Política de seguridad del personal para el tratamiento de datos personales

1. Ámbito de aplicación.

El Responsable del tratamiento está comprometido en implantar una cultura de privacidad en la organización, por lo que necesita que las personas autorizadas a tratar datos personales estén informadas del tratamiento de datos y se responsabilicen del mismo.

A toda persona autorizada para tratar datos personales se le exige que lea, comprenda, cumpla y haga cumplir esta Política de seguridad para proteger los datos que forman parte del tratamiento que se le ha encomendado.

Esta Política de seguridad establece las obligaciones y procedimientos que tiene que seguir el personal de la organización, tanto propio como externo, que trata datos personales en el desarrollo de su actividad, y se basa en lo dispuesto en el Reglamento (UE) 2016/679, de 27 de abril de 2016 (RGPD), y la Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD).

En este sentido, para velar y hacer cumplir esta Política, la organización ha designado un Responsable de seguridad que estará a disposición de todo el personal y se encargará de coordinar, controlar, desarrollar y verificar el cumplimiento de las citadas normativas.

2. Conceptos básicos.

Para proporcionar una mejor comprensión de la protección de datos, definimos los principales conceptos básicos:

Estructura del tratamiento:

• Datos personales: Información relativa a una persona física por la cual pueda determinarse su identidad.

• Tratamiento: Cualquier operación realizada sobre datos personales: obtención, acceso, intervención, transmisión, conservación y supresión.

• Interesado: Persona física sometida al tratamiento de sus datos personales.

• Fichero: Conjunto estructurado de datos personales susceptibles de tratamiento para un fin determinado.

• Responsable del tratamiento: Organización que determina los fines y los medios del tratamiento.

• Personal autorizado: Persona autorizada por el Responsable para realizar un tratamiento de datos mediante un compromiso de confidencialidad.

Categorías de datos:

• Básicos: Datos que no correspondan a categorías Penales o Especiales, por ejemplo: nombre, dirección, e-mail, teléfono, edad, sexo, firma, imagen, aficiones, patrimonio, datos bancarios, información académica, profesional, social, comercial, financiera, etc.

• Penales: Datos relativos a la comisión de infracciones administrativas o penales, o datos que puedan ofrecer una definición de características de personalidad, etc.

• Especiales: Datos relativos al origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos o biométricos que permitan la identificación unívoca de una persona, datos relativos a la salud o a la vida y orientación sexuales.

3. Principios de la protección de datos.

Los principios fundamentales para realizar un tratamiento de datos son:

• Licitud: lealtad y transparencia con el interesado.

• Limitación de los fines: tratados para fines determinados.

• Minimización de los datos: solo se deben obtener los datos necesarios para alcanzar los fines.

• Exactitud: actualizados.

• Limitación del plazo de conservación: guardados durante no más tiempo del necesario para conseguir los fines.

• Integridad y confidencialidad: aplicación de medidas de seguridad para la protección de los datos en todas las fases del tratamiento.

• Responsabilidad proactiva: se debe poder demostrar el cumplimiento de todos los principios de protección de datos.

Consentimiento para realizar un tratamiento de datos

• Cuando el tratamiento de datos personales se base en el consentimiento del interesado, deberemos obtener el consentimiento explícito para tratarlos y guardar el documento probatorio que lo acredite.

• Cuando obtengamos los datos de terceros, deberemos asegurarnos de que la comunicación sea lícita y guardar el documento probatorio que lo acredite.

• No es necesario obtener el consentimiento del interesado cuando el tratamiento se base en una obligación legal (por ejemplo, para emitir una factura), en una relación contractual, o en un interés legítimo, público o vital.

Información del tratamiento al interesado

Deberemos facilitar la siguiente información al interesado:

• La identidad y los datos de contacto del Responsable del tratamiento

• Los fines del tratamiento.

• La base jurídica del tratamiento.

• El plazo de conservación de los datos o los criterios que lo determinen.

• Los derechos que asisten al interesado.

• Y si existen:

  • Los destinatarios o categorías de destinatarios de los datos.

  • La transmisión de datos a países u organizaciones establecidas fuera de la UE.

• Y si los datos no se se han obtenido del interesado:

  • Categoría de datos.

  • Fuentes de procedencia.

Responsabilidad del tratamiento

El tratamiento de datos se podrá realizar por organizaciones externas siempre y cuando exista una autorización expresa del Responsable y se haya suscrito un contrato para realizar dicho tratamiento conforme a la legislación vigente. Para conocer qué empresas o terceros están autorizados a la cesión de datos, deben dirigirse al Responsable de seguridad.

Las organizaciones externas pueden ser:

• Encargados del tratamiento: Organización que trata datos personales por cuenta del Responsable.

• Destinatarios de datos: Organización distinta del Encargado, que recibe una comunicación de datos personales del Responsable.

Medidas de seguridad

La organización ha implementado medidas técnicas y organizativas para garantizar un nivel de seguridad adecuado a los riesgos que pueda tener el tratamiento a consecuencia de la destrucción accidental o ilícita de datos, la pérdida, alteración o comunicación no autorizada y el acceso a los datos cuando son transmitidos, conservados u objeto de algún otro tipo de tratamiento.

El personal deberá velar por la seguridad de los datos tratados por la organización y comunicará al Responsable cualquier operación de tratamiento que pueda suponer un riesgo que afecte la protección de datos o los intereses y libertades de los interesados.

Cualquier diseño de una nueva operación de tratamiento o actualización de una operación existente deberá garantizar antes de su implantación, la protección de datos personales y el ejercicio de los derechos de los interesados en todas las fases del tratamiento: obtención, acceso, intervención, transmisión, conservación y supresión.

4. Funciones y obligaciones de personal.

El personal deberá actuar en todo momento conforme a las instrucciones detalladas en el acuerdo de confidencialidad suscrito con la organización y las establecidas en esta Política de seguridad. Para ello se establecen las siguientes medidas de protección de datos que el personal está obligado a cumplir expresamente:

Organización de la información

Se deberán clasificar los datos de manera que se puedan ejercer los derechos de los interesados: acceso, rectificación, supresión y portabilidad de los datos y limitación u oposición al tratamiento.

Conservación de los datos

Se deberán conservar los datos en el mobiliario y departamento destinados a tal fin. Para tratamientos automatizados se guardarán los archivos en los soportes, carpetas o directorio de red indicados por el Responsable de seguridad.

No está permitido conservar datos en el escritorio físico o digital. Solo se permite su tratamiento temporal en dicho escritorio para realizar las operaciones que lo precisen debiendo conservarse en el lugar apropiado al término de la jornada laboral.

Acceso a la información

Se deberán aplicar los mecanismos de acceso restringido a la información que haya implementado la organización, y salvaguardar las claves de acceso de toda divulgación o comunicación a otras personas.

Cada persona solo está autorizada a acceder a los recursos que sean necesarios para el desarrollo y cumplimiento de sus funciones.

Se restringirá el acceso a los equipos informáticos mediante procedimientos que puedan identificar y autenticar la persona que accede a los mismos. Los nombres de usuario y contraseña tendrán la consideración de datos personales intransferibles.

Procesamiento de datos

Los soportes documentales e informáticos deberán estar dispuestos de tal forma que no sean accesibles a personas no autorizadas.

Si una persona abandona su puesto de trabajo temporalmente, deberá ocultar los documentos y bloquear el ordenador, de modo que se impida la visualización de la información con la que estaba trabajando.

Cuando se utilicen impresoras o fotocopiadoras, después de la impresión de trabajos con información de carácter personal, se debe recoger de manera inmediata, o imprimir de forma bloqueada, asegurándose de no dejar documentos impresos en la bandeja de salida.

Transporte de soportes

El transporte de soportes que contengan datos personales deberá realizarse únicamente por personal autorizado o empresas externas contratadas para tal fin por el Responsable del tratamiento.

Eliminación de documentos

Cualquier documento físico o soporte digital que quiera ser eliminado y que incluya datos personales, debe ser destruido con la destructora o retirado por una empresa homologada de destrucción de documentos.

Copia de seguridad y recuperación de datos

El personal deberá almacenar toda la información tratada en el directorio de red correspondiente indicado por el Responsable de seguridad, lo que permitirá que a esta información se le apliquen las medidas de seguridad existentes y que se someta a los procedimientos de copias de seguridad aplicados por la organización.

Protección de datos

Se deberán aplicar las medidas de protección de datos establecidas por la organización relativas a la seguridad del tratamiento como pueden ser la seudonimización o cifrado de datos o advertencias de intrusión como antivirus, antispam , etc.

Gestión de incidencias

Se considera una incidencia cualquier violación de la seguridad que ocasione la destrucción accidental o ilícita, pérdida, alteración, o el acceso o comunicación no autorizados de datos personales.

El personal tiene la obligación de notificar sin demora injustificada, cualquier incidencia de la que tenga conocimiento al Responsable de seguridad para su conocimiento y para la aplicación de medidas correctivas para remediar y mitigar los efectos que hubiera podido ocasionar. La persona que notifica la incidencia deberá documentarla con una descripción detallada de la misma y la fecha y hora en que se ha producido o se ha tenido conocimiento de ella.

El conocimiento y no notificación de una incidencia por parte del personal se considerará una falta contra la seguridad de los datos y podrá suponer el inicio de acciones legales, así como la reclamación de las indemnizaciones, sanciones y daños o perjuicios que el Responsable se vea obligado a atender a consecuencia de dicho incumplimiento.

Funciones y obligaciones de obligado cumplimiento.

USUARIOS son todas aquellas personas que ejercen sus funciones bajo la autoridad del RESPONSABLE que intervienen en el tratamiento de cualquier información generada por la organización relativa tanto a datos personales como a los que no lo son. Estos deberán actuar de acuerdo con las instrucciones contempladas en el Acuerdo de confidencialidad y secreto profesional, obligándose además a cumplir las funciones y obligaciones relacionadas en este anexo.

1. Confidencialidad de la información.

Están expresamente prohibidas las siguientes actividades:

1. Enviar al exterior o revelar a terceros, información que no haya sido declarada como no confidencial por el RESPONSABLE, mediante cualquier procedimiento o soporte, sea electrónico, digital, manual o documental, o a través de cualquier medio de comunicación, incluyendo la simple visualización o acceso a la misma.

2. El uso de cámaras fotográficas, de vídeo, de sonido o cualquier instrumento que pueda almacenar información audiovisual, entendida esta no solo de personas, sino de cualquier lugar, soporte o recurso del RESPONSABLE.

3. Divulgar directamente o a través de terceras personas o empresas los datos, documentos, metodologías, claves, análisis, programas y demás información a la que tengan acceso durante su relación laboral o profesional con la organización, tanto en soporte material como electrónico. Esta prohibición continuará vigente tras la extinción del contrato laboral por tiempo indefinido.

4. Poseer, para usos fuera de su responsabilidad, ningún material o información propiedad del RESPONSABLE o del cliente del mismo donde se presten los servicios, tanto ahora como en el futuro. En caso de que, por motivos directamente relacionados con el puesto de trabajo, el USUARIO entre en posesión de información que no haya sido declarada como no confidencial por parte del RESPONSABLE, bajo cualquier tipo de soporte, deberá entenderse que dicha posesión es estrictamente temporal, con obligación de secreto y sin que ello le otorgue derecho alguno de posesión, titularidad o copia sobre la referida información.

Asimismo, el USUARIO deberá devolver dichos materiales al RESPONSABLE inmediatamente después de la finalización de las tareas que han originado el uso temporal de los mismos y, en cualquier caso, a la finalización de la relación laboral o profesional. La utilización continuada de la información en cualquier formato o soporte de forma distinta a la pactada y sin conocimiento del RESPONSABLE, no supondrá, en ningún caso, una modificación de esta cláusula.

El incumplimiento de estas obligaciones puede constituir un delito de revelación de secretos, previsto en los artículos 197 y 278 del Código Penal y dará derecho al RESPONSABLE a proceder como estime oportuno en defensa de sus intereses y a exigir al USUARIO una indemnización económica.

2. Utilización de los sistemas informáticos (SI).

El Sistema Informático, y los terminales utilizados por cada USUARIO son, con carácter general, propiedad del RESPONSABLE o de un cliente del mismo.

Están expresamente prohibidas las siguientes actividades:

1. El uso de programas informáticos sin la correspondiente licencia, así como el uso, reproducción, cesión, transformación o comunicación pública de cualquier tipo de obra o invención protegida por la propiedad intelectual o industrial. Su incumplimiento podrá ser causa de responsabilidad disciplinaria, administrativa, civil y penal.

2. Destruir, alterar, inutilizar o de cualquier otra forma dañar los datos, programas o documentos electrónicos del RESPONSABLE o de terceros. Estos actos pueden constituir un delito de daños, previsto en el artículo 264.2 del Código Penal.

3. Introducir voluntariamente programas, virus, macros, applets , controles ActiveX o cualquier otro dispositivo lógico o secuencia de caracteres que causen o sean susceptibles de causar cualquier tipo de alteración en los Sistemas Informáticos del RESPONSABLE o de terceros. Al respecto, recordar que el propio sistema ejecuta automáticamente los programas antivirus y sus actualizaciones para prevenir la entrada en el sistema de cualquier elemento destinado a destruir o corromper los datos informáticos.

4. Introducir, descargar de Internet, reproducir, utilizar o distribuir programas informáticos no autorizados expresamente por el RESPONSABLE. Esta prohibición incluye cualquier otro tipo de obra o material cuyos derechos de propiedad intelectual o industrial pertenezcan a terceros, cuando no se disponga de autorización para ello.

5. Instalar copias ilegales de cualquier programa, incluidos los que están estandarizados.

6. Borrar cualquiera de los programas instalados legalmente.

7. Introducir contenidos obscenos, inmorales u ofensivos y, en general, carentes de utilidad para los objetivos del RESPONSABLE.

8. Cifrar información sin estar expresamente autorizado para ello.

3. Utilización de sistemas que incluyan Inteligencia Artificial (IA).

Los sistemas que incluyan IA que pueden ser utilizados por cada USUARIO son, con carácter general, los que sean propiedad del RESPONSABLE o de un cliente del mismo, o hayan sido contratados por el RESPONSABLE o un cliente del mismo, y su uso deberá realizarse siempre de manera responsable, ética y garantizando el cumplimiento de lo establecido en el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD).

Solo se utilizarán los sistemas que incluyan IA anteriormente descritos para fines estrictamente relacionados con las funciones propias del puesto de trabajo de cada USUARIO.

Los USUARIOS deberán informar al RESPONSABLE cuando los sistemas que incluyan IA autorizados que estén utilizando tengan un impacto directo en el trabajo desarrollado o en sus resultados, distinto del esperado.

La entidad podrá establecer mecanismos de control para verificar el cumplimiento de esta cláusula y garantizar
un uso responsable, sin perjuicio de respetar los derechos laborales y de privacidad reconocidos legalmente.

Están expresamente prohibidas las siguientes actividades:

1. El uso de sistemas que incluyan IA que no sean los autorizados y/o proporcionados por el RESPONSABLE

2. El uso de sistemas que incluyan IA para fines personales, ilícitos o contrarios a las normas internas de la entidad o para generar contenidos engañosos, discriminatorios o que atenten contra los valores de la entidad.

3. El uso de sistemas que incluyan IA para copiar o modificar contenidos protegidos por derechos de autor.

4. Incluir en sistemas que incluyan IA información confidencial sin autorización previa y expresa del RESPONSABLE.

5. Incluir en sistemas que incluyan IA información personal (datos personales de clientes, empleados, proveedores u otros) sin autorización previa y expresa del RESPONSABLE.

   
   

6. Salvaguarda y protección de las contraseñas personales.

Están expresamente prohibidas las siguientes actividades:

1. Compartir o facilitar el identificador de usuario y la clave de acceso (contraseña) proporcionado por el RESPONSABLE a otra persona física o jurídica. Si el USUARIO sospecha que otra persona conoce sus datos de identificación y acceso deberá notificar al Responsable de seguridad de esta incidencia para activar los mecanismos de cambio de contraseña. En caso de incumplimiento de esta prohibición, el USUARIO será el único responsable de los actos realizados por la persona física o jurídica que utilice de forma no autorizada su identificación.

2. Intentar distorsionar o falsear los registros log del sistema.

3. Intentar aumentar o disminuir el nivel de privilegios de un USUARIO en el sistema.

5. Acceso a redes.

Están expresamente prohibidas las siguientes actividades:

1. Utilizar los datos, la red corporativa y/o la intranet de A LITTLE TOO MUCH, S.L. y/o de terceros para incurrir en actividades que puedan ser consideradas ilícitas o ilegales, que infrinjan los derechos de la organización y/o de terceros o que puedan atentar contra la moral o las normas de etiqueta de las redes telemáticas.

2. Intentar descifrar las claves, sistemas o algoritmos de cifrado y cualquier otro elemento de seguridad que intervenga en los procesos telemáticos del RESPONSABLE.

3. Utilizar el sistema para intentar acceder a áreas restringidas de los sistemas informáticos del RESPONSABLE y/o de terceros.

4. Almacenar datos de carácter personal en el disco duro del ordenador, debiendo ser utilizadas para tal fin las carpetas de la red corporativa asignadas por el RESPONSABLE.

5. Obstaculizar voluntariamente el acceso de otros USUARIOS a la red mediante el consumo masivo de los recursos informáticos y telemáticos de la organización, así como realizar acciones que dañen, interrumpan o generen errores en dichos sistemas.

6. Recursos telemáticos y acceso a Internet.

A LITTLE TOO MUCH, S.L., como RESPONSABLE, se reserva el derecho de monitorizar y comprobar, de forma aleatoria y sin previo aviso, cualquier sesión de acceso a Internet iniciada por un USUARIO.

Cualquier fichero introducido en los Sistemas Informáticos desde Internet, deberá cumplir los requisitos establecidos en estas normas y, en especial, en las referidas a propiedad intelectual y a control de virus.

Están expresamente prohibidas las siguientes actividades:

1. Utilizar los recursos telemáticos del RESPONSABLE y/o acceder a redes públicas como Internet, páginas web (www), grupos de noticias (Newsgroups) y otras fuentes de información como FTP, etc. para temas no relacionados directamente con la actividad del RESPONSABLE o los cometidos del puesto de trabajo del USUARIO.

2. El acceso a debates en tiempo real (Chat/IRC), ya que facilita la instalación de utilidades que permiten accesos no autorizados al sistema.

7. Utilización del correo electrónico y mensajería.

Se considerará correo electrónico tanto el interno como el externo, dirigido o proveniente de otras redes privadas o públicas, especialmente Internet.

Ningún mensaje de correo electrónico será considerado como privado.

El RESPONSABLE se reserva el derecho de revisar, sin previo aviso, los mensajes de correo electrónico de los USUARIOS de la red corporativa y los archivos log del Sistema Informático, con el fin de comprobar el cumplimiento de estas normas y prevenir actividades que puedan afectar a la organización como responsable civil subsidiario.

Cualquier fichero introducido en los Sistemas Informáticos a través de mensajes de correo electrónico, provenientes de redes externas, deberá cumplir los requisitos establecidos en estas normas además de las del cliente, en especial, las referidas a propiedad intelectual e industrial y a control de virus. Las direcciones de correo electrónico dirigidas a personas, son consideradas datos personales, por lo que cuando se envíen correos a más de un destinatario, si no es estrictamente necesario que los otros vean las direcciones de correo de todos los demás, se deberán enviar como copia oculta «Cco».

Están expresamente prohibidas las siguientes actividades:

1. Intentar leer, borrar, copiar o modificar los mensajes de correo electrónico o archivos de otros USUARIOS. Esta actividad puede constituir un delito de interceptación de las telecomunicaciones (revelación de secretos), previsto en el artículo 197 del Código Penal.

2. Enviar mensajes de correo electrónico de forma masiva o con fines comerciales o publicitarios sin el consentimiento del destinatario.

3. Enviar o reenviar mensajes en cadena o de tipo piramidal.

8. Tratamiento de la información.

Están expresamente prohibidas las siguientes actividades:

1. Acceder a recursos que no sean necesarios para el desarrollo y cumplimiento de su. labor, así como consultar, copiar, reproducir, transmitir, editar, modificar o eliminar información sin estar autorizado para estas funciones.

2. Utilizar impresoras o fotocopiadoras sin recoger de manera inmediata los documentos impresos en la bandeja de salida con el fin de que otras personas no autorizadas puedan acceder a la información.

3. Destruir cualquier documento físico o soporte digital que incluya datos personales sin utilizar la destructora de papel o sin guardarlos debidamente custodiados hasta que sean retirados por una empresa homologada de destrucción de documentos.

4. Dejar la pantalla del ordenador sin bloquear cuando se abandona el puesto de trabajo temporalmente, de modo que no se impida la visualización de la información a personas no autorizadas.

9. Gestión de incidencias.

Es obligación del USUARIO, comunicar al RESPONSABLE en el menor plazo posible, todas aquellas incidencias que se produzcan en la organización, entendidas estas como cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos personales o al incumplimiento de las obligaciones detalladas en este documento.

Dicha comunicación deberá contener la identificación clara de la incidencia y una descripción detallada de la misma, que contendrá, como mínimo: el momento –día y hora – en que se ha producido, la persona que ha tenido conocimiento de ella, las personas a las que se ha comunicado, los efectos producidos y las medidas correctoras adoptadas.

Manual del usuario del sistema de tratamiento de información.

Funciones y obligaciones de los usuarios.

Los empleados o usuarios del sistema con acceso a los datos de carácter personal incorporados en los ficheros de A LITTLE TOO MUCH, S.L. están obligados a cumplir con las funciones y obligaciones relacionadas a continuación. El incumplimiento de estas funciones y obligaciones implicará aquellas responsabilidades que estipule la dirección.

1. Tratar los datos de carácter personal contenidos en los ficheros de conformidad con lo establecido en la legislación vigente y en el documento de seguridad existente.

2. Garantizar la seguridad de los datos de carácter personal.

3. Los usuarios tienen acceso autorizado a los datos de carácter personal y a los sistemas de información únicamente cuando lo precisen para el desarrollo de sus funciones.

4. Mantener el secreto profesional respecto de los datos de carácter personal contenidos en los ficheros, así como su custodia. Esta obligación perdurará tras finalizar sus relaciones con la empresa.

5. Prohibición de comunicar los datos personales a terceros de la información obtenida como consecuencia de la relación laboral.

6. Identificar el tipo de información de cualquier soporte informático que contenga datos de carácter personal y entregarlo al responsable de seguridad para su inventario y almacén.

7. Comunicar al responsable de seguridad o Delegado de Protección de Datos cualquier anomalía o incidencia que se observe durante el tratamiento de datos de carácter personal, mediante el formulario que le facilitará el mismo.

8. Comunicar al responsable de seguridad o Delegado de Protección de Datos cualquier solicitud de acceso, rectificación, cancelación u oposición de datos de carácter personal.

9. Evitar que los datos contenidos en los ficheros sean visibles a través de sus puestos de trabajo por personas no autorizadas, por ello cuando abandonen este puesto de trabajo deberán apagar el equipo o utilizar un protector de pantalla con la contraseña correspondiente. Si se trata de datos personales en soporte documental, se deberán guardar los documentos que contengan datos personales de los ficheros protegidos en un sitio que no pueda ser visible para terceros.

10. En el uso de impresoras, fax y fotocopiadoras se debe retirar la documentación relativa a los datos personales inmediatamente después de su impresión, envío o copia evitando el acceso por parte de personas no autorizadas.

11. En el caso de desechar un documento que contenga datos de carácter personal se procederá a su destrucción, utilizando la destructora de papel.

12. En el caso de enviar correos electrónicos a más de un destinatario a la vez, deberá hacerse con la opción de copia oculta.

13. En el caso de reenviar correos electrónicos deberá borrar la parte del contenido en la que aparecen las direcciones de los otros destinatarios que también lo han recibido.

14. Las personas con acceso autorizado a los ficheros a través del puesto de trabajo no podrán modificar la configuración de las aplicaciones ni del sistema operativo, salvo autorización expresa del responsable de seguridad.

15. Cada usuario autorizado es responsable de la confidencialidad de su contraseña, y en el caso de que ésta sea conocida por persona no autorizada, deberá proceder a su cambio y registrarlo como incidencia.

16. Cuando un usuario cree ficheros temporales para la realización de una tarea concreta, será obligatoria su eliminación una vez haya finalizado ésta.

17. Cualquier salida de soportes que contengan datos de carácter personal, debe ser autorizada por el responsable de los ficheros. El responsable de seguridad tendrá a disposición de los usuarios un modelo de autorización de salida de soportes. Los soportes deberán enviarse con sobre cerrado y acuse de recibo para garantizar que el destinatario autorizado lo ha recibido.

18. Las copias de seguridad de los ficheros únicamente las podrán realizar las personas autorizadas en el documento de seguridad.

19. Los datos de carácter personal objeto del tratamiento únicamente podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del empleado con la autorización previa de A little to much.

20. No violentar los mecanismos y dispositivos de seguridad, evitar cualquier intento de acceso no autorizado a datos o recursos, informar de las posibles debilidades de los controles y no poner en peligro la disponibilidad de los datos, ni la confidencialidad o integridad de los mismos.

21. No utilizará el correo electrónico u otros medios de comunicación para transmitir mensajes que contengan datos de carácter personal que puedan poner en peligro la confidencialidad o integridad de los datos.

22. Salir de los ordenadores personales o aplicaciones de gestión cuando vaya a estar ausente de su puesto de trabajo de modo que el sistema le pida de nuevo que se identifique.

23. No instalar software ilegal ni cualquier otro que pudiera perjudicar la seguridad o el funcionamiento del equipo o de la red.

24. Para recoger datos personales, siempre y cuando el responsable de los ficheros haya autorizado proceder a dicha recogida de datos personales, se deberá cumplir con lo que se dispone a continuación.

25. Los datos personales sólo se podrán recoger para su tratamiento cuando éstos sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

26. Los datos personales serán recabados a través de los canales y medios habilitados por la empresa para ello.

27. Las personas a las cuales se les soliciten datos personales deberán ser previamente informadas de la política de privacidad y uso de datos personales que la empresa haya redactado para tal efecto.

28. Cuando se soliciten cuestionarios u otros impresos para la recogida de datos, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.

29. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, como regla general.

Medidas de seguridad informática en el puesto de trabajo:

• Política de contraseñas: La política de contraseñas a seguir será la siguiente:

  • Contraseñas de al menos 7 caracteres.

  • La contraseña debe incluir al menos un carácter de las siguientes 4 clases: • Mayúsculas • Minúsculas • Números • Caracteres no alfanuméricos

  • No debe contener nuestro nombre de usuario.

  • Las contraseñas no se deben compartir con otros compañeros ni deben estar apuntadas en un papel encima de la mesa.

  • Si utiliza muchas contraseñas puede utilizarse un software específico para almacenarlas y gestionarlas. Solicite este software al Responsable de Seguridad o Delegado de Protección de Datos.

  • Ejemplos: ColoN+1492; Rm05-fcB03inequívoco del afectado, como regla general.

  
  

• Contraseña de arranque del PC: Los equipos personales al arrancar deberán pedir una contraseña (conforme a la política de contraseñas de A LITTLE TOO MUCH, S.L..).

• Usuario y contraseña: Todos los equipos utilizarán el sistema de usuario y contraseña para controlar el acceso a los mismos.

• Bloqueo de equipo: Bloquear el ordenador con la secuencia ALT+CTRL+SUPR cuando no vaya a estar en el puesto de trabajo.

• Salvapantallas con contraseña: Los equipos personales deben tener activado un salvapantallas con contraseña. El tiempo de espera para activar el salvapantallas no debe ser superior a 10 minutos.

• Actualizaciones automáticas: Configure Windows para recibir las actualizaciones de forma automática.

• Antivirus y malware con actualización periódica: Los equipos personales con sistema operativo Windows deben tener instalado el antivirus corporativo o alguno de libre distribución y el fichero de firmas deberá ser actualizado con regularidad.

• Equipos encendidos fuera horario de trabajo: Como norma general los equipos personales permanecerán apagados fuera del horario de trabajo. Se debe solicitar autorización para dejar un equipo personal encendido en horario nocturno, fines de semana o periodos vacacionales.

• USB, y dispositivos extraibles: Los dispositivos de memoria extraíbles son un medio perfecto por el que se pueden producir fugas de información. Para minimizar el riesgo se debe:

  • No realizar copias de seguridad de datos sensibles en medios extraíbles.
    En caso de almacenar datos sensibles utilizar un programa de encriptación.

  • En caso de que uno de estos medios tenga datos sensibles el borrado se realizará con una herramienta de borrado seguro. Ejemplos: ColoN+1492; Rm05-fcB03

  
  

• Software en el PC : En los equipos personales sólo se debe instalar el software proporcionado por A LITTLE TOO MUCH, S.L. . NO DEBEN INSTALARSE PROGRAMAS DE INTERCAMBIO DE ARCHIVOS P2P

• Copias de seguridad: El responsable de seguridad o Delegado de Protección de Datos coordinará la realización de copias de seguridad. No obstante, en caso de que advierta de la no realización de copias de seguridad de archivos de su PC el usuario deberá ponerlo en conocimiento del responsable de seguridad o DPO.

• Destrucción del papel: Como norma general no se tirará a la papelera ningún papel que pueda llevar información sensible. Utilice destructoras de papel.

• El correo electrónico: Normas para la seguridad del correcto del correo electrónico.

  • Modificar su contraseña con frecuencia. El cambio de contraseña puede asegurar que su correo electrónico siga siendo privado. No comparta su contraseña.

  • No abrir nunca ficheros adjuntos de procedencia desconocida o sospechosa con especial atención a los programas ejecutables (con extensiones del tipo: .exe, .bat, .vbs, .dll).

  • Aunque el remitente del correo sea conocido, si el mensaje te resulta sospechoso, consulta directamente a esa persona para confirmar que no han falseado su dirección de email.

  • Evita facilitar información que pueda comprometer la confidencialidad o privacidad, en caso de que no tener otra elección, se deberá cifrar o comprimir los ficheros con alguna contraseña que solo conozca el destinario del email. Se deberá solicitar información al Responsable de Seguridad o Delegado de Protección de Datos respecto de las aplicaciones a utilizar.

Recomendaciones y medidas de seguridad en el teletrabajo.

Además de las anteriores medidas de seguridad que puedan ser aplicables, cuando el empleado/usuario teletrabaje o realice sus funciones fuera de las instalaciones y sistemas de A LITTLE TOO MUCH, S.L.. deberá tener estas precauciones en la medida de lo posible:

• Red Wifi privadas: A fin de minimizar la probabilidad de ser víctimas de un ataque que pueda poner en riesgo la red WiFi es necesario comprobar su configuración de seguridad y/o realizar estas acciones:

  • Mejorar el cifrado de la red a WPA2.

  • Cambiar las claves por defecto, tanto de la red como la del acceso al panel de control, y utilizar siempre claves robustas.

  • Verificar periódicamente quién se conecta a nuestra red. Con la aplicación adecuada podemos comprobar que se están conectando a nuestra red sólo nuestros dispositivos.

  • Apagar la red cuando vaya a producirse una ausencia prolongada.

  
  

• Redes wifi públicas: Las conexiones WiFi son una importante tecnología hoy en día, sin embargo, hay ciertas recomendaciones que debemos recordar:

  • Las redes públicas pueden ponernos en peligro. Tanto el administrador como alguno de los usuarios conectados pueden utilizar técnicas para robarnos información.

  • Si vamos a conectarnos, es preferible acceder a una red con seguridad WPA o WPA2. Las redes abiertas y con seguridad WEP son totalmente inseguras. Si vamos a usar una red pública, deshabilitar cualquier proceso de sincronización de nuestro equipo.

  • Tras la conexión, eliminar los datos de la red memorizados por nuestro equipo.

  • Mantener siempre el equipo actualizado, con el antivirus instalado correctamente y si es posible, hacer uso de un cortafuegos.

  • No iniciar sesión (usuario/contraseña) en ningún servicio mientras estemos conectados a una red pública.

  • No realizar trámites a través de estas redes: compras online, bancarios, etc.

  • Confirmar que se visitan sitios que comiencen por HTTPS para que la información viaje cifrada y no puedan interceptar la que intercambiamos.

  
  

• Dispositivos móviles: Se deben poner en práctica estas precauciones para reducir el riesgo de incidentes:

  • Instalar un antivirus.

  • Cuidado con las estafas.

  • Precaución al conectarse a wifi públicas y a otros dispositivos a través del Bluetooth.

  • Evitar anular las restricciones del fabricante. Éstas están pensadas para hacer que tu dispositivo funcione correctamente sin riesgos de seguridad.

  • En Android, instalar CONAN mobile que permite conocer el estado de seguridad del dispositivo.

  • Proteger el dispositivo mediante un PIN, un patrón de desbloqueo o una contraseña.

  • Activar el cifrado del dispositivo.

  • Anotar el IMEI del dispositivo (se obtiene pulsando *#06# o mirando detrás de la batería), para poder solicitar que la operadora inutilice el terminal en caso de robo.

  • Instalar alguna aplicación de control remoto en los dispositivos.

  • Realiza copias de seguridad de la información que almacenas en el dispositivo.

Política de derechos digitales en el entorno laboral.

1. Ámbito de aplicación.

El Responsable del tratamiento está comprometido a garantizar la aplicación de los derechos digitales relativos al entorno laboral establecidos en el Título X de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), por lo que necesita que el personal lea, comprenda, cumpla y haga cumplir esta Política de derechos digitales con el fin de reconocer el derecho a la desconexión digital en el marco del derecho a la intimidad en el uso de dispositivos digitales en el ámbito laboral.

Esta Política de derechos digitales establece las obligaciones y procedimientos a seguir por el personal que usa los dispositivos digitales puestos a su disposición por la organización en el desarrollo de su actividad laboral. En este sentido, para velar y hacer cumplir esta política, la organización ha designado un responsable de privacidad que estará a disposición de todo el personal y se encargará de coordinar, controlar, desarrollar y verificar el cumplimiento de la citada normativa.

2. Conceptos básicos

Para proporcionar una mejor comprensión de los derechos digitales, definimos los principales derechos aplicables en esta política:

• Derecho a la intimidad y uso de dispositivos digitales: el personal de la organización tendrá derecho a la protección de su intimidad en el uso de los dispositivos digitales puestos a su disposición por la organización, pudiendo esta acceder a los contenidos derivados del uso de los mismos, a los solos efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias y garantizar la integridad de dichos dispositivos.

• Derecho a la desconexión digital en el ámbito laboral: los trabajadores tendrán derecho a la desconexión digital a fin de garantizar, fuera del tiempo de trabajo legal, el respeto de su tiempo de descanso, permisos y vacaciones, y su intimidad personal y familiar.

• Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos: la organización podrá tratar imágenes obtenidas para funciones de control de los trabajadores, dentro de su marco legal (artículo 20.3 del Estatuto de los Trabajadores y legislación de función pública).

• Derecho a la intimidad ante la utilización de sistemas de geolocalización: la organización podrá tratar datos de geolocalización obtenidos para funciones de control de los trabajadores, dentro de su marco legal (artículo 20.3 del Estatuto de los Trabajadores y legislación de función pública).

2. Obligaciones y procedimientos de la organización

La organización establece en el punto 4 los criterios de utilización de los dispositivos digitales puestos a disposición del personal mediante los siguientes procedimientos:

• Podrá acceder al contenido de dispositivos digitales siempre que se informe al trabajador de los usos autorizados y se establezcan garantías para preservar su intimidad (por ejemplo, los períodos en que los dispositivos podrán utilizarse para fines privados).

• Podrá definir las modalidades de ejercicio del derecho a la desconexión y las acciones de formación y de sensibilización del personal sobre un uso razonable de las herramientas tecnológicas puestas a su disposición.

• Podrá tratar imágenes y sonidos de los trabajadores obtenidos mediante dispositivos de videovigilancia siempre que informe con carácter previo, mediante un dispositivo informativo (logo) colocado en un lugar suficientemente visible y con la entrega de una circular informativa de este tratamiento (a través de medios físicos o electrónicos). Se podrán utilizar dichas imágenes o sonidos para dirimir responsabilidades en caso de captar una comisión flagrante de un acto ilícito.

• Se prohíbe expresamente la instalación de sistemas de grabación de sonidos ni de videovigilancia en lugares destinados al descanso o esparcimiento de los trabajadores o los empleados públicos, tales como vestuarios, aseos, comedores y análogos y en el caso específico de grabación de sonidos, se admite únicamente cuando resulten relevantes para la seguridad de las instalaciones, bienes y personas derivados de la actividad que se desarrolle en el centro de trabajo y siempre respetando el principio de proporcionalidad, el de intervención mínima.

• Podrá geolocalizar a los trabajadores siempre que se les informe con carácter previo, y de forma expresa, clara y concisa de este tratamiento y de sus derechos.

2. Instrucciones dirigidas al personal

El personal deberá actuar en todo momento conforme a las instrucciones establecidas en esta Política de derechos digitales. Para ello se establecen las siguientes medidas de protección que el personal se obliga a cumplir expresamente.

El personal que use los dispositivos digitales puestos a su disposición por la organización:

• No podrá utilizarlos para fines privados (salvo que así se estableciese expresamente), por lo que ningún mensaje de correo electrónico será considerado como privado.

• Deberá desconectarlos fuera del tiempo de trabajo legal. Solo los podrá conectar por motivos de urgencia.

• No podrá instalar aplicaciones ni programas en los dispositivos digitales sin la autorización del responsable de privacidad de la organización.

• No podrá eliminar o desinstalar ninguno de los programas instalados por la organización.

• No podrá compartir o facilitar el identificador de usuario y la clave de acceso (contraseña) facilitado por la organización a otra persona física o jurídica. En caso de incumplimiento de esta prohibición, el usuario será el único responsable de los actos realizados por la persona física o jurídica que utilice de forma no autorizada su identificación.

• No podrá utilizar los recursos telemáticos que ofrecen dichos dispositivos digitales y/o acceder a redes públicas como Internet, páginas web, grupos de noticias y otras fuentes de información para temas no relacionados directamente con la actividad de la organización o los cometidos del puesto de trabajo del empleado.

• Deberá comunicar al responsable de privacidad, en el menor plazo posible, todas aquellas incidencias que se produzcan por el uso de los dispositivos digitales puestos a su disposición, entendidas estas como cualquier anomalía que afecte o pudiera afectar a la seguridad de la información o de los datos personales, o al incumplimiento de las obligaciones detalladas en este documento.