Universidad de Almería - Manual de responsable de seguridad en materia de protección de datos de carácter personal de la entidad Mayo de 2011
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
Manual de responsable de seguridad en
materia de protección de datos de carácter
personal de la entidad
Universidad de Almería.
ADAPTADO AL REAL DECRETO 1720/2007
Mayo de 2011Universidad de Almería. - Manual del responsable de seguridad
Índice
1. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
2. Funciones y obligaciones del responsable de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
3. Explicación de las funciones y obligaciones encomendadas al responsable . . . . . . . . . . . . . . . . . . .5
3.1. Tareas que garantizan el cumplimiento del RDLOPD para FFAA . . . . . . . . . . . . . . . . . . . . . . . . . .5
3.2. Tareas que garantizan el cumplimiento del RDLOPD para FFNA . . . . . . . . . . . . . . . . . . . . . . . . . .7
4. Procedimientos fijados en la organización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
4.1.Procedimiento de notificación y gestión de incidencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
4.1.1. Procedimiento para la notificación de incidencias de ficheros automatizados . . . . . . . . . . . . . .21
4.1.2. Procedimiento para la notificación de incidencias de ficheros no automatizados . . . . . . . . . . .23
4.2.Procedimientos de entrada y salida de soportes y documentos . . . . . . . . . . . . . . . . . . . . . . . . . . .26
4.2.1. Procedimiento de registro de entrada de soportes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27
4.2.2. Procedimiento de registro de salida de soportes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31
4.3.Procedimientos de gestión de usuarios de los ficheros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36
4.3.1. Procedimiento de alta de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36
4.3.2. Procedimiento de baja de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41
4.4.Procedimiento de desechado y reutilización de soportes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45
4.4.1. Procedimiento de desechado y reutilización de soportes automatizados . . . . . . . . . . . . . . . . . .45
4.4.2. Procedimiento de desechado y reutilización de soportes no automatizados . . . . . . . . . . . . . . .48
4.5. Procedimiento para los envíos telemáticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .51
4.6. Procedimiento para el uso del correo electrónico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .54
4.7. Procedimiento ante solicitudes de ejercicio de derechos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57
4.8.Procedimientos de archivo y custodia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .62
4.8.1. Procedimiento de custodia de soportes no automatizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . .62
4.8.2. Procedimiento de archivo de ficheros no automatizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .65
4.8.3. Procedimiento de restricción de acceso a ficheros no automatizados . . . . . . . . . . . . . . . . . . . .68
4.9. Procedimiento de copia y reproducción de documentos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .71
4.10. Procedimiento de traslado de documentación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .74
5. Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .77
IIUniversidad de Almería. - Manual del responsable de seguridad
1. Introducción
La protección de los datos de carácter personal de los ciudadanos ha sido regulada por el
legislador español mediante la L.O. 15/1999 (en adelante LOPD), que establece toda una
serie de medidas de obligado cumplimiento para aquellas entidades que, en el ejercicio de
su actividad, sometan a tratamiento este tipo de datos. A su vez el Reglamento de Desarrollo
de la LOPD (RD 1720/2007 o RDLOPD) desarrolla lo previsto en la LOPD. Para coordinar
tales medidas el RDLOPD contempla la figura del responsable de seguridad. A su vez en
ocasiones existen determinadas funciones que conviene delegar en responsables de
seguridad delegados (de aspectos jurídico organizativos y técnicos respectivamente).
Para coordinar tales medidas el RDLOPD contempla la figura del responsable/s de
seguridad.
Es objeto de este manual detallar las funciones que al responsable de seguridad Carmen
Alicia García de Universidad de Almería. le corresponden así como darle pautas al mismo
para que conozca como ejecutar las tareas que le corresponden.
2. Funciones y obligaciones del responsable de
seguridad
"En el documento de seguridad deberán designarse uno o varios
responsables de seguridad encargados de coordinar y controlar las medidas
definidas en el mismo. Esta designación puede ser única para todos los
ficheros o tratamientos de datos de carácter personal o diferenciada según
los sistemas de tratamiento utilizados, circunstancia que deberá hacerse
constar claramente en el documento de seguridad.
En ningún caso esta designación supone una exoneración de la
responsabilidad que corresponde al responsable del fichero o al encargado
del tratamiento de acuerdo con este Reglamento." Artículo 95 RDLOPD.
1Universidad de Almería. - Manual del responsable de seguridad
El Responsable de Seguridad es el encargado de autorizar, coordinar, controlar y en algunos
supuestos ejecutar las medidas definidas en el documento seguridad.
Corresponde al Responsable de Seguridad, por si mismo o a través del
responsable delegado, cumplir con las siguientes obligaciones:
- Someter los sistemas de información, al menos cada 2 años, a una auditoría interna o
externa que verifique el cumplimiento del Reglamento, procedimientos e instrucciones.
(El informe de auditoría dictaminará sobre la adecuación de las medidas y controles,
identificará deficiencias y propondrá medidas correctoras o complementarias. Deberá
incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y
recomendaciones propuestas. ART. 96.2.)
- Analizar el informe de auditoría y elevar las conclusiones al responsable del fichero para
que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia
de Protección de Datos
- Implantar (o, en su caso, modificar) controles periódicos para verificar el cumplimiento de
lo establecido en el documento de seguridad
- Revisar los controles periódicos para verificar el cumplimiento de lo establecido en el
documento de seguridad
- Controlar que sólo el personal autorizado a ello pueda acceder a la información en papel
de nivel alto.
- Actualizar el listado de personal autorizado a acceder a datos personales en soporte
papel de nivel alto
- Cuidar que los armarios y archivadores que contengan información con datos personales
de nivel alto se encuentren en áreas en las que el acceso esté protegido con puertas de
acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente.
- Cuidar que las áreas en que se encuentren los armarios y archivadores que contengan
información con datos personales de nivel alto permanezcan cerradas cuando no sea
preciso el acceso a los documentos que contienen. (Salvo que atendidas las
características de los locales no fuera posible disponer de áreas cerradas en cuyo caso
el responsable adoptará medidas alternativas que, debidamente motivadas, se incluirán
en el documento de seguridad).
- Someter los sistemas de información, al menos cada 2 años, a una auditoría interna o
externa que verifique el cumplimiento de las medidas de seguridad exigidas para los
ficheros no automatizados.
- Analizar el informe de auditoría y elevar las conclusiones al responsable del fichero para
que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia
de Protección de Datos
- Adoptar las medidas oportunas para que el acceso de los usuarios esté limitado a los
recursos que precisen para el desarrollo de sus funciones.
2Universidad de Almería. - Manual del responsable de seguridad
- Confeccionar y mantener una relación actualizada de usuarios y perfiles de usuarios a
ficheros no automatizados, y los accesos autorizados para cada uno de ellos
- Establecer mecanismos para evitar que un usuario pueda acceder a ficheros no
automatizados con derechos distintos de los autorizados
- Adoptar las medidas para que solo pueda conceder, alterar o anular el acceso
autorizado a ficheros no automatizados el personal autorizado para ello en el documento
de seguridad, conforme a los criterios establecidos por el responsable del fichero.
- Adoptar las medidas oportunas para que el personal ajeno que tenga acceso a los
ficheros no automatizados esté sometido a las mismas condiciones y obligaciones de
seguridad que el personal propio.
- Controlar que únicamente realicen copias de los documentos que contengan datos de
nivel alto las personas autorizadas en el documento de seguridad.
- Actualizar el listado de personas autorizadas a realizar copias de información que
contenga datos de nivel alto
- Redactar y revisar la existencia de un procedimiento que indique como proceder a la
destrucción de las copias o reproducciones desechadas que contengan datos de nivel
alto de forma que se evite el acceso a la información
- Proceder a la destrucción de las copias o reproducciones de desechadas de forma que
se evite el acceso a la información contenida en las mismas o su recuperación posterior.
- Definir las funciones y obligaciones del personal en relación con los ficheros no
automatizados
- Documentar las funciones y obligaciones del personal en relación con los ficheros no
automatizados
- Nombrar y en su caso reemplazar a los responsables de seguridad oportunos
(encargados de coordinar las medidas de seguridad de los ficheros no automatizados).
- Adoptar las medidas necesarias para que los responsables de seguridad conozcan las
normas de seguridad que afecten al desarrollo de sus funciones así como las
consecuencias en que pudiera incurrir en caso de incumplimiento
- Establecer un procedimiento de notificación y gestión de las incidencias relativas a los
ficheros no automatizados
- Establecer un registro en el que se haga constar el tipo de incidencia, el momento en
que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a
quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas
correctoras aplicadas, en relación con los ficheros no automatizados
- Disponer lo oportuno para que se archiven los soportes o documentos de acuerdo con
criterios que garanticen la correcta conservación de los documentos, la localización y
consulta de la información y posibilitar el ejercicio de los derechos de oposición al
tratamiento, acceso, rectificación y cancelación. (Ello se hará con los criterios previstos
en su respectiva legislación, o en aquellos casos en los que no exista norma aplicable,
según los criterios y procedimientos que disponga el responsable del fichero o en quien
delegue este).
3Universidad de Almería. - Manual del responsable de seguridad
- Cuidar que los dispositivos de almacenamiento de los documentos que contengan datos
de carácter personal dispongan de mecanismos que obstaculicen su apertura. (Cuando
las características físicas de aquéllos no permitan adoptar esta medida, el responsable
del fichero o tratamiento adoptará medidas que impidan el acceso de personas no
autorizadas, medida que podrá consistir en la custodia por parte de quien se encuentre
al cargo).
- Identificar el tipo de información que contienen los soportes y documentos que
contengan datos de carácter personal
- Inventariar los soportes y documentos que contengan datos de carácter personal
- Adoptar las medidas para que los soportes y documentos que contengan datos de
carácter personal sólo sean accesibles por el personal autorizado para ello en el
documento de seguridad.
- No se etiquetarán cuando las características físicas del soporte imposibiliten su
cumplimiento, quedando constancia motivada de ello en el documento de seguridad
- Podrán etiquetarse crípticamente (sólo comprensibles para los usuarios con acceso
autorizado) cuando contengan datos de carácter personal que la organización
considerase especialmente sensibles.
- La salida de soportes y documentos que contengan datos de carácter personal, fuera de
los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada
por el responsable del fichero o encontrarse debidamente autorizada en el documento
de seguridad.
- Establecer mecanismos que permitan identificar los accesos realizados en el caso de
documentos que contengan datos de nivel alto que puedan ser utilizados por múltiples
usuarios
- Revisar periódicamente el registro de los accesos a datos de nivel alto contenidos en
documentos
- Establecer un procedimiento para que cuando se proceda al traslado físico de la
documentación con datos de nivel alto contenida en ficheros se adopten medidas
dirigidas a impedir el acceso
- Con carácter extraordinario realizar dicha auditoría siempre que se realicen
modificaciones sustanciales en el sistema de información que puedan repercutir en el
cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la
adaptación, adecuación y eficacia de las mismas (Esta auditoría inicia el cómputo de dos
años para la realización de la auditoría bienal del artículo 96.1. RDLOPD)
4Universidad de Almería. - Manual del responsable de seguridad
3. Explicación de las funciones y obligaciones
encomendadas al responsable
A continuación se presenta, en relación con cada una de las tareas asignadas al
responsable, una explicación de la ejecución de las mismas.
NOTA IMPORTANTE: Ya que muchas de ellas han de ejecutarse utilizando funcionalidades
de GESDATOS el responsable deberá tener en cuenta los manuales sobre GESDATOS que
en la guía de ayuda de GESDATOS existen.
3.1. Tareas relativas a medidas que garanticen
el cumplimiento de las medidas de seguridad
que detalla el reglamento de desarrollo de la
LOPD para ficheros automatizados.
AUDITORÍA
Art. 96.1 Con carácter extraordinario realizar dicha auditoría
siempre que se realicen modificaciones
sustanciales en el sistema de información que
puedan repercutir en el cumplimiento de las
medidas de seguridad implantadas con el objeto de
verificar la adaptación, adecuación y eficacia de las
mismas (Esta auditoría inicia el cómputo de dos
años para la realización de la auditoría bienal del
artículo 96.1. RDLOPD)
Esta obligación supone auditar los sistemas de información cuando se produzcan
modificaciones sustanciales en el sistema de información que puedan repercutir en el
cumplimiento de las medidas de seguridad. El objeto de esta auditoria será verificar la
adaptación, adecuación y eficacia de las nuevas medidas de seguridad implantadas. Esta
auditoría iniciará el cómputo de dos años para la realización de la auditoría legalmente
establecida. GESDATOS le permite (en cualquier modalidad contratada) llevar un control de
las auditorías efectuadas. Acceda al módulo CONTROLES y acceda a AUDITORÍAS. Allí
5Universidad de Almería. - Manual del responsable de seguridad
podrá subir el informe de auditoría que se haya realizado en formato electrónico consignado
los datos identificativos del mismo.
Art. 96.1 Someter los sistemas de información, al menos
cada 2 años, a una auditoría interna o externa que
verifique el cumplimiento del Reglamento,
procedimientos e instrucciones. (El informe de
auditoría dictaminará sobre la adecuación de las
medidas y controles, identificará deficiencias y
propondrá medidas correctoras o
complementarias. Deberá incluir los datos, hechos
y observaciones en que se basen los dictámenes
alcanzados y recomendaciones propuestas. ART.
96.2.)
Esta obligación de someter los sistemas de información, al menos cada 2 años, a una
auditoría interna o externa que verifique el cumplimiento del Reglamento, procedimientos e
instrucciones supone la remisión en bloque a todo lo relativo a las auditorias en protección
de datos. GESDATOS le permite (en cualquier modalidad contratada) llevar un control de las
auditorías efectuadas. Acceda al módulo CONTROLES y acceda a AUDITORÍAS. Allí podrá
subir el informe de auditoría que se haya realizado en formato electrónico consignado los
datos identificativos del mismo. Si desea realizar la auditoria en protección de datos que
exige el reglamento en relación con los ficheros automatizados o desea realizarla sobre las
medidas de seguridad relativas a ficheros automatizados, incluso si desea realizar una
auditoria voluntaria sobre las obligaciones y principios que recoge la LOPD puede utilizar (si
lo ha contratado) el módulo de auditorías de GESDATOS.
Art. 96.3 Analizar el informe de auditoría y elevar las
conclusiones al responsable del fichero para que
adopte las medidas correctoras adecuadas y
quedarán a disposición de la Agencia de
Protección de Datos
El informe de auditoría (bien realizado con el módulo de auditorías de GESDATOS bien de
otro modo) debe ser analizado por el responsable de seguridad y elevar las conclusiones al
responsable del fichero (a través de su representante)para que este adopte las medidas
correctoras adecuadas. Asimismo deberá guardarse y quedar a disposición de la Agencia de
Protección de Datos. Para facilitarle esta obligación GESDATOS le ofrece la siguiente
6Universidad de Almería. - Manual del responsable de seguridad
funcionalidad: acceda al módulo CONTROLES y acceda a AUDITORÍAS. Allí podrá subir el
informe de auditoría que se haya realizado en formato electrónico.
CONTROLES PERIÓDICOS
Art. 88.7 Implantar (o, en su caso, modificar) controles
periódicos para verificar el cumplimiento de lo
establecido en el documento de seguridad
El art. 15 del reglamento de medidas de seguridad establece que se deberán realizar
controles periódicos para verificar el cumplimiento de lo dispuesto en el documento de
seguridad. En GESDATOS, se dispone de un módulo denominado CONTROLES, y dentro
del mismo, puede elegir la opción de CONTROLES PERIÓDICOS, que le permitirá realizar
dichos controles con la periodicidad establecida en relación con cada uno de los
responsables de seguridad y - en su caso - gestores de fichero concreto que se hayan
designado. La tarea consistente en implantar (o en su caso modificar) los controles supone
poner en marcha o modificar dicho sistema de controles, particularmente su periodicidad.El
art. 15 del reglamento de medidas de seguridad establece que se deberán realizar controles
periódicos para verificar el cumplimiento de lo dispuesto en el documento de seguridad.
Art. 88.7 Revisar los controles periódicos para verificar el
cumplimiento de lo establecido en el documento de
seguridad
Revisar los citados controles supone pasar los citados controles en el apartado controles
periódicos de GESDATOS y revisar la realización o no de las tareas que en dichos controles
se han asignado a cada persona. Ello supondrá -como consecuencia lógica- que en el
apartado tareas pendientes se genere el correspondiente pdf que deberá imprimirse,
firmarse y guardarse. También podrá guardarse el citado pdf en la zona de recursos en una
carpeta denominada controles periódicos (en el citado formato pdf) y con la fecha de cada
control y nombre del responsable. Ejemplo. Control241006juanperez.pdf
3.2. Tareas relativas a medidas que garanticen
el cumplimiento de las medidas de seguridad
que detalla el reglamento de desarrollo de la
LOPD para ficheros no automatizados.
7Universidad de Almería. - Manual del responsable de seguridad
ACCESO A LA DOCUMENTACIÓN
Art. 113.1 Controlar que sólo el personal autorizado a ello
pueda acceder a la información en papel de nivel
alto.
Cuando se genera un Alta de Usuario o de Responsable en GESDATOS se puede
especificar los ficheros a los que accede y la modalidad del acceso. El responsable de
seguridad deberá velar porque esta medida se cumpla de modo que solo tengan acceso a
los documentos que contengan datos personales de nivel alto el personal autorizado a ello
conforme a su Alta de Usuario firmada.
Art. 113.1 Actualizar el listado de personal autorizado a
acceder a datos personales en soporte papel de
nivel alto
Del mismo nodo que para los ficheros en formato automatizado, el listado de los usuarios
con acceso autorizado a los ficheros en formato papel deberá mantenerse actualizada.
ALMACENAMIENTO DE INFORMACIÓN
Art. 111.1 Cuidar que los armarios y archivadores que
contengan información con datos personales de
nivel alto se encuentren en áreas en las que el
acceso esté protegido con puertas de acceso
dotadas de sistemas de apertura mediante llave u
otro dispositivo equivalente.
El artículo 111 del Reglamento establece la obligación de que los armarios y archivadores
donde se almacenen documentos que contengan información con datos de nivel alto se
encuentren en áreas en las que el acceso esté protegido con puertas dotadas de sistemas
de apertura mediante llave y otro dispositivo equivalente. Asimismo, si estas medidas,
atendidas las características de los locales, fueran imposible adoptarlas deberá dejar
constancia motivada de ello en el Documento de Seguridad. GESDATOS le permite reflejar
las medidas adoptadas o, en su caso, los motivos por los que no puede adoptarse las
medidas de seguridad exigidas.
8Universidad de Almería. - Manual del responsable de seguridad
Art. 111.1 - Cuidar que las áreas en que se encuentren los
111.2 armarios y archivadores que contengan
información con datos personales de nivel alto
permanezcan cerradas cuando no sea preciso el
acceso a los documentos que contienen. (Salvo
que atendidas las características de los locales no
fuera posible disponer de áreas cerradas en cuyo
caso el responsable adoptará medidas alternativas
que, debidamente motivadas, se incluirán en el
documento de seguridad).
Los procedimientos de gestión de documentos deberán especificar esta medida a fin de que
todos los Usuarios conozcan esta obligación. No obstante, en los manuales que pueden
generarse con GESDATOS encontrará el procedimiento establecido al efecto.
AUDITORÍA
Art. 110 Someter los sistemas de información, al menos
cada 2 años, a una auditoría interna o externa que
verifique el cumplimiento de las medidas de
seguridad exigidas para los ficheros no
automatizados.
Esta obligación de someter los sistemas de información, al menos cada 2 años, a una
auditoría interna o externa que verifique el cumplimiento del Reglamento, procedimientos e
instrucciones supone la remisión en bloque a todo lo relativo a las auditorias en protección
de datos. GESDATOS le permite (en cualquier modalidad contratada) llevar un control de las
auditorías efectuadas. Acceda al módulo CONTROLES y acceda a AUDITORÍAS. Allí podrá
subir el informe de auditoría que se haya realizado en formato electrónico consignado los
datos identificativos del mismo. Si desea realizar la auditoria en protección de datos que
exige el reglamento en relación con los ficheros automatizados o desea realizarla sobre las
medidas de seguridad relativas a ficheros automatizados, incluso si desea realizar una
auditoria voluntaria sobre las obligaciones y principios que recoge la LOPD puede utilizar (si
lo ha contratado) el módulo de auditorías de GESDATOS.
9Universidad de Almería. - Manual del responsable de seguridad
Art. 110 Analizar el informe de auditoría y elevar las
conclusiones al responsable del fichero para que
adopte las medidas correctoras adecuadas y
quedarán a disposición de la Agencia de
Protección de Datos
El informe de auditoría (bien realizado con el módulo de auditorías de GESDATOS bien de
otro modo) debe ser analizado por el responsable de seguridad y elevar las conclusiones al
responsable del fichero (a través de su representante)para que este adopte las medidas
correctoras adecuadas. Asimismo deberá guardarse y quedar a disposición de la Agencia de
Protección de Datos. Para facilitarle esta obligación GESDATOS le ofrece la siguiente
funcionalidad: acceda al módulo CONTROLES y acceda a AUDITORÍAS. Allí podrá subir el
informe de auditoría que se haya realizado en formato electrónico.
CONTROL DE ACCESOS
Art. 105.2 - Adoptar las medidas oportunas para que el acceso
91.1 de los usuarios esté limitado a los recursos que
precisen para el desarrollo de sus funciones.
La medida consistente en que el acceso de los usuarios esté limitado a los recursos que
precisen para el desarrollo de sus funciones se trata de un hecho físico, es decir, una
medida física que no de cumple con GESDATOS sino que deberán articularse los medios
físicos para que el acceso físico a los datos personales en soporte papel sólo sea posible por
aquellos que tienen acceso autorizado. No obstante si que GESDATOS obliga a llevar un
listado de los usuarios autorizados en el cual se establecen los accesos de los usuarios a los
ficheros, tanto automatizados como no automatizados. También con GESDATOS se definen
las funciones y obligaciones de los usuarios, una de las cuales sería la de no acceder a
datos o recursos no autorizados.
Art. 105.2 - Confeccionar y mantener una relación actualizada
91.2 de usuarios y perfiles de usuarios a ficheros no
automatizados, y los accesos autorizados para
cada uno de ellos
RELACIÓN ACTUALIZADA DE USUARIOS Existen diferentes opciones para mantener una
relación actualizada de usuarios: - Listado de usuarios: en los que se especifique a que
ficheros acceden los mismos. Para ello tiene a su disposición en GESDATOS de un módulo
denominado PERSONAL, mediante el cual puede dar de alta a los usuarios y especificar
acceso y tipo de acceso, departamento, etc. Este módulo es fácilmente actualizable, dada su
facilidad para dar de alta, modificar o dar de baja usuarios. Puede utilizar su propio listado de
10Universidad de Almería. - Manual del responsable de seguridad
usuarios. - Listado de perfiles: Otra de las opciones sería mantener actualizado un listado de
perfiles de acceso de la organización, teniendo como complemento una relación de usuarios
a los que se les asignaría su correspondiente perfil. Asimismo, se debería indicar cual es el
sistema utilizado y la forma de obtener el listado. La AEPD permite que la relación
actualizada de usuarios se mantenga de forma informatizada, pero, en ese caso, se deberá
indicar en el Documento de Seguridad cual es el sistema utilizado y la forma de obtener el
listado. Asimismo, establece que, siempre que sea posible, es conveniente imprimir la
relación de usuarios y adjuntarla periódicamente al documento de seguridad. Además de
todo, se debería mantener una relación actualizada de los terceros que acceden a los datos
para la prestación de un servicio. PROCEDIMIENTO DE IDENTIFICACIÓN Y
AUTENTICACIÓN El Reglamento de Desarrollo de la LOPD (RDLOPD) establece que el
Responsable del Fichero se encargará de que exista un procedimiento de identificación y
autenticación para permitir el acceso de los usuarios a los datos de carácter personal. El
procedimiento de identificación y autenticación es aquel mediante el que se verifica la
identidad del usuario. Existen numerosas opciones entorno a este tipo de procedimientos. El
más habitual es el establecido mediante Usuario y contraseña, aunque existen otros en los
que se utilizan datos biométricos, como la utilización de características biométricas. La
tendencia actual es implementar, en los sistemas de información actuales, al menos 2
contraseñas, una a nivel de Sistema Operativo o a nivel de red, y otra para acceder a la
aplicación que edita los ficheros de carácter personal. En GESDATOS, podrá describir, el
procedimiento de identificación y autenticación en Configuración; Posteriormente podrá
modificarlo en mantenimiento accediendo al módulo Organización y seleccionando el
apartado de Control de acceso lógico.
Art. 105.2 - Establecer mecanismos para evitar que un usuario
91.3 pueda acceder a ficheros no automatizados con
derechos distintos de los autorizados
La información en formato papel que trate cada departamento deberá ser almacenada en un
lugar de acceso restringido a personal ajeno al departamento de modo que garantice que los
datos de carácter personal contenidos en los soportes y documentos no puedan ser
accedidos por usuarios con derechos distintos de los autorizados. Se trata de una medida
técnica que debe reflejarse en el Documento de Seguridad.
11Universidad de Almería. - Manual del responsable de seguridad
Art. 105.2 - Adoptar las medidas para que solo pueda
91.4 conceder, alterar o anular el acceso autorizado a
ficheros no automatizados el personal autorizado
para ello en el documento de seguridad, conforme
a los criterios establecidos por el responsable del
fichero.
La asignación de un determinado espacio de trabajo y los consiguientes accesos a la
documentación, será designado por el Departamento de Recursos Humanos pero el efectivo
acceso a la documentación deberá ser concedido por el Responsable de Seguridad
encargado. Se trata de una medida técnica que debe reflejarse en el Documento de
Seguridad.
Art. 105.2 - Adoptar las medidas oportunas para que el
91.5 personal ajeno que tenga acceso a los ficheros no
automatizados esté sometido a las mismas
condiciones y obligaciones de seguridad que el
personal propio.
GESDATOS también le permite generar Altas de Usuarios y Manuales (en el apartado
FORMACIÓN) para los usuarios externos a la organización. Tenga en cuenta que un usuario
externo es aquél que accede con cierta periodicidad a los lugares físicos para la realización
de las tareas que tenga encomendadas. Normalmente este usuario externo formará parte del
personal de otra empresa con la que deberá tener firmado el preceptivo contrato de acceso a
datos por terceros exigido en el articulo 12 de la LOPD.
COPIA O REPRODUCCIÓN. CONTROL DE COPIAS O REPRODUCCIONES
Art. 112.1 Controlar que únicamente realicen copias de los
documentos que contengan datos de nivel alto las
personas autorizadas en el documento de
seguridad.
El art. 112.1 establece la obligación de controlar que únicamente el personal autorizado
pueda realizar copias de los documentos que contengan datos de nivel alto. Por lo que el
acceso a cualquier dispositivo que permita hacer copias de los documentos deberá quedar
restringido a los Usuarios con acceso autorizado. Se trata de una medida técnica que debe
reflejarse en el Documento de Seguridad.
12Universidad de Almería. - Manual del responsable de seguridad
Art. 112.1 Actualizar el listado de personas autorizadas a
realizar copias de información que contenga datos
de nivel alto
Cuando se da de alta un nuevo usuario en GESDATOS puede reflejarse si está autorizado a
realizar copias de seguridad de documentos en formato papel.
COPIA O REPRODUCCIÓN. DESTRUCCIÓN
Art. 112.2 Redactar y revisar la existencia de un
procedimiento que indique como proceder a la
destrucción de las copias o reproducciones
desechadas que contengan datos de nivel alto de
forma que se evite el acceso a la información
GESDATOS le permite establecer un procedimiento de destrucción de documentos o copias.
Este procedimiento deberá reflejarse en el apartado establecido para Ficheros No
Automatizados: PROCEDIMIENTO DE DESTRUCCIÓN DE DOCUMENTOS.
COPIA O REPRODUCCIÓN. DESTRUCCIÓN.
Art. 112.2 - Proceder a la destrucción de las copias o
105.2 - 92.2 reproducciones de desechadas de forma que se
evite el acceso a la información contenida en las
mismas o su recuperación posterior.
Los art. 112.2 y 92.2 en relación con el 105.2, establecen la obligación de proceder a la
destrucción de los documentos para evitar un acceso no autorizado a la información que
pudieran contener los documentos por lo que deberá disponer en su organización de una
destructora de papel o de un contenedor específico para los documentos o copias de
documento que vayan a desecharse.
FUNCIONES Y OBLIGACIONES DEL PERSONAL
Art. 105.2 - Definir las funciones y obligaciones del personal
89.1 en relación con los ficheros no automatizados
GESDATOS le permite definir las funciones y obligaciones del personal respecto de los
ficheros no automatizados. En el apartado PERSONAL encontrará el subapartado
PROCEDIMIENTOS Y OBLIGACIONES donde puede establecer las funciones, obligaciones
y procedimientos a seguir respecto de este tipo de ficheros.
13Universidad de Almería. - Manual del responsable de seguridad
Art. 105.2 - Documentar las funciones y obligaciones del
89.1 personal en relación con los ficheros no
automatizados
De acuerdo con el RDLOPD, es necesario documentar claramente las funciones y
obligaciones de cada una de las personas con acceso a los datos de carácter personal y a
los sistemas de información. Para ello mediante GESDATOS se dispone de la opción
siguiente: Mediante el Módulo PERSONAL, tanto en CONFIGURACIÓN como en
MANTENIMIENTO, dentro del apartado PROCEDIMIENTOS Y OBLIGACIONES, podrá
definir las funciones y obligaciones de usuarios respecto de los ficheros no automatizados.
Art. 109 Nombrar y en su caso reemplazar a los
responsables de seguridad oportunos (encargados
de coordinar las medidas de seguridad de los
ficheros no automatizados).
En el apartado PERSONAL subapartado RESPONSABLES puede nombrar a los
Responsables de Seguridad especificando el departamento al que pertenece, cargo que
ocupa y ficheros a los que accede. Asimismo, podrá asignar las tareas que asumirá cada
Responsable de Seguridad.
Art. 105 - Adoptar las medidas necesarias para que los
89.2 responsables de seguridad conozcan las normas
de seguridad que afecten al desarrollo de sus
funciones así como las consecuencias en que
pudiera incurrir en caso de incumplimiento
Con GESDATOS puede generar los manuales necesarios para dar formación a los
responsable de seguridad. En el apartado FORMACIÓN, subapartado RESPONSABLES
puede generar unos manuales personalizados en los que se detallan las obligaciones
GESTIÓN DE INCIDENCIAS
Art. 105.2 - Establecer un procedimiento de notificación y
90 gestión de las incidencias relativas a los ficheros
no automatizados
INCIDENCIA: Se trata de cualquier anomalía que pudiera afectar a la seguridad de los datos
de su organización. Muchas de las incidencias pueden ser causadas por un usuario como el
14Universidad de Almería. - Manual del responsable de seguridad
olvido de destrucción de las copias de documentos, generación de copias por personal no
autorizado en el Documento de Seguridad o perdida de documentos durante un traslado de
documentación. También, pueden deberse a un acceso por parte de usuarios no autorizados
a las áreas donde se almacene la documentación que contenga datos de nivel alto. En caso
de que el Responsable no comunique la baja temporal o definitiva de un usuario obligaría a
verificar si se dio con posterioridad un acceso ilícito. Las incidencias pueden tener relación
con el almacenamiento de la documentación, el traslado de la misma, las copias o
reproducciones de documentos o pueden deberse a hechos extraordinarios tales como
incendios, inundaciones o robos. Estos hechos podrían incidir gravemente en la correcta
conservación de los documentos dificultando enormemente la localización de la información
en caso de tener que atender el ejercicio de un derecho por parte de un afectado. Ante estas
situaciones es conveniente que su organización disponga de un procedimiento que le
permita llevar el control y una adecuada gestión de las incidencias. El responsable de
seguridad, tiene a su disposición, en GESDATOS, un módulo específico de gestión de
incidencias denominado INCIDENCIAS. A través del mismo puede fijar el procedimiento de
notificación. En caso de no utilizar GESDATOS para el establecimiento de un procedimiento
de declaración y gestión de las incidencias deberá reflejarlo en el anexo preparado al efecto
en el Documento de Seguridad.
Art. 105.2 - Establecer un registro en el que se haga constar el
90 tipo de incidencia, el momento en que se ha
producido, o en su caso, detectado, la persona que
realiza la notificación, a quién se le comunica, los
efectos que se hubieran derivado de la misma y las
medidas correctoras aplicadas, en relación con los
ficheros no automatizados
En GESDATOS dispone de un apartado específico denominado INCIDENCIAS que le
permite llevar un registro de las incidencias ocurridas en su organización así como de la
resolución de las mismas. Caso de que no se utilice el registro de incidencias que
GESDATOS pone a su disposición deberá cuidar que el registro esté actualizado en el
documento de seguridad existente y que el mismo contenga la información indicada: tipo,
fecha-hora, persona que notifica, a quién se comunica y efectos que produzca la incidencia.
En el documento de seguridad generado por GESDATOS en el apartado modelos dispone
de un modelo de registro de incidencias al efecto.
GESTIÓN DE SOPORTES Y DOCUMENTOS. CRITERIOS DE ARCHIVO
15Universidad de Almería. - Manual del responsable de seguridad
Art. 106 Disponer lo oportuno para que se archiven los
soportes o documentos de acuerdo con criterios
que garanticen la correcta conservación de los
documentos, la localización y consulta de la
información y posibilitar el ejercicio de los
derechos de oposición al tratamiento, acceso,
rectificación y cancelación. (Ello se hará con los
criterios previstos en su respectiva legislación, o
en aquellos casos en los que no exista norma
aplicable, según los criterios y procedimientos que
disponga el responsable del fichero o en quien
delegue este).
El artículo 106 del RDLOPD obliga a que se archiven los soportes o documentos que
contengan datos personales de acuerdo con criterios que garanticen la correcta
conservación de los documentos, la localización y consulta de la información y posibilitar el
ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación. Se
trata de una obligación que consiste en un archivo correcto de los citados documentos y
soportes. GESDATOS le permite inventariar dichos soportes y su localización mediante la
vinculación a una sede concreta. Si el volumen de documentos y soportes de su
organización es pequeño posiblemente ello, unido a una indexación clara de los archivos
será suficiente. Si se trata de una organización con un volumen mayor posiblemente requiera
de alguna herramienta (más o menos específica) que le ayude a cumplir con esta obligación.
Tenga en cuenta que ello se hará con los criterios previstos en su respectiva legislación, o
en aquellos casos en los que no exista norma aplicable, según los criterios y procedimientos
que disponga el responsable del fichero o en quien delegue este.
GESTIÓN DE SOPORTES Y DOCUMENTOS. CUSTODIA
Art. 107 Cuidar que los dispositivos de almacenamiento de
los documentos que contengan datos de carácter
personal dispongan de mecanismos que
obstaculicen su apertura. (Cuando las
características físicas de aquéllos no permitan
adoptar esta medida, el responsable del fichero o
tratamiento adoptará medidas que impidan el
acceso de personas no autorizadas, medida que
podrá consistir en la custodia por parte de quien se
encuentre al cargo).
16Universidad de Almería. - Manual del responsable de seguridad
El artículo 107 del Reglamento establece la obligación de que los dispositivos de
almacenamiento estén dotados de algún mecanismo que impida su apertura. Se trata de una
medida técnica que debe reflejarse en el Documento de Seguridad.
GESTIÓN DE SOPORTES Y DOCUMENTOS. ETIQUETADO
Art. 105.2 - Identificar el tipo de información que contienen los
92.1 soportes y documentos que contengan datos de
carácter personal
En GESDATOS, al igual que se inventarían los soportes informáticos también se inventarían
los soportes no automatizados al describir los sistemas de tratamiento. Cuando introduza los
soportes que contengan datos no automatizados deberá también indicar los ficheros no
automatizados que contiene cada uno de ellos.
Art. 105.2 - Inventariar los soportes y documentos que
92.1 contengan datos de carácter personal
De acuerdo con el Reglamento, en el caso de que en su organización existan soportes o
documentos en formato papel con datos de carácter personal, debe inventariarlos. Para ello
y dado que los habrá dado de alta en fase de configuración, GESDATOS (en el módulo
denominado ORGANIZACIÓN, en mantenimiento), en concreto el apartado Soportes de
almacenamiento le permite dar de alta nuevos soportes o modificar o dar de baja los
existentes. Asimismo el Reglamento obliga a almacenarlos en un lugar seguro con acceso
restringido al personal autorizado.
Art. 105.2 - Adoptar las medidas para que los soportes y
92.1 documentos que contengan datos de carácter
personal sólo sean accesibles por el personal
autorizado para ello en el documento de seguridad.
En GESDATOS, en el apartado de personal, cabe la opción de dar de alta nuevos usuarios,
modificarlos o darlos de baja indicando - en su caso - los niveles de acceso que tienen.
17Universidad de Almería. - Manual del responsable de seguridad
Art. 105.2 - No se etiquetarán cuando las características físicas
92.1 del soporte imposibiliten su cumplimiento,
quedando constancia motivada de ello en el
documento de seguridad
GESDATOS le permite, en aquellos casos en los que las características físicas del soporte
imposibilite el cumplimiento de la obligación anterior, dejar constancia motivada de esta
circunstancia.
Art. 105.2 - Podrán etiquetarse crípticamente (sólo
92.5 comprensibles para los usuarios con acceso
autorizado) cuando contengan datos de carácter
personal que la organización considerase
especialmente sensibles.
En caso de que la organización maneje datos que considere especialmente sensible el
etiquetado de los estos documentos puede hacerse de modo que solo sea comprensible
para la usuarios que vayan a tratar esos datos.
GESTIÓN DE SOPORTES Y DOCUMENTOS. REGISTRO DE SALIDA
Art. 105.2 - La salida de soportes y documentos que
92.2 contengan datos de carácter personal, fuera de los
locales bajo el control del responsable del fichero o
tratamiento deberá ser autorizada por el
responsable del fichero o encontrarse debidamente
autorizada en el documento de seguridad.
Al igual que respecto de los ficheros automatizados, el art. 93.2 del RDLOPD en relación con
el art. 105.2 del RDLOPD, establece que para la salida de soportes o documentos que
contengan datos de carácter personal, debe haber una previa autorización del responsable
del fichero. Cada vez que registre una salida de soportes en GESDATOS, al finalizar el
registro aparecerá una pantalla, mediante la cual, podrá imprimir una autorización para dicha
salida. Dicha autorización deberá imprimirse, firmarse y guardarse debidamente. No
obstante caso de que no se utilice GESDATOS para la gestión de las salidas de soportes
deberá cuidar que el procedimiento utilizado permita recabar la autorización por escrito del
responsable del fichero para cada salida. En el documento de seguridad generado por
GESDATOS en el apartado modelos dispone de un modelo de autorización al efecto.
18Universidad de Almería. - Manual del responsable de seguridad
REGISTRO DE ACCESOS
Art. 113.2 Establecer mecanismos que permitan identificar
los accesos realizados en el caso de documentos
que contengan datos de nivel alto que puedan ser
utilizados por múltiples usuarios
La obligación dispuesta en el artículo 113.2 del RDLOPD de establecer mecanismos que
permitan identificar los accesos realizados en el caso de documentos que contengan datos
de nivel alto que puedan ser utilizados por múltiples usuarios obliga a llevar un control de las
personas que han accedido a dicha información de nivel alto. Se trata de una obligación
cuyo cumplimiento se puede efectuar de diferentes, más o menos complejas, en función no
sólo de la dimensión de la organización sino también de la actividad de la misma. En
organizaciones pequeñas estos se puede realizar de forma rudimentaria mediante la
anotación en un papel o registro informático. Existen sistemas de control de acceso físico
que ya permiten cumplir con esta medida. Aunque el RDLOPD no indica qué información se
debe guardar parece que - como mínimo - se debería conservar el nombre y apellidos del
usuario que ha accedido, la fecha (y posiblemente la hora), y el tipo de acceso: si para
consultar o modificar. Aunque no lo disponga el RDLOPD parece lógico, que al igual que
sucede con el registro de accesos de ficheros automatizados, este registro deberá
custodiarse por persona competente impidiendo el acceso indebido de terceros que impida
su alteración.
Art. 113.3 Revisar periódicamente el registro de los accesos
a datos de nivel alto contenidos en documentos
La información contenida en el fichero de registros de acceso generados deberá ser
revisarse - al menos - mensualmente. Gesdatos permite - una vez analizado dicho registro
de accesos- generar un informe mensual de las incidencias que se hayan producido o no en
relación con dicho registro de accesos. Para ello una vez al mes debe acceder al módulo de
Registro de accesos y a través de la opción Informe mensual, seleccionar el mes
correspondiente. La aplicación generará un informe de acuerdo con los datos que se hayan
ido introduciendo en el apartado Nueva incidencia.
TRASLADO DE DOCUMENTACIÓN
Art. 114 Establecer un procedimiento para que cuando se
proceda al traslado físico de la documentación con
datos de nivel alto contenida en ficheros se
adopten medidas dirigidas a impedir el acceso
19Universidad de Almería. - Manual del responsable de seguridad
La obligación consistente en establecer un procedimiento para que cuando se proceda al
traslado físico de la documentación con datos de nivel alto contenida en ficheros se adopten
medidas dirigidas a impedir el acceso supone a su vez varias obligaciones: Por un lado fijar
dicho procedimiento, por otro lado difundirlo y por ultimo comprobar que se cumple. El
reglamento no detalla cuales son las medidas de seguridad concretas que deberán constar
en el procedimiento pero estas deberán ser seguras. De nuevo estas han de adecuarse al
tipo de información que se trasalada, puesto que aunque toda es información de nivel alto,
dentro de esta parece lógico entender que existe información más o menos sensible. Envíos
con sobre especiales, envíos "mano a mano", con servicios especiales de mensajería, con
dispositivos especiales que garanticen que no se ha accedido a los soportes etc... son
algunos ejemplos.
20Universidad de Almería. - Manual del responsable de seguridad
4. Procedimientos fijados en la organización
A continuación se muestran los diferentes procedimientos fijados por la organización para el
correcto cumplimiento de la normativa en materia de protección de datos.
4.1.Procedimiento de notificación y gestión de
incidencias
4.1.1. Procedimiento para la notificación de incidencias de ficheros
automatizados
La gestión de notificación de incidencias se notificará a través de un enlace de una
cuenta de correo electrónico (incidencias.lopd@ual.es) en la página web de la
comisión de Seguridad informática.
Dicho correo será gestionado por el personal competente que gestionará las
incidencias y llevará un registro de las mismas.
Ficheros afectados
21Universidad de Almería. - Manual del responsable de seguridad
- ACCIÓN SOCIAL
- ALOJAMIENTO RELACIONES INTERNACIONALES
- ALUMNOS ENTRANTES RELACIONES INTERNACIONALES
- ALUMNOS SALIENTES. RELACIONES INTERNACIONALES
- AYUDAS INDIVIDUALES INVESTIGACIÓN
- BECARIOS Y CONTRATOS LABORALES DE INVESTIGACIÓN
- BILINGÜISMO PDI
- BOLSA DE EMPLEO Y PRÁCTICAS EN EMPRESAS
- CLAUSTRO UNIVERSITARIO
- CLIENTES EDITORIAL
- COMPLEMENTOS PRODUCTIVIDAD PAS
- CONSEJO DE GOBIERNO
- CONSULTAS BIBLIOTECA
- CONSULTAS JURÍDICAS
- CONTRATOS OTRI
- CONTROL DE ACCESOS
- CONVENIOS
- DECLARACIONES TRIBUTARIAS
- DIRECTORIO PERSONAL
- EMPRESAS DE BASE TECNOLÓGICA
- ENCUESTAS EVALUACIÓN DE LAS COMPETENECIAS PAS
- ENSEÑANZAS PROPIAS
- ENTREGA DE DOCUMENTOS ARCHIVO
- ENVÍO TÍTULOS A EMBAJADAS Y SUBDELEGACIONES DEL GOBIERNO
- EVALUADORES EXTERNOS
- EXPEDIENTES ACADÉMICOS ALUMNOS
- EXPEDIENTES ADMINISTRATIVOS PAS
- EXPEDIENTES ADMINISTRATIVOS PDI
- EXPEDIENTES ALUMNOS CENTRO DE LENGUAS
- EXPEDIENTES AUTORES
- EXPEDIENTES BECAS Y AYUDAS
- EXPEDIENTES DE CONTRATACIÓN
- EXPEDIENTES LITIGIOS
- EXTENSIÓN UNIVERSITARIA
- FORMACIÓN BIBLIOTECA
- FORMACIÓN DOCENTE
- FORMACIÓN PREVENCIÓN RIESGOS
- GESTIÓN ALQUILER INSTALACIONES
22Universidad de Almería. - Manual del responsable de seguridad
- GESTIÓN CERTIFICACIÓN ELECTRÓNICA
- GESTIÓN DE ACCESO Y ADMISIÓN
- GESTIÓN DE ALOJAMIENTO CON MAYORES
- GESTIÓN DE ALOJAMIENTO PARTICULARES
- GESTIÓN DE LA FORMACIÓN DEL PAS
- GESTIÓN DE OFERTA CIENTÍFICA
- GESTIÓN DE OFERTA CIENTÍFICA
- GESTIÓN INCIDENCIAS STIC
- GESTIÓN PRÉSTAMO INTERBIBLIOTECARIO
- GESTIÓN PUBLICACIONES
- HOMOLOGACIÓN DE TÍTULOS EXTRANJEROS DE DOCTOR
- INFORMACIÓN GENERAL UNIVERSITARIA
- INFORMES DE PREVENCIÓN
- INFORMES GABINETE JURÍDICO
- INTERCAMBIO LINGÜÍSTICO
- LIBRO REGISTRO ENTREGA TITULOS OFICIALES
- MOVILIDAD BILINGÜISMO PDI
- PAS, PDI E INVESTIGADORES RELACIONES INTERNACIONALES
- PATENTES
- PROFESORES FORMACIÓN PAS
- PROVISIÓN Y PROMOCIÓN DEL PERSONAL
- PROYECTOS EUROPEOS DE INVESTIGACIÓN
- PROYECTOS INVESTIGACIÓN
- QUEJAS, CONSULTAS Y RECLAMACIONES DEFENSOR UNIVERSITARIO
- REFEREES
- REGISTRO
- REGISTRO ACCESOS STIC
- SOLICITUDES CONSULTA Y PRÉSTAMO DOCUMENTOS
- SOLICITUDES EJEMPLARES BIBLIOTECA
- SOLICITUDES EXTRAORDINARIAS DIRIGIDAS AL RECTOR
- SOLICITUDES RESERVAS INSTALACIONES DEPORTIVAS
- TRIBUNALES DE EVALUACIÓN PRUEBAS DE ACCESO
- UNIDAD DE DEPORTES
- USUARIOS SERVICIOS STIC
- VIDEO VIGILANCIA
4.1.2. Procedimiento para la notificación de incidencias de ficheros no
automatizados
23Universidad de Almería. - Manual del responsable de seguridad
La gestión de notificación de incidencias se notificará a través de un enlace de una
cuenta de correo electrónico (incidencias.lopd@ual.es) en la página web de la
comisión de Seguridad informática.
Dicho correo será gestionado por el personal competente que gestionará las
incidencias y llevará un registro de las mismas.
Ficheros afectados
24Universidad de Almería. - Manual del responsable de seguridad
- ACCIDENTES E INCIDENTES
- ACCIÓN SOCIAL
- ALOJAMIENTO RELACIONES INTERNACIONALES
- ALUMNOS ENTRANTES RELACIONES INTERNACIONALES
- ALUMNOS SALIENTES. RELACIONES INTERNACIONALES
- ARCHIVO GENERAL
- AYUDAS INDIVIDUALES INVESTIGACIÓN
- BECARIOS Y CONTRATOS LABORALES DE INVESTIGACIÓN
- BILINGÜISMO PDI
- BOLSA DE EMPLEO Y PRÁCTICAS EN EMPRESAS
- CARTAS DE APTITUD
- CLAUSTRO UNIVERSITARIO
- CLIENTES EDITORIAL
- COMPLEMENTOS PRODUCTIVIDAD PAS
- CONSEJO DE GOBIERNO
- CONSULTAS JURÍDICAS
- CONTRATOS FÁBRICA NACIONAL DE MONEDA Y TIMBRE
- CONTRATOS OTRI
- CONTROL DE ACCESOS
- CONVENIOS
- CURRICULUMS RRHH
- EMPRESAS DE BASE TECNOLÓGICA
- ENSEÑANZAS PROPIAS
- ENTREGA DE DOCUMENTOS ARCHIVO
- ENVÍO TÍTULOS A EMBAJADAS Y SUBDELEGACIONES DEL GOBIERNO
- EVALUADORES EXTERNOS
- EXPEDIENTES ACADÉMICOS ALUMNOS
- EXPEDIENTES ADMINISTRATIVOS PAS
- EXPEDIENTES ADMINISTRATIVOS PDI
- EXPEDIENTES ALUMNOS CENTRO DE LENGUAS
- EXPEDIENTES AUTORES
- EXPEDIENTES BECAS Y AYUDAS
- EXPEDIENTES DE CONTRATACIÓN
- EXPEDIENTES LITIGIOS
- EXTENSIÓN UNIVERSITARIA
- FACTURAS
- FICHAS RECONOCIMIENTO DE FIRMAS
- FORMACIÓN DOCENTE
25Universidad de Almería. - Manual del responsable de seguridad
- FORMACIÓN PREVENCIÓN RIESGOS
- GESTIÓN ALQUILER INSTALACIONES
- GESTIÓN DE ACCESO Y ADMISIÓN
- GESTIÓN DE ALOJAMIENTO CON MAYORES
- GESTIÓN DE ALOJAMIENTO PARTICULARES
- GESTIÓN DE LA FORMACIÓN DEL PAS
- GESTIÓN PUBLICACIONES
- GESTIÓN SEGUROS VEHÍCULOS
- GRUPOS DE INVESTIGACIÓN
- HOMOLOGACIÓN DE TÍTULOS EXTRANJEROS DE DOCTOR
- INFORMACIÓN GENERAL UNIVERSITARIA
- INFORMES DE PREVENCIÓN
- INFORMES GABINETE JURÍDICO
- LIBRO REGISTRO ENTREGA TITULOS OFICIALES
- MOVILIDAD BILINGÜISMO PDI
- NÓMINAS PERSONAL
- PAS, PDI E INVESTIGADORES RELACIONES INTERNACIONALES
- PATENTES
- PROVISIÓN Y PROMOCIÓN DEL PERSONAL
- PROYECTOS EUROPEOS DE INVESTIGACIÓN
- PROYECTOS INVESTIGACIÓN
- QUEJAS, CONSULTAS Y RECLAMACIONES DEFENSOR UNIVERSITARIO
- REFEREES
- REGISTRO
- SINIESTROS
- SOLICITUDES CONSULTA Y PRÉSTAMO DOCUMENTOS
- SOLICITUDES EXTRAORDINARIAS DIRIGIDAS AL RECTOR
- SOLICITUDES PRÉSTAMOS USUARIOS EXTERNOS
- SOLICITUDES PRETÍTULOS
- SOLICITUDES RESERVAS INSTALACIONES DEPORTIVAS
- TRIBUNALES DE EVALUACIÓN PRUEBAS DE ACCESO
- UNIDAD DE DEPORTES
- USUARIOS SERVICIOS STIC
4.2.Procedimientos de entrada y salida de
soportes y documentos
26También puede leer
