Universidad de Almería. - Manual de responsable de seguridad en materia de protección de datos de carácter

Manual de responsable de seguridad en
materia de protección de datos de carácter
          personal de la entidad

 Universidad de Almería.

  ADAPTADO AL REAL DECRETO 1720/2007




           Mayo de 2011
Universidad de Almería. - Manual del responsable de seguridad



                                                                   Índice



1. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
2. Funciones y obligaciones del responsable de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
3. Explicación de las funciones y obligaciones encomendadas al responsable . . . . . . . . . . . . . . . . . . .5
3.1. Tareas que garantizan el cumplimiento del RDLOPD para FFAA . . . . . . . . . . . . . . . . . . . . . . . . . .5
3.2. Tareas que garantizan el cumplimiento del RDLOPD para FFNA . . . . . . . . . . . . . . . . . . . . . . . . . .7
4. Procedimientos fijados en la organización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
4.1.Procedimiento de notificación y gestión de incidencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
4.1.1. Procedimiento para la notificación de incidencias de ficheros automatizados . . . . . . . . . . . . . .21
4.1.2. Procedimiento para la notificación de incidencias de ficheros no automatizados . . . . . . . . . . .23
4.2.Procedimientos de entrada y salida de soportes y documentos . . . . . . . . . . . . . . . . . . . . . . . . . . .26
4.2.1. Procedimiento de registro de entrada de soportes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27
4.2.2. Procedimiento de registro de salida de soportes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31
4.3.Procedimientos de gestión de usuarios de los ficheros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36
4.3.1. Procedimiento de alta de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36
4.3.2. Procedimiento de baja de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41
4.4.Procedimiento de desechado y reutilización de soportes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45
4.4.1. Procedimiento de desechado y reutilización de soportes automatizados . . . . . . . . . . . . . . . . . .45
4.4.2. Procedimiento de desechado y reutilización de soportes no automatizados . . . . . . . . . . . . . . .48
4.5. Procedimiento para los envíos telemáticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .51
4.6. Procedimiento para el uso del correo electrónico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .54
4.7. Procedimiento ante solicitudes de ejercicio de derechos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57
4.8.Procedimientos de archivo y custodia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .62
4.8.1. Procedimiento de custodia de soportes no automatizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . .62
4.8.2. Procedimiento de archivo de ficheros no automatizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .65
4.8.3. Procedimiento de restricción de acceso a ficheros no automatizados . . . . . . . . . . . . . . . . . . . .68
4.9. Procedimiento de copia y reproducción de documentos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .71
4.10. Procedimiento de traslado de documentación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .74
5. Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .77




                                                                           II
Universidad de Almería. - Manual del responsable de seguridad




1. Introducción

La protección de los datos de carácter personal de los ciudadanos ha sido regulada por el
legislador español mediante la L.O. 15/1999 (en adelante LOPD), que establece toda una
serie de medidas de obligado cumplimiento para aquellas entidades que, en el ejercicio de
su actividad, sometan a tratamiento este tipo de datos. A su vez el Reglamento de Desarrollo
de la LOPD (RD 1720/2007 o RDLOPD) desarrolla lo previsto en la LOPD. Para coordinar
tales medidas el RDLOPD contempla la figura del responsable de seguridad. A su vez en
ocasiones existen determinadas funciones que conviene delegar en responsables de
seguridad delegados (de aspectos jurídico organizativos y técnicos respectivamente).




Para coordinar tales medidas el RDLOPD contempla la figura del responsable/s de
seguridad.

Es objeto de este manual detallar las funciones que al responsable de seguridad Carmen
Alicia García de Universidad de Almería. le corresponden así como darle pautas al mismo
para que conozca como ejecutar las tareas que le corresponden.




2. Funciones y obligaciones del responsable de
seguridad



      "En el documento de seguridad deberán designarse uno o varios
     responsables de seguridad encargados de coordinar y controlar las medidas
     definidas en el mismo. Esta designación puede ser única para todos los
     ficheros o tratamientos de datos de carácter personal o diferenciada según
     los sistemas de tratamiento utilizados, circunstancia que deberá hacerse
     constar claramente en el documento de seguridad.
     En ningún caso esta designación supone una exoneración de la
     responsabilidad que corresponde al responsable del fichero o al encargado
     del tratamiento de acuerdo con este Reglamento." Artículo 95 RDLOPD.




                                                           1
Universidad de Almería. - Manual del responsable de seguridad




El Responsable de Seguridad es el encargado de autorizar, coordinar, controlar y en algunos
supuestos ejecutar las medidas definidas en el documento seguridad.



Corresponde al Responsable de Seguridad, por si mismo o a través del
responsable delegado, cumplir con las siguientes obligaciones:

-    Someter los sistemas de información, al menos cada 2 años, a una auditoría interna o
     externa que verifique el cumplimiento del Reglamento, procedimientos e instrucciones.
     (El informe de auditoría dictaminará sobre la adecuación de las medidas y controles,
     identificará deficiencias y propondrá medidas correctoras o complementarias. Deberá
     incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y
     recomendaciones propuestas. ART. 96.2.)
-    Analizar el informe de auditoría y elevar las conclusiones al responsable del fichero para
     que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia
     de Protección de Datos
-    Implantar (o, en su caso, modificar) controles periódicos para verificar el cumplimiento de
     lo establecido en el documento de seguridad
-    Revisar los controles periódicos para verificar el cumplimiento de lo establecido en el
     documento de seguridad
-    Controlar que sólo el personal autorizado a ello pueda acceder a la información en papel
     de nivel alto.
-    Actualizar el listado de personal autorizado a acceder a datos personales en soporte
     papel de nivel alto
-    Cuidar que los armarios y archivadores que contengan información con datos personales
     de nivel alto se encuentren en áreas en las que el acceso esté protegido con puertas de
     acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente.
-    Cuidar que las áreas en que se encuentren los armarios y archivadores que contengan
     información con datos personales de nivel alto permanezcan cerradas cuando no sea
     preciso el acceso a los documentos que contienen. (Salvo que atendidas las
     características de los locales no fuera posible disponer de áreas cerradas en cuyo caso
     el responsable adoptará medidas alternativas que, debidamente motivadas, se incluirán
     en el documento de seguridad).
-    Someter los sistemas de información, al menos cada 2 años, a una auditoría interna o
     externa que verifique el cumplimiento de las medidas de seguridad exigidas para los
     ficheros no automatizados.
-    Analizar el informe de auditoría y elevar las conclusiones al responsable del fichero para
     que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia
     de Protección de Datos
-    Adoptar las medidas oportunas para que el acceso de los usuarios esté limitado a los
     recursos que precisen para el desarrollo de sus funciones.



                                                           2
Universidad de Almería. - Manual del responsable de seguridad


-    Confeccionar y mantener una relación actualizada de usuarios y perfiles de usuarios a
     ficheros no automatizados, y los accesos autorizados para cada uno de ellos
-    Establecer mecanismos para evitar que un usuario pueda acceder a ficheros no
     automatizados con derechos distintos de los autorizados
-    Adoptar las medidas para que solo pueda conceder, alterar o anular el acceso
     autorizado a ficheros no automatizados el personal autorizado para ello en el documento
     de seguridad, conforme a los criterios establecidos por el responsable del fichero.
-    Adoptar las medidas oportunas para que el personal ajeno que tenga acceso a los
     ficheros no automatizados esté sometido a las mismas condiciones y obligaciones de
     seguridad que el personal propio.
-    Controlar que únicamente realicen copias de los documentos que contengan datos de
     nivel alto las personas autorizadas en el documento de seguridad.
-    Actualizar el listado de personas autorizadas a realizar copias de información que
     contenga datos de nivel alto
-    Redactar y revisar la existencia de un procedimiento que indique como proceder a la
     destrucción de las copias o reproducciones desechadas que contengan datos de nivel
     alto de forma que se evite el acceso a la información
-    Proceder a la destrucción de las copias o reproducciones de desechadas de forma que
     se evite el acceso a la información contenida en las mismas o su recuperación posterior.
-    Definir las funciones y obligaciones del personal en relación con los ficheros no
     automatizados
-    Documentar las funciones y obligaciones del personal en relación con los ficheros no
     automatizados
-    Nombrar y en su caso reemplazar a los responsables de seguridad oportunos
     (encargados de coordinar las medidas de seguridad de los ficheros no automatizados).
-    Adoptar las medidas necesarias para que los responsables de seguridad conozcan las
     normas de seguridad que afecten al desarrollo de sus funciones así como las
     consecuencias en que pudiera incurrir en caso de incumplimiento
-    Establecer un procedimiento de notificación y gestión de las incidencias relativas a los
     ficheros no automatizados
-    Establecer un registro en el que se haga constar el tipo de incidencia, el momento en
     que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a
     quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas
     correctoras aplicadas, en relación con los ficheros no automatizados
-    Disponer lo oportuno para que se archiven los soportes o documentos de acuerdo con
     criterios que garanticen la correcta conservación de los documentos, la localización y
     consulta de la información y posibilitar el ejercicio de los derechos de oposición al
     tratamiento, acceso, rectificación y cancelación. (Ello se hará con los criterios previstos
     en su respectiva legislación, o en aquellos casos en los que no exista norma aplicable,
     según los criterios y procedimientos que disponga el responsable del fichero o en quien
     delegue este).




                                                           3
Universidad de Almería. - Manual del responsable de seguridad


-    Cuidar que los dispositivos de almacenamiento de los documentos que contengan datos
     de carácter personal dispongan de mecanismos que obstaculicen su apertura. (Cuando
     las características físicas de aquéllos no permitan adoptar esta medida, el responsable
     del fichero o tratamiento adoptará medidas que impidan el acceso de personas no
     autorizadas, medida que podrá consistir en la custodia por parte de quien se encuentre
     al cargo).
-    Identificar el tipo de información que contienen los soportes y documentos que
     contengan datos de carácter personal
-    Inventariar los soportes y documentos que contengan datos de carácter personal
-    Adoptar las medidas para que los soportes y documentos que contengan datos de
     carácter personal sólo sean accesibles por el personal autorizado para ello en el
     documento de seguridad.
-    No se etiquetarán cuando las características físicas del soporte imposibiliten su
     cumplimiento, quedando constancia motivada de ello en el documento de seguridad
-    Podrán etiquetarse crípticamente (sólo comprensibles para los usuarios con acceso
     autorizado) cuando contengan datos de carácter personal que la organización
     considerase especialmente sensibles.
-    La salida de soportes y documentos que contengan datos de carácter personal, fuera de
     los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada
     por el responsable del fichero o encontrarse debidamente autorizada en el documento
     de seguridad.
-    Establecer mecanismos que permitan identificar los accesos realizados en el caso de
     documentos que contengan datos de nivel alto que puedan ser utilizados por múltiples
     usuarios
-    Revisar periódicamente el registro de los accesos a datos de nivel alto contenidos en
     documentos
-    Establecer un procedimiento para que cuando se proceda al traslado físico de la
     documentación con datos de nivel alto contenida en ficheros se adopten medidas
     dirigidas a impedir el acceso
-    Con carácter extraordinario realizar dicha auditoría siempre que se realicen
     modificaciones sustanciales en el sistema de información que puedan repercutir en el
     cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la
     adaptación, adecuación y eficacia de las mismas (Esta auditoría inicia el cómputo de dos
     años para la realización de la auditoría bienal del artículo 96.1. RDLOPD)




                                                           4
Universidad de Almería. - Manual del responsable de seguridad




3. Explicación de las funciones y obligaciones
encomendadas al responsable

A continuación se presenta, en relación con cada una de las tareas asignadas al
responsable, una explicación de la ejecución de las mismas.


NOTA IMPORTANTE: Ya que muchas de ellas han de ejecutarse utilizando funcionalidades
de GESDATOS el responsable deberá tener en cuenta los manuales sobre GESDATOS que
en la guía de ayuda de GESDATOS existen.




3.1. Tareas relativas a medidas que garanticen
el cumplimiento de las medidas de seguridad
que detalla el reglamento de desarrollo de la
LOPD para ficheros automatizados.

AUDITORÍA

                  Art. 96.1            Con carácter extraordinario realizar dicha auditoría
                                       siempre que se realicen modificaciones
                                       sustanciales en el sistema de información que
                                       puedan repercutir en el cumplimiento de las
                                       medidas de seguridad implantadas con el objeto de
                                       verificar la adaptación, adecuación y eficacia de las
                                       mismas (Esta auditoría inicia el cómputo de dos
                                       años para la realización de la auditoría bienal del
                                       artículo 96.1. RDLOPD)
Esta obligación supone auditar los sistemas de información cuando se produzcan
modificaciones sustanciales en el sistema de información que puedan repercutir en el
cumplimiento de las medidas de seguridad. El objeto de esta auditoria será verificar la
adaptación, adecuación y eficacia de las nuevas medidas de seguridad implantadas. Esta
auditoría iniciará el cómputo de dos años para la realización de la auditoría legalmente
establecida. GESDATOS le permite (en cualquier modalidad contratada) llevar un control de
las auditorías efectuadas. Acceda al módulo CONTROLES y acceda a AUDITORÍAS. Allí




                                                           5
Universidad de Almería. - Manual del responsable de seguridad


podrá subir el informe de auditoría que se haya realizado en formato electrónico consignado
los datos identificativos del mismo.




                  Art. 96.1            Someter los sistemas de información, al menos
                                       cada 2 años, a una auditoría interna o externa que
                                       verifique el cumplimiento del Reglamento,
                                       procedimientos e instrucciones. (El informe de
                                       auditoría dictaminará sobre la adecuación de las
                                       medidas y controles, identificará deficiencias y
                                       propondrá medidas correctoras o
                                       complementarias. Deberá incluir los datos, hechos
                                       y observaciones en que se basen los dictámenes
                                       alcanzados y recomendaciones propuestas. ART.
                                       96.2.)
Esta obligación de someter los sistemas de información, al menos cada 2 años, a una
auditoría interna o externa que verifique el cumplimiento del Reglamento, procedimientos e
instrucciones supone la remisión en bloque a todo lo relativo a las auditorias en protección
de datos. GESDATOS le permite (en cualquier modalidad contratada) llevar un control de las
auditorías efectuadas. Acceda al módulo CONTROLES y acceda a AUDITORÍAS. Allí podrá
subir el informe de auditoría que se haya realizado en formato electrónico consignado los
datos identificativos del mismo. Si desea realizar la auditoria en protección de datos que
exige el reglamento en relación con los ficheros automatizados o desea realizarla sobre las
medidas de seguridad relativas a ficheros automatizados, incluso si desea realizar una
auditoria voluntaria sobre las obligaciones y principios que recoge la LOPD puede utilizar (si
lo ha contratado) el módulo de auditorías de GESDATOS.




                  Art. 96.3            Analizar el informe de auditoría y elevar las
                                       conclusiones al responsable del fichero para que
                                       adopte las medidas correctoras adecuadas y
                                       quedarán a disposición de la Agencia de
                                       Protección de Datos
El informe de auditoría (bien realizado con el módulo de auditorías de GESDATOS bien de
otro modo) debe ser analizado por el responsable de seguridad y elevar las conclusiones al
responsable del fichero (a través de su representante)para que este adopte las medidas
correctoras adecuadas. Asimismo deberá guardarse y quedar a disposición de la Agencia de
Protección de Datos. Para facilitarle esta obligación GESDATOS le ofrece la siguiente




                                                           6
Universidad de Almería. - Manual del responsable de seguridad


funcionalidad: acceda al módulo CONTROLES y acceda a AUDITORÍAS. Allí podrá subir el
informe de auditoría que se haya realizado en formato electrónico.


CONTROLES PERIÓDICOS

                  Art. 88.7            Implantar (o, en su caso, modificar) controles
                                       periódicos para verificar el cumplimiento de lo
                                       establecido en el documento de seguridad
El art. 15 del reglamento de medidas de seguridad establece que se deberán realizar
controles periódicos para verificar el cumplimiento de lo dispuesto en el documento de
seguridad. En GESDATOS, se dispone de un módulo denominado CONTROLES, y dentro
del mismo, puede elegir la opción de CONTROLES PERIÓDICOS, que le permitirá realizar
dichos controles con la periodicidad establecida en relación con cada uno de los
responsables de seguridad y - en su caso - gestores de fichero concreto que se hayan
designado. La tarea consistente en implantar (o en su caso modificar) los controles supone
poner en marcha o modificar dicho sistema de controles, particularmente su periodicidad.El
art. 15 del reglamento de medidas de seguridad establece que se deberán realizar controles
periódicos para verificar el cumplimiento de lo dispuesto en el documento de seguridad.




                  Art. 88.7            Revisar los controles periódicos para verificar el
                                       cumplimiento de lo establecido en el documento de
                                       seguridad
Revisar los citados controles supone pasar los citados controles en el apartado controles
periódicos de GESDATOS y revisar la realización o no de las tareas que en dichos controles
se han asignado a cada persona. Ello supondrá -como consecuencia lógica- que en el
apartado tareas pendientes se genere el correspondiente pdf que deberá imprimirse,
firmarse y guardarse. También podrá guardarse el citado pdf en la zona de recursos en una
carpeta denominada controles periódicos (en el citado formato pdf) y con la fecha de cada
control y nombre del responsable. Ejemplo. Control241006juanperez.pdf



3.2. Tareas relativas a medidas que garanticen
el cumplimiento de las medidas de seguridad
que detalla el reglamento de desarrollo de la
LOPD para ficheros no automatizados.


                                                           7
Universidad de Almería. - Manual del responsable de seguridad


ACCESO A LA DOCUMENTACIÓN

                  Art. 113.1           Controlar que sólo el personal autorizado a ello
                                       pueda acceder a la información en papel de nivel
                                       alto.
Cuando se genera un Alta de Usuario o de Responsable en GESDATOS se puede
especificar los ficheros a los que accede y la modalidad del acceso. El responsable de
seguridad deberá velar porque esta medida se cumpla de modo que solo tengan acceso a
los documentos que contengan datos personales de nivel alto el personal autorizado a ello
conforme a su Alta de Usuario firmada.




                  Art. 113.1           Actualizar el listado de personal autorizado a
                                       acceder a datos personales en soporte papel de
                                       nivel alto
Del mismo nodo que para los ficheros en formato automatizado, el listado de los usuarios
con acceso autorizado a los ficheros en formato papel deberá mantenerse actualizada.


ALMACENAMIENTO DE INFORMACIÓN

                  Art. 111.1           Cuidar que los armarios y archivadores que
                                       contengan información con datos personales de
                                       nivel alto se encuentren en áreas en las que el
                                       acceso esté protegido con puertas de acceso
                                       dotadas de sistemas de apertura mediante llave u
                                       otro dispositivo equivalente.
El artículo 111 del Reglamento establece la obligación de que los armarios y archivadores
donde se almacenen documentos que contengan información con datos de nivel alto se
encuentren en áreas en las que el acceso esté protegido con puertas dotadas de sistemas
de apertura mediante llave y otro dispositivo equivalente. Asimismo, si estas medidas,
atendidas las características de los locales, fueran imposible adoptarlas deberá dejar
constancia motivada de ello en el Documento de Seguridad. GESDATOS le permite reflejar
las medidas adoptadas o, en su caso, los motivos por los que no puede adoptarse las
medidas de seguridad exigidas.




                                                           8
Universidad de Almería. - Manual del responsable de seguridad



                 Art. 111.1 -          Cuidar que las áreas en que se encuentren los
               111.2                   armarios y archivadores que contengan
                                       información con datos personales de nivel alto
                                       permanezcan cerradas cuando no sea preciso el
                                       acceso a los documentos que contienen. (Salvo
                                       que atendidas las características de los locales no
                                       fuera posible disponer de áreas cerradas en cuyo
                                       caso el responsable adoptará medidas alternativas
                                       que, debidamente motivadas, se incluirán en el
                                       documento de seguridad).
Los procedimientos de gestión de documentos deberán especificar esta medida a fin de que
todos los Usuarios conozcan esta obligación. No obstante, en los manuales que pueden
generarse con GESDATOS encontrará el procedimiento establecido al efecto.


AUDITORÍA

                  Art. 110             Someter los sistemas de información, al menos
                                       cada 2 años, a una auditoría interna o externa que
                                       verifique el cumplimiento de las medidas de
                                       seguridad exigidas para los ficheros no
                                       automatizados.
Esta obligación de someter los sistemas de información, al menos cada 2 años, a una
auditoría interna o externa que verifique el cumplimiento del Reglamento, procedimientos e
instrucciones supone la remisión en bloque a todo lo relativo a las auditorias en protección
de datos. GESDATOS le permite (en cualquier modalidad contratada) llevar un control de las
auditorías efectuadas. Acceda al módulo CONTROLES y acceda a AUDITORÍAS. Allí podrá
subir el informe de auditoría que se haya realizado en formato electrónico consignado los
datos identificativos del mismo. Si desea realizar la auditoria en protección de datos que
exige el reglamento en relación con los ficheros automatizados o desea realizarla sobre las
medidas de seguridad relativas a ficheros automatizados, incluso si desea realizar una
auditoria voluntaria sobre las obligaciones y principios que recoge la LOPD puede utilizar (si
lo ha contratado) el módulo de auditorías de GESDATOS.




                                                           9
Universidad de Almería. - Manual del responsable de seguridad



                  Art. 110             Analizar el informe de auditoría y elevar las
                                       conclusiones al responsable del fichero para que
                                       adopte las medidas correctoras adecuadas y
                                       quedarán a disposición de la Agencia de
                                       Protección de Datos
El informe de auditoría (bien realizado con el módulo de auditorías de GESDATOS bien de
otro modo) debe ser analizado por el responsable de seguridad y elevar las conclusiones al
responsable del fichero (a través de su representante)para que este adopte las medidas
correctoras adecuadas. Asimismo deberá guardarse y quedar a disposición de la Agencia de
Protección de Datos. Para facilitarle esta obligación GESDATOS le ofrece la siguiente
funcionalidad: acceda al módulo CONTROLES y acceda a AUDITORÍAS. Allí podrá subir el
informe de auditoría que se haya realizado en formato electrónico.


CONTROL DE ACCESOS

                 Art. 105.2 -          Adoptar las medidas oportunas para que el acceso
               91.1                    de los usuarios esté limitado a los recursos que
                                       precisen para el desarrollo de sus funciones.
La medida consistente en que el acceso de los usuarios esté limitado a los recursos que
precisen para el desarrollo de sus funciones se trata de un hecho físico, es decir, una
medida física que no de cumple con GESDATOS sino que deberán articularse los medios
físicos para que el acceso físico a los datos personales en soporte papel sólo sea posible por
aquellos que tienen acceso autorizado. No obstante si que GESDATOS obliga a llevar un
listado de los usuarios autorizados en el cual se establecen los accesos de los usuarios a los
ficheros, tanto automatizados como no automatizados. También con GESDATOS se definen
las funciones y obligaciones de los usuarios, una de las cuales sería la de no acceder a
datos o recursos no autorizados.




                 Art. 105.2 -          Confeccionar y mantener una relación actualizada
               91.2                    de usuarios y perfiles de usuarios a ficheros no
                                       automatizados, y los accesos autorizados para
                                       cada uno de ellos
RELACIÓN ACTUALIZADA DE USUARIOS Existen diferentes opciones para mantener una
relación actualizada de usuarios: - Listado de usuarios: en los que se especifique a que
ficheros acceden los mismos. Para ello tiene a su disposición en GESDATOS de un módulo
denominado PERSONAL, mediante el cual puede dar de alta a los usuarios y especificar
acceso y tipo de acceso, departamento, etc. Este módulo es fácilmente actualizable, dada su
facilidad para dar de alta, modificar o dar de baja usuarios. Puede utilizar su propio listado de



                                                          10
Universidad de Almería. - Manual del responsable de seguridad


usuarios. - Listado de perfiles: Otra de las opciones sería mantener actualizado un listado de
perfiles de acceso de la organización, teniendo como complemento una relación de usuarios
a los que se les asignaría su correspondiente perfil. Asimismo, se debería indicar cual es el
sistema utilizado y la forma de obtener el listado. La AEPD permite que la relación
actualizada de usuarios se mantenga de forma informatizada, pero, en ese caso, se deberá
indicar en el Documento de Seguridad cual es el sistema utilizado y la forma de obtener el
listado. Asimismo, establece que, siempre que sea posible, es conveniente imprimir la
relación de usuarios y adjuntarla periódicamente al documento de seguridad. Además de
todo, se debería mantener una relación actualizada de los terceros que acceden a los datos
para la prestación de un servicio. PROCEDIMIENTO DE IDENTIFICACIÓN Y
AUTENTICACIÓN El Reglamento de Desarrollo de la LOPD (RDLOPD) establece que el
Responsable del Fichero se encargará de que exista un procedimiento de identificación y
autenticación para permitir el acceso de los usuarios a los datos de carácter personal. El
procedimiento de identificación y autenticación es aquel mediante el que se verifica la
identidad del usuario. Existen numerosas opciones entorno a este tipo de procedimientos. El
más habitual es el establecido mediante Usuario y contraseña, aunque existen otros en los
que se utilizan datos biométricos, como la utilización de características biométricas. La
tendencia actual es implementar, en los sistemas de información actuales, al menos 2
contraseñas, una a nivel de Sistema Operativo o a nivel de red, y otra para acceder a la
aplicación que edita los ficheros de carácter personal. En GESDATOS, podrá describir, el
procedimiento de identificación y autenticación en Configuración; Posteriormente podrá
modificarlo en mantenimiento accediendo al módulo Organización y seleccionando el
apartado de Control de acceso lógico.




                 Art. 105.2 -          Establecer mecanismos para evitar que un usuario
               91.3                    pueda acceder a ficheros no automatizados con
                                       derechos distintos de los autorizados
La información en formato papel que trate cada departamento deberá ser almacenada en un
lugar de acceso restringido a personal ajeno al departamento de modo que garantice que los
datos de carácter personal contenidos en los soportes y documentos no puedan ser
accedidos por usuarios con derechos distintos de los autorizados. Se trata de una medida
técnica que debe reflejarse en el Documento de Seguridad.




                                                          11
Universidad de Almería. - Manual del responsable de seguridad



                 Art. 105.2 -          Adoptar las medidas para que solo pueda
               91.4                    conceder, alterar o anular el acceso autorizado a
                                       ficheros no automatizados el personal autorizado
                                       para ello en el documento de seguridad, conforme
                                       a los criterios establecidos por el responsable del
                                       fichero.
La asignación de un determinado espacio de trabajo y los consiguientes accesos a la
documentación, será designado por el Departamento de Recursos Humanos pero el efectivo
acceso a la documentación deberá ser concedido por el Responsable de Seguridad
encargado. Se trata de una medida técnica que debe reflejarse en el Documento de
Seguridad.




                 Art. 105.2 -          Adoptar las medidas oportunas para que el
               91.5                    personal ajeno que tenga acceso a los ficheros no
                                       automatizados esté sometido a las mismas
                                       condiciones y obligaciones de seguridad que el
                                       personal propio.
GESDATOS también le permite generar Altas de Usuarios y Manuales (en el apartado
FORMACIÓN) para los usuarios externos a la organización. Tenga en cuenta que un usuario
externo es aquél que accede con cierta periodicidad a los lugares físicos para la realización
de las tareas que tenga encomendadas. Normalmente este usuario externo formará parte del
personal de otra empresa con la que deberá tener firmado el preceptivo contrato de acceso a
datos por terceros exigido en el articulo 12 de la LOPD.


COPIA O REPRODUCCIÓN. CONTROL DE COPIAS O REPRODUCCIONES

                  Art. 112.1           Controlar que únicamente realicen copias de los
                                       documentos que contengan datos de nivel alto las
                                       personas autorizadas en el documento de
                                       seguridad.
El art. 112.1 establece la obligación de controlar que únicamente el personal autorizado
pueda realizar copias de los documentos que contengan datos de nivel alto. Por lo que el
acceso a cualquier dispositivo que permita hacer copias de los documentos deberá quedar
restringido a los Usuarios con acceso autorizado. Se trata de una medida técnica que debe
reflejarse en el Documento de Seguridad.




                                                          12
Universidad de Almería. - Manual del responsable de seguridad



                  Art. 112.1           Actualizar el listado de personas autorizadas a
                                       realizar copias de información que contenga datos
                                       de nivel alto
Cuando se da de alta un nuevo usuario en GESDATOS puede reflejarse si está autorizado a
realizar copias de seguridad de documentos en formato papel.


COPIA O REPRODUCCIÓN. DESTRUCCIÓN

                  Art. 112.2           Redactar y revisar la existencia de un
                                       procedimiento que indique como proceder a la
                                       destrucción de las copias o reproducciones
                                       desechadas que contengan datos de nivel alto de
                                       forma que se evite el acceso a la información
GESDATOS le permite establecer un procedimiento de destrucción de documentos o copias.
Este procedimiento deberá reflejarse en el apartado establecido para Ficheros No
Automatizados: PROCEDIMIENTO DE DESTRUCCIÓN DE DOCUMENTOS.


COPIA O REPRODUCCIÓN. DESTRUCCIÓN.

                 Art. 112.2 -          Proceder a la destrucción de las copias o
               105.2 - 92.2            reproducciones de desechadas de forma que se
                                       evite el acceso a la información contenida en las
                                       mismas o su recuperación posterior.
Los art. 112.2 y 92.2 en relación con el 105.2, establecen la obligación de proceder a la
destrucción de los documentos para evitar un acceso no autorizado a la información que
pudieran contener los documentos por lo que deberá disponer en su organización de una
destructora de papel o de un contenedor específico para los documentos o copias de
documento que vayan a desecharse.


FUNCIONES Y OBLIGACIONES DEL PERSONAL

                 Art. 105.2 -          Definir las funciones y obligaciones del personal
               89.1                    en relación con los ficheros no automatizados
GESDATOS le permite definir las funciones y obligaciones del personal respecto de los
ficheros no automatizados. En el apartado PERSONAL encontrará el subapartado
PROCEDIMIENTOS Y OBLIGACIONES donde puede establecer las funciones, obligaciones
y procedimientos a seguir respecto de este tipo de ficheros.




                                                          13
Universidad de Almería. - Manual del responsable de seguridad



                 Art. 105.2 -          Documentar las funciones y obligaciones del
               89.1                    personal en relación con los ficheros no
                                       automatizados
De acuerdo con el RDLOPD, es necesario documentar claramente las funciones y
obligaciones de cada una de las personas con acceso a los datos de carácter personal y a
los sistemas de información. Para ello mediante GESDATOS se dispone de la opción
siguiente: Mediante el Módulo PERSONAL, tanto en CONFIGURACIÓN como en
MANTENIMIENTO, dentro del apartado PROCEDIMIENTOS Y OBLIGACIONES, podrá
definir las funciones y obligaciones de usuarios respecto de los ficheros no automatizados.




                  Art. 109             Nombrar y en su caso reemplazar a los
                                       responsables de seguridad oportunos (encargados
                                       de coordinar las medidas de seguridad de los
                                       ficheros no automatizados).
En el apartado PERSONAL subapartado RESPONSABLES puede nombrar a los
Responsables de Seguridad especificando el departamento al que pertenece, cargo que
ocupa y ficheros a los que accede. Asimismo, podrá asignar las tareas que asumirá cada
Responsable de Seguridad.




                 Art. 105 -            Adoptar las medidas necesarias para que los
               89.2                    responsables de seguridad conozcan las normas
                                       de seguridad que afecten al desarrollo de sus
                                       funciones así como las consecuencias en que
                                       pudiera incurrir en caso de incumplimiento
Con GESDATOS puede generar los manuales necesarios para dar formación a los
responsable de seguridad. En el apartado FORMACIÓN, subapartado RESPONSABLES
puede generar unos manuales personalizados en los que se detallan las obligaciones


GESTIÓN DE INCIDENCIAS

                 Art. 105.2 -          Establecer un procedimiento de notificación y
               90                      gestión de las incidencias relativas a los ficheros
                                       no automatizados
INCIDENCIA: Se trata de cualquier anomalía que pudiera afectar a la seguridad de los datos
de su organización. Muchas de las incidencias pueden ser causadas por un usuario como el



                                                          14
Universidad de Almería. - Manual del responsable de seguridad


olvido de destrucción de las copias de documentos, generación de copias por personal no
autorizado en el Documento de Seguridad o perdida de documentos durante un traslado de
documentación. También, pueden deberse a un acceso por parte de usuarios no autorizados
a las áreas donde se almacene la documentación que contenga datos de nivel alto. En caso
de que el Responsable no comunique la baja temporal o definitiva de un usuario obligaría a
verificar si se dio con posterioridad un acceso ilícito. Las incidencias pueden tener relación
con el almacenamiento de la documentación, el traslado de la misma, las copias o
reproducciones de documentos o pueden deberse a hechos extraordinarios tales como
incendios, inundaciones o robos. Estos hechos podrían incidir gravemente en la correcta
conservación de los documentos dificultando enormemente la localización de la información
en caso de tener que atender el ejercicio de un derecho por parte de un afectado. Ante estas
situaciones es conveniente que su organización disponga de un procedimiento que le
permita llevar el control y una adecuada gestión de las incidencias. El responsable de
seguridad, tiene a su disposición, en GESDATOS, un módulo específico de gestión de
incidencias denominado INCIDENCIAS. A través del mismo puede fijar el procedimiento de
notificación. En caso de no utilizar GESDATOS para el establecimiento de un procedimiento
de declaración y gestión de las incidencias deberá reflejarlo en el anexo preparado al efecto
en el Documento de Seguridad.




                 Art. 105.2 -          Establecer un registro en el que se haga constar el
               90                      tipo de incidencia, el momento en que se ha
                                       producido, o en su caso, detectado, la persona que
                                       realiza la notificación, a quién se le comunica, los
                                       efectos que se hubieran derivado de la misma y las
                                       medidas correctoras aplicadas, en relación con los
                                       ficheros no automatizados
En GESDATOS dispone de un apartado específico denominado INCIDENCIAS que le
permite llevar un registro de las incidencias ocurridas en su organización así como de la
resolución de las mismas. Caso de que no se utilice el registro de incidencias que
GESDATOS pone a su disposición deberá cuidar que el registro esté actualizado en el
documento de seguridad existente y que el mismo contenga la información indicada: tipo,
fecha-hora, persona que notifica, a quién se comunica y efectos que produzca la incidencia.
En el documento de seguridad generado por GESDATOS en el apartado modelos dispone
de un modelo de registro de incidencias al efecto.


GESTIÓN DE SOPORTES Y DOCUMENTOS. CRITERIOS DE ARCHIVO




                                                          15
Universidad de Almería. - Manual del responsable de seguridad



                  Art. 106             Disponer lo oportuno para que se archiven los
                                       soportes o documentos de acuerdo con criterios
                                       que garanticen la correcta conservación de los
                                       documentos, la localización y consulta de la
                                       información y posibilitar el ejercicio de los
                                       derechos de oposición al tratamiento, acceso,
                                       rectificación y cancelación. (Ello se hará con los
                                       criterios previstos en su respectiva legislación, o
                                       en aquellos casos en los que no exista norma
                                       aplicable, según los criterios y procedimientos que
                                       disponga el responsable del fichero o en quien
                                       delegue este).
El artículo 106 del RDLOPD obliga a que se archiven los soportes o documentos que
contengan datos personales de acuerdo con criterios que garanticen la correcta
conservación de los documentos, la localización y consulta de la información y posibilitar el
ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación. Se
trata de una obligación que consiste en un archivo correcto de los citados documentos y
soportes. GESDATOS le permite inventariar dichos soportes y su localización mediante la
vinculación a una sede concreta. Si el volumen de documentos y soportes de su
organización es pequeño posiblemente ello, unido a una indexación clara de los archivos
será suficiente. Si se trata de una organización con un volumen mayor posiblemente requiera
de alguna herramienta (más o menos específica) que le ayude a cumplir con esta obligación.
Tenga en cuenta que ello se hará con los criterios previstos en su respectiva legislación, o
en aquellos casos en los que no exista norma aplicable, según los criterios y procedimientos
que disponga el responsable del fichero o en quien delegue este.


GESTIÓN DE SOPORTES Y DOCUMENTOS. CUSTODIA

                  Art. 107             Cuidar que los dispositivos de almacenamiento de
                                       los documentos que contengan datos de carácter
                                       personal dispongan de mecanismos que
                                       obstaculicen su apertura. (Cuando las
                                       características físicas de aquéllos no permitan
                                       adoptar esta medida, el responsable del fichero o
                                       tratamiento adoptará medidas que impidan el
                                       acceso de personas no autorizadas, medida que
                                       podrá consistir en la custodia por parte de quien se
                                       encuentre al cargo).




                                                          16
Universidad de Almería. - Manual del responsable de seguridad


El artículo 107 del Reglamento establece la obligación de que los dispositivos de
almacenamiento estén dotados de algún mecanismo que impida su apertura. Se trata de una
medida técnica que debe reflejarse en el Documento de Seguridad.


GESTIÓN DE SOPORTES Y DOCUMENTOS. ETIQUETADO

                 Art. 105.2 -          Identificar el tipo de información que contienen los
               92.1                    soportes y documentos que contengan datos de
                                       carácter personal
En GESDATOS, al igual que se inventarían los soportes informáticos también se inventarían
los soportes no automatizados al describir los sistemas de tratamiento. Cuando introduza los
soportes que contengan datos no automatizados deberá también indicar los ficheros no
automatizados que contiene cada uno de ellos.




                 Art. 105.2 -          Inventariar los soportes y documentos que
               92.1                    contengan datos de carácter personal
De acuerdo con el Reglamento, en el caso de que en su organización existan soportes o
documentos en formato papel con datos de carácter personal, debe inventariarlos. Para ello
y dado que los habrá dado de alta en fase de configuración, GESDATOS (en el módulo
denominado ORGANIZACIÓN, en mantenimiento), en concreto el apartado Soportes de
almacenamiento le permite dar de alta nuevos soportes o modificar o dar de baja los
existentes. Asimismo el Reglamento obliga a almacenarlos en un lugar seguro con acceso
restringido al personal autorizado.




                 Art. 105.2 -          Adoptar las medidas para que los soportes y
               92.1                    documentos que contengan datos de carácter
                                       personal sólo sean accesibles por el personal
                                       autorizado para ello en el documento de seguridad.
En GESDATOS, en el apartado de personal, cabe la opción de dar de alta nuevos usuarios,
modificarlos o darlos de baja indicando - en su caso - los niveles de acceso que tienen.




                                                          17
Universidad de Almería. - Manual del responsable de seguridad



                 Art. 105.2 -          No se etiquetarán cuando las características físicas
               92.1                    del soporte imposibiliten su cumplimiento,
                                       quedando constancia motivada de ello en el
                                       documento de seguridad
GESDATOS le permite, en aquellos casos en los que las características físicas del soporte
imposibilite el cumplimiento de la obligación anterior, dejar constancia motivada de esta
circunstancia.




                 Art. 105.2 -          Podrán etiquetarse crípticamente (sólo
               92.5                    comprensibles para los usuarios con acceso
                                       autorizado) cuando contengan datos de carácter
                                       personal que la organización considerase
                                       especialmente sensibles.
En caso de que la organización maneje datos que considere especialmente sensible el
etiquetado de los estos documentos puede hacerse de modo que solo sea comprensible
para la usuarios que vayan a tratar esos datos.


GESTIÓN DE SOPORTES Y DOCUMENTOS. REGISTRO DE SALIDA

                 Art. 105.2 -          La salida de soportes y documentos que
               92.2                    contengan datos de carácter personal, fuera de los
                                       locales bajo el control del responsable del fichero o
                                       tratamiento deberá ser autorizada por el
                                       responsable del fichero o encontrarse debidamente
                                       autorizada en el documento de seguridad.
Al igual que respecto de los ficheros automatizados, el art. 93.2 del RDLOPD en relación con
el art. 105.2 del RDLOPD, establece que para la salida de soportes o documentos que
contengan datos de carácter personal, debe haber una previa autorización del responsable
del fichero. Cada vez que registre una salida de soportes en GESDATOS, al finalizar el
registro aparecerá una pantalla, mediante la cual, podrá imprimir una autorización para dicha
salida. Dicha autorización deberá imprimirse, firmarse y guardarse debidamente. No
obstante caso de que no se utilice GESDATOS para la gestión de las salidas de soportes
deberá cuidar que el procedimiento utilizado permita recabar la autorización por escrito del
responsable del fichero para cada salida. En el documento de seguridad generado por
GESDATOS en el apartado modelos dispone de un modelo de autorización al efecto.




                                                          18
Universidad de Almería. - Manual del responsable de seguridad


REGISTRO DE ACCESOS

                  Art. 113.2           Establecer mecanismos que permitan identificar
                                       los accesos realizados en el caso de documentos
                                       que contengan datos de nivel alto que puedan ser
                                       utilizados por múltiples usuarios
La obligación dispuesta en el artículo 113.2 del RDLOPD de establecer mecanismos que
permitan identificar los accesos realizados en el caso de documentos que contengan datos
de nivel alto que puedan ser utilizados por múltiples usuarios obliga a llevar un control de las
personas que han accedido a dicha información de nivel alto. Se trata de una obligación
cuyo cumplimiento se puede efectuar de diferentes, más o menos complejas, en función no
sólo de la dimensión de la organización sino también de la actividad de la misma. En
organizaciones pequeñas estos se puede realizar de forma rudimentaria mediante la
anotación en un papel o registro informático. Existen sistemas de control de acceso físico
que ya permiten cumplir con esta medida. Aunque el RDLOPD no indica qué información se
debe guardar parece que - como mínimo - se debería conservar el nombre y apellidos del
usuario que ha accedido, la fecha (y posiblemente la hora), y el tipo de acceso: si para
consultar o modificar. Aunque no lo disponga el RDLOPD parece lógico, que al igual que
sucede con el registro de accesos de ficheros automatizados, este registro deberá
custodiarse por persona competente impidiendo el acceso indebido de terceros que impida
su alteración.




                  Art. 113.3           Revisar periódicamente el registro de los accesos
                                       a datos de nivel alto contenidos en documentos
La información contenida en el fichero de registros de acceso generados deberá ser
revisarse - al menos - mensualmente. Gesdatos permite - una vez analizado dicho registro
de accesos- generar un informe mensual de las incidencias que se hayan producido o no en
relación con dicho registro de accesos. Para ello una vez al mes debe acceder al módulo de
Registro de accesos y a través de la opción Informe mensual, seleccionar el mes
correspondiente. La aplicación generará un informe de acuerdo con los datos que se hayan
ido introduciendo en el apartado Nueva incidencia.


TRASLADO DE DOCUMENTACIÓN

                  Art. 114             Establecer un procedimiento para que cuando se
                                       proceda al traslado físico de la documentación con
                                       datos de nivel alto contenida en ficheros se
                                       adopten medidas dirigidas a impedir el acceso



                                                          19
Universidad de Almería. - Manual del responsable de seguridad


La obligación consistente en establecer un procedimiento para que cuando se proceda al
traslado físico de la documentación con datos de nivel alto contenida en ficheros se adopten
medidas dirigidas a impedir el acceso supone a su vez varias obligaciones: Por un lado fijar
dicho procedimiento, por otro lado difundirlo y por ultimo comprobar que se cumple. El
reglamento no detalla cuales son las medidas de seguridad concretas que deberán constar
en el procedimiento pero estas deberán ser seguras. De nuevo estas han de adecuarse al
tipo de información que se trasalada, puesto que aunque toda es información de nivel alto,
dentro de esta parece lógico entender que existe información más o menos sensible. Envíos
con sobre especiales, envíos "mano a mano", con servicios especiales de mensajería, con
dispositivos especiales que garanticen que no se ha accedido a los soportes etc... son
algunos ejemplos.




                                                          20
Universidad de Almería. - Manual del responsable de seguridad




4. Procedimientos fijados en la organización

A continuación se muestran los diferentes procedimientos fijados por la organización para el
correcto cumplimiento de la normativa en materia de protección de datos.




4.1.Procedimiento de notificación y gestión de
incidencias
4.1.1. Procedimiento para la notificación de incidencias de ficheros
automatizados
La gestión de notificación de incidencias se notificará a través de un enlace de una
cuenta de correo electrónico (incidencias.lopd@ual.es) en la página web de la
comisión de Seguridad informática.
Dicho correo será gestionado por el personal competente que gestionará las
incidencias y llevará un registro de las mismas.

  Ficheros afectados




                                                          21
Universidad de Almería. - Manual del responsable de seguridad



   - ACCIÓN SOCIAL
   - ALOJAMIENTO RELACIONES INTERNACIONALES
   - ALUMNOS ENTRANTES RELACIONES INTERNACIONALES
   - ALUMNOS SALIENTES. RELACIONES INTERNACIONALES
   - AYUDAS INDIVIDUALES INVESTIGACIÓN
   - BECARIOS Y CONTRATOS LABORALES DE INVESTIGACIÓN
   - BILINGÜISMO PDI
   - BOLSA DE EMPLEO Y PRÁCTICAS EN EMPRESAS
   - CLAUSTRO UNIVERSITARIO
   - CLIENTES EDITORIAL
   - COMPLEMENTOS PRODUCTIVIDAD PAS
   - CONSEJO DE GOBIERNO
   - CONSULTAS BIBLIOTECA
   - CONSULTAS JURÍDICAS
   - CONTRATOS OTRI
   - CONTROL DE ACCESOS
   - CONVENIOS
   - DECLARACIONES TRIBUTARIAS
   - DIRECTORIO PERSONAL
   - EMPRESAS DE BASE TECNOLÓGICA
   - ENCUESTAS EVALUACIÓN DE LAS COMPETENECIAS PAS
   - ENSEÑANZAS PROPIAS
   - ENTREGA DE DOCUMENTOS ARCHIVO
   - ENVÍO TÍTULOS A EMBAJADAS Y SUBDELEGACIONES DEL GOBIERNO
   - EVALUADORES EXTERNOS
   - EXPEDIENTES ACADÉMICOS ALUMNOS
   - EXPEDIENTES ADMINISTRATIVOS PAS
   - EXPEDIENTES ADMINISTRATIVOS PDI
   - EXPEDIENTES ALUMNOS CENTRO DE LENGUAS
   - EXPEDIENTES AUTORES
   - EXPEDIENTES BECAS Y AYUDAS
   - EXPEDIENTES DE CONTRATACIÓN
   - EXPEDIENTES LITIGIOS
   - EXTENSIÓN UNIVERSITARIA
   - FORMACIÓN BIBLIOTECA
   - FORMACIÓN DOCENTE
   - FORMACIÓN PREVENCIÓN RIESGOS
   - GESTIÓN ALQUILER INSTALACIONES




                                                          22
Universidad de Almería. - Manual del responsable de seguridad



   - GESTIÓN CERTIFICACIÓN ELECTRÓNICA
   - GESTIÓN DE ACCESO Y ADMISIÓN
   - GESTIÓN DE ALOJAMIENTO CON MAYORES
   - GESTIÓN DE ALOJAMIENTO PARTICULARES
   - GESTIÓN DE LA FORMACIÓN DEL PAS
   - GESTIÓN DE OFERTA CIENTÍFICA
   - GESTIÓN DE OFERTA CIENTÍFICA
   - GESTIÓN INCIDENCIAS STIC
   - GESTIÓN PRÉSTAMO INTERBIBLIOTECARIO
   - GESTIÓN PUBLICACIONES
   - HOMOLOGACIÓN DE TÍTULOS EXTRANJEROS DE DOCTOR
   - INFORMACIÓN GENERAL UNIVERSITARIA
   - INFORMES DE PREVENCIÓN
   - INFORMES GABINETE JURÍDICO
   - INTERCAMBIO LINGÜÍSTICO
   - LIBRO REGISTRO ENTREGA TITULOS OFICIALES
   - MOVILIDAD BILINGÜISMO PDI
   - PAS, PDI E INVESTIGADORES RELACIONES INTERNACIONALES
   - PATENTES
   - PROFESORES FORMACIÓN PAS
   - PROVISIÓN Y PROMOCIÓN DEL PERSONAL
   - PROYECTOS EUROPEOS DE INVESTIGACIÓN
   - PROYECTOS INVESTIGACIÓN
   - QUEJAS, CONSULTAS Y RECLAMACIONES DEFENSOR UNIVERSITARIO
   - REFEREES
   - REGISTRO
   - REGISTRO ACCESOS STIC
   - SOLICITUDES CONSULTA Y PRÉSTAMO DOCUMENTOS
   - SOLICITUDES EJEMPLARES BIBLIOTECA
   - SOLICITUDES EXTRAORDINARIAS DIRIGIDAS AL RECTOR
   - SOLICITUDES RESERVAS INSTALACIONES DEPORTIVAS
   - TRIBUNALES DE EVALUACIÓN PRUEBAS DE ACCESO
   - UNIDAD DE DEPORTES
   - USUARIOS SERVICIOS STIC
   - VIDEO VIGILANCIA


4.1.2. Procedimiento para la notificación de incidencias de ficheros no
automatizados



                                                          23
Universidad de Almería. - Manual del responsable de seguridad


La gestión de notificación de incidencias se notificará a través de un enlace de una
cuenta de correo electrónico (incidencias.lopd@ual.es) en la página web de la
comisión de Seguridad informática.
Dicho correo será gestionado por el personal competente que gestionará las
incidencias y llevará un registro de las mismas.

  Ficheros afectados




                                                          24
Universidad de Almería. - Manual del responsable de seguridad



   - ACCIDENTES E INCIDENTES
   - ACCIÓN SOCIAL
   - ALOJAMIENTO RELACIONES INTERNACIONALES
   - ALUMNOS ENTRANTES RELACIONES INTERNACIONALES
   - ALUMNOS SALIENTES. RELACIONES INTERNACIONALES
   - ARCHIVO GENERAL
   - AYUDAS INDIVIDUALES INVESTIGACIÓN
   - BECARIOS Y CONTRATOS LABORALES DE INVESTIGACIÓN
   - BILINGÜISMO PDI
   - BOLSA DE EMPLEO Y PRÁCTICAS EN EMPRESAS
   - CARTAS DE APTITUD
   - CLAUSTRO UNIVERSITARIO
   - CLIENTES EDITORIAL
   - COMPLEMENTOS PRODUCTIVIDAD PAS
   - CONSEJO DE GOBIERNO
   - CONSULTAS JURÍDICAS
   - CONTRATOS FÁBRICA NACIONAL DE MONEDA Y TIMBRE
   - CONTRATOS OTRI
   - CONTROL DE ACCESOS
   - CONVENIOS
   - CURRICULUMS RRHH
   - EMPRESAS DE BASE TECNOLÓGICA
   - ENSEÑANZAS PROPIAS
   - ENTREGA DE DOCUMENTOS ARCHIVO
   - ENVÍO TÍTULOS A EMBAJADAS Y SUBDELEGACIONES DEL GOBIERNO
   - EVALUADORES EXTERNOS
   - EXPEDIENTES ACADÉMICOS ALUMNOS
   - EXPEDIENTES ADMINISTRATIVOS PAS
   - EXPEDIENTES ADMINISTRATIVOS PDI
   - EXPEDIENTES ALUMNOS CENTRO DE LENGUAS
   - EXPEDIENTES AUTORES
   - EXPEDIENTES BECAS Y AYUDAS
   - EXPEDIENTES DE CONTRATACIÓN
   - EXPEDIENTES LITIGIOS
   - EXTENSIÓN UNIVERSITARIA
   - FACTURAS
   - FICHAS RECONOCIMIENTO DE FIRMAS
   - FORMACIÓN DOCENTE




                                                          25
Universidad de Almería. - Manual del responsable de seguridad



   - FORMACIÓN PREVENCIÓN RIESGOS
   - GESTIÓN ALQUILER INSTALACIONES
   - GESTIÓN DE ACCESO Y ADMISIÓN
   - GESTIÓN DE ALOJAMIENTO CON MAYORES
   - GESTIÓN DE ALOJAMIENTO PARTICULARES
   - GESTIÓN DE LA FORMACIÓN DEL PAS
   - GESTIÓN PUBLICACIONES
   - GESTIÓN SEGUROS VEHÍCULOS
   - GRUPOS DE INVESTIGACIÓN
   - HOMOLOGACIÓN DE TÍTULOS EXTRANJEROS DE DOCTOR
   - INFORMACIÓN GENERAL UNIVERSITARIA
   - INFORMES DE PREVENCIÓN
   - INFORMES GABINETE JURÍDICO
   - LIBRO REGISTRO ENTREGA TITULOS OFICIALES
   - MOVILIDAD BILINGÜISMO PDI
   - NÓMINAS PERSONAL
   - PAS, PDI E INVESTIGADORES RELACIONES INTERNACIONALES
   - PATENTES
   - PROVISIÓN Y PROMOCIÓN DEL PERSONAL
   - PROYECTOS EUROPEOS DE INVESTIGACIÓN
   - PROYECTOS INVESTIGACIÓN
   - QUEJAS, CONSULTAS Y RECLAMACIONES DEFENSOR UNIVERSITARIO
   - REFEREES
   - REGISTRO
   - SINIESTROS
   - SOLICITUDES CONSULTA Y PRÉSTAMO DOCUMENTOS
   - SOLICITUDES EXTRAORDINARIAS DIRIGIDAS AL RECTOR
   - SOLICITUDES PRÉSTAMOS USUARIOS EXTERNOS
   - SOLICITUDES PRETÍTULOS
   - SOLICITUDES RESERVAS INSTALACIONES DEPORTIVAS
   - TRIBUNALES DE EVALUACIÓN PRUEBAS DE ACCESO
   - UNIDAD DE DEPORTES
   - USUARIOS SERVICIOS STIC




4.2.Procedimientos de entrada y salida de
soportes y documentos

                                                          26
También puede leer
Siguiente parte ... Cancelar