en cada
piso para evitar traslados incómodos para el personal y facilitar así que
efectivamente se proceda a la destrucción de los datos en papel
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
78
Artículo Artículo 113 (Ficheros de nivel Alto)
Referencia legal.
1. El acceso a la documentación se limitará exclusivamente al personal
autorizado.
2. Se establecerán mecanismos que permitan identificar los accesos
realizados en el caso de documentos que puedan ser utilizados por
múltiples usuarios.
3. El acceso de personas no incluidas en el párrafo anterior deberá quedar
adecuadamente registrado de acuerdo con el procedimiento establecido al
efecto en el documento de seguridad.
Estrategia de
verificación.
Entrevista con el personal del AYUNTAMIENTO
Visita a los locales del Archivo Municipal Temporal y Definitivo
Evidencias del
auditor.
- Sólo el personal autorizado tiene acceso teórico a los expedientes del
Archivo y por tanto realizar copias de los mismos, no obstante en la
práctica el mismo se encuentra abierto y no existe control sobre los
préstamos realizados porque cada usuario accede al mismo y coge
expedientes según necesidad y sin ningún control por la empresa
subcontratada para la gestión del mismo.
- Pese a que la aplicación de Gestión del Archivo lo permite no se realiza
ningún registro de préstamos del mismo
Propuesta de
medidas correctoras
o complementarias.
- Se recomienda la existencia de al menos una persona encargada de
gestionar los préstamos de documentación del Archivo así como registro de
los mismos en la aplicación de gestión.
- En caso de que no sea posible que una persona se encargue de dicha
gestión y se decida que cada usuario siga accediendo al mismo se
recomienda que al menos se obligue a dichos usuarios a cumplimentar el
registro de préstamos para, así, evitar pérdidas de expedientes.
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
79
Artículo Artículo 114 (Ficheros de nivel Alto)
Referencia legal.
Siempre que se proceda al traslado físico de la documentación contenida en
un fichero, deberán adoptarse medidas dirigidas a impedir el acceso o
manipulación de la información objeto de traslado.
Estrategia de
verificación.
Entrevista con el personal del AYUNTAMIENTO
Visita a los locales del Archivo Municipal Temporal y Definitivo
Evidencias del
auditor.
No se producen traslados de documentación.
Los usuarios carecen de mecanismos que impidan dichos accesos o
manipulaciones cuando se traslade fuera de los locales la documentación
Propuesta de
medidas correctoras
o complementarias.
Se recomienda dotar a los usuarios de algún maletín o similar que permita
guardar la documentación bajo llave en caso de que esta tenga que salir
fuera de los locales del Ayuntamiento
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
80
INFORME DE CONCLUSIONES CON OPINIÓN FAVORABLE CON SALVEDADES
En Santurtzi, a 06 de Marzo de 2014
Soluciones Jurídicas para Internet, Inter-Ius Consulting, S.L. hemos realizado una
auditoría voluntaria externa de los sistemas de información e instalaciones de
tratamiento de datos de carácter personal de la entidad Ayuntamiento de Sondika
para verificar el cumplimiento del Real Decreto 1720/2007, por el que se aprueba el
Reglamento de Desarrollo de la Ley Orgánica 15/1999, así como de los
procedimientos e instrucciones vigentes en materia de protección de datos.
En nuestra opinión profesional, las instalaciones y tratamientos de la entidad
Ayuntamiento de Sondika se adecuan a la legislación aplicable en seguridad de
tratamiento de datos de carácter personal, a excepción de las deficiencias observadas
que se detallan en el Apartado Recomendaciones del presente informe, que
además incluye las correspondientes medidas correctoras o complementarias.
Adicionalmente, se han propuesto una serie de recomendaciones que, son de
obligado cumplimiento y recomendamos que sean valoradas. El detalle de estas
medidas se incluye en el Apartado Recomendaciones del presente informe.
Inter-Ius Consulting (Sondikako Udala Ver. 2.0 Ref.:060314)
81
Por último, se recuerda a la entidad Ayuntamiento de Sondika, que sus
Responsables de Seguridad deben analizar el presente informe de auditoría y elevar
al Ayuntamiento, las conclusiones que resulten para que ésta adopte las medidas
correctoras adecuadas.
Firma