El personal que treballi amb els sistemes d'informació o accedeixi a qualsevol informació, dada o document d'aquesta entitat ha de complir les normatives següents:
• RGPD 2016/679 del Parlament i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades
• Llei Orgànica 3/2018 de protecció de dades personals i garantia dels drets digitals, en especial el seu article 5 que estableix el deure de secret professional de la persona responsable del tractament i de tots els que intervinguin en qualsevol fase del tractament de les dades de caràcter personal i el deure de guardar-les, obligacions que es mantenen després de finalitzar les relacions amb el titular del fitxer o, si escau, amb la persona responsable).
• Codi Penal, en concret el capítol dedicat al delicte del descobriment i revelació de secrets.
1.Tractament de dades i informació confidencial
El tractament de dades personals implica que l'entitat hagi d'aplicar aquelles mesures tècniques i organitzatives necessàries per poder garantir la confidencialitat, disponibilitat i integritat de les dades, donant compliment a les exigències legals determinades en la normativa de protecció de dades.
Cal recordar que l'entitat és la responsable del tractament de les dades, essent el seu titular l'únic propietari del mateix, i per tant l'entitat no té una lliure disposició sobre les dades; i que en moltes ocasions la informació que es tracta pot no ser objecte de protecció per aquesta normativa al no ser dades personals però que cal garantir la seva confidencialitat per qüestions de propietat intel·lectual, industrial o acords contractuals.
Per aquests motius, caldrà que qualsevol persona usuària que realitzi un tractament de dades o d'informació confidencial compleixi de forma escrupolosa amb aquestes funcions i obligacions, i adverteixi a la persona responsable en el cas de que detecti l'incompliment d'aquestes.
2.Creació o modificació de fitxers o tractaments amb dades de caràcter personal
La creació, modificació o supressió d'un o més Registre d'activitat o bé de fitxers que conformen l'estructura bàsica d'aquests, s'ha de notificar al responsable de l'entitat o la persona encarregada de gestionar el compliment de la normativa de protecció de dades.
Així mateix, també cal notificar qualsevol canvi que afecti la finalitat i que la faci substancialment diferent o incompatible amb la finalitat original.
És necessària l'autorització prèvia en el cas de:
• Crear fitxers o tractament de dades personals
• Utilitzar les dades personals per a finalitats incompatibles amb aquelles per a les quals les dades s'hagin recaptat o per a finalitats distintes a les comunicades
• Qualsevol altra activitat expressament prohibida en aquest document o en la normativa vigent.
3. Utilització de sistemes informàtics, aplicacions o telecomunicacions
Amb caràcter general l'ús dels sistemes informàtics, aplicacions i de telecomunicacions de l'entitat es farà per motius estrictament professionals, tal i com es detalla en els punts següents.
No estan autoritzades les activitats:
• Destruir, alterar, inutilitzar o qualsevol altra forma de danyar les dades, els programes o els documents electrònics dla persona responsable o de tercers, sense autorització.
• Utilitzar la xarxa de la institució i/o la intranet d'aquesta entitat i les seves dades i incórrer en activitats que puguin ser considerades il·lícites o il·legals que infringeixin els interessos de la institució o de tercers.
• Aprofitar els recursos i sistemes per a una finalitat diferent de la prevista.
• Manipular físicament el maquinari disponible per intentar permetre l'accés a capacitats deshabilitades amb ànim de vulnerar la seguretat dels sistemes.
• Obstaculitzar voluntàriament l'accés d'altres persones usuàries a la xarxa mitjançant el consum massiu dels recursos informàtics i telemàtics, i dur a terme accions que danyin, interrompin o generin errors en aquests sistemes.
• Introduir voluntàriament programes, virus, macros, miniaplicacions, apps, controls activeX o qualsevol altre dispositiu lògic o seqüència de caràcters que causin o siguin susceptibles de causar qualsevol tipus d'alteració en els sistemes informàtics propis i/o de tercers. Si es vol utilitzar programes de control remot que puguin accedir als sistemes, aplicatius i/o qualsevol directori cal disposar de l'autorització prèvia de l'entitat .
• Utilitzar els sistemes sense els programes antivirus corresponents i les seves actualitzacions per prevenir l'entrada en el sistema de qualsevol element conegut destinat a destruir o corrompre les dades informàtiques.
• Utilitzar mètodes de gravació de dades, com poden ser discs durs externs, USB,..., sense cap mesura de seguretat. Aquests dispositius sempre han de ser xifrats o amb mesures de protecció front tercers no autoritzats.
4.Propietat intel·lectual i industrial
No està permesa la instal·lació i l'ús de programes informàtics sense la llicència corresponent, i també l'ús, la reproducció, la cessió, la transformació o la comunicació pública de qualsevol tipus d'obra o invenció protegida per la propietat intel·lectual o industrial.
No és permesa la descàrrega de cap tipus de material d'àudio o vídeo no relacionada directament amb el lloc de treball i sense el coneixement ni l'autorització prèvia dla persona responsable.
5.Gestió d'accés lògic
En relació amb aquest punt les persones usuàries han de complir:
• Cal inicialitzar la contrasenya abans del primer accés d'un persona usuària nou al sistema.
• L'ús de l'identificador i la contrasenya garanteixen una identificació inequívoca i impliquen l'acceptació de la responsabilitat.
• La contrasenya no pot tenir caràcters en blanc.
• La contrasenya ha de ser de longitud superior a 5 caràcters.
• L'identificador i la contrasenya han de ser diferents.
No estan permeses les activitats següents:
• Compartir o facilitar l'identificador de persona usuària i la clau d'accés facilitats per aquesta entitat a una altra persona física o jurídica. En cas d'incompliment d'aquesta prohibició, la persona persona usuària és la única responsable dels actes duts a terme per la persona física o jurídica que utilitzi de forma no autoritzada la seva identificació d'persona usuària. Deixar anotades les contrasenyes en llocs visibles per tercers com a per exemple post-it en monitors i altres suports documentals que poden posar en entredit la seguretat i confidencialitat de les contrasenyes.
• Intentar distorsionar o falsejar els registres del sistema.
• Intentar desxifrar les claus, els sistemes o els algoritmes de xifratge i qualsevol altre element de seguretat que intervingui en els processos telemàtics de l'entitat.
• Utilitzar els sistemes per intentar accedir a àrees restringides dels sistemes informàtics o de tercers.
• Intentar suplantar un altre persona usuària.
• Intentar crear o modificar persones persona usuàries o perfils sense autorització.
6. Ús del correu electrònic i missatgeria
Es considera correu electrònic tant l'intern, entre terminals de la xarxa de l'entitat, com l'extern, dirigit o provinent d'altres xarxes privades o públiques.
Qualsevol fitxer introduït en la xarxa de l'entitat o en el terminal de l'persona usuària a través de missatges de correu electrònic, provinent de xarxes externes, ha de complir els requisits establerts en aquestes normes, especialment les que fan referència a la seguretat del tractament de dades personals, propietat intel·lectual i industrial i al control de virus.
L'entitat es reserva el dret de revisar els arxius amb la finalitat de comprovar el compliment d'aquestes normes i prevenir activitats que puguin afectar l'entitat.
• Les adreces de correu electrònic dirigides a persones es consideren dades personals, per la qual cosa, en cas d'enviar correus a més d'un destinatari, si no és estrictament necessari que els altres vegin les adreces de correu de la resta, cal fer-ho com a còpia oculta «Cco».
Es prohibeixen expressament les activitats següents:
◦ Intentar llegir, esborrar, copiar o modificar els missatges de correu electrònic o arxius d'altres persones persona usuàries. Aquesta activitat pot constituir un delicte d'intercepció de les telecomunicacions (revelació de secrets), previst a l'article 197 del Codi penal.
◦ Enviar missatges de correu electrònic de manera massiva sense un motiu professional i sense respectar la normativa de protecció de dades i la Llei de la Societat de la Informació i el comerç electrònic.
◦ Enviar o reenviar missatges en cadena o de tipus piramidal.
7. Còpies de seguretat
L'entitat realitza còpies de seguretat de la documentació, informació i dades per tal de poder garantir la continuïtat de la seva activitat així com complir amb les exigències d'integritat de la normativa de protecció de dades.
Cal que tota la vostra activitat sigui emmagatzemada en l'espai del sistema informàtic indicat pla persona responsable per tal de garantir la seva correcta realització.
8. Tractament de dades en suport manual o paper
El tractament de dades en paper implica que la participació i implicació de tots els persones persona usuàries de dades sigui més rellevant per complir amb l'obligació de confidencialitat deguda.
Cada persona usuària ha de garantir que les dades en suport paper que tracti, disposi o emmagatzemi no sigui accessible a tercers no autoritzar complir les següents condicions:
• Caldrà que en les zones de treball no es disposi de dades visibles en els documents a persones alienes que hi puguin accedir. Caldrà capgirar els fulls o emmagatzemar-ho en carpetes.
• En el trasllat de document de paper caldrà assegurar que s'adopten les mesures necessàries per evitar la pèrdua o accés per tercers. No es permet extreure documentació en paper si no és imprescindible i caldrà que es custodi amb carpetes amb gomes, carteres amb cremallera o similars.
• Qualsevol document que contingui una sola dada personal no pot ser llençat a una paperera sense destruir prèviament. Cal que aquest document sigui prèviament triturat o deixat en l'espai indicat per la destrucció de documents sensibles o amb dades, per tal de que l'entitat ho destrueixi amb el sistema de destrucció segura.
9. Informació en la recollida de dades, consentiment de la persona afectada i cessions o comunicacions de dades de les persones que n'autoritzen el tractament
L'entitat, com a responsable de tractament, ha d'informar la persona interessada de manera expressa, precisa i inequívoca, en el moment d'obtenir les dades, la informació següent:
• Existència d'un tractament de dades personals, amb la finalitat de recollir aquestes dades i les dades dels destinataris de la informació.
• Caràcter obligatori o facultatiu de respondre a les preguntes que els siguin plantejades.
• Conseqüències d'obtenir les dades o de negar-se a subministrar-les.
• Identitat i adreça de la persona responsable del tractament, i de la delegada de Protecció de dades, si s'escau.
• La persona responsable davant el qual poden exercir-se els drets d'accés, oposició, rectificació, supressió, limitació del tractament o portabilitat de les dades personals, i la manera com es pot fer.
• Intenció de la persona responsable de transferir dades personals a un tercer país.
• Termini de conservació de les dades.
• L'existència de decisions automatitzades.
• Possibilitat de presentar una reclamació a l'Autoritat de Control que correspongui
Quan s'utilitzin qüestionaris o altres impresos per recollir dades, cal incloure la informació bàsica de protecció de dades amb una referència al lloc web on consultar les dades addicionals, si així es considera per limitar l'extensió del text.
Quan la persona interessada utilitzi altres mitjans de comunicació caldrà informar-la de la política de protecció de dades. En cas que sigui en format paper o electrònic, caldrà remetre l'enllaç o adjuntar una annex en la contesta, on es descriu la política de privacitat i protecció de dades dla persona responsable del tractament.
Tal com estableix l'article 6 i següents del RGPD, no cal el consentiment quan les dades de caràcter personal es recullin per a l'exercici de les funcions pròpies d' aquesta entitat, el compliment d'una obligació legal o es compleix amb algun dels altres motiu del licituds establert per aquest article 6.
Si duran el transcurs de l'activitat de l'entitat, fos necessari cedir o donar accés a dades de caràcter personal a tercers; es farà sempre respectant els drets dels titulars de les mateixes i conforme la regulació establerta a l'art 6 i 9 RGPD.
10. Respecte a l'exercici dels drets ARCO+
Qualsevol persona té el dret a exercitar els drets previstos en la normativa de protecció de dades, i per tant exigir l'accés, rectificació, supressió, limitació de tractament, oposició o portabilitat de les dades. Aquestes peticions no requereixin que es realitzin amb un format o metodologia normalitzat i per tant aquestes peticions poder fer-se per diversos mitjans.
En el supòsit que es rebi una petició d'exercici de drets reconegut per la normativa de protecció de dades, cal que ho comuniqueu a la major brevetat possible al vostre responsable per tal de poder recavar la pertinent informació al respecte i donar resposta en el termini legal màxim d'un mes.
11. Incidències i Violacions de seguretat
Incidència
Es considera incidència qualsevol acte o omissió que tingui com a conseqüència la destrucció accidental o voluntària, licita o il·lícita, pèrdua, alteració, o l'accés o comunicació no autoritzats de qualsevol tipus d'informació responsabilitat de l'entitat, ja sigui digital o bé analògica.
El personal té l'obligació de notificar, sense demora injustificada, qualsevol incidència que descobreixi al seu responsable, per tal que aquest en tingui coneixement i, si ho estima oportú, o comuniqui al coordinador legal o de sistemes informàtics, depenent de la naturalesa de la incidència.
Ésser conscient d'una incidència per part del personal i no notificar-la es considera una falta contra la seguretat de la informació i pot suposar l'inici d'accions legals, així com la reclamació d'indemnitzacions, sancions i danys o perjudicis que la persona responsable del Tractament es vegi obligat a atendre com a conseqüència d'aquest incompliment.
Seran considerades incidències, de forma general i no excloent:
• La pèrdua o falta de disponibilitat de dades de caràcter personal (pèrdua de portàtil, expedient paper o telèfon mòbil per exemple o l'entrada d'un virus encriptador)
• La revelació a tercers de dades de caràcter personal (per exemple enviar un correu electrònic a un destinatari no desitjat o fer-ho amb copia vista a diversos destinataris que no es coneguin entre ells)
El procediment per a la notificació i la gestió d'incidències inclou la comunicació de la incidència per part de la persona persona usuàriaa on consti el tipus d'incidència, el moment en què s'ha produït/detectat, la persona que la notifica, la persona a qui se li comunica, els possibles efectes que se'n deriven i les mesures correctores inicials aplicades.
La notificació de la incidència caldrà que es realitzi mitjançant correu electrònic al responsable de l'entitat.
Violació de seguretat
Es considera una violació de seguretat qualsevol incidència de les mencionades anteriorment que tingui a veure amb dades personals i representin un risc per les persones físiques.
En termes generals i no excloents, seran considerades violacions de seguretat, quan ens trobem davant de qualsevol de les següents situacions:
• Vulneració de la confidencialitat de les dades personals (enviar un correu a un destinatari no autoritzat, perdre un telèfon mòbil, pèrdua d'un expedient en paper etc...)
• Alteració de la integritat de les dades personals (acció d'un virus informàtic tipus criptolocker, creuament de dades erroni etc...)
• Pèrdua de dades personals (indistintament si son dades en paper o en suport informàtic)
Qualsevol incompliment de la normativa que estableix aquest document de seguretat i qualsevol anomalia que afecti o pugui afectar la seguretat de les dades de caràcter personal de la institució es considera una violació de seguretat.
Cal tenir present que la violació de seguretat cal comunicar-la a les 72 hores de tenir coneixement d'ella a l'autoritat de protecció de dades competent. Amb independència de la notificació a l'autoritat pertinent la persona responsable del tractament haurà de documentar totes les violacions de seguretat tal i com estableix el RGPD en la mateixa línia que dictava el Reglament de desenvolupament de la anterior LOPD amb el registre d'incidències.
12. Confidencialitat de la informació i deure de secret
Cal evitar la tramesa d'informació confidencial de l'entitat a l'exterior, mitjançant suports materials, o a través de qualsevol mitjà de comunicació, inclosos la simple visualització d'aquesta informació o l'accés.
Els persones usuàries dels sistemes d'informació o amb accés a qualsevol dada o informació han de guardar durant un temps indefinit la màxima reserva, i no divulgar directament ni a través de terceres persones o empreses, sota la seva responsabilitat, dades, documents, metodologies, claus, anàlisis, programes i altra informació a la qual tinguin accés durant la seva relació laboral amb la institució, tant en suport material com electrònic. Aquesta obligació continua vigent després de la finalització de la relació laboral o de col·laboració amb aquesta entitat.
L'incompliment d'aquestes obligacions pot constituir un delicte de revelació de secrets (article 197 del Codi penal).
13.Ús de dispositius o sistemes particulars
Els terminals mòbils, ordinadors, tauletes o qualsevol altre dispositiu particulars no són equips que formin part de la plataforma tecnològica d'aquesta entitat, per tant no estan integrats sota l'arc de protecció del mateix.
En el supòsit que s'utilitzin aquest dispositius particulars per tractar dades responsabilitat d'aquesta entitat, (per exemple tenir configurat el correu electrònic corporatiu o accedir de forma remota al servidor o a aplicacions online de tractament de dades) la persona persona usuàriaa ha de disposar de l'autorització del seu responsable i s'ha de dirigir al responsable de mesures tecnològiques per tal que es verifiqui la seguretat del dispositiu.
En tots els casos caldrà que s'apliquin les mesures de seguretat detallades en aquest protocol, comprometent-se l'persona usuària a garantir la confidencialitat i integritat de les dades en quant el tractament no es realitza en la seu de l'entitat i/o amb mitjans particulars. A tall d'exemple, aquest dispositiu haurà d'anar protegit amb un patró de bloqueig o contrasenya, garantir que tercers no puguin visionar les dades, no llençar documents amb dades sense destruir prèviament, no emprar sistemes no segur per la transmissió de dades.
14. Garantia dels drets digitals
Ocupa un lloc rellevant el reconeixement del dret a la desconnexió digital en el marc del dret a la intimitat en l'ús de dispositius digitals en l'àmbit laboral recollit a la Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals en els seus art. 87, 88 i 89.
L'entitat adoptarà els acords pertinents amb cada persona treballadora, d'acord al seu càrrec i responsabilitats, per definir les modalitats d'exercici del dret a la desconnexió i les accions de formació i de sensibilització del personal. El personal tindrà dret a la desconnexió digital per tal de garantir, fora del temps de treball legal o convencionalment establert, el respecte del seu temps de descans, permisos i vacances, així com de la seva intimitat personal i familiar.
Per aquest motiu, es determina que els responsables dels departaments i/o àrees se sotmetran a un règim de total disponibilitat i localització telefònica les 24 hores del dia per 365 dies l'any, i quedarà sotmès a la màxima disponibilitat en situacions d'urgència. La resta dels persones que tenen accés a les dades se subjectaran al dret a la conciliació de l'activitat laboral i la vida personal i familiar, essent només contactats en el seu horari laboral o per qüestions de màxima urgència fora del seu horari laboral si l'espera comportaria greus i significatius perjudicis o pèrdues per l'entitat.
