Concello de Verín

  • Decrease font size
  • Default font size
  • Increase font size
Home Ofic. Virtual Secretaría
Documento de Seguridade e Protección de Datos PDF Imprimir Correo-e

1. INTRODUCIÓN

A protección dos datos persoais e da privacidade adquiriu nos últimos anos unha crecente importancia nos países do noso ámbito, conscientes da necesidade de salvagardaren o dereito á intimidade persoal e familiar dos seus cidadáns.
Por este motivo xurdiron numerosas disposicións legais e normativas que viñeron regular a utilización e tratamento dos datos de carácter persoal, así como a impor unha serie de obrigas en materia de seguridade informática ás organizacións que necesiten recopilar e procesar datos de carácter persoal.
Na Unión Europea o marco normativo vén determinado pola directiva 95/46/CE do Parlamento Europeo, relativa á protección das persoas físicas no que respecta ao tratamento de datos persoais e á libre circulación dos mesmos entre empresas e Administracións Públicas da Unión Europea.
En España o artigo 18.4 da Constitución xa contempla que o Estado debe limitar o uso da informática para garantir o honor, a intimidade persoal e familiar dos cidadáns e o lexítimo exercicio dos seus dereitos. A publicación da Lei Orgánica 15/1999, de 13 de decembro, sobre Protección de Datos de Carácter Persoal (LOPD), que veu substituír á LORTAD, obriga á implantación de importantes medidas de seguridade informática ás empresas e institucións que teñan creado ficheiros con datos persoais.
De acordo co estipulado no artigo 9 da citada LOPD, as empresas e institucións con ficheiros de titularidade privada ou pública deben implantar todas as medidas de índole técnica e organizativa que permitan garantir a seguridade dos datos de carácter persoal, e eviten a súa alteración, perda, tratamento ou acceso non autorizado.
O Regulamento de Medidas de Seguridade dos Ficheiros Automatizados (Real Decreto 994/1999, de 11 de xuño), que entrou en vigor o 26/06/99, determina cales han de ser as medidas de índole técnica e organizativa que garantan a integridade e a seguridade de ficheiros automatizados, centros de tratamento, locais, equipos, sistemas, programas, así como das persoas que interveñan no tratamento automatizado dos datos.
A recente aprobación do Regulamento de desenvolvemento da LOPD (Real Decreto 1720/2007, de 21 de decembro), plantexa unha revisión destas medidas de seguridade e require así mesmo unha protección específica dos ficheiros en soporte papel.
No citado Regulamento establécense tres “Niveis de Seguridade” para os datos de carácter persoal:
  • Nivel Básico: de aplicación a todos os ficheiros de datos de carácter persoal.
  • Nivel Medio: de aplicación aos ficheiros que conteñan datos relativos á comisión de infraccións, Facenda Pública, ficheiros de clientes de servizos financeiros, ficheiros de Entidades Xestoras e Servizos Comúns da Seguridade Social, ficheiros de mutuas de accidentes de traballo e enfermidades profesionais da Seguridade Social. Do mesmo xeito, considéranse dentro deste nivel aqueles ficheiros que conteñan un conxunto de datos de carácter persoal que permitan obter unha avaliación da personalidade do individuo.
  • Nivel Alto: de aplicación aos ficheiros que conteñan datos de ideoloxía, relixión, crenzas, orixe racial, saúde ou vida sexual, así como os obtidos para fins policiais.
  • Porén, se poderán implantar as medidas de seguridade de nivel básico nos ficheiros ou tratamentos que conteñan datos relativos á saúde, referentes exclusivamente ao grao de discapacidade ou á simple declaración da condición de discapacidade ou invalidez do afectado, con motivo do cumprimento de deberes públicos (nóminas, declaracións IRPF, etc.).
O presente Documento de Seguridade reflicte as medidas de seguridade adoptadas polo Concello de Verín para cumprir cos requisitos do citado Regulamento de desenvolvemento da LOPD (Real Decreto 1720/2007, de 21 de decembro). Por iso, este documento conta cos apartados que se detallan a seguir:
Ámbito de aplicación do documento con especificación detallada dos recursos protexidos.
Medidas, normas e procedementos para garantir o nivel de seguridade.
Funcións e obrigas do persoal.
Estructura dos ficheiros con datos de carácter persoal e descrición dos sistemas de información que os tratan.
  • Procedemento de notificación e xestión de incidencias.
  • Procedementos de realización de copias de seguridade.
  • Identificación do responsable ou responsables da seguridade.
  • Descrición dos controles periódicos que se deban realizar para verificar o cumprimento do disposto no propio documento.
  • As medidas que for necesario adoptar cando un soporte vaia ser desbotado ou reutilizado.
  • Este documento deberá manterse en todo momento actualizado, e deberá ser revisado sempre que se produzan mudanzas relevantes na organización da estructura ou  na finalidade dos ficheiros aos que se fai mención no seguinte apartado.

2. DEFINICIÓNS

  • Datos de carácter persoal: calquera información numérica, alfabética, gráfica, fotográfica, acústica ou de calquera outro tipo concernentes a persoas físicas identificadas ou identificables.
  • Persoa identificable: toda persoa cuxa identidade poida determinarse, directa ou indirectamente, mediante calquera información referida á súa identidade física, fisiológica, síquica, económica, cultural ou social.
  • Datos de carácter persoal relacionados coa saúde: as informacións concernientes á saúde pasada, presente e futura, física ou mental, dun individuo. En particular, convidéranse datos relacionados coa saúde das persoas os referidos á súa porcentaxe de discapacidade e a súa información xenética.
  • Ficheiro: todo conxunto organizado de datos de carácter persoal, calquera que for a forma ou modalidade da súa creación, almacenamento, organización e acceso.
  • Tratamento de datos: operacións e procedementos técnicos de carácter automatizado ou non, que permitan a recollida, gravación, conservación, elaboración, modificación, bloqueo e cancelación, así como as cesións de datos que resulten de comunicacións, consultas, interconexións e transferencias.
  • Responsable do ficheiro ou tratamento: persoa física ou xurídica, de natureza pública ou privada, ou órgano administrativo, que decida sobre a finalidade, contido e uso do tratamento.
  • Encargado do tratamento: a persoa física ou xurídica, pública ou privada, ou órgano administrativo que, só ou conxuntamente con outros, trate datos personais por conta do responsable do tratamento ou do responsable do ficheiro, como consecuencia da existencia dunha relación xurídica que lle vincula co mesmo e delimita o ámbito da súa actuación para a prestación dun servizo.
  • Afectado ou interesado: persoa física titular dos datos que sexan obxecto de operacións de tratamento.
  • Consentimento do interesado: toda manifestación de vontade, libre, inequívoca, específica e informada, mediante a que o interesado consinta o tratamento de datos persoais que lle concirnen.
  • Procedemento de disociación: todo tratamento de datos persoais de modo que a información que se obteña non poida asociarse a persoa identificada ou identificable.
  • Cesión ou comunicación de datos: toda revelación de datos realizada a unha persoa distinta do interesado.
  • Fontes accesibles ao público: aqueles ficheiros cuxa consulta pode ser realizada por calquera persoa, non impedida por unha norma limitativa ou sen máis esixencia que, no seu caso, o aboo dunha contraprestación. Teñen a consideración de fontes de acceso público, exclusivamente, o censo promocional, os repertorios telefónicos nos termos previstos pola súa normativa específica e as listas de persoas pertencentes a grupos de profesionais que conteñan unicamente os datos de nome, título, profesión, actividade, grao académico, enderezo e indicación da súa pertenza ao grupo. Igualmente teñen o carácter de fontes de acceso público os xornais e boletíns oficiais e os medios de comunicación.
  • Documento: todo escrito, gráfico, son, imaxe ou calquera outra clase de información que poida ser tratada nun sistema de información como unha unidade diferenciada.
  • Sistema de información: Conxunto de ficheiros automatizados, programas, soportes e equipos empregados para o almacenamento e tratamento de datos de carácter persoal.
  • Usuario do sistema: Suxeito ou proceso autorizado para acceder a datos ou recursos.
  • Perfil de usuario: accesos autorizados a un grupo de usuarios.
  • Recurso: Calquera parte compoñente dun sistema de información.
  • Accesos autorizados: Autorizacións concedidas a un usuario para a utilización dos diversos recursos.
  • Identificación: Procedemento de recoñecemento da identidade dun usuario.
  • Autenticación: Procedemento de comprobación da identidade dun usuario.
  • Control do acceso: Mecanismo que en función da identificación xa autenticada permite acceder a datos ou recursos.
  • Contrasinal: Información confidencial, frecuentemente constituída por unha cadea de caracteres, que pode ser usada  na autenticación dun usuario.
  • Incidencia: Calquera anomalía que afectar ou puider afectar a seguridade dos datos.
  • Soporte: obxecto físico susceptible de ser tratado nun sistema de información e sobre o cal pódese gravar ou recuperar datos.
  • Responsable de seguridade: Persoa ou persoas ás que o responsable do ficheiro asignou formalmente a función de coordinar e controlar as medidas de seguridade aplicables.
  • Copia de respaldo ou de seguridade: Copia dos datos dun ficheiro automatizado nun soporte que posibilite a súa recuperación.

3. Ámbito de APLICACIÓN do documento

O presente documento define as medidas adoptadas para garantir a seguridade dos datos de carácter persoal incluídos nos ficheiros do Concello de Verín, de acordo cos requisitos do Regulamento de Desenvolvemento da LOPD (Real Decreto 1720/2007, de 21 de decembro).
Os equipos, locais, programas e outros medios técnicos que constitúen o Sistema de Información do Concello de Verín, e aos que se deben aplicar as medidas de seguridade que se presentarán en posteriores apartados descríbense de forma detallada no Anexo I do presente documento.
Os ficheiros aos que se refire este documento son os que se presentan a continuación:

3.1 Ficheiro do Padrón Municipal

Ficheiro utilizado para as funcións propias da xestión do padrón municipal, e que inclúe datos de carácter identificativo dos cidadáns (DNI, nome e apelidos, enderezo e teléfono).

3.2 Ficheiro de persoal

Ficheiro utilizado para as funcións propias da xestión de persoal, e que inclúe datos de carácter identificativo (DNI, nome e apelidos, enderezo e teléfono), datos de características persoais (estado civil, familia, data e lugar de nacemento, idade, sexo, nacionalidade), datos de circunstancias sociais (licenzas e permisos) e datos de detalle de emprego (profesión, postos de traballo, datos non económicos de nómina, historial do traballador) e datos económico-financeiros (datos bancarios, datos económicos de nómina e datos de deduccións impositivas).

3.3 Ficheiro de Terceiros de Contabilidade

Trátase dun ficheiro de empresas e profesionais que manteñen algunha relación como provedores ou clientes de servizos do Concello de Verín, e que inclúe como datos persoais algúns datos de carácter identificativo (nome e apelidos, enderezo e teléfono), datos profesionais (empresa, cargo que desempeña), datos económico-financeiros (datos bancarios, datos de deduccións impositivas), datos de bens e servizos subministrados ou recibidos polo afectado.

3.4 Ficheiro de Datos Tributarios

Ficheiro utilizado polo Concello de Verín para a recadación dos distintos tributos locais e taxas de servizos municipais, e que inclúe datos de carácter identificativo (DNI, nome e apelidos, enderezo e teléfono), datos de características persoais (estado civil, familia, data e lugar de nacemento, idade, sexo, nacionalidade), datos económico-financeiros (datos bancarios e datos de impostos).

3.5 Ficheiro de Beneficiarios de Servizos Sociais

Ficheiro empregado como soporte á prestación de determinados servizos de asistencia social do Concello de Verín, e que inclúe datos de carácter identificativo (DNI, nome e apelidos, enderezo e teléfono), datos de características persoais (estado civil, familia, data e lugar de nacemento, idade, sexo, nacionalidade), datos de circunstancias sociais (licenzas e permisos), datos académicos e profesionais, datos de detalle de emprego (profesión, postos de traballo, datos non económicos de nómina, historial do traballador) e datos de saúde (doenzas, drogodependencias, minusvalías, etc.).

3.6 Ficheiro coN ReXistro de expedIentes Administrativos

Este ficheiro inclúe datos básicos de identificación e contacto (DNI, nome, apelidos, enderezo, teléfono) dos cidadáns que inician ou interveñen nalgún expediente administrativo do Concello de Verín, incluídos os propios expedientes sancionadores por comisión de infraccións.

3.7 Atestados da policía local

Ficheiro para rexistrar información sobre atestados xudiciais e de tráfico.

3.8 Usuarios de Servizos de Deportes

Ficheiro que permite rexistrar os datos identificativos e de contacto dos cidadáns que utilizan os servizos e instalacións deportivas xestionadas polo Concello de Verín.

3.9 Usuarios de Bibliotecas

Ficheiro empregado para rexistrar os datos identificativos e de contacto dos cidadáns que utilizan os servizos das bibliotecas que dependen do Concello de Verín.

3.10 Xestión Da policía local

Ficheiro utilizado pola Policía Local do Concello de Verín en procedimentos de investigación e persecución de infraccións administrativas e penais, na xestión de denuncias, detencións, emisión de informes e, en xeral, actuacións de averiguación e garantía do cumplimento de ordes e resolucións da autoridade xudicial.

3.11  Rexistro de contactos da axenda

Ficheiro que contén os datos básicos de identificación e contacto (nome e apelidos, correo electrónico, teléfono) dos cidadáns cos que se mantén algún tipo de correspondencia, xa sexa esta tradicional (correo ordinario) ou electrónica (correo electrónico). Encóntrase repartido entre os distintos equipos dos empregados do Concello de Verín, dentro da libreta de enderezos de cada programa lector de correo electrónico.

3.12 Rexistro de Entrada e saída

Ficheiro que contén os datos básicos de identificación e contacto (nome e apelidos, DNI, enderezo, teléfono) dos cidadáns dos que se recibe ou aos que se envía algún documento oficial.

3.13 Actas de Plenos e comisións

Ficheiro que contén os datos de identificación (nome e apelidos, DNI, enderezo) dos cidadáns cuxos asuntos sexan tratados nos plenos e comisións do Concello de Verín.

3.14 Listaxes de contratación

Ficheiro que contén os datos básicos de identificación e contacto (nome e apelidos, DNI, enderezo, correo electrónico, teléfono) dos cidadáns que se apuntan ás listaxes de contratación do Concello de Verín.

O responsable de todos estes ficheiros é o Concello de Verín, os datos do cal  preséntanse a seguir:
 

Razón Social: Concello de Verín

NIF: P-3208600A

Enderezo: Praza do Concello, s.n.

Código Postal: 32600

Localidade: VERÍN

Provincia: Ourense

Teléfono de contacto: 988.41.00.00

Fax: 988.41.19.00

Correo-e de contacto: Este enderezo de correo-e está a ser protexido de programas autómatas de envío de correo non sedexado, precisas activar o JavaScript para velo

 
O responsable destes ficheiros é o xuridicamente encargado da seguridade dos ficheiros e das medidas e procedementos establecidas no presente documento. Por iso, o responsable deberá implantar as medidas e procedementos de seguridade definidos neste documento, e adoptará as medidas necesarias para que o persoal afectado por este documento coñeza as normas que afecten o desenvolvemento das súas funcións.
Os datos de localización dos ficheiros e da unidade de contacto para que os afectados poidan exercitar os seus dereitos de acceso, rectificación, cancelación ou oposición coinciden cos do responsable dos ficheiros. Deste xeito, o Concello de Verín comprométese a que os interesados poidan solicitar e obter gratuitamente información dos seus datos de carácter persoal sometidos a tratamento; sobre cal é a orixe de ditos datos e sobre as comunicacións realizadas ou que se prevén facer dos mesmos.
Por outra parte, o Concello de Verín realizou a correspondente inscrición dos ficheiros de datos de carácter persoal anteriormente descritos no Rexistro xeral de Protección de Datos, mediante o envío dos formularios debidamente cumprimentados á Axencia de Protección de Datos, especificando a finalidade a que obedece cada ficheiro e o nivel de medidas de seguridade que se van adoptar.
O Concello de Verín, como responsable destes ficheiros, e quen puideren intervir en calquera fase do tratamento dos datos de carácter persoal, comprométense a gardar o debido segredo profesional respecto dos mesmos. Alén diso, os datos de carácter persoal obxecto de tratamento non se utilizarán para fins incompatibles con aqueles para os que os datos tivesen sido recollidos.
Igualmente, os datos de carácter persoal serán conservados durante os prazos previstos nas disposicións aplicables ou, no seu caso, nas relacións contractuais entre o Concello de Verín e o interesado, asumindo o Concello a obriga de que estes sexan exactos e estean postos ao día de xeito que respondan con veracidade á situación actual do afectado.

O Concello de Verín, como responsable da creación dos ficheiros de datos de carácter persoal, comprométese, en definitiva, a asumir as seguintes obrigas:
  • Autorizar o presente documento de seguridade e velar pola súa adecuación á normativa vixente. Deberá manter actualizado este documento sempre que se produzan mudanzas relevantes no sistema de información ou na organización do mesmo, e encargarase de adecuar en todo momento o contido do mesmo ás disposicións vixentes en materia de seguridade de datos.
  • Adoptar as medidas necesarias para que o persoal coñeza as normas en materia de seguridade e as consecuencias do seu incumprimento.
  • Implantar un mecanismo de identificación de usuarios.
  • Manter unha relación dos usuarios do sistema cos dereitos de acceso aos datos e aplicacións.
  • Establecer mecanismos para evitar que os usuarios accedan a recursos con dereitos distintos dos autorizados.
  • Verificar os procedementos de copia e de recuperación de datos.
  • Autorizar por escrito a execución de procedementos de recuperación de datos.
  • Autorizar expresamente o tratamento fóra dos locais.
  • Autorizar a saída de soportes informáticos fóra dos locais.
  • Designar o responsable ou responsables de seguridade, se for necesario.
  • Adoptar as medidas correctoras das deficiencias detectadas nas auditorías de seguridade.

4. Medidas, normas e procedementos para garantir o nivel de SEGURIDADE

De acordo co estipulado no artigo 9 da citada LOPD, as empresas e institucións con ficheiros de titularidade privada ou pública deben implantar todas as medidas de índole técnica e organizativa que permitan garantir a seguridade dos datos de carácter persoal, e eviten a súa alteración, perda, tratamento ou acceso non autorizado, habida conta do estado da tecnoloxía, a natureza dos datos almacenados e os riscos a que están expostos, xa proveñan da acción humana ou do medio físico ou natural.
  • Os recursos do Concello de Verín que, por serviren de medio directo ou indirecto para acceder aos ficheiros de datos de carácter persoal, deberán ser controlados por esta normativa son:
  • Os centros de tratamento e locais onde se achen situados os ficheiros ou se almacenen os soportes informáticos que os conteñan.
  • Os postos de traballo, locais ou remotos, desde os que se poida ter acceso aos ficheiros con datos de carácter persoal.
  • Os servidores, ordenadores persoais, ordenadores portátiles, axendas electrónicas, impresoras e outro equipamento informático.
  • Os sistemas operativos e aplicacións informáticas instaladas.
  • A infraestrutura de rede de datos e de comunicacións da organización.
Os locais onde se sitúen os ordenadores que conteñan ou poidan acceder aos ficheiros de datos de carácter persoal deben ser obxecto de especial protección que garanta a confidencialidade, integridade e dispoñibilidade dos datos protexidos. Estes locais deberán contar cos medios mínimos de seguridade que eviten os riscos de indispoñibilidade que puideren producirse como consecuencia de incidencias fortuítas ou intencionadas.
O Concello de Verín adoptou as seguintes medidas para garantir o nivel de seguridade dos seus ficheiros de datos de carácter persoal:

4.1 Seguridade física das instalacións onde se ACHan ubicados os equipos informáticos e os elementos de rede e comunicacións

O Concello conta cunha sala especialmente acondicionada onde se sitúan os servidores centrais con todos os ficheiros informáticos. Esta sala dispón de pechadura  na porta de acceso, e só se permite a entrada a persoal debidamente autorizado relacionado co sistema de información.
Para evitar o po e a electricidade estática non utilízanse alfombras ou moquetas para cubrir o chan. A temperatura e a humidade da sala mantéñense estables e dentro dos límites recomendados para os equipos electrónicos instalados.
Igualmente, os equipos e medios informáticos da organización non poden ser levados fóra desta polos seus empregados sen a correspondente autorización. Estableceranse medidas, procedementos e controles de seguridade para os equipos que deban usarse fóra dos locais do Concello, de forma que estean suxeitos a unha protección equivalente á dos equipos internos. Entre as medidas adoptadas inclúense as seguintes:
  • Os ordenadores portátiles, axendas electrónicas (PDAs) e equipos similares deben transportarse nunha bolsa acondicionada, e nunca se deben deixar desatendidos en sitios públicos por parte dos usuarios responsables. Igualmente, recoméndase evitar a súa exposición a campos electromagnéticos que poidan ocasionar danos nos datos ou na propia configuración dos equipos.
  • Os equipos deben viaxar provistos de medios de protección adecuados contra accesos non autorizados (contrasinais de acceso a nivel de BIOS, cifraxe dos datos do disco duro, seguridade biométrica, etc.) e contra virus e outros programas daniños.
  • Os usuarios destes equipos deben ser conscientes das súas obrigas e responsabilidades en relación coa seguridade dos datos e das aplicacións instaladas.
Por outra parte, antes de vender ou desfacerse de equipos propios, o Concello de Verín encargarase de borrar de forma segura todos os datos e aplicacións que conteñen.

4.2 Sistemas de protección eléctrica

Para protexer a seguridade dos servidores fronte a fallos no subministro eléctrico ou sobretensións, o Concello dispón dun SAI (Sistema de Alimentación Ininterrompida) conectado a cada unha destas máquinas, e que a través dunha conexión vía porto serie facilita o peche ordenado das bases de datos e o apagado automático do servidor.
Igualmente, revisáronse as conexións eléctricas e o cabeamento de datos. Existen tomas eléctricas estabilizadas e cunha adecuada conexión a terra.

4.3 Autenticación de usuarios

A organización definiu unha relación actualizada de usuarios que teñen acceso autorizado ao sistema de información e establecéronse determinados procedementos de identificación e autenticación para dito acceso.
O sistema informático do Concello conta cun mecanismo de autenticación baseado nun nome de usuario e contrasinal, integrado no propio sistema operativo do servidor central e do propio software do sistema de xestión.
Polo tanto, os usuarios que acceden ao sistema de información áchanse claramente identificados, restrinxindo a utilización de contas xenéricas compartidas por varios usuarios.
Da mesma maneira, definíronse distintos grupos de usuarios para facilitar o posterior control dos accesos aos recursos lóxicos e os datos gardados no sistema.
En relación con esta cuestión, o Concello de Verín adoptou a seguinte política de contrasinais:
  • Identificación dos usuarios mediante a introdución dun nome de usuario (‘login’) e unha clave de acceso (‘password’).
  • As claves de acceso encóntranse almacenadas en ficheiros protexidos e cifrados, para garantir a súa confidencialidade e integridade. Desta tarefa encárgase o propio sistema operativo da rede local.
  • Ao crearse unha conta de usuario no sistema, o Administrador pode indicar que o usuario deberá cambiar contrasinal no primeiro inicio de sesión que realice de tal xeito que o Administrador, que nun primeiro momento lle asignara contrasinal, xa non a coñecerá.
  • Impúxose un tamaño mínimo de clave de acceso de 6 caracteres.
  • De forma periódica o propio sistema operativo obriga aos usuarios a modificar as súas claves de acceso (caducidade das claves de acceso).
  • O sistema operativo revisa a composición das claves de acceso co obxecto de impedir aquelas que sexan máis fáciles de adiviñar: as claves non deben estar formadas por unha palabra que se encontre nun diccionario, para evitar posibles ataques de forza bruta.
  • O sistema bloquea a conta dun determinado usuario se se producen cinco fallos consecutivos no intento de acceso mediante o seu nome de usuario e contrasinal, para impedir ataques de “forza bruta”, consistentes en probar miles de posibles claves para acceder ao sistema.
  • Como claves de acceso ao sistema, os contrasinais deberán ser estrictamente confidenciais e persoais, e calquera incidencia que comprometa a súa confidencialidade deberá ser inmediatamente comunicada ao administrador e subsanada no menor prazo de tempo posible.

4.4 Sistema de control de acceso aos datos de carácter persoal

O responsable do ficheiro estableceu mecanismos para evitar que un usuario poida acceder a datos ou recursos con dereitos distintos dos autorizados. Para iso utilízase o propio mecanismo de autorización do sistema operativo, baseado nas listas de control de acceso aos distintos obxectos e ficheiros do sistema.
Para facilitar o control de acceso aos datos definíronse distintos grupos de usuarios dentro do sistema. Deste xeito, o persoal que acceda a datos persoais só poderá acceder a aqueles datos que sexan necesarios no exercicio das súas funcións.
Igualmente, só o Responsable de Informática da organización poderá conceder, alterar ou anular o acceso autorizado sobre datos e recursos, conforme aos criterios establecidos pola Alcaldía do Concello de Verín.
Se as aplicacións de xestión que permiten o acceso aos ficheiros con datos de carácter persoal non contan cun control de acceso, deberá ser o propio sistema operativo onde se executan esas aplicacións o que impida o acceso non autorizado, mediante o control de acceso lóxico dos usuarios.
En calquera caso, controlaránse os intentos de acceso fraudulento aos ficheiros con datos de carácter persoal e, cando sexa técnicamente posible, gardaranse nun rexistro a data, a hora, o código e a clave erróneos que tivesen introducido, así como outros datos relevantes que axuden a descubrir a autoría deses intentos de acceso fraudulentos.

4.5 Instalación e configuración de elementos de seguridade

A seguridade do sistema informático do Concello viuse reforzada coa implantación de antivirus e cortafogos con filtrado de paquetes e portos.

4.7 Auditoría das conexións externas e dos accesos aos recursos

O propio sistema operativo foi configurado para rexistrar distintos eventos de seguridade que faciliten a detección de intrusións e de intentos de violación de acceso aos recursos: intentos de acceso repetitivos a recursos protexidos, utilización do sistema fóra de horario por un usuario autorizado, etc.
Revisión e actualización das aplicacións instaladas  na red
O departamento de informática do Concello encárgase de actualizar de forma periódica o sistema operativo e as distintas aplicacións e servizos da rede, instalando os parches necesarios publicados polos fabricantes para subsanar buratos de seguridade coñecidos.
Asemade, o administrador do sistema fai un seguimento semanal de todas as noticias publicadas en Internet sobre buratos de seguridade detectados no sistema operativo e nos programas instalados, para poder deste modo reaccionar con maior rapidez.
Por outra parte, as probas anteriores á implantación ou modificación dos sistemas de información que traten ficheiros con datos de carácter persoal non se realizarán con datos reais, salvo que se asegure o nivel de seguridade correspondente ao tipo de ficheiro tratado.

4.8 Transmisión de datos a través de Redes de Comunicacións e Internet

A transmisión de datos por rede, xa sexa por medio de correo electrónico ou mediante sistemas de transferencia de ficheiros, estase a converter nun dos medios máis utilizados para o envío de datos, ata o punto de substituír os soportes físicos. Por iso merecen un tratamento especial xa que, polas súas características, poden ser máis vulnerables cós soportes físicos tradicionais.
Todas as entradas e saídas de datos que inclúan datos de carácter persoal e que se leven a cabo mediante correo electrónico realizaranse desde unha única conta ou enderezo de correo controlado por un usuario especialmente autorizado polo responsable do ficheiro. Igualmente, se se realizar a entrada ou saída de datos mediante sistemas de transferencia de ficheiros por red, únicamente un usuario ou administrador estará autorizado para realizar esas operacións.
Gardaranse copias de todas as mensaxes de correo electrónico que involucren entradas ou saídas de datos de carácter persoal, en directorios protexidos e baixo o control do responsable citado. Manteranse copias deses correos durante alomenos dous anos. Tamén se gardará durante un mínimo de dous anos, en directorios protexidos, unha copia dos ficheiros recibidos ou transmitidos por sistemas de transferencia de ficheiros por red, xunto cun rexistro de data e hora en que se realizou a operación e o destino do ficheiro enviado.
Cuando os datos de carácter persoal vaian ser enviados por correo electrónico ou por sistemas de transferencia de ficheiros, a través de redes públicas ou non protexidas, recoméndase que sexan cifrados de forma que só poidan ser lidos e interpretados polo destinatario.
Por outra banda, as conexións que no futuro se puideren establecer coas delegacións do Concello de Verín realizaranse utilizando conexións seguras mediante técnicas criptográficas, baseadas en protocolos de encapsulamento e cifraxe de datos como IPsec, nunha configuración de Rede Privada Virtual.

4.9 Tratamento de ficheiros temporais

As normas e procedementos de seguridade descritos neste documento tamén se aplican aos ficheiros temporais que puideren gardar datos de carácter persoal.
Estes ficheiros serán borrados unha vez que deixaren de ser necesarios para os fins que motivaron a súa creación, de tal maneira que os seus datos non poidan ser accesibles posteriormente por persoal non autorizado.

4.10 Limitación de probas con datos reais

As probas anteriores á implantación ou modificación das aplicacións e sistemas informáticos que traten ficheiros con datos de carácter persoal non se realizarán con datos reais, salvo que se asegure o nivel de seguridade correspondente ao tipo de ficheiro tratado.

4.11 Plan de continXencia para Facer fronte a posibles desastres

Como elemento para reforzar a dispoñibilidade do sistema, previuse como plan de continxencia ante posibles desastres (incendios, caídas de servidores, inundacións…) a realización periódica de copias de seguridade das particións do servidor central, de forma que poidan ser restaurados todos os datos e o software instalado no servidor (sistema operativo, bases de datos, aplicacións de xestión) nunha nova máquina de características similares.

4.12 Formación e sensibilización dos usuarios

O Concello de Verín informará puntualmente os seus empregados con acceso ao sistema de información de cales son as súas obrigas en materia de seguridade e protección de datos de carácter persoal. Igualmente, levará a cabo accións de formación de xeito periódico para mellorar os coñecementos informáticos e en materia de seguridade destes empregados.
As persoas que se incorporaren á organización deberán ser informadas e adestradas de maneira adecuada, sobre todo nas áreas de traballo con acceso a datos sensibles e datos de carácter persoal.

4.13 Elaboración dun Regulamento sobre Seguridade Informática, Uso de Internet e Protección de Datos de Carácter Persoal

O Concello de Verín elaborou un Regulamento interno que ten a súa base xurídica  na normativa en materia de protección de datos, en particular a Lei Orgánica 15/1999, de 13 de decembro, de Protección de Datos de Carácter Persoal (LOPD) e o Real Decreto 1720/2007, de 21 de decembro, de desenvolvemento da LOPD.
Os traballadores comprométense a coñeceren e aceptaren a normativa xeral en materia de protección de datos persoais, así como as directrices de seguridade establecidas polo Concello de Verín na súa política de seguridade e no presente Documento de Seguridade.
Cada traballador debe coñecer e aceptar estas normas, facéndose responsable dos danos e prexuizos que puider causar a súa falta de cumprimento dilixente, sen renuncia, por parte do Concello, a outras medidas disciplinarias que puideren tomarse dentro da política do Concello.
Igualmente, os traballadores con acceso a datos sensibles deben asinar nos seus contratos cláusulas de confidencialidade e de cumprimento de determinadas normas básicas de seguridade informática e en materia de protección de datos de carácter persoal.

4.14 Medidas De Seguridade De Nivel Alto aplicables aos ficheiros considerados dentro deste nivel

Nos ficheiros de “Beneficiarios de Servizos Sociais” e de “Atestados da Policía Local” poden incluírse datos relativos á saúde dos afectados.
Por este motivo, considérase necesario adoptar as medidas contempladas no Nivel de Seguridade Alto para estes ficheiro, xa que se inclúen datos sobre a saúde dos interesados:

Distribución de soportes

A distribución dos soportes que conteñan datos de carácter persoal de nivel alto realizaráse cifrando ditos datos, ou ben utilizando calquera outro mecanismo que garanta que dita información non sexa intelixible nin manipulada durante o seu transporte.

Telecomunicacións

A transmisión de datos de carácter persoal de nivel alto a través de redes de telecomunicacións realizaráse cifrando ditos datos ou ben utilizando calquera outro mecanismo que garanta que a información non sexa intelixible nin manipulada por terceiros.

Rexistro de accesos

De cada acceso aos datos de nivel alto gardaranse, como mínimo, a identificación do usuario, a data e hora en que se realizou, o ficheiro a que se accedeu, o tipo de acceso e se foi autorizado ou denegado.
No caso de que o acceso fose autorizado, será preciso gardar a información que permita identificar o rexistro a que se accedera.
Os mecanismos que permiten o rexistro dos datos detallados nos parágrafos anteriores estarán baixo o control directo do responsable de seguridade sen que se deba permitir, en ningún caso, a desactivación dos mesmos.
El período mínimo de conservación dos datos rexistrados será de dous anos.
O responsable de seguridade competente encargarase de revisar periodicamente a información de control rexistrada e elaborará un informe das revisións realizadas e os problemas detectados alomenos unha vez ao mes.

Copias de respaldo e recuperación

A organización deberá conservar unha copia de respaldo e dos procedementos de recuperación dos datos de nivel alto nun lugar diferente de aquel en que se achen os equipos informáticos que os tratan, cumprindo en todo caso as medidas de seguridade esixidas neste Regulamento.

4.15 Tratamento dos documentos en soporte papel

En virtude do disposto polo marco normativo en materia de protección de datos, tamén é necesario implantar as medidas de seguridade necesarias para impedir accesos non autorizados aos datos de carácter persoal que se atopen en soporte papel.
De feito, o Regulamento de Desenvolvemento da LOPD (Real Decreto 1720/2007, de 21 de decembro) define unha serie de medidas aplicables aos ficheiros en soporte non automatizado.
Por este motivo, o Concello de Verín decidiu implantar as seguintes medidas de seguridade relacionadas cos datos personais que se atopan en soporte papel:
  • Definición de criterios de arquivo dos documentos, que permiten garantizar a correcta conservación destes documentos, así como a localización e consulta da información para facilitar o exercicio dos dereitos de oposición ao tratamento, acceso, rectificación e cancelación dos interesados.
  • Seguridade dos dispositivos de almacenamento: os documentos sempre serán gardados nun cuarto ou nun armario pechado baixo chave. Os dispositivos de almacenamento (caixóns, armarios, etc.) deberán dispoñer de mecanismos que obstaculicen a súa apertura.
  • Custodia dos documentos: a persoa que teña acceso a estes documentos debido ás tarefas que desempeñe en cumprimento das súas funcións e obrigas actuando como persoal ao servizo do Concello de Verín, deberá responsabilizarse da súa custodia e protección, impedindo que estes documentos poidan ser entregados a terceiros sen a debida autorización. Así mesmo, encargarase de conservalos de xeito seguro, gardándoos nun caixón ou armario baixo chave se por algunha circunstancia tivera que ausentarse do seu despacho ou mesa de traballo.
  • Os documentos que xa no teñan que ser conservados polo Concello de Verín deberán ser devoltos a seu titular ou, noutro caso, serán destruídos de forma segura, mediante unha máquina trituradora de papel ou procedendo á súa incineración (coas adecuadas medidas de protección para evitar o risco de incendio).
Ademais das medidas anteriormente descritas, tamén se adoptaron as seguintes medidas aplicables aos ficheiros en soporte non automatizado clasificados como de nivel alto:
  • Almacenamento seguro da información en zonas de acceso restrinxido: os armarios, arquivadores ou outros elementos nos que se almacenen os ficheiros deberán atoparse en áreas nas que o acceso estea protexido con portas de acceso dotadas de sistemas de apertura mediante chave ou outro dispositivo equivalente. As devanditas áreas deberán permanecer pechadas cando non sexa preciso o acceso aos documentos incluídos no ficheiro.
  • Copia ou reproducción dos documentos: a xeración de copias ou a reproducción dos documentos unicamente poderá ser realizada baixo o control de persoal debidamente autorizado polo Concello de Verín. Deberá procederse á destrucción das copias ou reproduccións rexeitadas de forma que se evite o acceso á información contidas nas mesmas ou a súa recuperación posterior.
  • Control do acceso á documentación: o acceso á documentación limitarase exclusivamente ao persoal autorizado. Así mesmo, estableceranse mecanismos que permitan identificar os accesos realizados no caso de documentos que poidan ser utilizados por múltiples usuarios.
  • Traslado de documentación: cando se proceda ao traslado físico da documentación, o persoal do Concello de Verín deberá adoptar medidas dirixidas a impedir o acceso ou manipulación da información obxecto de traslado.

5. Funcións e obrigas do persoal

Todos os usuarios do sistema informático do Concello de Verín que teñan acceso aos datos de carácter persoal encóntranse obrigados por lei a cumpriren o establecido neste documento, e suxeitos ás consecuencias que puideren incorrer en caso de incumprimento.
As funcións e obrigas de cada unha das persoas con acceso aos datos de carácter persoal áchanse claramente definidas. O Concello de Verín adoptou as medidas necesarias para que o persoal coñeza as normas de seguridade que afecten o desenvolvemento das súas funcións e obrigas respecto ao tratamento de datos persoais e o seu acatamento ás mesmas, así como as consecuencias en que puider incorrer en caso de incumprimento.
Para iso, unha copia deste documento coa parte que lle afecte será entregada, para o seu coñecemento, a cada persoa autorizada a acceder aos ficheiros con datos de carácter persoal, sendo requisito obrigatorio para poder acceder a eses datos o ter asinado a recepción do mesmo.
O persoal afectado por esta normativa clasifícase en dúas categorías:
  1. Administradores do sistema, analistas, programadores e técnicos informáticos, que se encargan de administraren ou manteneren o entorno do sistema informático e das aplicacións de xestión, así como do desenvolvemento de novas ferramentas e aplicacións. Este persoal pode utilizar ferramentas de administración que permitan o acceso aos datos protexidos saltando as barreiras de acceso das aplicacións ou do sistema operativo.
  2. Usuarios do sistema informático e das aplicacións de xestión que poden ter acceso aos ficheiros con datos de carácter persoal.
Dentro do primeiro grupo, os administradores da rede informática e dos sistemas operativos disporán dos máximos privilexios e, por tanto, terán acceso a todas as aplicacións e ferramentas do sistema informático, así como aos ficheiros ou bases de datos necesarios para resolveren os problemas que xurdan. Para reduciren o risco de que unha actuación errónea poida afectar a seguridade do sistema, só deberán utilizar unha conta de administrador cos máximos privilexios cando sexa necesario para exerceren as súas funcións como tales, empregando unha conta dun usuario básico do sistema nas restantes ocasións en que se encontren traballando dentro da rede informática da organización.
Por outra parte, as actuacións dos analistas, programadores e técnicos de operación e mantemento estarán limitadas á operación dos equipos e redes utilizando as ferramentas de xestión dispoñibles. Non deberían, en principio, ter acceso directo aos datos dos ficheiros, sempre e cando a súa actuación non precise de dito acceso.
Esta normativa debe, por tanto, regular o uso e acceso das partes do sistema operativo, ferramentas ou programas de utilidade ou do entorno de red, de forma que se impida o acceso non autorizado aos ficheiros con datos de carácter persoal protexidos, sen pasar polos procedementos de control de acceso cos que poidan contar as aplicacións. Por iso, ningunha ferramenta ou programa de utilidade que permita o acceso directo aos ficheiros e bases de datos, como os editores universais, analizadores de ficheiros, sniffers, editores de consultas (‘queries’) en  xestores de bases de datos, etc., deberá ser accesible a ningún usuario ou administrador non autorizado.
Doutra banda, todos os usuarios do sistema informático deben aplicar certas normas prácticas de seguridade relativas ao manexo dos equipos que teñen asignados:
  • Cada equipo informático asignado a un posto de traballo estará baixo a responsabilidade dun dos usuarios autorizados no sistema informático da organización. Este usuario deberá garantir que a información que mostra non poida ser vista por persoas non autorizadas. Isto implica que tanto as pantallas como as impresoras ou outro tipo de dispositivos conectados ao posto de traballo deberán estar físicamente emprazados en lugares que garantan esa confidencialidade.
  • Antes de abandonar o equipo do posto de traballo, xa sexa temporalmente ou ben ao finalizar o seu turno de traballo, deberá cancelar todas as sesións activas e conexións cos servidores da rede corporativa.
  • Utilizar un salvapantallas protexido con contrasinal para bloquear o seu equipo ante unha ausencia do posto de traballo, aínda que sexa breve, de tal modo que impida a visualización dos datos protexidos.
  • Impedir que outros usuarios poidan utilizar a súa identidade (nome de usuario e contrasinal) para acceder ao sistema. Para iso, deberán responsabilizarse de gardaren a bo recato o seu contrasinal de acceso ao sistema.
  • Non introducir CD-ROMs, disquetes ou outros soportes nos equipos sen a comprobación previa de que non conteñen riscos de ningunha clase (estean danados, conteñan virus, etc).
  • Non se cambiará a configuración do equipo nin se tentarán solucionar problemas de funcionamento. En caso de mal funcionamento, o usuario deberá comunicarllo á persoa encargada.
  • Só se utilizarán as ferramentas corporativas, ficando prohibida a instalación de software nos PCs da empresa que non fose expresamente autorizado polo responsable da seguridade do sistema.
  • Non poderanse realizar copias de bases de datos ou documentos clasificados como confidenciais ou que conteñan datos persoais en soportes externos sen a previa autorización expresa do responsable de seguridade do sistema.
  • Os disquetes e documentos con información sensible ou confidencial deberanse gardar en armarios ou gabetas baixo chave, evitando que por descoido poidan deixarse enriba das mesas de traballo ou outros lugares sen a adecuada protección.
  • No caso das impresoras os usuarios deberánse asegurar de que non quedan documentos impresos na bandexa de saída que conteñan datos protexidos. Se as impresoras son compartidas con outros usuarios non autorizados para accederen aos datos de carácter persoal, os responsables de cada posto deberán retirar os documentos conforme vaian sendo impresos.
O Responsable de Seguridade da organización encargarase de manter actualizada a relación de usuarios (agrupada por departamentos) con acceso aos ficheiros de datos de carácter persoal, así como sobre as súas distintas funcións e obrigas. Para iso, o responsable dos ficheiros comunicará ao responsable de seguridade, tan logo se produza, calquera alta ou baixa de usuarios con acceso autorizado aos ficheiros.

6. Estructura de ficheiros con datos de carácter persoal

6.1 Ficheiro do Padrón Municipal

  • Descrición: Ficheiro cos datos do padrón municipal.
  • Finalidade: os datos de carácter persoal incluídos neste ficheiro utilízanse para a xestión do padrón municipal.
  • Estructura básica do ficheiro: o ficheiro inclúe datos de carácter identificativo (DNI, nome e apelidos, enderezo e teléfono).
  • Sistema de tratamento dos datos: aplicación baseada nun entorno cliente/servidor e nunha base de datos central.
  • Pódese acceder aos datos desde o servidor central e desde algúns dos ordenadores persoais da rede local do Concello.
  • Nivel de Seguridade: Debido á natureza dos datos incluídos neste ficheiro, considérase dabondo adoptar as medidas contempladas no Nivel de Seguridade Básico.
  • Procedencia e procedemento de recollida dos datos: os datos deste ficheiro son facilitados polo propio interesado ou o seu representante legal.
  • Tratamentos por conta do responsable: Non se previron para este ficheiro.
  • Cesións ou comunicacións de datos: Non se previron para este ficheiro, salvo as que por obriga legal sexa necesario realizar a organismos públicos como o Instituto Nacional de Estatística (comunicación mensual dos cambios no padrón).
  • Transferencias internacionais de datos: Non se previron para este ficheiro.

6.2 Ficheiro de persoal

  • Descrición: Ficheiro de xestión de persoal
  • Finalidade: os datos de carácter persoal incluídos neste ficheiro utilízanse para as operacións típicas da xestión de persoal: xestión administrativa, formación de persoal, prevención de riscos laborais, control horario, xestión de nóminas, xestión de cobros e pagos, xestión contable, xestión fiscal, etc.
  • Estructura básica do ficheiro: o ficheiro inclúe datos de carácter identificativo (DNI, nome e apelidos, enderezo e teléfono), datos de características persoais (estado civil, familia, data e lugar de nacemento, idade, sexo, nacionalidade), datos de circunstancias sociais (propiedades e permisos), datos de detalle de emprego (profesión, postos de traballo, datos non económicos de nómina, historial do traballador) e datos económico-financeiros (datos bancarios, datos económicos de nómina e datos de deduccións impositivas).
  • Sistema de tratamento dos datos: aplicación baseada nun entorno cliente/servidor e nunha base de datos central.
  • Pódese acceder aos datos desde o servidor central e desde algúns dos ordenadores persoais da rede local do Concello.
  • Nivel de Seguridade: Debido á natureza dos datos incluídos neste ficheiro, considérase suficiente adoptar as medidas contempladas no Nivel de Seguridade Básico.
  • Procedencia e procedemento de recollida dos datos: os datos deste ficheiro son facilitados polo propio interesado ou o seu representante legal, e recóllense directamente mediante contacto persoal ou por teléfono, sen que sexa necesario a súa captura nun soporte físico previo á súa introdución no sistema informático do Concello.
  • Tratamentos por conta do responsable: Unha xestoría encárgase da confección das nóminas.
  • Cesións ou comunicacións de datos: Comunícanse os datos dos traballadores do Concello de Verín á Mutualidade, aos Organismos da Seguridade Social e á Administración Tributaria.
  • Transferencias internacionais de datos: Non se previron para este ficheiro.

6.3 Ficheiro de Terceiros de Contabilidade

  • Descrición: Ficheiro de xestión de provedores e de clientes do Concello de Verín.
  • Finalidade: os datos de carácter persoal incluídos neste ficheiro utilízanse para as operacións típicas da xestión con provedores e clientes: xestión administrativa, xestión de contactos, xestión de cobros e pagos, xestión económica e contable, xestión fiscal, etc.
  • Estructura básica do ficheiro: o ficheiro inclúe datos de carácter identificativo (DNI, nome e apelidos, enderezo e teléfono), datos de información comercial (actividades e negocios), datos económico-financeiros (datos bancarios) e datos de transaccións (bens e servizos subministrados ou recibidos polo afectado).
  • Sistema de tratamento dos datos: aplicación baseada nun entorno cliente/servidor e nunha base de datos central.
  • Pódese acceder aos datos desde o servidor central e desde algúns dos ordenadores persoais da rede local do Concello.
  • Nivel de Seguridade: Debido á natureza dos datos incluídos neste ficheiro, considérase suficiente adoptar as medidas contempladas no Nivel de Seguridade Básico.
  • Procedencia e procedemento de recollida dos datos: os datos deste ficheiro son facilitados polo propio interesado ou o seu representante legal, e recóllense directamente mediante contacto persoal ou por teléfono, sen que sexa necesario a súa captura nun soporte físico previo á súa introdución no sistema informático do Concello.
  • Tratamentos por conta do responsable: Non se previron para este ficheiro.
  • Cesións ou comunicacións de datos: Non se previron para este ficheiro, salvo as que por obriga legal sexa necesario realizar a organismos públicos como a Axencia Tributaria (datos e retencións fiscais) ou ás entidades financieras encargadas de interviren  na operativa de cobros e pagos.
  • Transferencias internacionais de datos: Non se previron para este ficheiro.

6.4 Ficheiro de Datos Tributarios

  • Descrición: Ficheiro utilizado polo Concello de Verín cos datos dos suxeitos pasivos por tributos locais ou outros servizos públicos.
  • Finalidade: os datos de carácter persoal incluídos neste ficheiro utilízanse para as actividades relacionadas coa recadación dos distintos tributos locais e taxas de servizos municipais: xestión tributaria e de recadación, xestión económica e contable, etc.
  • Estructura básica do ficheiro: o ficheiro inclúe datos de carácter identificativo (DNI, nome e apelidos, enderezo e teléfono), datos económico-financeiros (datos bancarios, datos de impostos) e datos de transaccións (bens e servizos recibidos polo afectado).
  • Sistema de tratamento dos datos: aplicación baseada nun entorno cliente/servidor e nunha base de datos central.
  • Pódese acceder aos datos desde o servidor central e desde algúns dos ordenadores persoais da rede local do Concello.
  • Nivel de Seguridade: Debido á natureza dos datos incluídos neste ficheiro, considérase necesario adoptar as medidas contempladas no Nivel de Seguridade Medio, por tratarse dun ficheiro con datos da Facenda Local.
  • Procedencia e procedemento de recollida dos datos: os datos deste ficheiro son facilitados polo propio interesado ou o seu representante legal, e recóllense directamente mediante contacto persoal ou por teléfono, sen que sexa necesario a súa captura nun soporte físico previo á súa introdución no sistema informático do Concello.
  • Tratamentos por conta do responsable: Non se previron para este ficheiro.
  • Cesións ou comunicacións de datos: En principio, non se previron para este ficheiro, salvo as que por obriga legal sexa necesario realizar a organismos públicos como a Axencia Tributaria.
  • Transferencias internacionais de datos: Non se previron para este ficheiro.

6.4 Ficheiro de Beneficiarios de Servizos Sociais

  • Descrición: Ficheiro empregado como soporte á prestación de determinados servizos de asistencia social do Concello de Verín.
  • Finalidade: os datos de carácter persoal incluídos neste ficheiro utilízanse para as actividades relacionadas coa prestación de determinados servizos de asistencia social nos que intervén o Concello de Verín: promoción de emprego, formación profesional ocupacional, prestacións de asistencia social, servizos sociais a minusválidos e a outros colectivos desfavorecidos, promoción da muller e da mocidade, etc.
  • Estructura básica do ficheiro: o ficheiro inclúe datos de carácter identificativo (DNI, nome e apelidos, enderezo e teléfono), datos de características persoais (estado civil, familia, data e lugar de nacemento, idade, sexo, nacionalidade), datos de circunstancias sociais (licenzas e permisos), datos académicos e profesionais, datos de detalle de emprego (profesión, postos de traballo, datos non económicos de nómina, historial do traballador) e datos de saúde (doenzas, drogodependencias, minusvalías, etc.).
  • Sistema de tratamento dos datos: aplicación baseada nun entorno cliente/servidor e nunha base de datos central.
  • Pódese acceder aos datos desde o servidor central e desde algúns dos ordenadores persoais da rede local do Concello.
  • Nivel de Seguridade: Debido á natureza dos datos incluídos neste ficheiro, considérase necesario adoptar as medidas contempladas no Nivel de Seguridade Alto.
  • Procedencia e procedemento de recollida dos datos: os datos deste ficheiro son facilitados polo propio interesado ou o seu representante legal.
  • Tratamentos por conta do responsable: Non se previron para este ficheiro.
  • Cesións ou comunicacións de datos: Comunícanse estes datos á Xunta de Galicia, en cumprimento das competencias asumidas pola Administración Autonómica.
  • Transferencias internacionais de datos: Non se previron para este ficheiro.

6.5 Ficheiro co Rexistro de expedIentes Administrativos

  • Descrición: Ficheiro que permite rexistrar os datos dos cidadáns que inician ou interveñen en algún expediente administrativo do Concello de Verín.
  • Finalidade: os datos de carácter persoal incluídos neste ficheiro utilízanse para a propia xestión dos expedientes administrativos iniciados no Concello de Verín: procedementos administrativos; rexistro de entrada e saída de documentos; atención ao cidadán; concesión e xestión de permisos, licenzas e autorizacións; comisión de infraccións; etc.
  • Estructura básica do ficheiro: o ficheiro inclúe datos básicos de identificación e contacto (DNI, nome, apelidos, enderezo, teléfono) dos interesados.
  • Sistema de tratamento dos datos: aplicación baseada nun entorno cliente/servidor e nunha base de datos central.
  • Pódese acceder aos datos desde o servidor central e desde algúns dos ordenadores persoais da rede local do Concello.
  • Nivel de Seguridade: Debido á natureza dos datos incluídos neste ficheiro, considérase necesario adoptar as medidas contempladas no Nivel de Seguridade Medio, porque inclúe datos de comisión de infraccións dos cidadáns.
  • Procedencia e procedemento de recollida dos datos: os datos deste ficheiro son facilitados polo propio interesado ou o seu representante legal.
  • Tratamentos por conta do responsable: Non se previron para este ficheiro.
  • Cesións ou comunicacións de datos: Non se previron para este ficheiro.
  • Transferencias internacionais de datos: Non se previron para este ficheiro.

6.7 Atestados da policía local

  • Descrición: Ficheiro utilizado para rexistrar información dos atestados xudiciais e da policía local.
  • Finalidade: os datos de carácter persoal incluídos neste ficheiro utilízanse para a propia xestión dos atestados: seguridade vial, actuacións de forzas e corpos de seguridade con fins administrativos, etc.
  • Estructura básica do ficheiro: o ficheiro inclúe datos básicos de identificación e contacto (DNI, nome, apelidos, enderezo, teléfono) dos afectados, así como outros datos relativos ás circunstancias persoais destas persoas.
  • Sistema de tratamento dos datos: aplicación baseada nun entorno cliente/servidor e nunha base de datos central.
  • Pódese acceder aos datos desde o servidor central e desde algúns dos ordenadores persoais da rede local do Concello.
  • Nivel de Seguridade: Debido á natureza dos datos incluídos neste ficheiro, considérase necesario adoptar as medidas contempladas no Nivel de Seguridade Alto, xa que se poderían incluír datos de saúde dos afectados.
  • Procedencia e procedemento de recollida dos datos: os datos deste ficheiro son recollidos polos propios axentes da policía local e introducidos no sistema informático do Concello de Verín.
  • Tratamentos por conta do responsable: Non se previron para este ficheiro.
  • Cesións ou comunicacións de datos: Non se previron para este ficheiro.
  • Transferencias internacionais de datos: Non se previron para este ficheiro.

6.8 Usuarios de Servizos de Deportes

  • Descrición: Ficheiro que permite rexistrar os datos identificativos e de contacto dos cidadáns que utilizan os servizos e instalacións deportivas xestionadas polo Concello de Verín.
  • Finalidade: os datos de carácter persoal incluídos neste ficheiro utilízanse para a propia xestión dos servizos e instalacións deportivas que dependen do Concello de Verín.
  • Estructura básica do ficheiro: o ficheiro inclúe datos básicos de identificación e contacto (DNI, nome, apelidos, enderezo, teléfono) dos interesados.
  • Sistema de tratamento dos datos: aplicación baseada nun entorno cliente/servidor e nunha base de datos central.
  • Pódese acceder aos datos desde o servidor central e desde algúns dos ordenadores persoais da rede local do Concello.
  • Nivel de Seguridade: Debido á natureza dos datos incluídos neste ficheiro, considérase suficiente adoptar as medidas contempladas no Nivel de Seguridade Básico.
  • Procedencia e procedemento de recollida dos datos: os datos deste ficheiro son facilitados polo propio interesado ou o seu representante legal.
  • Tratamentos por conta do responsable: Non se previron para este ficheiro.
  • Cesións ou comunicacións de datos: Non se previron para este ficheiro.
  • Transferencias internacionais de datos: Non se previron para este ficheiro.

6.9 Usuarios de Bibliotecas

  • Descrición: Ficheiro empregado para rexistrar os datos identificativos e de contacto dos cidadáns que utilizan os servizos das bibliotecas que dependen do Concello de Verín.
  • Finalidade: os datos de carácter persoal incluídos neste ficheiro utilízanse para a propia xestión das bibliotecas que dependen do Concello de Verín.
  • Estructura básica do ficheiro: o ficheiro inclúe datos básicos de identificación e contacto (DNI, nome, apelidos, enderezo, teléfono) dos interesados.
  • Sistema de tratamento dos datos: base de datos e programa de xestión da biblioteca.
  • Nivel de Seguridade: Debido á natureza dos datos incluídos neste ficheiro, considérase suficiente adoptar as medidas contempladas no Nivel de Seguridade Básico.
  • Procedencia e procedemento de recollida dos datos: os datos deste ficheiro son facilitados polo propio interesado.
  • Tratamentos por conta do responsable: Non se previron para este ficheiro.
  • Cesións ou comunicacións de datos: Comunícanse os datos do ficheiro á Consellería de Cultura da Xunta de Galicia, con fins estatísticos.
  • Transferencias internacionais de datos: Non se previron para este ficheiro.

6.10 Xestión da policía local

  • Descrición: Ficheiro utilizado pola Policía Local do Concello de Verín.
  • Finalidade: Os datos de carácter persoal incluídos neste ficheiro utilízanse en procedimentos de investigación e persecución de infraccións administrativas e penais, na xestión de denuncias, detencións, emisión de informes e, en xeral, actuacións de averiguación e garantía do cumprimento de ordes e resolucións da autoridade xudicial.
  • Estrutura básica do ficheiro: O ficheiro inclúe datos básicos de identificación e contacto (nome, apelidos, DNI, enderezo) dos interesados, así como datos de características personais (estado civil, familia, data e lugar de nacimento, idade, sexo, nacionalidade), datos de circunstancias sociais (licenzas e permisos, propiedades) e posibles datos especialmente protexidos (saúde).
  • Sistema de tratamento dos datos: este ficheiro encóntrase en soporte papel e en soporte informático.
  • Nivel de Seguridade: Debido á natureza dos datos incluídos neste ficheiro, é necesario adoptar as medidas contempladas no Nivel de Seguridade Alto.
  • Procedencia e procedemento de recollida dos datos: os datos deste ficheiro son facilitados polo propio interesado ou o seu representante legal.
  • Tratamentos por conta do responsable: Non se previron para este ficheiro.
  • Cesións ou comunicacións de datos: Non se previron para este ficheiro, salvo que a cesión se teña que realizar en cumprimento dunha norma con rango de lei.
  • Transferencias internacionais de datos: Non se previron para este ficheiro.

6.11 Contactos da axenda

  • Descrición: Ficheiro no que se rexistran os datos identificativos e de contacto dos cidadáns cos que se mantén contacto a través de correo.
  • Finalidade: os datos de carácter persoal incluídos neste ficheiro utilízanse para a propia xestión da correspondencia, xa sexa ésta tradicional (correo ordinario) ou electrónica (correo electrónico).
  • Estructura básica do ficheiro: o ficheiro inclúe datos básicos de identificación e contacto (nome, apelidos, enderezo, correo electrónico, teléfono) dos interesados.
  • Sistema de tratamento dos datos: este ficheiro encóntrase repartido entre os distintos equipos dos empregados do Concello de Verín, dentro da libreta de enderezos de cada programa lector de correo electrónico.
  • Nivel de Seguridade: Debido á natureza dos datos incluídos neste ficheiro, considérase suficiente adoptar as medidas contempladas no Nivel de Seguridade Básico.
  • Procedencia e procedemento de recollida dos datos: os datos deste ficheiro son facilitados polo propio interesado ou o seu representante legal.
  • Tratamentos por conta do responsable: Non se previron para este ficheiro.
  • Cesións ou comunicacións de datos: Non se previron para este ficheiro.
  • Transferencias internacionais de datos: Non se previron para este ficheiro.

6.12 Rexistro de Entrada e saída

  • Descrición: Ficheiro que contén os datos básicos de identificación e contacto dos cidadáns dos que se recibe ou aos que se envía algún documento oficial.
  • Finalidade: Os datos de carácter persoal incluidos neste ficheiro utilízanse para a propia xestión dos documentos oficiais do rexistro.
  • Estrutura básica do ficheiro: O ficheiro inclúe datos básicos de identificación e contacto (nome, apelidos, DNI, enderezo, teléfono) dos interesados.
  • Sistema de tratamento dos datos: este ficheiro encóntrase en soporte papel e en soporte informático.
  • Nivel de Seguridade: Debido á natureza dos datos incluídos neste ficheiro, considérase suficiente adoptar as medidas contempladas no Nivel de Seguridade Básico.
  • Procedencia e procedemento de recollida dos datos: os datos deste ficheiro son facilitados polo propio interesado ou o seu representante legal.
  • Tratamentos por conta do responsable: Non se previron para este ficheiro.
  • Cesións ou comunicacións de datos: Non se previron para este ficheiro.
  • Transferencias internacionais de datos: Non se previron para este ficheiro.

6.13 Actas de plenos e comisións

  • Descrición: Ficheiro que contén os datos básicos de identificación dos cidadáns cuxos asuntos son tratados nos plenos e comisións do Concello de Verín.
  • Finalidade: Os datos de carácter persoal incluídos neste ficheiro utilízanse na propia redacción das actas de plenos e comisións.
  • Estrutura básica do ficheiro: El ficheiro inclúe datos básicos de identificación e contacto (nome, apelidos, DNI, enderezo) dos interesados.
  • Sistema de tratamento dos datos: este ficheiro encóntrase en soporte papel e en soporte informático.
  • Nivel de Seguridade: Debido á natureza dos datos incluídos neste ficheiro, considérase suficiente adoptar as medidas contempladas no Nivel de Seguridade Básico.
  • Procedencia e procedemento de recollida dos datos: os datos deste ficheiro son facilitados polo propio interesado ou o seu representante legal.
  • Tratamentos por conta do responsable: Non se previron para este ficheiro.
  • Cesións ou comunicacións de datos: Non se previron para este ficheiro.
  • Transferencias internacionais de datos: Non se previron para este ficheiro.

6.14 Listaxes de contratación

  • Descrición: Ficheiro que contén os datos básicos de identificación e contacto dos cidadáns que se apuntan ás listaxes de contratación do Concello de Verín.
  • Finalidade: Os datos de carácter persoal incluídos neste ficheiro utilízanse para a xestión das listaxes de contratación.
  • Estrutura básica do ficheiro: O ficheiro inclúe datos básicos de identificación e contacto (nome, apelidos, DNI, enderezo, correo electrónico, teléfono), datos de circunstancias sociais e incluso, nalgúns casos, datos da saúde dos interesados (grao de discapacidade).
  • Sistema de tratamento dos datos: este ficheiro encóntrase nunha base de datos do Concello de Verín.
  • Nivel de Seguridade: Debido á natureza dos datos incluídos neste ficheiro, considérase necesario adoptar as medidas contempladas no Nivel de Seguridade Alto.
  • Procedencia e procedemento de recollida dos datos: os datos deste ficheiro son facilitados polo propio interesado ou o seu representante legal.
  • Tratamentos por conta do responsable: Non se previron para este ficheiro.
  • Cesións ou comunicacións de datos: Non se previron para este ficheiro.
  • Transferencias internacionais de datos: Non se previron para este ficheiro.

7. Procedemento de notificación e xestión de incidencias

Para cumprir cos requisitos de seguridade, o Concello de Verín definiu un procedemento de notificación e xestión de incidencias, de tal xeito que se creou unha base de datos dependente do Responsable de Seguridade, para rexistrar cada incidencia, indicando o tipo de incidencia, o momento en que se produciu, a persoa que realiza a notificación, a quen se lle comunica e os efectos que se derivasen da mesma.
Este rexistro de incidencias constitúe unha ferramenta imprescindible para a prevención de posibles ataques que poidan comprometer a seguridade dos ficheiros, así como para a persecución dos responsables dos mesmos.
Neste contexto, enténdese por incidencia “calquera anomalía que afecte ou puider afectar á seguridade dos datos”, polo que non se refire únicamente a cuestións informáticas (malfuncionamento dos equipos ou das aplicacións, por exemplo), senón que tamén se terán en conta outras cuestións de tipo humano ou organizativo (perda de contrasinais, por exemplo).
O procedemento de notificación, xestión e resposta a incidencias definido polo Concello de Verín consta das seguintes etapas:

1.Detección da incidencia

Prodúcese a detección por parte dun usuario ou grupo de usuarios dalgún tipo de anomalía que poida afectar á seguridade dos datos de carácter persoal.

2.Notificación da incidencia

O usuario deberá notificar a incidencia e a súa descrición a algunha persoa do departamento de informática do Concello de Verín, utilizando para iso o formulario establecido para este tipo de situacións (ver anexo IV deste documento) e que poderá ser remitido a través de correo electrónico ou entregado mediante unha copia impresa.

3.Estudo e rexistro da incidencia

O persoal do departamento de informática do Concello de Verín encargarase de estudar os datos que describen a incidencia notificada pólo usuario. En caso de que se considere que esta puidera ter afectado á seguridade dos datos de carácter persoal ou ao normal funcionamento do sistema informático do Concello de Verín, procederase ao seu rexistro de acordo co seguinte cadro, no que se detallan todos os datos que se van a incluír no rexistro de incidencias que afecten á seguridade do Sistema de Información e/ou dos ficheiros con datos de carácter persoal:

  • Número incidencia: número de rexistro interno para identificar a incidencia.
  • Título.
  • Data de alta.
  • Data en que se produce a incidencia.
  • Hora en que se produce a incidencia.
  • Tipo de incidencia.
  • Usuario que a notifica.
  • Usuario que a rexistra (é a persoa avisada).
  • Descrición.
  • Consecuencias.
  • Accións realizadas.
  • Posibles sancións adoptadas.

4.Adopción das medidas correctoras e/ou preventivas necesarias

Nesta cuarta etapa, o persoal do departamento de informática do Concello de Verín encargarase de definir e executar as medidas correctoras e/ou preventivas que se consideren necesarias para minimizar o impacto da incidencia e tratar de evitar a súa repetición no futuro. Así mesmo procederase á documentación e peche da incidencia, completando a ficha de rexistro correspondente, e informando das actuacións levadas a cabo ás persoas que a detectaron ou que puideron ter estado involucradas na mesma.

O coñecemento e a non notificación ou rexistro dunha incidencia por parte dun usuario será considerado como unha falta contra a seguridade dos ficheiros por parte dese usuario.

8. Procedemento de xestión dos soportes informáticos

O Concello de Verín definiu un procedemento para identificar e rexistrar nunha base de datos todos os soportes informáticos que inclúan datos de carácter persoal. Estes soportes almacénanse nun lugar con acceso restrinxido ao persoal autorizado (a propia sala de servidores), para evitar que persoal non autorizado, ou cuxa autorización tivese sido revocada, poida obter información destes soportes.
Por soporte informático, segundo o artigo 2.10 do Regulamento de Seguridade enténdese calquera “obxecto físico susceptible de ser tratado nun sistema de información e sobre o cal se poidan gravar ou recuperar datos”. Con esta definición legal considéranse soportes informáticos os CD-ROM, cintas de back-up, disquetes ou outros tipos de unidades de almacenamento externo.
De acordo ao establecido polo Regulamento da LOPD, os soportes informáticos que conteñan datos de carácter persoal deberán permitir identificar o tipo de información que conteñen, ser inventariados e almacenarse nun lugar con acceso restrinxido ao persoal autorizado para iso no documento de seguridade.
Por todo iso, cada un dos soportes será debidamente etiquetado, e  na base de datos de xestión de soporte informáticos se rexistrarán os seguintes campos de información de cada un destes soportes:
  • Código de identificación do soporte.
  • Etiqueta lóxica do soporte.
  • Tipo de soporte.
  • Data de rexistro do soporte.
  • Tipo de información que vai conter.
  • Formato da información contida.
En principio, nesta organización distínguense dous tipos de soportes: os que se utilizan para almacenamento interno, como os que conteñen as copias de seguridade,  e os que se empregan para enviar datos a outras empresas, institucións ou organismos.
Os responsables da xestión dos soportes e das copias de seguridade se encargarán de mantener actualizado o inventario de soportes da organización.
A organización adoptou as seguintes medidas de seguridade para o almacenamento dos soportes:
  • Soamente o persoal debidamente autorizado poderá ter acceso aos soportes que inclúan datos de carácter persoal, de acordo coa Relación de Usuarios Autorizados que se presenta no apartado 5 deste Documento de Seguridade.
  • Do mesmo modo, o acceso ao lugar de almacenamento destes soportes está restrinxido ao persoal autorizado no apartado 5 deste Documento de Seguridade. Para iso, a sala onde se almacenan estes soportes dispón dunha porta con pechadura, para evitar os accesos non autorizados.
  • No lugar de almacenamento dos soportes cúmprense as condicións ambientais de conservación recomendadas polo fabricante dos mesmos.
Aqueles soportes que sexan reutilizables, e que xa contiveran copias de datos de carácter persoal, deberán ser borrados físicamente de xeito seguro antes da súa reutilización, de forma que os datos que contiñan non sexan recuperables.
Igualmente,  na base de datos de xestión de soportes informáticos procederase a rexistrar todas as entradas e saídas de soportes informáticos que conteñan datos de carácter persoal, sempre e cando estes datos se correspondan a ficheiros de Nivel Medio ou de Nivel Alto. Non se realizará o rexistro de entradas e saídas nos datos de ficheiros de Nivel Básico.
O rexistro de entrada de soportes informáticos incluirá as seguintes cuestións:
  • Tipo de soporte.
  • Data e hora de entrada do soporte.
  • Emisor do soporte.
  • Número de soportes.
  • Tipo de información que conteñen os soportes.
  • Formato da información que conteñen os soportes.
  • Forma de envío dos soportes.
  • Persoa que se encarga da recepción do soporte.
A persoa responsable da recepción de soportes estará debidamente autorizada polo responsable dos ficheiros.
Á súa vez, o rexistro de saída de soportes informáticos incluirá as seguintes cuestións:
  • Tipo de soporte.
  • Data e hora de saída do soporte.
  • Destinatario do soporte.
  • Número de soportes.
  • Tipo de información que conteñen os soportes.
  • Formato da información que conteñen os soportes.
  • Forma de envío dos soportes.
  • Persoa que se encarga da emisión do soporte.
As saídas de soportes que conteñan datos de carácter persoal fóra dos locais nos que estea ubicado o ficheiro unicamente pode ser autorizada polo responsable de seguridade do Concello. Esta autorización darase por escrito, rexistrando nela os datos identificativos do soporte en cuestión, a data de saída e o organismo ou institución a que se envía o soporte. Igualmente, o responsable de seguridade encargarase de supervisar a implantación das medidas adecuadas que impidan o acceso á información que se contén neles por terceiros non autorizados.
Cando os soportes vaian saír fóra dos locais en que se encontren ubicados os ficheiros, adoptaranse as medidas necesarias para impedir calquera recuperación indebida da información almacenada neles.
Doutra banda, os soportes desbotados que xa contiveran datos de carácter persoal serán destruídos debidamente por parte do persoal do Departamento de Informática do Concello, e esta operación tamén quedará rexistrada  na base de datos de xestión de soportes informáticos.
Deste xeito, todos os disquetes, CD-ROM, fitas de back-up ou outro tipo de soportes desbotados serán destruídos físicamente por parte do persoal do Departamento de Informática do Concello de Verín.

9. Procedementos de realización de copias de seguridade

Para garantir a plena seguridade dos datos persoais dos ficheiros da empresa non só é necesario contemplar a protección da confidencialidade, senón que tamén se fai imprescindible salvagardar a súa integridade e dispoñibilidade. Para garantir estes dous aspectos fundamentais da seguridade é necesario que existan unos procedementos de realización de copias de seguridade e de recuperación que, en caso de fallo do sistema informático, permitan recuperar e no seu caso reconstruír os datos dos ficheiros.
Por “copia de respaldo ou de seguridade” enténdese unha copia dos datos dun ficheiro automatizado nun soporte que posibilite a súa recuperación.
Os procedementos establecidos polo Concello de Verín para a realización de copias de seguridade dos datos (xa sexan estas de tipo completo, diferencial ou incremental) garanten a súa reconstrucción no estado en que se achaban ao tempo de se producir a perda ou destrucción.
Para iso, de maneira cotiá2 realízase unha copia de seguridade completa de todos os datos do sistema, grabándose nun disco duro ubicado nun ordenador situado nas dependencias da Policía Local (os datos envíanse a través dunha conexión mediante fibra óptica desde o propio edificio do Concello de Verín). Ademais, unha vez á semana grábanse estes datos nun CD que se garda de forma segura na propia sede da Policía Local.
De acordo ao establecido polo Regulamento da LOPD, “o responsable do ficheiro encargarase de verificar a definición e correcta aplicación dos procedementos de realización de copias de respaldo e de recuperación dos datos”.
As copias de seguridade dos ficheiros que residen  na rede informática (ou sexa, que se encontran nas unidades lóxicas dos servidores da organización) son realizadas polo persoal designado polo Responsable de Seguridade. Non obstante, se existen ficheiros con datos de carácter persoal gravados en equipos de usuarios sen conexión á rede, será o propio usuario o responsable de realizar as copias de seguridade nos soportes correspondentes.
A perda ou destrucción, parcial ou total, dos datos dun ficheiro, hase anotar no rexistro de incidencias.
Igualmente, as restauracións de datos só poden realizarse coa correspondente autorización do Responsable de Seguridade, sendo anotadas  na mesma base de datos que se utiliza para a xestión de incidencias, indicando a persoa que executou o proceso, os datos restaurados e, no seu caso, que datos foi necesario gravar manualmente no proceso de recuperación.

10. Procedemento para garantir os dereitos de acceso, rectificación, cancelación ou oposición dos cidadáns

O Concello de Verín estableceu un procedemento para garantir os dereitos básicos dos cidadáns, referentes ao acceso, rectificación, cancelación ou oposición ao tratamento dos seus datos de carácter persoal.
Para iso, o Concello preveu que se actúe da seguinte maneira en cada un dos casos que se describen a seguir:

10.1 Dereito de Acceso

De acordo co artigo 15 da LOPD, cada cidadán ten dereito a solicitar e obter gratuitamente información dos seus datos de carácter persoal sometidos a tratamento, a orixe de ditos datos, así como as comunicacións realizadas ou que se prevén facer dos mesmos.
Por iso, o Concello de Verín responderá por escrito a cada unha das peticións dos cidadáns exercendo os seus dereitos de acceso, nun prazo máximo de 30 días desde o coñecemento da solicitude, rexistrando cada unha destas respostas.

10.2 Dereitos de Rectificación e de Cancelación dos datos

O artigo 16 da LOPD establece que o responsable do tratamento, neste caso o Concello de Verín, terá a obriga de facer efectivo o dereito de rectificación ou cancelación do interesado no prazo de 10 días.
Cómpre ter en conta que deberán ser rectificados ou cancelados, no seu caso, os datos de carácter persoal cuxo tratamento non se axuste ao disposto pola LOPD e, en particular, cando tais datos resulten inexactos ou incompletos.
O Concello de Verín responderá por escrito a cada unha das peticións dos cidadáns exercendo os seus dereitos de rectificación ou de cancelación dos datos, nun prazo máximo de 10 días desde o coñecemento da solicitude, rexistrando cada unha destas respostas.
Igualmente, a cancelación dará lugar ao bloqueo dos datos, conservándose únicamente ao dispor das Administracións Públicas, Xuíces e Tribunais, para a atención das posibles responsabilidades nacidas do tratamento, durante o prazo de prescrición destas. Cumprido o citado prazo o Concello de Verín procederá á supresión definitiva dos datos.
Doutra banda, no caso de os datos rectificados ou cancelados teren sido comunicados ou cedidos previamente, o Concello de Verín deberá notificar a rectificación ou cancelación efectuada a quen se tivesen comunicado, no caso de que se manteña o tratamento por este último, que deberá tamén proceder á rectificación ou cancelación.

10.3 Dereito de Oposición ao Tratamento dos datos

O Concello de Verín estudiará cada petición recibida de oposición ao tratamento de datos por parte dun cidadán, para determinar se procede ou non a súa aceptación.
Neste suposto haberá que ter en conta que, de acordo co artigo 6.2 da LOPD, non será preciso o consentimento para o tratamento dos datos nos seguintes casos:
  • Cando os datos de carácter persoal se recollan para o exercicio das funcións propias das Administracións Públicas no ámbito das súas competencias.
  • Cando os datos se refiran ás partes dun contrato ou precontrato dunha relación negocial, laboral ou administrativa e sexan necesarios para o seu mantemento ou cumprimento.
  • Cando os datos figuren en fontes accesibles ao público e o seu tratamento sexa necesario para a satisfacción do interese lexítimo perseguido polo responsable do ficheiro ou polo do terceiro a quen se comuniquen os datos, sempre que non se vulneren os dereitos e libertades fundamentais do interesado.
O Concello de Verín responderá por escrito a cada unha das peticións dos cidadáns opoñéndose ao tratamento dos seus datos, nun prazo máximo de 10 días desde o coñecemento da solicitude, rexistrando cada unha destas respostas.

Por último, en ningún caso se esixirá unha contraprestación por parte do Concello de Verín polo exercicio dos dereitos de oposición, acceso, rectificación ou cancelación.

11. Identificación do responsable da Seguridade

O Responsable da Seguridade dos Datos de Carácter Persoal é o Secretario/a do Concello de Verín.
Esta persoa terá baixo o seu cargo a supervisión e o control de todas as medidas de seguridade implantadas no Concello de Verín, e que foron definidas e especificadas no presente documento de seguridade, sen que isto supoña en ningún caso unha delegación da responsabilidade que corresponde ao responsable dos ficheiros, de acordo co Real Decreto 994/1999 de 11 de Xuño.
A seguir detállanse as funcións e responsabilidades que corresponden a esta persoa dentro da organización:
  • Velar pola correcta implantación e cumprimento das medidas de seguridade que se describiron no presente documento de seguridade.
  • Informar os usuarios do Sistema de Información das mudanzas que poidan afectar ás políticas e procedementos de seguridade e de protección dos datos de carácter persoal.
  • Verificar, cunha periodicidade alomenos mensual, o correcto funcionamento dos procedementos implantados para a realización de copias de seguridade dos ficheiros informatizados.
  • Comprobar, cunha periodicidade alomenos trimestral, que a relación de usuarios e grupos de usuarios autorizados se corresponde coa situación real nese momento no Sistema de Información, revisando para iso os privilexios e permisos de acceso de cada un destes usuarios e grupos de usuarios.
  • Analizar e supervisar o correcto funcionamento dos rexistros de control de accesos ás aplicacións e aos ficheiros de datos; de incidencias; de entradas e saídas de soportes con datos de carácter persoal; de restauración de copias de seguridade; e de resposta ás peticións dos cidadáns (dereitos de acceso, rectificación, cancelación ou oposición).
  • Adoptar as medidas correctoras que se consideraren necesarias, previa autorización do responsable dos ficheiros, para corrixir deficiencias ou reforzar as medidas e procedementos que poidan afectar á seguridade dos datos de carácter persoal.
  • En particular, deberá prestar especial atención á actualización das distintos programas e ferramentas informáticas instalados nos equipos do Concello de Verín, de acordo coas recomendacións dos seus fabricantes.
  • Manter en todo momento actualizado o presente documento de seguridade, incorporando as modificacións oportunas para reflectir as medidas e procedementos implantados na organización, previa autorización do responsable dos ficheiros.
  • Participar  na realización das correspondentes auditorías internas ou externas que, cunha periodicidade bianual, se encargarán de analizar o nivel de protección dos datos de carácter persoal e o cumprimento do disposto no presente Documento de Seguridade. O informe de auditoría será analizado polo Responsable de Seguridade, quen proporá ao responsable dos ficheiros as medidas correctoras correspondentes.

12. Auditorías periódicas da seguridade

O Concello de Verín realizará cunha periodicidade bianual unha auditoría interna ou externa sobre a seguridade informática, o nivel de protección dos seus datos de carácter persoal e o cumprimento do disposto no presente Documento de Seguridade.
O informe de auditoría deberá dictaminar sobre a adecuación das medidas e controles ao Regulamento, identificar as súas deficiencias e propor as medidas correctoras ou complementarias necesarias. Deberá, igualmente, incluír os datos, feitos e observacións en que se baseen os dictames alcanzados e as recomendacións propostas.
O informe de auditoría será analizado polo responsable de seguridade, quen proporá ao responsable dos ficheiros as medidas correctoras correspondentes.
Os principais aspectos que deben ser verificados nesta auditoría son os que se indican a seguir:
  • Características técnicas do sistema informático da organización: locais e postos de traballo, equipamento hardware, software e aplicacións informáticas, infraestructura de rede e de comunicacións.
  • A lista actualizada de usuarios que teñen acceso aos ficheiros correspóndese coa lista dos usuarios realmente autorizados polo responsable dos ficheiros.
  • Procedemento de rexistro de incidencias, e revisión das incidencias rexistradas nos últimos meses pola organización para que, independentemente das medidas particulares que se tivesen adoptado no momento que se produciron, adoptar as medidas correctoras que limiten esas incidencias no futuro.
  • Procedemento de xestión de soportes informáticos.
  • A existencia de copias de respaldo que permitan a recuperación dos datos dos ficheiros, así como a correcta realización do procedemento periódico de xeración de copias de seguridade.
  • Procedemento de rexistro e autorización de entradas e saídas de datos de carácter persoal, xa sexa por rede ou por medio de algún soporte informático.
  • Medidas de seguridade físicas, técnicas e organizativas implantadas pola organización.
  • Nivel de sensibilización e formación dos usuarios con acceso a datos de carácter persoal.
  • Tratamentos de datos encargados a terceiros: regulación mediante un contrato de prestación de servizos, que inclúa as correspondentes cláusulas de seguridade e protección de datos.
  • Comunicacións de datos a outras persoas xurídicas.
  • Cumprimento da obriga de información do tratamento de datos de carácter persoal aos afectados, así como do respecto dos seus dereitos de acceso, rectificación, cancelación e oposición.
A metodoloxía proposta para levar a cabo esta auditoría é a que se presenta a seguir:
  • Identificación dos sistemas a auditar. Incluirán os servizos contratados a terceiros como parte do sistema auditado.
  • Organización dos papeis de traballo e check-lists para realizar a auditoría.
  • Elaboración do calendario de entrevistas, especificando o contido e a duración aproximada.
  • Entrega ao responsable do ficheiro, ao responsable de informática e ao responsable de seguridade dun memorando formal no que se detallarán os temas e datos específicos necesarios para levar a cabo a auditoría.
  • Avaliación obxectiva do funcionamento operativo e da información do aspecto de seguridade ou procedemento auditado.
  • Información ao responsable de seguridade e ao responsable de informática do Concello do transcurso da auditoría.
  • Redacción do informe final, que incluirá os motivos da avaliación efectuada, así como os comentarios clasificados e as recomendacións ou accións a realizar. Dito informe tamén incluirá as seguintes conclusións:
  • Exposición das normas ou procedementos (propios ou legais) que foron violados, indicando as causas.
  • Descrición do risco potencial que entraña a debilidade e o seu impacto  na organización.
  • Distribución do informe final ao responsable do ficheiro, ao responsable de seguridade e ao responsable de informática.
  • Seguimento das accións correctoras propostas como conclusión do traballo de auditoría.

13. Relación con outras empresas e INSTITUCIÓNS encargadas do tratamento dos datos

A realización de tratamentos por conta de terceiros estará regulada nun contrato por escrito, establecéndose expresamente que o encargado do tratamento unicamente tratará os datos conforme ás instruccións do Concello de Verín, que non os aplicará ou utilizará con fin distinto ao que figure en dito contrato, nin os comunicará, nin sequera para a súa conservación, a outras persoas, e que ditos datos terán que ser eliminados de forma segura polo encargado do tratamento unha vez concluído o seu traballo.
Igualmente, neste contrato se estipularán as medidas de seguridade que o encargado do tratamento está obrigado a implementar para garantir o mesmo nivel de protección que o titular dos ficheiros de datos:
  • Medidas de seguridade física das instalacións e equipos onde se encontran os datos.
  • Procedementos de autorización e control de acceso aos datos.
  • Datas e horarios da dispoñibilidade do servizo.
  • Restriccións contra a copia e a revelación non autorizada.
  • Cláusulas de confidencialidade nos contratos do persoal responsable do tratamento dos datos como parte das súas condicións iniciais de traballo.
  • Etc.

14. Procedementos de recollida de datos de carácter persoal

De acordo co disposto na LOPD, considérase “afectado” ou “interesado” a persoa física titular dos datos persoais que sexan obxecto do tratamento. Os interesados aos que se soliciten datos persoais deben ser previamente informados de modo expreso, preciso e inequívoco, da existencia dun ficheiro ou tratamento de datos de carácter persoal, da finalidade da recollida destes e dos destinatarios da información.
Igualmente, debe informarse do carácter obrigatorio ou facultativo da súa resposta ás preguntas que lles sexan planteadas e as consecuencias da obtención dos datos ou da negativa a subministralos. Tamén cómpre dar a coñecer a posibilidade de exercitar os dereitos de acceso, rectificación, cancelación e oposición, así como da identidade e enderezo do responsable do tratamento ou, no seu caso, do seu representante.
Nos cuestionarios ou outros impresos do Concello débese facer figurar, dun xeito claramente lexible, as mencionadas advertencias. Se os datos de carácter persoal non se obteñen directamente do interesado senón doutra fonte, o interesado debe ser informado de forma expresa, precisa e inequívoca polo responsable do ficheiro ou o seu representante, dentro dos tres meses seguintes ao momento do rexistro dos datos, salvo que xa tivese sido informado con anterioridade, do contido do tratamento, da procedencia dos datos e de todo o demais que levamos sinalado, salvo que o tratamento teña fins históricos, estatísticos ou científicos, ou cando a información ao interesado resulte imposible ou esixa esforzos desproporcionados, a criterio da Axencia de Protección de Datos ou do organismo autonómico equivalente, en consideración ao número de interesados, á antigüidade dos datos e ás posibles medidas compensatorias.
Tampoco hai obriga de comunicar cando os datos proceden de fontes accesibles ao público e se destinan á actividade de publicidade ou prospección comercial. No cal caso, en cada comunicación que se dirixa ao interesado, se lle informará da orixe dos datos e da identidade do responsable do tratamento así como dos dereitos que o asisten.
Para que se poida realizar o tratamento dos datos de carácter persoal requírese o consentimento inequívoco do afectado (expreso e por escrito no caso dos datos especialmente protexidos relativos á ideoloxía, relixión e/ou crenzas do interesado). Non é preciso, sen embargo, cando se refiran ás partes dun contrato ou precontrato dunha relación negocial ou laboral e sexan necesarios para o seu mantemento ou cumprimento, ou cando os datos figuren en fontes accesibles ao público e o seu tratamento sexa necesario para a satisfacción do interese lexítimo perseguido polo responsable do ficheiro ou polo do terceiro a quen se comuniquen os datos, sempre que non se vulneren os dereitos e libertades fundamentais do interesado.
Coa finalidade de obter o consentimento expreso dos interesados, nos documentos do Concello de Verín onde se recollan os datos de carácter persoal incluirase a seguinte cláusula:
“De conformidade co establecido na LEI ORGÁNICA 15/1999, DE 13 DE DECEMBRO, DE PROTECCIÓN DE DATOS DE CARÁCTER PERSOAL (LOPD), infórmase ao interesado que estes datos se incorporan ao ficheiro automatizado propiedade do Concello de Verín, denominado ficheiro ZZZ, con enderezo en Praza do Concello, s.n. - VERÍN. Vostede poderá exercer, en calquera momento, os dereitos de acceso, rectificación, cancelación e oposición, previstos pola Lei. Ao asinar este documento autoriza a utilización dos seus datos persoais exclusivamente para o fin solicitado.”
Para obter o consentimento  na cesión de datos a outras empresas e institucións, poderanse incluír outros parágrafos informativos na cláusula anterior, como os que se citan a seguir:
  • “O interesado acepta que os seus datos poidan ser cedidos a outras empresas e institucións, exclusivamente para a finalidade prevista para este ficheiro automatizado”.
  • “O interesado consente que se poidan ceder os seus datos a calquera outra entidade cuxa intervención sexa necesaria ou conveniente na realización de operacións conexas e necesarias aos fins propios da relación contractual ou negocial. O presente consentimento outórgase sen prexuízo de todos os dereitos que asisten ao interesado en virtude da Lei Orgánica 15/1999 de Protección de Datos de Carácter Persoal”.
Igualmente, en todas as páxinas Web do Concello que recopilen datos de carácter persoal incluirase un aviso facilmente localizable e de comprensión asequible coa información seguinte:
  • Identificación do Concello.
  • Un enderezo de correo electrónico, correo ordinario ou outro sistema de comunicación, a través dos cales se poidan exercer os dereitos de acceso, rectificación, cancelación e oposición previsto pola LOPD.
  • Información completa sobre a Política de Protección de Privacidade do Website: en caso de se producir unha captación de datos ou se facer uso de ‘cookies’ ou outras técnicas para un seguimento dos usuarios, informaríase diso aos usuarios do Website, así como da finalidade ou finalidades a que se destina a información obtida.
  • Tamén se daría a coñecer, se o Concello contemplara esta situación, a intención de ceder os datos a terceiros, especificando a información que se cede, así como a finalidade á que se destinarán os datos cedidos.