formaciÓn para el personal de ... - registradors.cat · colegio de registradores de la propiedad y...

PROTECCIÓN DE DATOS

FORMACIÓN PARA EL PERSONAL DE SEGURIDAD

DE LOS REGISTROS “SYGILO”

Enero 2010

COLEGIO DE REGISTRADORES DE LA PROPIEDAD Y MERCANTILES DE ESPAÑA CENTRO DE FORMACIÓN “Carlos Hernández Crespo”

C/ María de Molina, 62 - Telf. 91. 561.87.07 - Fax. 91. 561.90.33 - 28006 Madrid

Formación responsable seguridad. SYGILO 2-56 Centro de Formación




INDICE 1.- INICIO - INTRODUCCIÓN A SYGILO..................................................................................... 5 2.- FICHEROS LOPD.................................................................................................................... 7

2.1 Consulta de Ficheros. ......................................................................................................... 7 2.2 Consulta de Sistemas. ........................................................................................................ 9

3.- DOCUMENTO DE SEGURIDAD........................................................................................... 11

Funciones y Obligaciones....................................................................................................... 12 Control de acceso lógico......................................................................................................... 13 Control de acceso físico.......................................................................................................... 14 Revisiones del documento de Seguridad. .............................................................................. 15 3.1 Documento de Seguridad en el Registro con Sygilo. ....................................................... 15

3.1.1 Personal Asociado..................................................................................................... 15 3.1.2. Doc. De Seguridad. .................................................................................................. 21

3.1.2.1. Documento de Seguridad. ................................................................................ 21 3.1.2.2 Anexo I: Ficheros. ............................................................................................... 23 3.1.2.3 Anexo II: Notificaciones LOPD............................................................................ 23 3.1.2.4 Anexo III: Funciones............................................................................................ 23 3.1.2.5 Anexo IV: Acceso datos. ..................................................................................... 25 3.1.2.6 Anexo V: Acceso Físico. ..................................................................................... 28 3.1.2.7 Anexo VI: Revisiones .......................................................................................... 29 3.1.2.7 Anexo VI: Revisiones .......................................................................................... 30 3.1.2.8 Anexo VII: Documentos de Apoyo. ..................................................................... 33

3.1.3 Diario de Trabajo. ...................................................................................................... 34 4.- PROCEDIMIENTO DE GESTIÓN. (2ª Fase) ........................................................................ 37

4.1 Registro de Incidencias..................................................................................................... 37 4.1.1 Incidencias................................................................................................................. 37 A) Notificar incidencia de seguridad. .................................................................................. 37 B) Registrar la incidencia.................................................................................................... 38 C) Resolver la incidencia. ................................................................................................... 38 D) Revisar incidencias y emitir informe. ..................................................................... 38 4.1.2 Registro de Incidencias en el Registro y con Sygilo. ................................................ 38

4.2 Gestión ARCO. ................................................................................................................. 40 4.3 Inventario de Soportes...................................................................................................... 43

4.3.1. Soportes: Identificar, inventariar, almacenar y destruir/reutilizar. ............................ 43 a) Identificación................................................................................................................... 43 b) Inventariar....................................................................................................................... 43 c) Almacenar....................................................................................................................... 43 d) Destruir/Reutilizar. .......................................................................................................... 44 4.3.2. Inventario de Soportes en el Registro con Sygilo. ................................................... 44

4.4 Autorizaciones de Soportes. ............................................................................................. 45 4.4.1. Autorizaciones de Soportes en el Registro con Sygilo............................................. 46

5.- AUDITORIAS......................................................................................................................... 48




1.- INICIO - INTRODUCCIÓN A SYGILO. SYGILO es la aplicación que se ha creado para que los registros puedan cumplir, de una forma más sencilla, la normativa relativa a Protección de Datos. Para acceder a ella iremos por la INTRANET colegial, en ella pinchar sobre “PROTECCIÓN DE DATOS” y podremos encontrar toda la normativa, documentación y la aplicación Sygilo objeto del presente manual.

Al entrar a la aplicación desde la intranet, el registro verá en la parte izquierda de la pantalla un menú de opciones con las que debe trabajar para el cumplimiento de la LOPD. Podremos observar una pantalla central en la que se nos muestran las estadísticas de los ficheros declarados por el registro. Tenemos dos pestañas, una para los ficheros privados y otra para los ficheros de carácter público, aunque estos a día de hoy no se declaran.




2.- FICHEROS LOPD.

2.1 Consulta de Ficheros. En una primera fase, se deben declarar los Ficheros con datos de carácter personal, para ello pulsaremos sobre la opción “FICHEROS LOPD”. Podremos consultar los ficheros de carácter personal de nuestro registro y el estado en el que se encuentran.

Antes de enviar los ficheros declarados a la Agencia, el Colegio comunicará al Registrador mediante correo electrónico los cambios producidos en la declaración de sus ficheros. El registrador entrará por el apartado de “NOTIFICACIONES CAMBIOS DECLARACIÓN,” pudiendo ver todos aquellos ficheros que están en el “Estado” “Pte. Aceptación Modificación” y

pulsar sobre el botón para poder ver los datos que se van a declarar salvo que se indique lo contrario.




Una vez confirmados, los ficheros declarados son enviados por el Colegio a la Agencia de Protección de Datos para que sean registrados en el Registro General de Protección de Datos (RGPD). Una vez registrados los ficheros en la Agencia, se recibirán las “Notificaciones” de las inscripciones de éstos por correo electrónico al Registrador. El Registrador, deberá aceptar firmando estas comunicaciones de inscripción con su firma electrónica en un plazo de 10 días. En caso contrario, transcurrido dicho periodo, se aplicará el “silencio administrativo” y se considerarán aceptadas. Al aceptar estas comunicaciones, deberán imprimirse y adjuntarse en formato papel al “Documento de Seguridad”. Finalmente, comentar que al ser “aceptadas” quedarán grabadas automáticamente en Sygilo, concretamente, en el apartado de “Documento de Seguridad”. No obstante, en el caso de que el Registrador no esté de acuerdo, podrá interponer recurso de Reposición ante la Agencia en un mes, o dos meses para interponer recurso Contencioso-Administrativo ante la sala de lo Contencioso-Administrativo competente. Para “Aceptar” la comunicación de inscripción en la Agencia de Protección de Datos seleccionaremos la opción “Aceptaciones” del apartado de “Notificaciones”. Al seleccionar dicha opción, nos permitirá ver en pantalla las “Notificaciones pendientes de aceptar”, en la parte inferior de la pantalla tendremos el botón para “Aceptar”.

El Registrador pulsará “Aceptar” con su certificado de firma y una vez llevada a cabo la firma la aplicación nos mostrará el mensaje de que ha finalizado la aceptación.




2.2 Consulta de Sistemas. Por otro lado, podremos ver los diferentes programas de carácter informatizado o “sistemas” que tenemos en el registro y que contienen datos de carácter personal, y el nivel de seguridad que tiene cada uno de ellos.

Por defecto, la aplicación nos muestra una serie de “sistemas”. No obstante, podremos dar de alta otros que necesite el registro. Para dar de alta pulsaremos al botón “Añadir”.




Los sistemas que tengamos dados de alta afectan directamente al “Diario de Trabajo” y por lo tanto en los “Indicadores”, es decir, a las obligaciones a la hora de trabajar en la aplicación para adecuarnos a la normativa de Protección de Datos.

Pulsar para dar de alta el sistema que deseemos. Accedemos a una pantalla con tres pestañas, son obligatorias de cumplimentar las casillas en amarillo. Una vez rellenadas las casillas pulsar

nuevamente para grabar. Tendremos dado de alta el sistema lo que afectará directamente al “Diario de Trabajo”. Es decir, a las obligaciones a la hora de trabajar en la aplicación para adecuarnos a la normativa de Protección de Datos.




3.- DOCUMENTO DE SEGURIDAD. El “Documento de Seguridad” se podría definir como “las medidas de índole técnica y organizativas necesarias para garantizar la protección, confidencialidad e integridad que exige la LOPD”. El Documento de Seguridad es un documento elaborado por el Responsable de Seguridad y de obligado cumplimiento para todo el personal en aquello que afecte. El contenido principal queda estructurado como sigue:

• Funciones y obligaciones del personal. • Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar los

niveles de seguridad exigidos por este documento. Concretamente:

o Medidas comunes a ficheros automatizados y no automatizados. o Medidas específicas a ficheros automatizados. o Medidas específicas a ficheros no automatizados.

Aquí explicaremos un poco más en detalle los datos que tenemos que incluir en nuestro Documento de Seguridad. Dependiendo del nivel de seguridad de los ficheros, como ya se ha explicado antes, el documento debe incluir lo siguiente: Nivel básico:

• Aspectos generales. Es decir, ámbito de aplicación y especificación detallada de los recursos que se protegen. Por ejemplo, especificaremos las bases de datos a las que se refiere el Documento.

• Medidas que se establecen para garantizar el nivel de seguridad exigido. Por ejemplo, detallaremos los sistemas de contraseña y su cambio periódico, la protección física de los accesos a los servidores, etc.

• Funciones y obligaciones del personal. Por ejemplo, explicaremos las limitaciones de un usuario para acceder a la base de datos.

• Estructura de los ficheros y descripción de los Sistemas de Información que los tratan. Por ejemplo, el tipo de datos que contiene la base de datos y la descripción de los programas que usan para acceder a ella.

• Detallar los procedimientos de notificación, gestión y respuesta ante incidencias. Por ejemplo, habrá un procedimiento donde se detalle cómo proceder ante una incidencia detectada en la base de datos. Como ya se ha comentado, es necesario mantener un registro de incidencias, que deberá contener:

o Tipo de Incidencia. o Momento en que se ha producido. o Persona que realiza la notificación. o A quién se le comunica. o Efectos derivados de la incidencia.

• Detallar procedimiento de copias de seguridad y de recuperación de la misma en caso de ser necesario.




Nivel Medio: Además de los contenidos del documento para el nivel básico, para el nivel medio deberá también incluir:

• Identificación del Responsable o Responsables de Seguridad. • Plan de auditoria bianual.

Recordemos que para el nivel medio se nos exige un control de entrada/salida de los soportes. Este registro debe incluir:

• Tipo de soporte. • Fecha y hora. • Emisor y destinatario. • Número de soportes. • Tipo de información que contienen. • Forma de envío. • Persona autorizada responsable de la recepción y entrega, respectivamente.

Nivel Alto: El documento de Seguridad para los ficheros de nivel alto deberá contener los mismos campos que para los niveles básicos y medio, aunque evidentemente con las particularidades respecto a la protección de ficheros de este nivel. Una de las obligaciones sobre los ficheros de nivel alto la llevanza del registro de los accesos a estos ficheros. Este registro debe ser conservado al menos durante 2 años, y contendrá los siguientes campos:

• Quién es el usuario. • Fecha y hora de acceso. • A qué fichero accedió. • Tipo de acceso. • Resultado del intento (permitido-denegado).

Funciones y Obligaciones. RESPONSABLE FICHERO: El Registrador es el responsable último de los Ficheros, tanto automatizados como no automatizados, que contienen datos de carácter personal, y decide sobre su finalidad, contenido, uso y tratamiento. RESPONSABLE SEGURIDAD: Cuyas funciones serán las de coordinar y controlar las medidas definidas en el presente documento. El Responsable de Seguridad es el propio Registrador o quien éste haya designado para tales funciones, el nombramiento se reflejará como en el documento de seguridad.

OPERADORES, TÉCNICOS Y ADMINISTRADORES DEL SISTEMA: Son los encargados de administrar o mantener el entorno operativo de la información contenida en los Ficheros y del acceso a los mismos. Asimismo, se encargan de la custodia de soportes, incluyéndose a todas las personas involucradas en los tratamientos de datos (Operadores del Registro, Administradores, Operadores de explotación…) que generan, tratan o gestionan soportes (por ejemplo, las cintas o discos de la copias de seguridad). USUARIO DEL FICHERO o personal que usualmente utiliza el archivo físico (tomos, libros auxiliares y legajos del Registro) o el sistema informático de acceso al Fichero.




ENCARGADO DEL TRATAMIENTO: Cuya función será tratar los datos por cuenta del Responsable del Fichero. Tratamiento conforme a las instrucciones especificadas por éste en el contrato de prestación de servicios que les vincula. En el ANEXO IV relativo a “Funciones y Obligaciones” se nombran las diferentes personas con atribuciones de responsabilidad y seguridad sobre los ficheros que contienen datos de carácter personal. Constituye una obligación del personal adscrito al Registro, tanto interno como externo, notificar al Responsable de Fichero o de Seguridad las incidencias de seguridad de las que tengan conocimiento respecto a los recursos protegidos. Todas las personas deberán guardar el debido secreto y confidencialidad sobre los datos personales que conozcan en el desarrollo de su trabajo (Art.10 LOPD). Este compromiso será asumido mediante la firma del correspondiente documento de confidencialidad. El incumplimiento de estos principios determinará la adopción por el Registrador de las medidas preventivas, correctivas o disciplinarias que resultaran precisas y podrá acarrear las correspondientes sanciones en función de la normativa aplicable.

Control de acceso lógico. Las principales funciones del Control de Acceso Lógico son:

• Controlar los accesos a la información teniendo en cuenta las políticas de distribución de la información y de autorizaciones.

• Evitar accesos no autorizados a los sistemas de información, estableciendo procedimientos formales para controlar la asignación de los derechos de acceso a los sistemas y a los servicios.

• Detectar actividades no autorizadas. • Garantizar la seguridad de la información cuando se usan dispositivos de informática

móvil y teletrabajo. Para evitar que programas o personal no autorizado usen los recursos:

1. Se deben emplear controles de acceso lógico a los programas y aplicaciones, es decir, las aplicaciones deben estar desarrolladas de tal manera que prevean el acceso no autorizado a la información a la que tienen acceso.

2. El identificador del usuario es único por persona y tiene asociado una contraseña o password. Los identificadores se deberán inscribir en el Documento de Seguridad.

3. Varios usuarios no pueden, en principio, compartir el mismo identificador. En el supuesto de que las cuentas o identificadores fuesen comunes, debe justificarse y registrarse su existencia.

4. Limitar el acceso del usuario únicamente a los recursos que requiere para desarrollar su trabajo.

5. Se debe contar con procedimientos de registro de altas, bajas y cambios de usuarios con acceso a los sistemas.

6. Crear y mantener perfiles de seguridad para todos los usuarios en base en sus roles y responsabilidades.

7. Solicitar a todos los usuarios firmar un acuerdo de uso apropiado antes de que tengan acceso al equipo, red y sus recursos. Esto es la Firma de Normas de Uso y Buenas Prácticas.

8. Los derechos de acceso de usuarios deben ser revisados periódicamente. 9. La pantalla de acceso al sistema debe notificar al usuario e incluso a los atacantes que

el sistema está siendo vigilado y que cualquier actividad no autorizada será castigada. 10. No proporcionar ningún tipo de información referente al equipo, red o institución antes

de que el usuario se autentique en el sistema.




11. Instruir a los usuarios para que no divulguen información a cualquier persona que la

solicite, salvo en los casos estipulados en la actividad propia del registro. 12. Instalar mecanismos que limiten el número de intentos fallidos para autenticarse en el

sistema. 13. Limitar los lugares desde donde el usuario puede conectarse. 14. Los usuarios deben entrar a la red y sus recursos empleando su clave de acceso

propia. 15. Emplear autenticación para llevar un registro de accesos a sistemas críticos o a

ficheros con datos de carácter personal de nivel alto, con identificación de usuario, fecha y hora del acceso, fichero al que se ha accedido, tipo de acceso, autorizado o denegado y si ha sido autorizado guardar clave del registro o información que permita identificarlo.

16. Deshabilitar cuentas de usuario después de un periodo establecido por inactividad y eliminarlas después de un periodo más largo establecido (mínimo 2 años). El borrado o eliminación de las cuentas de usuario son responsabilidad del Responsable de Seguridad que solicitará, previa autorización del Responsable del Fichero (Registrador), la eliminación o borrado al administrador..

17. Establecer una longitud mínima de passwords (contraseña), así como la combinación de letras (mayúsculas y minúsculas), números y signos. (Es recomendable, al menos, 8 caracteres en la password)

18. La primera contraseña será asignada por el Administrador de Seguridad, y obligará a ser cambiada por el propio usuario en la primera conexión.

19. La contraseña o password sólo es conocida por el propio usuario. 20. Cambiar las contraseñas periódicamente, al menos una vez al año. 21. Cambiar las passwords por omisión de las instalaciones de sistemas operativos,

software y aplicaciones. 22. Tener un histórico de contraseñas para no reutilizar una contraseña. 23. Las contraseñas se deben almacenar cifradas. 24. Las aplicaciones no muestran las contraseñas cuando se teclean. 25. Emplear medidas de seguridad lógica adoptados para la defensa de ataques externos,

tales como antivirus, firewall, etc… como parte de la solución de seguridad.

Control de acceso físico. Es necesario tener medidas para evitar accesos no autorizados y daños contra los locales y la información. Dentro de la oficina del registro tendremos una zona de acceso público y una zona de acceso privado o área privada que comprenderá el área de trabajo y un “área restringida”. De estas dos últimas zonas son objeto de control y ambas se diferencia por:

• La zona o área de trabajo: el acceso a la misma estará limitado al personal autorizado. Este control debe estar constituido, al menos, por una separación física entre la zona pública del Registro y la zona privada del Registro donde se ubican los puestos de trabajo, el archivo, etc.

• Las zonas o áreas restringidas: Están incluidas dentro de la zona privada, llevarán unas medidas se seguridad adicionales ya que se debe controlar y, opcionalmente, registrar el acceso del personal autorizado. Son, por ejemplo, los armarios de comunicaciones, la zona de Archivo del Registro.

Si se da a una persona permiso al área restringida se supone que tiene acceso al área de trabajo, por lo que no haría falta indicarlo en el documento de seguridad dos veces, se pondría la superior.




Revisiones del documento de Seguridad. El Documento de Seguridad deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o como consecuencia de los controles periódicos realizados. Asimismo, deberá adecuarse en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal. El “Responsable de Seguridad” podrá proponer los cambios que estime oportunos con el fin de mejorar la seguridad y operación de los sistemas. El “Responsable del Fichero/Tratamiento” deberá aprobar los cambios, así como, la mejor forma de comunicar las modificaciones al personal que pueda verse afectado.

3.1 Documento de Seguridad en el Registro con Sygilo. 3.1.1 Personal Asociado. En el apartado “Personal Asociado” deberemos dar de alta a todos los trabajadores del registro con la fecha desde que causaron alta en el mismo y la fecha de baja cuando los trabajadores ya no trabajen en el registro por baja, excedencias… los datos del Registrador con su NIF o CIF si es Comunidad de Bienes, y la relación de empresas externas con su NIF/CIF que trabajen para el registro en alguna cuestión específica, por ejemplo la empresa de “Soporte del Colegio”.

Para llevar a cabo dicha tarea, deberemos ir por “DOCUMENTO SEGURIDAD PERSONAL ASOCIADO”.

Una vez en “PERSONAL ASOCIADO”, si no apareciera automáticamente nuestro registro, deberemos seleccionar la “Organización” a la que pertenecemos, y a continuación, la “Unidad”.

Para hacer efectiva la búsqueda pulsaremos sobre el botón .

Obtendremos una pantalla de resultado como la que a continuación mostramos:

Una vez en dicha pantalla, pulsaremos sobre el botón para acceder a la siguiente pantalla, en la que debemos trabajar. Para dar de alta a un trabajador del registro pulsaremos sobre la opción “Añadir”.




Al pulsar “Añadir”, accederemos a la siguiente pantalla donde debemos indicar si el personal que deseamos dar de alta es “Personal Interno” o por el contrario es “Personal Externo”. La opción “Personal Interno” la utilizaremos para dar de alta todos los trabajadores del registro, así como la fecha en la que fueron dados de alta en el registro, o en los casos que sea procedente la fecha que causaron baja. Igualmente, rellenaremos los datos del Registrador o la Comunidad de Bienes a la que pertenece, debiendo rellenar los datos relativos al NIF o CIF, dato obligatorio para este supuesto y para el de “Soporte del Colegio”, aunque este último es personal externo. Por otro lado, indicaremos “Personal Externo” para dar de alta en la aplicación a todas las empresas externas que tenga contratado el registro para la gestión de cualquier materia, (por ejemplo “Gestoría”…). En nuestro caso, al ser personal del registro, seleccionaremos la opción “Personal Interno”.




Tras indicar que lo que deseamos dar de alta es “Personal Interno”, la aplicación nos muestra la siguiente pantalla, que consta de dos pestañas, para que procedamos a introducir los datos. Las casillas que nos muestra en color amarillo son de obligado cumplimiento. Rellenaremos las casillas, tal y como muestra la imagen:

Una vez cumplimentada dicha pestaña procederemos a rellenar los datos relativos a la pestaña “Datos contratos”. Si quisiéramos “Guardar” los datos introducidos, sin previamente cumplimentar dicha pestaña, la aplicación nos mostraría la siguiente llamada de atención y no nos permitiría continuar.

En la pestaña “Datos Contratos”, marcaremos lo que sea pertinente, tal y como nos muestra la siguiente pantalla. Tras introducir los datos, pulsaremos “Guardar” y nos mostrará una pantalla donde se indicará “Datos actualizados”, es decir, que han quedado grabados en la aplicación.

Al pulsar “Aceptar”, podremos observar como han quedado grabados los datos introducidos.




Si lo que deseamos es dar de alta “Personal Externo”, bastará con marcar dicha opción y la aplicación nos mostrará la siguiente pantalla que consta de tres pestañas.

En primer lugar, seleccionaremos en “Seleccionar Personal Tipificado” solo aquellas empresas que aparezcan en la relación (actualmente las principales empresas de software y ESABE). A continuación, cumplimentaremos los datos de la primera pestaña que, como en el supuesto del “personal interno”, los campos de color amarillo son obligatorios. En el caso de “Colegio de Registradores” el CIF se cumplimentará automáticamente.




A continuación, rellenaremos los datos relativos a la pestaña “Datos Contratos”:

Finalmente, cumplimentaremos los datos relativos a “Cláusulas contratos”:

NOTA: El personal externo sin acceso a datos no tiene que firmar las normas de uso y buenas prácticas.

Una vez cumplimentadas todas las pestañas con todos sus datos, pulsaremos “Guardar” para archivar dichos datos en la aplicación.

Terminada la operación de introducir el personal interno y externo del registro procederemos a emitir el informe de la relación de todos ellos, dicho informe deberemos imprimirlo y guardar con toda la documentación que obliga el documento de seguridad.

Lo más práctico es que exista un ejemplar impreso del documento de seguridad, que los datos estén actualizados siempre en SYGILO y que siempre estemos en disposición de imprimir una copia del documento de seguridad.

Para poder obtener el mismo, pulsaremos sobre el botón “Informe” que nos encontramos en la parte superior derecha.




3.1.2. Doc. De Seguridad. Al pulsar sobre la opción “Doc. De Seguridad”, la aplicación nos mostrará una pantalla como la siguiente:

Esta misma, en la parte central, nos muestra un índice de los diferentes aspectos que tendremos que cumplimentar, imprimir y archivar como “documento de seguridad del registro”. A continuación analizaremos como trabajar en cada punto.

3.1.2.1. Documento de Seguridad. El primer aspecto que nos encontramos es el apartado “Documento de Seguridad”.

Al pulsar sobre el mismo, vemos que en la pantalla se nos muestran varios tipos de documentos, por un lado la “Portada del documento de Seguridad”, el “Documento de Seguridad Registros”, “Normas de uso y buenas prácticas” y dos modelos para la aceptación de las mismas. Todos ellos deberemos imprimirlos, para ello pulsaremos sobre el icono

que aparece en la parte derecha de la pantalla en cada uno de los “Nombres del documento”.




Por ejemplo, si hacemos clic sobre el primero, obtendremos la siguiente imagen, pulsaremos sobre “Abrir” o “Guardar”, obteniendo como resultado un fichero “pdf” con la portada del “Documento de Seguridad” de nuestro registro. Deberemos imprimir dicha página: Deberemos llevar a cabo el mismo proceso para generar y poder imprimir el “Documento de Seguridad del Registro.




3.1.2.2 Anexo I: Ficheros. El siguiente apartado relativo al “Anexo I: Ficheros” deberemos imprimir todas las solicitudes de inscripción de los ficheros, incluidos los públicos, que nos muestra la aplicación en rojo. Para poder imprimir los mismos, trabajaremos de la misma forma que en el apartado anterior.

3.1.2.3 Anexo II: Notificaciones LOPD. Todas las notificaciones que el registro recibe de la “Agencia de Protección de Datos” quedan archivadas en este apartado. Dichas notificaciones contendrán el código de inscripción que le ha sido asignado al fichero que ha sido inscrito en el Registro General de Protección de Datos. Todas las notificaciones las deberemos imprimir (salvo la de los ficheros públicos que aún no existen), para ello trabajaremos de la forma habitual.

3.1.2.4 Anexo III: Funciones. Este apartado nos muestra todo el personal asociado al registro, así como la/s función/es que se le permite desempeñar. Deberemos ver uno a uno cada función. Tenemos dos nuevas




funciones, aunque no obligatorias, que son la de “Suplentes para autorizar entrada y salida de los soportes” y “Suplentes para recuperar copia de seguridad”. Para dar de alta las funciones y obligaciones es necesario que tengamos dado de alta todo el personal asociado al registro. Para comenzar a seleccionar funciones al personal pulsaremos “Actualizar”, accederemos a una pantalla donde podremos elegir la función y asociarla al personal correspondiente.

Al pulsar “Actualizar” accederemos a la siguiente pantalla.

Abrir el despegable “Función” y seleccionar la deseada, las casillas “Descripción” y “Personal” se complementarán




Una vez que hayamos cumplimentado todas las funciones deberemos “Guardar” y a continuación, imprimiremos el “Informe” que archivaremos junto al resto de papeles que integran el “Documento de Seguridad del Registro”. Siempre que haya un cambio, volver a imprimir el documento ya que siempre deberá estar actualizado.

3.1.2.5 Anexo IV: Acceso datos. Tenemos dos formas de trabajar, por “ficheros” o por “personas”. La recomendación depende del personal del Registro. Si son Registros con mucha gente (número superior al de ficheros) es conveniente hacerlo por ficheros, pero si son Registros pequeños (número inferior al de ficheros) es más sencillo hacerlo por Personal. Para el supuesto de hacerlo por ficheros, haremos clic sobre “Fichero”, a continuación seleccionaremos uno en concreto, por ejemplo “Nóminas”, e indicaremos persona por persona todas aquellas que se les permita utilizar dicho fichero. Para grabar la información pulsaremos en “Guardar”. Repetiremos la operación para cada uno de los ficheros que tengamos declarados. Al finalizar, pulsaremos en “Volver” y generaremos el “Informe”, el cual deberemos imprimir y archivar de la forma habitual. A modo de ejemplo acompañamos las siguientes pantallas:

Seleccionar la/s persona/s que llevan a cabo la función indicada, pulsar “Añadir” o “Añadir todos” y nos mostrará la/s persona/s seleccionadas en la casilla inferior.




Pulsar en “Ficheros” para acceder a la pantalla en que debemos indicar a qué datos tiene acceso cada persona asociada al registro.

Elegir el “Ficheros de datos” al que deseamos asociar el “grupo” de trabajo y las “personas” asociadas al registro que tiene acceso a esos datos.

Cuando no aparezca previamente seleccionado, elegir el “Grupo” de trabajo que, dentro del fichero elegido, vamos asociar el personal pertinente.




NOTA PARA LOS REGISTROS MERCANTILES: Los ficheros de “Facturación de Servicios Interactivos”, “Facturación de Servicios Presenciales” y “Usuarios de Servicios Presenciales”, por defecto, les muestra que el “GRUPO” es “Registro de la Propiedad”, por lo que hay que modificarlo a “Registro Mercantil”.

Cumplimentar la casilla “Departamento”

Seleccionar en la casilla “Personal” los trabajadores o empresas externas que se les permite el acceso a datos para el “Fichero” y “Grupo” previamente seleccionados. Pulsar “Añadir”.

Acabada la selección, pulsar “Guardar”, la aplicación nos mostrará el mensaje “Datos actualizados” pulsar “Aceptar”. Habrán quedados archivados los datos. Pulsar “Volver” para acceder a la página inicial.

Resultado final de nuestra operación. Repetir esta operación las veces que sean necesarios conforme a los ficheros que se usen en el registro y grupos.




3.1.2.6 Anexo V: Acceso Físico. Deberemos indicar que “ubicación” tiene cada una de las personas que tienen acceso a las instalaciones del registro, pudiendo añadir comentarios. Si el registro no tiene ninguna restricción se considerará que todo el registro es “zona restringida”. Para comenzar a introducir datos pulsaremos “Actualizar” y accederemos a la pantalla donde añadiremos el personal asociado activo y su ubicación en el registro.

Abrir el despegable “Ubicación” y elegir entre las dos opciones, bien “Área de Trabajo” o “Área Restringida”. Al seleccionar una de ellas se complementará automáticamente la casilla “Descripción” y nos aparecerán la relación del personal asociado al registro para que seleccionemos aquellas que tienen acceso físico en el registro en la ubicación indicada.




Al finalizar, igual que en el resto de los supuestos, pulsaremos “Volver” para poder generar el “Informe” que debemos imprimir y archivar con el resto de la documentación.

Seleccionar la/s persona/s para dicha ubicación y pulsar “Añadir” o “Añadir todos”.

Terminada nuestra selección pulsar “Guardar”, volveremos a la pantalla inicial donde podremos ver el resultado.




3.1.2.7 Anexo VI: Revisiones En el documento de seguridad se hacen varias revisiones, generalmente de carácter trimestral. Por ejemplo, la “Comprobación de la lista de usuarios para acceder a los sistemas”. Para empezar a indicar en la aplicación que se ha llevado a cabo una revisión, pulsaremos sobre el botón “Actualizar”.

Abrir el despegable “Revisión” para indicar el tipo de revisión que se ha llevado a cabo. Al seleccionar el tipo de revisión la aplicación, automáticamente, indica el tiempo de “periodicidad”.




A continuación, pinchar en el icono

que aparece en la casilla “Fecha” para indicar la fecha en la que se ha llevado a cabo la revisión.

Es obligatorio rellenar el campo “Observaciones”.

A continuación, seleccionar el fichero que ha sido revisado y pulsar “Añadir”.




Finalmente, deberemos imprimir el “Informe” que nos mostrará todas las revisiones y que deberemos archivar con el resto de documentación del “Documento de Seguridad”.

Al finalizar, pulsar “Guardar”, la aplicación nos mostrará el mensaje “Datos actualizados” y nos posicionará en la pantalla principal donde podremos observar el resultado de nuestra operación.




3.1.2.8 Anexo VII: Documentos de Apoyo. En esta opción se podrá agregar normativa autonómica o cualquier otro documento que el registrador quiera incorporar al documento de seguridad.

Pulsar la opción “Documentos”, accederemos a la siguiente pantalla.

Para adjuntar cualquier documento pulsar la opción “Añadir”, accederemos a la siguiente pantalla.

Cumplimentar las casillas indicando: “Nombre” del documento, adjuntar el fichero (máx 4Mb) y “Descripción”.




3.1.3 Diario de Trabajo.

El “Diario de Trabajo” lleva el control y la gestión de las tareas del registro que en su adecuación a la normativa de Protección de Datos se han llevado ya a cabo o quedan pendientes aún, por lo que las tareas pasan de “Pendientes” a “Completadas”. La aplicación, por defecto, nos muestra todas las tareas “pendientes” que tenga el registro. La forma más práctica de trabajar en el “Diario de Trabajo” es por “Tareas del Diario”, por ello abriremos el despegable de “Tareas del Diario” y seleccionaremos la tarea con la que deseemos trabajar.

Tras seleccionar y filtrar por la tarea con la que deseamos trabajar, obtendremos una pantalla como la que aparece a continuación. En cada tarea pendiente observamos que además de indicarnos la tarea, la aplicación nos muestra lo que denomina “Detalle” para indicarnos dentro de esa tarea qué es lo que concretamente tenemos que modificar.

Para seleccionar una tarea debemos abrir el despegable “Tareas del Diario”, seleccionar la tarea pertinente y

pulsar para que nos muestra en pantalla, exclusivamente, los datos relativos a dicha tarea.




Cuando deseemos cambiar el “Estado” de una tarea de “Pendiente” a “Completada”, deberemos trabajar conforme a las siguientes pantallas.

Pulsar sobre el botón de la casilla “Fecha Resolución”, seleccionaremos la fecha en que se ha resuelto la tarea pendiente.

Igualmente, es obligatorio cumplimentar la casilla “Observaciones”, dando una breve explicación de lo que se ha llevado a cabo para solucionar dicha tarea.




Marcar “Seleccionartodas” o sólo aquella/s tarea/s que se hayan resuelto.

Pulsar para cambiar el Estado a “Completada”.

La aplicación, tras pulsar “Guardar” nos muestra la pantalla de las “Tareas Completadas” .




NOTA: Al dar por completada las “Tareas” en el “Diario de Trabajo” también quedan completadas en el “Doc. de Seguridad”, tal y como apreciamos en la siguiente pantalla:

4.- PROCEDIMIENTO DE GESTIÓN. (2ª Fase) En el procedimiento de Gestión deberemos de hacer un estudio detallado de varios aspectos diferentes, los mismos son:

• Registro de Incidencias. • Gestión Arco. • Gestión de Soportes.

o Inventario Soportes. o Autorizaciones Soportes.

4.1 Registro de Incidencias. 4.1.1 Incidencias. El “Procedimiento de Gestión de Incidencias” detalla las acciones a seguir cuando se produce una incidencia, concretamente, reflejará su grabación en el registro de incidencias así como el flujo de trabajo para su resolución y posterior análisis.

A) Notificar incidencia de seguridad. Todos los usuarios de sistemas tienen la obligación de mantener el equipo de trabajo en buenas condiciones de uso. Un usuario en el uso cotidiano de los sistemas de información puede sufrir incidencias relacionadas con: • CONFIDENCIALIDAD: El usuario autorizado, tiene la certeza o sospecha que alguna de

sus contraseñas de acceso han dejado de ser “secretas” o que alguien se ha apropiado de información sensible o confidencial.

• INTEGRIDAD: Son las relacionadas con las pérdidas, modificaciones de datos o daños en los mismos de forma maliciosa o accidental.




• DISPONIBILIDAD: Asegurar el acceso de los usuarios a los sistemas que contienen los datos. Si los sistemas no están operativos durante un periodo de tiempo prolongado, se deberá notificar al personal de soporte la misma o grabarla en el registro de incidencias.

En caso de producirse una incidencia relacionada con la confidencialidad, integridad o disponibilidad de los datos, que ponga en peligro la seguridad de los mismos contenidos en un fichero, provocando la pérdida, destrucción o modificación de los mismos, este hecho será comunicado por la persona que la detecte al Responsable de Seguridad. B) Registrar la incidencia. El Responsable de Seguridad o persona designada para atender las incidencias de seguridad registran la misma, haciendo constar en el registro los siguientes datos: • Tipo y descripción de la incidencia. • Nombre del fichero o nombre del sistema. • Momento en que se ha producido o detectado. • Nombre de la persona que realiza la notificación. • Nombre de la persona a quien se comunica. • Efectos que se hubieran derivado de la misma.

C) Resolver la incidencia.

El Responsable de Seguridad procede a la resolución de la incidencia o a dar las instrucciones precisas para ello, incluyendo las medidas correctoras aplicadas en el registro de incidencias. Si para la resolución de la incidencia fuese necesaria la restauración de datos de una copia de seguridad de ficheros que contengan datos de carácter personal de nivel medio o alto, será necesaria la autorización del “Responsable del Fichero/Tratamiento”. Al registrar la incidencia, además, se anotarán:

o Proceso de recuperación de datos utilizado. o Nombre de la persona que ejecutó el proceso de recuperación de datos. o Datos restaurados, y en su caso, los que han sido recuperados manualmente.

D) Revisar incidencias y emitir informe. Trimestralmente, el Responsable de Seguridad, revisará las incidencias relacionadas con seguridad de información. Para aquellas incidencias que se repitan con cierta frecuencia, se propondrán medidas para solucionarlas y se realiza un seguimiento de su puesta en funcionamiento.

4.1.2 Registro de Incidencias en el Registro con Sygilo.

Una incidencia es un hecho que repercute directamente a la confidencialidad, integridad o disponibilidad de los datos, poniendo en peligro la seguridad de éstos y provocando su posible pérdida, destrucción o modificación.

Cuando se produce una incidencia en el registro que afecta a “Protección de Datos” deberemos registrar dicha incidencia. Esa incidencia puede ser comunicada por dos vías:




• Llamando al “Colegio de Registradores”: En este caso se comunicará la incidencia a soporte que la dará de alta. Generalmente se usa cuando los programas son colegiales.

• Utilizando el “Registro de Incidencias” de Sygilo: Opción que se deberá utilizar en el

caso de que la incidencia sea una incidencia de seguridad o no se haya comunicado a Soporte del Colegio, por hacer referencia a aplicaciones no colegiales o por ser incidencias que no se comunican a Soporte Colegio (p.e. robos, inundaciones…). Esta última opción es el objeto de nuestro análisis.

Pulsar el botón “Añadir” para poder acceder a la pantalla en la que registraremos la incidencia.

Abrir el despegable “Incidencia” y seleccionar la que sea pertinente.

Cumplimentar el resto de la pantalla, especialmente indicar los “Efectos de la Incidencia” y las “Medidas Correctoras aplicadas”. Finalmente, sólo marcaremos la opción “Recuperación de datos” en caso de tener que recuperar la base de datos. Terminaremos pulsando el botón “Guardar”. La aplicación nos indica que se han actualizado los datos.

La aplicación habrá actualizado los datos y nos muestra la incidencia en la página principal.




4.2 Gestión ARCO. De acuerdo con la normativa vigente de Protección de Datos, todos los usuarios tienen derecho de “Acceso”, “Rectificación”, “Cancelación” y “Oposición” de sus datos, esto es conocido como “Derechos ARCO”. Si nos plantean cualquiera de ellos en nuestro registro tendremos que dejar constancia de dicha petición en Sygilo. Para ello iremos por: “PROCED. GESTIÓN GESTIÓN ARCO”.

Una vez en la pantalla anterior, pulsar la opción , accederemos a la pantalla de “Alta de la Solicitud”.

Cumplimentar todas las casillas de “Organización” y “Unidad” (registro). Continuaremos con la casilla “Tipo de Solicitud” (ACCESO, RECTIFICACIÓN, CANCELACIÓN U OPOSICIÓN). Indicar la “Fecha de la Solicitud”, “Fecha de Vencimiento”.

En “Estado de la Solicitud” seleccionaremos la opción “Solicitud Recibida”

En “Resolución” al estar dando de alta la solicitud, es “Sin Resolver”. Dicha situación irá cambiando según avancemos en el procedimiento.

Cumplimentar los “Datos del Solicitante” con sus datos personales, indicando especialmente, si es “extranjero”, el “email”, y la “descripción de la solicitud”, pudiendo aportar “documentos”. También se indicará si se actúa como “representante legal” porque, en ese caso rellenaremos los datos del mismo. Al finalizar pulsar “Guardar”, para grabar la solicitud.




Utilizaremos la opción “Modificar Datos de la Solicitud” para modificar cualquiera de los campos cumplimentados en el alta, para añadir documentos (tanto acreditativos como los que acompañen a la solicitud) y, finalmente, para cambiar las distintas fases o estado por las que pase la solicitud y su resolución.

Permite MODIFICAR la solicitud.

Permite BORRAR la solicitud.

Permite CONSULTAR la solicitud.

DIFERENTES ESTADOS DE LA SOLICITUD: 1.-Solicitud recibida: Llega la petición derecho ARCO. 2.-Solicitud incompleta datos: La petición es incompleta, se solicitan los datos que faltan. 3.-Solicitud esperando datos: Petición paralizada a espera de que lleguen los datos que faltan. 4.-Solicitud correcta: La petición reúne todos los requisitos. 5.-Solicitud tramitada: Se tramita la solicitud. 6.-Solicitud enviada: Se envía los datos solicitados al solicitante.

DIFERENTES ESTADOS DE RESOLUCIÓN: 1.- APROBADA: Se resuelve a favor del solicitante. 2.- DENEGADA: Se resuelve en contra del solicitante. 3.- SIN RESOLVER: Cuando la solicitud es recibida en el

registro, hasta su tramitación se encuentra en este estado.




Una vez acabada toda la tramitación de un expediente de este tipo deberemos emitir un Informe. Para ello, en la página donde hemos llevado acabo las modificaciones y hemos dado por finalizado el proceso, tenemos la opción de emitir el Informe.

OBSERVACIONES DE LA RESOLUCIÓN: Pondremos los comentarios pertinentes a la resolución tomada, por ejemplo si es tramitada y aprobada como se ha resuelto la solicitud, en nuestro caso se envía la información solicitada. Finalmente, pulsar el botón “ACTUALIZAR” para grabar los cambios efectuados.

Pinchar en “Informe” creará un fichero de extensión PDF con toda la información de esta incidencia. Imprimir y archivar.




4.3 Inventario de Soportes. 4.3.1. Soportes: Identificar, inventariar, almacenar y destruir/reutilizar.

Los soportes que contengan datos de carácter personal, tanto de fichero automatizados como no automatizados, deben de ser etiquetados para su identificación, inventariado y almacenados en un lugar con acceso restringido, al que sólo podrán acceder las personas con autorización.

Las personas con autorización son:

o Los usuarios del fichero, los mismos aparecerán detallados en la relación de usuarios con autorización del fichero.

o Las personas implicadas en las salidas y entradas de soportes, reflejados en el correspondiente registro o autorización.

o Los Operadores, Técnicos y Administradores del Sistema encargados de la custodia o generación de los soportes.

Si fuese imposible el cumplimiento de etiquetado de los soportes se reflejará en el “Documento de Seguridad”.

a) Identificación. El encargado de la custodia de los soportes deberá etiquetar los soportes con los datos que él considere. Es aconsejable indicar, como mínimo, en el etiquetado de los soportes los siguientes datos:

1.- Identificación. 2.-Tipo de información que contiene. 3.- Fecha de generación o Periodicidad de generación. Cuando la información que contienen los ficheros de “nivel alto” el sistema de etiquetado debe ser comprensible, únicamente, para aquellos con autorización al acceso de estos ficheros. b) Inventariar. Se llevará a cabo por el “Responsable de Seguridad” y deberá tener en cuenta los siguientes datos: 1.- Identificación. 2.-Tipo de información que contiene. 3.- Fecha de generación o Periodicidad de generación. 4.-Tipo de Soporte o documento. 5.- Nº de Soportes o documentos. 6.- Fecha de alta. 7.- Fichero asociado. 8.- Destrucción o Reutilización. 9.- Fecha de destrucción/reutilización. c) Almacenar.

Para garantizar la seguridad de almacenamiento de los soportes se llevarán a cabo por el Responsable las siguientes acciones:

o Cuando no se estén usando los soportes deben de estar almacenados en una zona restringida de acceso exclusivo al personal autorizado.




o Si los soportes contienen datos de carácter personal de nivel alto y confidencial

deberán almacenarse en un armario ignífugo restringido al personal autorizado, para el caso de que no puedan ser almacenados fuera del Registro, que sería lo aconsejable, en este caso junto con las copias se acompañarán las instrucciones para llevar a cabo la recuperación de los datos o con los datos de la empresa que las tuviera.

d) Destruir/Reutilizar.

Cuando los soportes que contienen datos de ficheros automatizados de nivel básico van a ser destruidos o reutilizados, se tomarán las medidas oportunas de destrucción o borrado, de modo que se evite el acceso a la información que dichos ficheros contienen.

4.3.2. Inventario de Soportes en el Registro con Sygilo. Para inventariar soportes que se utilicen en el registro utilizando Sygilo deberemos posicionarnos en “PROCED. GESTIÓN INVENTARIO SOPORTES”.

Pulsar sobre “Añadir” para acceder a la pantalla que nos permite dar de alta dichos soportes.

Cumplimentar los datos de las casillas en color amarillo es de carácter obligatorio, el resto es opcional. Asociaremos el soporte que estamos dando de alta a los ficheros declarados y/o al sistema que afecten. Para asociar los ficheros o sistemas nos posicionamos sobre ellos y pulsar sobre “Añadir” o “Añadir todos” según el caso. Pulsar “Guardar”.




Deberemos repetir la operación tantas veces como soportes tengamos en el registro y solo de aquellos que vayan a salir físicamente de éste (discos duros, portátiles, cintas…). Una vez finalizado el proceso de inventariar nuestros soportes, pulsamos “volver” para acceder a la pantalla principal. En la misma pulsaremos “Informe” para emitir el mismo, imprimirlo y archivarlo.

4.4 Autorizaciones de Soportes. La SALIDA de los soportes y documentos de cualquier tipo DEBEN SER AUTORIZADOS POR EL RESPONSABLE DEL FICHERO y aparecer dicha autorización en el documento de Seguridad.

Idéntica AUTORIZACIÓN se necesita para el almacenamiento de datos personales en dispositivos portátiles o tratamiento de los mismos si se van a sacars fuera del registro.

Si los datos de carácter personal van a ser objeto de traslado fuera del registro se adoptarán las medidas necesarias para evitar la sustracción, pérdida o acceso indebido a la información durante su transporte. Además, si los datos de carácter personal son de “nivel alto” deberán estar cifrados o cualquier otro sistema de forma que cualquier acceso a los datos sea inteligible. En cuanto a los dispositivos portátiles, se intentará el cifrado de los datos y si ello no fuera posible se hará constar en el Documento de Seguridad.




4.4.1. Autorizaciones de Soportes en el Registro con Sygilo. Una vez dados de alta los soportes, deberemos dar las autorizaciones que afecten a los mismos. Para ellos iremos por “PROCED. GESTIÓN AUTORIZACIONES SOPORTES”:

Las casillas de color amarillo son obligatorias. El “Tipo de Autorización” y “Periodicidad de la Autorización” se eligen de un despegable, el resto son a rellenar por el usuario.

La aplicación nos muestra en el apartado “Lista de Soportes Afectados” todos los que hemos dado de alta en la aplicación. Deberemos posicionarnos sobre el soporte que afecta y pulsar “Añadir”, o si afectase a todos “Añadir todos”.




Una vez finalizado el procedimiento de “autorización” pulsar “Guardar” para archivar en la aplicación los datos.

Finalizado el proceso pulsar “Volver” para acceder a la pantalla principal donde nos mostrará la/s autorización/es que acabamos de dar de alta. Debemos, a continuación, pulsar en “Informe” para que la aplicación genere el mismo. Tras ello, imprimir y archivar.




5.- AUDITORIAS. Antes de hacer la auditoria desde soporte LOPD nos indicarán los siguientes pasos:

1.- Informar del “Proyecto LOPD”.

2.- Revisar el “Documento de Seguridad”.

3.- Actualizar los “Sistemas” del Registro.

4.- Nombrar los “Suplentes” de ciertos cargos.

5.- Cumplimentar la casilla de “Datos Contratos” del “Personal Interno”.

6.- Comprobar el “Diario de Trabajo”.

7.- Comprobar los “Indicadores”. (Si está revisado el “Documento de Seguridad” nos facilitará la auditoria, debido a que nos quita bastante trabajo).

Comprobado todo lo anterior, desde Soporte procederán a dar el “Alta de la Auditoria”. Nosotros desde el registro entraremos por “AUDITORIA MODIFICACIÓN”, accediendo a una pantalla como la que mostramos a continuación:

Al pulsar el botón , accederemos a la siguiente pantalla donde comenzaremos la auditoria del registro. Antes de comenzar diremos que en la pantalla podremos encontrar 3 elementos de “ayuda”, que son: “Ver requisitos”, “Ver preguntas adicionales” y “Ayuda”.

Comprobar que es nombre de nuestro registro.

Nos mostrará que es una “Auditoria Remota” y el nombre de nuestro registro. La casilla “Valor” y en la casilla

“Completada” pondrá “0” porque no hemos empezado la auditoría.

Con este botón de la casilla “Acción” empezará la auditoria.




Dicho lo anterior, analizaremos la pantalla que la aplicación nos muestra en la auditoria:

Una vez explicada la pantalla de trabajo, pasaremos a profundizar algo más sobre los distintos supuestos que se nos pueden plantear. Partimos de un ejemplo en que la respuesta es “NO”, ó “NO APLICA”.

En “Ver requisitos” nos mostrará el artículo de la ley relativo a esta parte de la auditoria.

En “Ver preguntas adicionales” tendremos un comentario, concretamente, es una aclaración a la pregunta que nos plantean.

En “Ayuda” podremos encontrar lo que hay que verificar en la pregunta que estamos posicionados en la auditoria, así como lo que hay que hacer en relación a la misma, es decir, es una ayuda a la hora de contestar.

En “Listado de requisitos” nos muestra el requisito, el artículo que regula dicho requisito. En relación al requisito donde estemos posicionados (color azul) tendremos la pregunta asociada en la casilla “Pregunta”.

Este número nos indica que este requisito tiene una pregunta, pero que está sin responder. Es decir, nos indica que llevamos “0” respuestas de “1” posible.

En “Respuesta” seleccionar lo que sea pertinente para nuestro registro. Las opciones que tenemos en la aplicación y sus consecuencias son:

1.-SI.- Se cumple el requisito de la auditoria en su totalidad. Obligatoriamente, rellenaremos la casilla “OBSERVACIONES AUDITOR” con un comentario, en caso contrario no nos dejará grabar. (Aumenta nuestro porcentaje de cumplimiento en la auditoria).

2.-NO.- No se cumple el requisito en absoluto. Comentario opcional. Implica una tarea en el “Plan de acción” de nuestra auditoria.

3.-EN PARTE.- Se cumple en parte el requisito. Obligatorio poner comentario. Implica una tarea en el “Plan de acción” de nuestra auditoria.

4.-NO APLICA.- Para que la aplicación haga caso omiso a esta pregunta y no nos la compute.

5.-SIN RESPONDER.- No se sabe respuesta. Por ejemplo, sería el supuesto de tener que preguntar a una empresa externa cualquier aspecto del acceso lógico de su aplicación.




En el supuesto de la respuesta sea “SI” o “EN PARTE”, como hemos indicado anteriormente, hemos de seleccionar la respuesta y añadir un comentario en la casilla “OBSERVACIONES AUDITOR” ya que en caso contrario la aplicación al pulsar en “Guardar y Siguiente” no nos dejará grabar y nos mostrará un mensaje de error.

Tras seleccionar “NO”, como no es obligatorio cumplimentar la casilla observaciones, tendremos que pulsar en “Guardar y Siguiente” para archivar los datos. Consecuencia, en la lista de requisitos nos muestra que una pregunta respondida de una (1/1)

Casilla obligatoria en las respuestas “SI” o “EN PARTE”. En caso de no cumplimentar la casilla “observaciones”, la aplicación nos mostrará el siguiente mensaje de error.




A lo largo de la Auditoría podremos encontrarnos supuestos donde un aspecto se compone de más de una pregunta con su respuesta.

Finalmente, habrá supuestos de “NO APLICA” que serán aquellos donde la pregunta no nos afecta, por lo menos actualmente, de tal forma que indicaremos a la aplicación que no la tenga en cuenta marcando la opción “No aplica”. A continuación, pulsar “Guardar y Siguiente”.

En este caso, llevamos “1” respuesta de las “5” preguntas que integran el bloque relativo al artículo 93. La auditoria de este artículo estará acabada cuando tengamos (5/5)




Contestaremos todas las preguntas, y cuando lleguemos al final la aplicación mostrará el mensaje, en azul, “Auditoria Completada”. El personal de soporte nos indicará que la Auditoria se para momentáneamente para que el personal de registro puede emitir su informe provisional y poder cotejar los datos que han resultado de sus respuestas de las pregunta.

A continuación, el personal de soporte LOPD nos indicará que vayamos por AUDITORIAS CONSULTA. El objetivo de la misma será sacar un Informe Provisional de nuestra Auditoria con el fin de que revisemos las respuestas que hemos indicado. En dicho informe provisional no nos aparecerán los comentarios sólo las respuestas.




Una vez comprobadas las respuestas en el “Informe Provisional” podremos encontrarnos dos posibilidades:

1.- Que haya alguna opción no correcta o incompleta.- En este supuesto se procederá a solventar dicha situación.

2.- Que todo esté correcto.- En este supuesto se procederá a pulsar la opción “Dar por completada la Auditoria” de la siguiente pantalla.

Pulsaremos en cuando hayamos comprobado nuestras respuestas y estemos de acuerdo con todas ellas, de esta forma finaliza la auditoría. Nos mostrará el mensaje para pulsar “Aceptar”.

Pulsar en para emitir el “Informe Respuestas Auditoria” y que podamos comprobar nuestras respuestas.




Soporte LOPD nos dará por “Revisada” nuestra Auditoria, pudiendo generar el “Informe Definitivo de la Auditoria”, para ello nos indicarán que vayamos por AUDITORIA CONSULTA.

.

AUDITORIA CONSULTA, observamos que el “Estado” de la Auditoria de nuestro registro es “Revisada”. Para poder generar nuestro “INFORME DE AUDITORIA”

pulsar en

Pinchar en el icono para poder generar nuestro “Informe Auditoria”. El informe se debe imprimir y archivar con toda la documentación.

Pulsar “Abrir” obtendremos el “Informe Auditoría” que tendremos que imprimir y archivar.




Finalmente, se le indicará desde soporte al usuario que acceda a “MEDIDAS DE SEGURIDAD

ALTA Y MODIFICACIÓN”, para poder ver su “PLAN DE ACCIÓN”, el cual consiste en poder ver las preguntas de la auditoria que las respuestas dadas no cumplen con la normativa de Protección de Datos. Nos servirá de guía para corregir esta situación.

Podremos ver la pregunta de la auditoria que nos hicieron, así como la solución para su corrección.

Para indicar que la medida de acción se está llevando a cabo o ha finalizado será obligatorio cumplimentar las casillas “Fecha de inicio”, “Fecha fin”. Indicar el “Responsable de la Implantación” y cambiar el “Estado de la medida” con las siguientes opciones: PENDIENTE que es el que partimos, INICIADA pero no acabada, FINALIZADA, DESCARTADA, DUPLICADA. Para

grabar pulsar sobre

Podremos observar el “Requisito”, “La medida a adoptar”, “el fichero” a que afecta y “el estado”. Para la modificación de cualquiera de

ellos pulsaremos sobre




Podríamos resumir la auditoria en cuatro fases que son:

1.- Actualizar sistemas, suplentes, modificar el personal interno, indicadores y diario de trabajo.

2.- Hacer auditoria. 3.- Revisar auditoria. 4.- Plan de acción.

Una vez indicadas las casillas anteriormente expuestas, pulsar “Medida” y la aplicación nos sitúa en la pantalla principal con el nuevo “Estado”.

formaciÓn para el personal de ... - registradors.cat · colegio de registradores de la propiedad y...

Documents