DOCUMENTO DE SEGURIDAD LOPD DE: GERIATRIC XXI EL BALCÓN DE CÚLLAR VEGA SL AVISO LEGAL  


0. OBJETO Y ACEPTACIÓN

El presente aviso legal regula el uso del sitio web www.geriatricxxi.com (en adelante,

LA WEB), del que es titular GERIATRIC XXI EL BALCON DE CULLAR VEGA

SL (en adelante, EL PROPIETARIO DE LA WEB).

La navegación por el sitio web de EL PROPIETARIO DE LA WEB atribuye la

condición de usuario del mismo e implica la aceptación plena y sin reservas de todas y

cada una de las disposiciones incluidas en este Aviso Legal, que pueden sufrir

modificaciones.

El usuario se obliga a hacer un uso correcto del sitio web de conformidad con las

leyes, la buena fe, el orden público, los usos del tráfico y el presente Aviso Legal. El

usuario responderá frente a EL PROPIETARIO DE LA WEB o frente a terceros, de

cualesquiera daños y perjuicios que pudieran causarse como consecuencia del

incumplimiento de dicha obligación.


1. IDENTIFICACIÓN Y COMUNICACIONES

EL PROPIETARIO DE LA WEB, en cumplimiento de la Ley 34/2002, de 11 de julio,

de servicios de la sociedad de la información y de comercio electrónico, le informa de

que:

Su denominación social es: GERIATRIC XXI EL BALCON DE CULLAR VEGA SL

Su CIF/NIF/NIE es: B18689752

Su domicilio social está en: URBANIZACION EL VENTORRILLO, C/ CAMINO

VIEJO DE SANTA FE 1 - 18194 CULLAR VEGA - GRANADA

Para comunicarse con nosotros, ponemos a su disposición diferentes medios de

contacto que detallamos a continuación:

Tfno: 958589263

Fax: 958585603

Email: direccion@geriatricxxi.com

Todas las notificaciones y comunicaciones entre los usuarios y EL PROPIETARIO DE

LA WEB se considerarán eficaces, a todos los efectos, cuando se realicen a través de

correo postal o cualquier otro medio de los detallados anteriormente.


2. CONDICIONES DE ACCESO Y UTILIZACIÓN

El sitio web y sus servicios son de acceso libre y gratuito, no obstante, EL

PROPIETARIO DE LA WEB condiciona la utilización de algunos de los servicios

ofrecidos en su web a la previa cumplimentación del correspondiente formulario.DOCUMENTO DE SEGURIDAD LOPD DE: GERIATRIC XXI EL BALCON DE CULLAR VEGA SL

El usuario garantiza la autenticidad y actualidad de todos aquellos datos que

comunique a EL PROPIETARIO DE LA WEB y será el único responsable de las

manifestaciones falsas o inexactas que realice.

El usuario se compromete expresamente a hacer un uso adecuado de los contenidos y

servicios de EL PROPIETARIO DE LA WEB y a no emplearlos para, entre otros:

a) Difundir contenidos, delictivos, violentos, pornográficos, racistas, xenófobo,

ofensivos, de apología del terrorismo o, en general, contrarios a la ley o al orden

público.

b) Introducir en la red virus informáticos o realizar actuaciones susceptibles de alterar,

estropear, interrumpir o generar errores o daños en los documentos electrónicos, datos

o sistemas físicos y lógicos de EL PROPIETARIO DE LA WEB o de terceras

personas; así como obstaculizar el acceso de otros usuarios al sitio web y a sus

servicios mediante el consumo masivo de los recursos informáticos a través de los

cuales EL PROPIETARIO DE LA WEB presta sus servicios.

c) Intentar acceder a las cuentas de correo electrónico de otros usuarios o a áreas

restringidas de los sistemas informáticos de EL PROPIETARIO DE LA WEB o de

terceros y, en su caso, extraer información.

d) Vulnerar los derechos de propiedad intelectual o industrial, así como violar la

confidencialidad de la información de EL PROPIETARIO DE LA WEB o de terceros.

e) Suplantar la identidad de otro usuario, de las administraciones públicas o de un

tercero.

f) Reproducir, copiar, distribuir, poner a disposición o de cualquier otra forma

comunicar públicamente, transformar o modificar los contenidos, a menos que se

cuente con la autorización del titular de los correspondientes derechos o ello resulte

legalmente permitido.

g) Recabar datos con finalidad publicitaria y de remitir publicidad de cualquier clase y

comunicaciones con fines de venta u otras de naturaleza comercial sin que medie su

previa solicitud o consentimiento.

Todos los contenidos del sitio web, como textos, fotografías, gráficos, imágenes,

iconos, tecnología, software, así como su diseño gráfico y códigos fuente, constituyen

una obra cuya propiedad pertenece a EL PROPIETARIO DE LA WEB, sin que

puedan entenderse cedidos al usuario ninguno de los derechos de explotación sobre los

mismos más allá de lo estrictamente necesario para el correcto uso de la web.

En definitiva, los usuarios que accedan a este sitio web pueden visualizar losDOCUMENTO DE SEGURIDAD LOPD DE: GERIATRIC XXI EL BALCON DE CULLAR VEGA SL

contenidos y efectuar, en su caso, copias privadas autorizadas siempre que los

elementos reproducidos no sean cedidos posteriormente a terceros, ni se instalen a

servidores conectados a redes, ni sean objeto de ningún tipo de explotación.

Asimismo, todas las marcas, nombres comerciales o signos distintivos de cualquier

clase que aparecen en el sitio web son propiedad de EL PROPIETARIO DE LA WEB,

sin que pueda entenderse que el uso o acceso al mismo atribuya al usuario derecho

alguno sobre los mismos.

La distribución, modificación, cesión o comunicación pública de los contenidos y

cualquier otro acto que no haya sido expresamente autorizado por el titular de los

derechos de explotación quedan prohibidos.

El establecimiento de un hiperenlace no implica en ningún caso la existencia de

relaciones entre EL PROPIETARIO DE LA WEB y el propietario del sitio web en la

que se establezca, ni la aceptación y aprobación por parte de EL PROPIETARIO DE

LA WEB de sus contenidos o servicios. Aquellas personas que se propongan

establecer un hiperenlace previamente deberán solicitar autorización por escrito a EL

PROPIETARIO DE LA WEB. En todo caso, el hiperenlace únicamente permitirá el

acceso a la home-page o página de inicio de nuestro sitio web, asimismo deberá

abstenerse de realizar manifestaciones o indicaciones falsas, inexactas o incorrectas

sobre EL PROPIETARIO DE LA WEB, o incluir contenidos ilícitos, contrarios a las

buenas costumbres y al orden público.

EL PROPIETARIO DE LA WEB no se responsabiliza del uso que cada usuario le dé a

los materiales puestos a disposición en este sitio web ni de las actuaciones que realice

en base a los mismos.


3. EXCLUSIÓN DE GARANTÍAS Y DE RESPONSABILIDAD

El contenido del presente sitio web es de carácter general y tiene una finalidad

meramente informativa, sin que se garantice plenamente el acceso a todos los

contenidos, ni su exhaustividad, corrección, vigencia o actualidad, ni su idoneidad o

utilidad para un objetivo específico.

EL PROPIETARIO DE LA WEB excluye, hasta donde permite el ordenamiento

jurídico, cualquier responsabilidad por los daños y perjuicios de toda naturaleza

derivados de:

a) La imposibilidad de acceso al sitio web o la falta de veracidad, exactitud,DOCUMENTO DE SEGURIDAD LOPD DE: GERIATRIC XXI EL BALCON DE CULLAR VEGA SL

exhaustividad y/o actualidad de los contenidos, así como la existencia de vicios y

defectos de toda clase de los contenidos transmitidos, difundidos, almacenados,

puestos a disposición a los que se haya accedido a través del sitio web o de los

servicios que se ofrecen.

b) La presencia de virus o de otros elementos en los contenidos que puedan producir

alteraciones en los sistemas informáticos, documentos electrónicos o datos de los

usuarios.

c) El incumplimiento de las leyes, la buena fe, el orden público, los usos del tráfico y

el presente aviso legal como consecuencia del uso incorrecto del sitio web. En

particular, y a modo ejemplificativo, EL PROPIETARIO DE LA WEB no se hace

responsable de las actuaciones de terceros que vulneren derechos de propiedad

intelectual e industrial, secretos empresariales, derechos al honor, a la intimidad

personal y familiar y a la propia imagen, así como la normativa en materia de

competencia desleal y publicidad ilícita.

Asimismo, EL PROPIETARIO DE LA WEB declina cualquier responsabilidad

respecto a la información que se halle fuera de esta web y no sea gestionada

directamente por nuestro webmaster. La función de los links que aparecen en esta web

es exclusivamente la de informar al usuario sobre la existencia de otras fuentes

susceptibles de ampliar los contenidos que ofrece este sitio web. EL PROPIETARIO

DE LA WEB no garantiza ni se responsabiliza del funcionamiento o accesibilidad de

los sitios enlazados; ni sugiere, invita o recomienda la visita a los mismos, por lo que

tampoco será responsable del resultado obtenido. EL PROPIETARIO DE LA WEB no

se responsabiliza del establecimiento de hipervínculos por parte de terceros.


4. POLÍTICA DE PRIVACIDAD

Cuando precisemos obtener información por su parte, siempre le solicitaremos que nos

la proporcione voluntariamente de forma expresa. Los datos recabados a través de los

formularios de recogida de datos del sitio web u otras vías serán incorporados a un

fichero de datos de carácter personal debidamente inscrito en el Registro General de

Protección de Datos de la Agencia Española de Protección de Datos, del cual es

responsable EL PROPIETARIO DE LA WEB. Esta entidad tratará los datos de forma

confidencial y exclusivamente con la finalidad de ofrecer los servicios solicitados, con

todas las garantías legales y de seguridad que impone la Ley Orgánica 15/1999, de 13

de diciembre, de Protección de Datos de Carácter Personal, el Real Decreto

1720/2007, de 21 de diciembre y la Ley 34/2002, de 11 de julio, de Servicios de la

Sociedad de la Información y Comercio Electrónico.

EL PROPIETARIO DE LA WEB se compromete a no ceder, vender, ni compartir losDOCUMENTO DE SEGURIDAD LOPD DE: GERIATRIC XXI EL BALCON DE CULLAR VEGA SL

datos con terceros sin su aprobación expresa.

Asimismo, GERIATRIC XXI EL BALCON DE CULLAR VEGA SL cancelará o

rectificará los datos cuando resulten inexactos, incompletos o hayan dejado de ser

necesarios o pertinentes para su finalidad, de conformidad con lo previsto en la Ley

Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

El usuario podrá revocar el consentimiento prestado y ejercer los derechos de acceso,

rectificación, cancelación y oposición dirigiéndose a tal efecto al domicilio social de

GERIATRIC XXI EL BALCON DE CULLAR VEGA SL, sito en URBANIZACION

EL VENTORRILLO, C/ CAMINO VIEJO DE SANTA FE 1 - 18194 CULLAR

VEGA - GRANADA, identificándose debidamente e indicando de forma visible el

concreto derecho que se ejerce.

EL PROPIETARIO DE LA WEB adopta los niveles de seguridad correspondientes

requeridos por la citada Ley Orgánica 15/1999 y demás normativa aplicable. No

obstante, no asume ninguna responsabilidad por los daños y perjuicios derivados de

alteraciones que terceros pueden causar en los sistemas informáticos, documentos

electrónicos o ficheros del usuario.

EL PROPIETARIO DE LA WEB podrá utilizar cookies durante la prestación de

servicios del sitio web. Las cookies son ficheros físicos de información personal

alojados en el propio terminal del usuario. El usuario tiene la posibilidad de configurar

su programa navegador de manera que se impida la creación de archivos cookie o se

advierta de la misma.

Si opta a abandonar nuestro sitio web a través de enlaces a sitios web no pertenecientes

a nuestra entidad, EL PROPIETARIO DE LA WEB no se hará responsable de las

políticas de privacidad de dichos sitios web ni de las cookies que éstos puedan

almacenar en el ordenador del usuario.

Nuestra política con respecto al correo electrónico se centra en remitir únicamente

comunicaciones que usted haya solicitado recibir.

Si prefiere no recibir estos mensajes por correo electrónico le ofreceremos a través de

los mismos la posibilidad de ejercer su derecho de cancelación y renuncia a la

recepción de estos mensajes, en conformidad con lo dispuesto en el Título III, artículo

22 de la Ley 34/2002 de Servicios para la Sociedad de la Información y de Comercio

Electrónico.DOCUMENTO DE SEGURIDAD LOPD DE: GERIATRIC XXI EL BALCON DE CULLAR VEGA SL


5. PROCEDIMIENTO EN CASO DE REALIZACIÓN DE ACTIVIDADES DE

CARÁCTER ILÍCITO

En el caso de que cualquier usuario o un tercero considere que existen hechos o

circunstancias que revelen el carácter ilícito de la utilización de cualquier contenido

y/o de la realización de cualquier actividad en las páginas web incluidas o accesibles a

través del sitio web, deberá enviar una notificación a EL PROPIETARIO DE LA WEB

identificándose debidamente, especificando las supuestas infracciones y declarando

expresamente y bajo su responsabilidad que la información proporcionada en la

notificación es exacta.

Para toda cuestión litigiosa que incumba al sitio web de EL PROPIETARIO DE LA

WEB, será de aplicación la legislación española, siendo competentes los Juzgados y

Tribunales de GRANADA (España).


6. PUBLICACIONES

La información administrativa facilitada a través del sitio web no sustituye la

publicidad legal de las leyes, normativas, planes, disposiciones generales y actos que

tengan que ser publicados formalmente a los diarios oficiales de las administraciones

públicas, que constituyen el único instrumento que da fe de su autenticidad y

contenido. La información disponible en este sitio web debe entenderse como una guía

sin propósito de validez legal.


ANEXO VI

 

FUNCIONES Y OBLIGACIONES DEL PERSONAL

EN MATERIA DE PROTECCIÓN DE DATOS

DOCUMENTO DE SEGURIDAD LOPD DE: GERIATRIC XXI

EL BALCON DE CULLAR VEGA SL

 

 

 

1. INTRODUCCIÓN

 

1.1. ¿QUÉ ES LA LOPD?

Es la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter

Personal, que regula la recogida y el tratamiento de los datos de carácter personal.

 

1.2. ¿QUÉ OBJETO TIENE?

Garantizar y proteger, en lo concerniente al tratamiento de los datos personales, las

libertades públicas y los derechos fundamentales de las personas físicas, y

especialmente de su honor e intimidad personal y familiar.

Es decir, limitar el grado de intrusión en nuestra intimidad que pueden generar las

nuevas tecnologías, así como el tráfico indiscriminado de datos personales.

 

1.3. ¿A QUIÉN INCUMBE LA LEY?

La ley obliga a su cumplimiento a todos los profesionales, empresas, organismos

públicos y privados que traten con datos de carácter personal registrados en soporte

físico (soporte papel o informático).

 

1.4. ¿QUÉ ES UN DATO PERSONAL?

Cualquier información concerniente a una persona física identificada o identificable.

Son datos de carácter personal:

• El nombre y apellidos de una persona.

• Teléfono fijo o móvil.

• Dirección postal.

• Correo electrónico.

• DNI / NIF.

• Dirección IP.

• Una fotografía.

• Una grabación de vídeo.

• Cualquier otra información de la que se desprendan datos personales.

 

1.5. CLASIFICACIÓN DE LOS DATOS PERSONALES

Los datos de carácter personal se pueden clasificar en:

 

• Datos identificativos: nombre y apellidos, dirección postal, dirección electrónica,

teléfono, DNI/NIF, SS/mutualidad, imagen, voz, firma o huella digitalizada, firma

electrónica, etc.

 

• Datos de características personales: estado civil, familia, fecha de nacimiento,

lugar de nacimiento, edad, sexo, nacionalidad, lengua materna, características

físicas o antropométricas.

 

• Datos de circunstancias sociales: características de alojamiento, vivienda,

situación militar, propiedades y posesiones, aficiones y estilo de vida, pertenencia a

clubes y asociaciones, licencias, permisos y autorizaciones.

 

• Datos académicos y profesionales: formación y titulaciones, historial del

estudiante, experiencia profesional, pertenencia a colegios o a asociaciones

profesionales.

 

• Datos de empleo: profesión, puestos de trabajo, datos no económicos de nómina,

historial del trabajador.

 

• Datos de información comercial: actividades y negocios, licencias comerciales,

suscripciones a publicaciones y medios de comunicación, creaciones artísticas,

literarias, científicas o técnicas.

 

 

• Datos económicos, financieros y de seguros: ingresos y rentas, inversiones y

bienes patrimoniales, créditos, préstamos y avales, datos bancarios, planes de

pensiones, jubilación, datos económicos de nómina, deducciones impositivas,

impuestos, seguros, hipotecas, subsidios y beneficios, historial de créditos, tarjetas

de crédito.

 

• Datos de transacciones de bienes y servicios: bienes y servicios suministrados por

el afectado, bienes y servicios recibidos por el afectado, transacciones financieras,

compensaciones, indemnizaciones.

 

• Datos especialmente protegidos: ideología, afiliación sindical, religión, creencias,

origen racial, salud o vida sexual.

 

1.6. MEDIDAS DE SEGURIDAD

No es lo mismo tratar datos meramente identificativos para, por ejemplo, realizar la

facturación de un servicio, que tratar el historial médico, o la vida sexual de una

persona.

Hay datos mucho más sensibles que otros, y que necesitan de una mayor protección

para garantizar la confidencialidad e integridad de los mismos.

Las medidas de seguridad se clasifican en tres niveles acumulativos (básico, medio y

alto) atendiendo a la naturaleza de la información tratada, en relación con la menor y

mayor necesidad de garantizar la confidencialidad y la integridad de la información.

 

NIVEL ALTO: Se aplicarán a los ficheros o tratamientos de datos:

• de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida

sexual y respecto a los que no se prevea la posibilidad de adoptar el nivel básico;

recabados con fines policiales sin consentimiento de las personas afectadas; y 

derivados de actos de violencia de género.

 

NIVEL MEDIO: Se aplicarán a los ficheros o tratamientos de datos:

 

• relativos a la comisión de infracciones administrativas o penales;

• que se rijan por el artículo 29 de la LOPD (prestación de servicios de solvencia

patrimonial y crédito);

• de Administraciones tributarias, y que se relacionen con el ejercicio de sus

potestades tributarias;

• de entidades financieras para las finalidades relacionadas con la prestación de

servicios financieros;

• de Entidades Gestoras de Servicios Comunes de la Seguridad Social, que se

relacionen con el ejercicios de sus competencias;

• de mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad

Social;

• que ofrezcan una definición de la personalidad y permitan evaluar determinados

aspectos de la misma o del comportamiento de las personas; y

• de los operadores de comunicaciones electrónicas, respecto de los datos de tráfico

y localización (Para esta categoría de ficheros además deberá disponerse de un

registro de accesos).

 

NIVEL BÁSICO: Se aplicarán a cualquier otro fichero que contenga datos de carácter

personal.

• También para aquellos que contengan datos de ideología, afiliación sindical,

religión, creencias, salud, origen racial o vida sexual cuando:

 

a) Los datos se utilicen con la única finalidad de realizar una transferencia

dineraria a entidades de las que los afectados sean socios o miembros.

 

b) Se trate de ficheros o tratamientos no automatizados o sean tratamientos

manuales de estos tipos de datos de forma incidental o accesoria, que no guarden

relación con la finalidad del fichero.

 

 

• En los ficheros o tratamientos que contengan datos de salud, que se refieran

exclusivamente al grado o condición de discapacidad o la simple declaración de

invalidez, con motivo del cumplimiento de deberes públicos.

 

1.7. ¿QUÉ ES UN FICHERO?

Un fichero es todo conjunto organizado de datos de carácter personal, que permita el

acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma

de o modalidad de su creación, almacenamiento, organización y acceso.

Atendiendo a esto, tenemos dos tipos de ficheros:

 

• INFORMÁTICOS

° Base de datos.

° Hoja de cálculo, documento de Word, etc.

 

• MANUALES

° Listado en papel de clientes.

° Nóminas.

° Curriculums.

 

1.8. ¿QUIEN ES EL RESPONSABLE DEL FICHERO O DEL TRATAMIENTO?

La persona física o jurídica, de naturaleza pública o privada u órgano administrativo,

que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del

tratamiento, aunque no lo realizase materialmente.

Podrán también ser responsables del fichero o del tratamiento los entes sin

personalidad jurídica que actúen en el tráfico como sujetos diferenciados.

 

1.9. ¿QUÉ ES EL TRATAMIENTO DE LOS DATOS?

Cualquier operación o procedimiento técnico, sea o no automatizado, que permita la acción, conservación, elaboración, modificación, consulta, utilización,

cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de

modificaciones, consultas, interconexiones y transferencias.

Es decir, cualquier utilización de los datos personales que realice el Responsable del

Fichero o del tratamiento.

 

1.10. OBLIGACIONES

Las obligaciones que tiene el Responsable del Fichero o del tratamiento son: legalizar

los ficheros, legitimar el tratamiento de los datos en base a unos principios básicos y

protegerlos a través de la implantación de medidas de seguridad.

 

1.10.1. INSCRIBIR LOS FICHEROS

Los ficheros de datos de carácter personal serán notificados a la Agencia Española de

Protección de Datos por la persona o entidad privada que pretenda crearlos, con

carácter previo a su creación. La notificación deberá indicar la identificación del

responsable del fichero, la identificación del fichero, sus finalidades y los usos

previstos, el sistema de tratamiento empleado en su organización, el colectivo de

personas sobre el que se obtienen los datos, el procedimiento y procedencia de los

datos, las categorías de datos, el servicio o unidad de acceso, la indicación del nivel de

medidas de seguridad exigible, y en su caso, la identificación del encargado del

tratamiento en donde se encuentre ubicado el fichero y los destinatarios de cesiones y

transferencias internacionales de datos.

La notificación se deberá efectuar cumplimentando los modelos o formularios

electrónicos publicados al efecto por la Agencia Española de Protección de Datos,

modelos o formularios que se podrán obtener gratuitamente en su página web:

www.agpd.es.

La inscripción del fichero deberá encontrarse actualizada en todo momento. Cualquier

modificación que afecte al contenido de la inscripción de un fichero deberá ser

previamente notificada a la Agencia Española de Protección de Datos. Al igual que la

supresión, que deberá ser notificada a efectos de que se proceda a la cancelación de la

 

inscripción en el Registro General de Protección de Datos.

 

1.10.2. CALIDAD DE LOS DATOS

El principio de calidad de los datos implica que los datos de carácter personal:

 

• Deberán ser tratados de forma leal y lícita. Se prohíbe la recogida por medios

fraudulentos, desleales o ilícitos.

 

• Sólo podrán ser recogidos para el cumplimiento de finalidades determinadas,

explícitas y legítimas del responsable del tratamiento.

 

• No podrán ser usados para finalidades incompatibles con aquellas para las que los

datos hubieran sido recogidos.

 

• Sólo podrán ser objeto de tratamiento los datos que sean adecuados, pertinentes y

no excesivos en relación con las finalidades determinadas, explícitas y legítimas

para las que se hayan obtenido.

 

• Serán exactos y puestos al día de forma que respondan con veracidad a la

situación actual del afectado. Si los datos fueran recogidos directamente del

afectado, se considerarán exactos los facilitados por éste. Si los datos resultaran ser

inexactos o incompletos, serán sustituidos de oficio por los correspondientes datos

rectificados o completados en el plazo de diez días desde que se tuviese

conocimiento de la inexactitud. Cuando los datos hubieran sido comunicados

previamente, el responsable del fichero o tratamiento deberá notificar al cesionario,

en el plazo de diez días, la rectificación o cancelación efectuada para que sean

actualizados en el mismo plazo de tiempo.

 

• Serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la

finalidad para la cual hubieran sido recabados o registrados. No obstante, podrán

conservarse durante el tiempo en que pueda exigirse algún tipo de responsabilidad

derivada de una relación u obligación jurídica o de la ejecución de un contrato o de

la aplicación de medidas precontractuales solicitadas por el interesado. Una vez

cumplido el periodo al que se refieren los párrafos anteriores, los datos sólo podrán

ser conservados previa disociación de los mismos, sin prejuicio de la obligación de

bloqueo.

 

 

• Serán tratados de forma que permitan el ejercicio del derecho de acceso, en tanto

no proceda su cancelación.

1.10.3. DERECHO DE INFORMACIÓN EN LA RECOGIDA DE DATOS

Los interesados a los que se soliciten datos personales deberán ser previamente

informados de modo expreso, preciso e inequívoco de:

• La existencia de un fichero o tratamiento de datos de carácter personal, de la

finalidad de la recogida y de los destinatarios de la información.

• De la posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y

oposición.

• De la identidad y dirección del responsable del tratamiento o, en su caso, de su

representante.

 

Cuando se utilicen impresos o cuestionarios para la recogida, deberán figurar de forma

claramente legible, las advertencias referidas anteriormente.

Si los datos no han sido recabados del interesado, éste deberá ser informado de forma

expresa, precisa e inequívoca, por GERIATRIC XXI EL BALCON DE CULLAR

VEGA SL, dentro de los tres meses siguientes al momento de registro de los datos,

salvo que ya hubiera sido informado antes.

 

1.10.4. CONSENTIMIENTO DEL AFECTADO

Los datos de carácter personal únicamente podrán ser objeto de tratamiento si el

interesado hubiera prestado previamente su consentimiento para ello.

No obstante, será posible el tratamiento sin necesidad de consentimiento cuando:

 

• Lo autorice una norma con rango de ley o una norma de derecho comunitario.

 

• Los datos figuren las fuentes accesibles al público enumeradas en la Ley Orgánica

de Protección de Datos.

 

 

• Se recaben para la celebración de un contrato, o de la existencia de una relación

negocial, laboral o administrativa de la que sea parte el afectado.

 

• El tratamiento de lo datos tenga por finalidad salvaguardar el interés vital de

afectado o de otra persona, en el supuesto de que el afectado esté física o

jurídicamente incapacitado para dar su consentimiento.

Sólo con el consentimiento expreso y por escrito de los afectados podrán ser objeto de

tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical,

religión y creencias.

 

Los datos que hagan referencia al origen racial, a la salud y a la vida sexual sólo

podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo

disponga una ley o el afectado consienta expresamente.

Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos

de carácter personal que revelen la ideología, afiliación sindical, religión, creencias,

origen racial o étnico, o vida sexual.

1.10.5. SEGURIDAD DE LOS DATOS

GERIATRIC XXI EL BALCON DE CULLAR VEGA SL deberá adoptar las medidas

de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de

carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado,

habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los

riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o

natural.

No se registrarán datos en ficheros que no reúnan las condiciones con respecto a su

integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas

y programas.

 

1.10.6. DEBER DE SECRETO

El responsable del fichero, y quienes intervengan en cualquier fase del tratamiento de

datos de carácter personal están obligados al secreto profesional respecto de los

 

mismos y al deber de guardarlos, obligaciones que subsistirán aún después de finalizar

sus relaciones con el responsable del fichero, siendo personalmente responsables de

cualquier revelación de los mismos.

 

1.10.7. COMUNICACIÓN DE DATOS

Cesión o comunicación de datos es toda revelación de datos de carácter personal a una

persona distinta del interesado.

No se podrán comunicar datos personales a nadie salvo autorización expresa del

responsable del fichero y con previo consentimiento del titular de los datos y siempre

que se realice para el cumplimiento de fines directamente relacionados con las

funciones legítimas del cedente y del cesionario.

Será responsabilidad personal de quien realice una comunicación de datos que no

cumpla con los requisitos citados anteriormente, siendo considerado esta infracción

como muy grave.

 

1.10.8. ACCESO A DATOS POR CUENTA DE TERCEROS

No se considerará comunicación de datos el acceso de un tercero a los datos cuando

dicho acceso sea necesario para la prestación de un servicio al responsable del

tratamiento.

La realización de tratamientos por cuenta de terceros deberá estar regulada en un

contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su

celebración y contenido, estableciéndose expresamente que el encargado del

tratamiento únicamente tratará los datos conforme a las instrucciones del responsable

del tratamiento, que no los comunicará, ni siquiera para su conservación, a otras

personas. En el contrato se estipularán, asimismo, las medidas de seguridad que el

encargado del tratamiento está obligado a implementar.

Ningún usuario debe permitir el acceso de terceros a los datos de carácter personal de

GERIATRIC XXI EL BALCON DE CULLAR VEGA SL sin que exista una

autorización expresa.

 

1.10.9. LOS DERECHOS DE LOS AFECTADOS

Los titulares de los datos de carácter personal, pueden ejercitar sus derechos de acceso,

rectificación, cancelación y oposición ante el Responsable del Fichero, teniendo la

obligación éste de contestar en el plazo legalmente establecido.

El protocolo, plazos y forma de actuación se haya regulado en el ANEXO IX,

"Protocolos ARCO". El personal podrá solicitar una copia del mismo en cualquier

momento.

Cualquier usuario que reciba una solicitud por parte de un afectado, deberá rellenar el

formulario "GESTIÓN DE SOLICITUDES ARCO", que se encuentra en el

APÉNDICE II, y remitirlo cuanto antes al responsable de gestionar los derechos-ARCO.

 

 

 

2. FUNCIONES Y OBLIGACIONES DE LOS USUARIOS

 

Usuario es todo el personal autorizado que accede a los datos de carácter personal para

el desempeño de las funciones propias de su puesto de trabajo.

Todos los usuarios tienen la obligación de colaborar con el Responsable del Fichero

para velar por el cumplimiento de la legislación vigente sobre Protección de Datos de

Carácter Personal.

Los usuarios deben respetar los procedimientos definidos para gestionar la seguridad

de la información que se detallan a continuación.

 

2.1. OBLIGACIONES GENERALES

• Guardar secreto y confidencialidad de la información tratada. Quienes

intervienen en cualquier fase del tratamiento de los datos de carácter personal,

está obligado al secreto profesional respecto a los datos y al deber de guardarlos,

obligaciones que continúan incluso después de finalizar las relaciones con el

Responsable del Fichero.

 

• La vulneración del deber de secreto respecto a los datos personales tratados,

será considerado una falta leve, grave o muy grave, conforme a lo previsto en el

artículo 44 de la LOPD, lo cual dará lugar al inicio de acciones disciplinarias, si

proceden.

 

• Proteger los datos personales que esté tratando y custodiarlos para que personal

no autorizado no tenga acceso a ellos.

 

• Los sistemas de información, recursos, y la información personal a la que se

accede, sólo se debe utilizar para las labores estrictamente profesionales que el

usuario tiene asignadas.

 

• Facilitar el derecho de acceso, rectificación y cancelación a los titulares de los

datos. Para ello se informará al Responsable del Fichero, Responsable de

Seguridad o Encargado del tratamiento y se recogerá siempre en solicitud escrita.

 

2.2. PUESTOS DE TRABAJO

 

• Cada usuario es responsable de la confidencialidad de la contraseña que tiene

para acceder a los sistemas de información. En caso que de forma accidental o

intencionada esta contraseña sea conocida por personas no autorizadas, deberá

registrarlo como incidencia y proceder al cambio de la misma.

 

• El usuario deberá cambiar la contraseña inicial asignada en el primer acceso

que realice al sistema, o tras el desbloqueo de su contraseña cuando haya sido

necesaria la intervención de una tercera persona para realizar el proceso. Las

contraseñas deberán ser lo suficientemente complejas para no ser adivinadas de

forma sencilla por un tercero. Para ello, se deberán seguir las siguientes normas

para elegir la contraseña:

 

• Deberán tener una longitud mínima de 8 caracteres alfanuméricos.

 

• No deberán coincidir, ni siquiera en parte, con el código de usuario.

 

• No deberán estar basados en cadenas de caracteres que sean fácilmente

asociadas al usuario (nombre, apellidos, ciudad y fecha de nacimiento, nombres

de familiares, matrícula del coche, etc.).

 

• El usuario deberá aplicar las reglas nemotécnicas para poder construir una

contraseña lo suficientemente compleja como para que no pueda ser adivinada

por terceros y a la vez sean muy fáciles de recordar por él.

 

• Los puestos de trabajo estarán bajo la responsabilidad de algún usuario

autorizado que garantizará que la información que muestran no pueda ser visible

a personas no autorizadas.

 

• Los puestos de trabajo deberán estar físicamente ubicados en lugares que

garanticen la confidencialidad, así como las pantallas, impresoras y cualquier

otro dispositivo conectado al puesto de trabajo y desde el que sea posible tener

acceso a datos de carácter personal.

 

 

• Cuando el responsable del puesto de trabajo lo abandone, bien temporalmente,

o bien al finalizar su turno de trabajo, deberá dejarlo en un estado que impida la

visualización de datos protegidos. Esto podrá realizarse a través de un protector

de pantalla que impida la visualización de los datos. Para reanudar el trabajo será

necesaria la introducción de una contraseña que desactive el protector de

pantalla. Deberá retirar también cualquier soporte, como documentos, fichas,

discos, u otros que contengan datos del fichero, y proceder a guardarlos en su

ubicación protegida habitual.

 

• En el caso de las impresoras, deberá asegurarse que no quedan documentos con

datos personales en la bandeja de salida. Si las impresoras son compartidas, el

usuario que ha mandado la impresión deberá retirar los documentos conforme

vayan siendo impresos.

 

• Queda expresamente prohibido cualquier cambio de la configuración de la

conexión de los puestos de trabajo a sistemas o redes exteriores, que no esté

autorizada previamente por el Responsable del Fichero.

 

• Se deberá evitar el guardar copias de los datos personales en ficheros

temporales. En caso de que el tratamiento haga imprescindible realizar dichas

copias, se deberán adoptar las siguientes precauciones:

 

• Realizar siempre las copias sobre un mismo directorio de nombre TEMP o

similar, de forma que no queden dispersas por el disco duro, y siempre sea

posible conocer donde están los datos temporales.

 

• Tras realizar el tratamiento que ha requerido estos datos temporales, proceder a

su inmediata eliminación.

 

• Los ficheros temporales creados exclusivamente para la realización de trabajos

temporales o auxiliares, deberán cumplir el nivel de seguridad que les

corresponda en función de los datos que contienen.

 

• El trabajo fuera de los locales del Responsable del Fichero, solo se podrá

realizar cuando exista una autorización previa del Responsable del Fichero o del

encargado del tratamiento, en todo caso, deberá garantizarse el nivel de

seguridad.

 

 

• No deberá copiarse, ni transportar información en portátiles, o equipos que se

encuentren fuera de las oficinas sin la correspondiente autorización del

Responsable del Fichero. Especial consideración deberán tener los puestos de

trabajo portátiles, como ordenadores portátiles o PDA. Estos dispositivos

portátiles, cuando puedan almacenar datos personales, deberán contar con una

autorización especial por parte del Responsable del Fichero.

 

2.3. GESTIÓN DE SOPORTES

Se entiende por soporte todo objeto físico que almacena o contiene datos o

documentos, u objeto susceptible de ser tratado en un sistema de información y sobre

el cual se pueden grabar y recuperar datos.

Ejemplos de soportes: disquetes, cd-rom, dvd-rom, memoria usb, disco duro, etc.

 

Los Usuarios deben observar las siguientes medidas de seguridad en relación con los

soportes que contengan datos de carácter personal:

 

• Los usuarios que traten los soportes o documentos con datos de carácter

personal, son los encargados de custodiarlos y vigilar para que personas no

autorizadas no accedan al soporte físico o documentos a su cargo.

 

• Cuando un usuario gestione o produzca soportes que contengan datos de

carácter personal, estos deberán estar claramente identificados con una etiqueta

externa e inventariados.

 

• Los soportes que contengan datos de carácter personal, deberán ser

almacenados en lugares a los que no tenga acceso el personal no autorizado.

 

• La salida de soportes que contengan datos de carácter personal de las

instalaciones bajo control del Responsable del Fichero, deberá ser autorizada por

el Responsable del Fichero o estar debidamente autorizada en el Documento de

Seguridad.

 

 

• La salida de soportes y documentos que contengan datos de carácter personal,

incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los

locales bajo el control del responsable fichero o tratamiento, deberá ser

autorizada por el responsable del fichero (o aquel en que se hubiera delegado), o

encontrarse debidamente autorizada en el Documento de Seguridad.

 

• El traslado del soporte fuera de las instalaciones, debe realizarse siempre en un

maletín o contenedor similar y que disponga de mecanismo que para su apertura

precise de una llave o el conocimiento de una combinación.

 

• Cuando deban ser enviados datos personales fuera de las ubicaciones del

Responsable del Fichero, ya sea mediante soporte físico de grabación de datos o

bien a través de correo electrónico o FTP, deberán ir cifrados o utilizar cualquier

otro mecanismo que asegure que la información no es accesible ni manipulada

durante su transporte.

 

2.3.1. DESTRUCCIÓN Y REUTILIZACIÓN DE SOPORTES

Uno de los mayores peligros para la confidencialidad de los datos son los soportes

desechados.

Todos los desechos informáticos de cualquier tipo que puedan contener información de

carácter personal, como CDs, cintas, discos removibles, o incluso los propios

ordenadores obsoletos que contengan discos de almacenamiento, deberán ser

eliminados o destruidos de acuerdo al siguiente procedimiento.

 

• Como norma general, ningún desecho informático debe ser nunca dejado para

retirar sin ser destruido o depositado en el contenedor de la empresa encargada de la

destrucción de los datos.

 

• Aquellos CDs que contengan datos de carácter personal deberán ser destruidos en

una destructora o por cualquier otro medio que haga imposible extraer ningún dato

posteriormente.

 

• Todos los disquetes y otros soportes removibles desechados deberán ser

eliminados sus datos previamente con alguna aplicación de borrado seguro que haga

imposible la recuperación posterior de los datos contenidos y entregados para su

reutilización al Responsable del Fichero.

 

 

• Si se trata de ordenadores obsoletos, antes de su donación, venta o entrega a otras

organizaciones, deberá comunicarse al Responsable del Fichero para que pase una

aplicación de borrado seguro que haga imposible la recuperación posterior de los

datos contenidos. Si el ordenador estuviese estropeado y no se pudiese realizar la

operación de limpiado, se deberán desmontar los discos duros y proceder a su

destrucción o encomendar a una empresa de reciclaje especializada la destrucción

de los mismos.

 

2.4. FICHEROS TEMPORALES O COPIAS DE TRABAJO DEDOCUMENTOS

• Los ficheros temporales o copias de documentos creados exclusivamente para

trabajos temporales o auxiliares, deberán cumplir el nivel de seguridad que les

corresponda con arreglo a los criterios expresados en el Reglamento de medidas de

seguridad, y serán borrados o destruidos una vez hayan dejado de ser necesarios

para los fines que motivaron su creación.

 

2.5. DOCUMENTACIÓN EN PAPEL (NO AUTOMATIZADA)

• En tanto los documentos con datos personales no se encuentren archivados en los

dispositivos de almacenamiento indicados en el punto anterior, por estar en proceso

de tramitación, las personas que se encuentren a su cargo deberán custodiarlos e

impedir el acceso de personas no autorizadas.

 

• Siempre que se proceda al traslado físico de la documentación contenida en un

fichero, deberán adoptarse las medidas que impidan el acceso indebido,

manipulación, sustracción o pérdida de la información objeto del traslado durante el

transporte de la misma. Dichas medidas son:

 

• El traslado del soporte fuera de las instalaciones, debe realizarse siempre en un

maletín o contenedor similar y que disponga de mecanismo que para su apertura

precise de una llave o el conocimiento de una combinación.

 

• En todo momento el maletín o contenedor debe estar controlado, bajo supervisión

de la persona que lo custodia.

 

2.5.1. DESTRUCCIÓN DE DOCUMENTACIÓN

Uno de los mayores peligros para la confidencialidad de los datos son los soportes

desechados.

 

Todos los documentos en papel desechados que contengan datos de carácter personal,

deberán ser eliminados o destruidos de acuerdo al siguiente procedimiento:

 

• Como norma general ningún documento debe ser nunca dejado para retirar sin ser

destruido o depositado en un contenedor de la empresa encargada de la destrucción

de los datos si la hubiera, o destruido por otros medios que impidan la recuperación

de la información.

 

• Aquellos soportes en papel o material blando, y que no sean demasiado

voluminosos, deberán ser destruidos en una destructora de papel.

 

• En caso de no existir máquina destructora de papel o en el caso de que los listados

o documentos sean muy voluminosos, deberán ser depositados en unos

contenedores confidenciales herméticos para ser entregados a una empresa

encargada de la destrucción de los datos, que garantice mediante contrato la

destrucción de los mismos.

 

• El Responsable del Fichero deberá exigir a la empresa encargada de la destrucción

de los datos un contrato en el que se comprometan bajo penalización a la completa

destrucción de todo el material retirado.

 

2.6. GESTIÓN DE INCIDENCIAS

Se considerarán como “incidencias de seguridad”, entre otras, cualquier

incumplimiento de la normativa desarrollada en este Documento de Seguridad, así

como cualquier anomalía o evento que afecte o pueda afectar a la seguridad de los

datos de carácter personal en sus tres vertientes de confidencialidad, integridad y

disponibilidad.

Se deberán tener en cuenta, entre otras, las siguientes incidencias:

 

• Pérdida de información de algún fichero de datos de carácter personal.

 

• Modificación de datos personales por personal no autorizado o desconocido.

 

• Existencia de sistemas de información sin las debidas medidas de seguridad.

 

• Los intentos de acceso no autorizados a ficheros de carácter personal.

 

• El conocimiento por terceros de la clave de acceso al sistema.

 

• El intento no autorizado de salida de un soporte.

 

• La existencia de soportes sin inventariar y que contengan datos personales.

 

• La destrucción total o parcial de un soporte que contenga datos de carácter

personal.

 

• La caída del sistema de seguridad informática, que posibilite el acceso a datos

personales por personas no autorizadas.

 

• El cambio de la ubicación física de ficheros con datos de carácter personal.

 

• Cualquier incidencia que pueda afectar a la confidencialidad, integridad y/o

disponibilidad de los datos de carácter personal.

 

Todos los usuarios, administradores, responsables, así como cualquier persona que

tenga acceso a datos de carácter personal, deben tener conocimiento de este

procedimiento para actuar en caso de incidencia que se detalla a continuación:

Cuando una persona tenga conocimiento de una incidencia que afecte, o pueda afectar,

a la confidencialidad o integridad de los datos contenidos en los ficheros de la

organización, deberá comunicarla inmediatamente al responsable del registro de

incidencias a través del formulario GESTIÓN DE INCIDENCIAS, del que se le ha

hecho entrega a cada trabajador. Deberá especificar el tipo de incidencia producida y

su descripción detallada, indicando las intervenciones de las personas que hayan

podido tener relación con la producción de la incidencia, así como la fecha y hora en

que se ha producido o detectado, la persona que realiza la notificación, a quién se

comunica y los efectos que se pueden haber derivado de la incidencia.

Una vez rellena la plantilla, se obtendrán 2 copias y se entregarán inmediatamente al

Responsable del Fichero, o a la persona en quien haya delegado formalmente la

gestión de las incidencias, solicitándole el acuse de recibo en una de las copias. Esta

copia se guardará como resguardo de la notificación.

 

El Responsable del fichero, o delegado, quedará encargado de la gestión, coordinación

y resolución de la misma, así como al registro de la incidencia en el registro habilitado

para ello.

El conocimiento y no notificación de una incidencia por parte de un usuario, será

considerado como una falta de seguridad por parte de ese usuario.

 

 

 

3. FUNCIONES Y OBLIGACIONES DEL RESPONSABLE DEL FICHERO

 

El Responsable del Fichero es la persona física o jurídica que decide sobre la finalidad,

uso y contenido del fichero. Deberá:

 

• Elaborar el Documento de Seguridad.

 

• Implantar y hacer cumplir las medidas de seguridad establecidas en este

documento.

 

• Garantizar la difusión de este Documento de Seguridad o los anexos que les

afecten entre todo el personal que trate con datos del fichero.

 

• Mantener actualizado el Documento de Seguridad siempre que se produzcan

cambios relevantes en:

 

° El sistema de información.

° Es sistema de tratamiento.

° La organización.

° El contenido de la información incluida en los ficheros o tratamientos.

° Como consecuencia de los controles periódicos realizados.

 

Se considera que un cambio es relevante cuando pueda afectar al cumplimiento

de las medidas de seguridad implantadas.

 

• Velará para que se cumplan las medidas de seguridad implantadas.

 

• Nombrará uno o varios Responsables delegados, identificados en el ANEXO IV.

 

• Verificará, al menos semestralmente el correcto funcionamiento del sistema de

copias de respaldo.

 

• Analizará las incidencias registradas e implantará las medidas correctivas

necesarias para evitar ese tipo de incidencias en el futuro.

 

 

 

4. FUNCIONES Y OBLIGACIONES DEL RESPONSABLE DE SEGURIDAD

 

El responsable de seguridad es la persona designada por el responsable del fichero

encargada de coordinar y controlar las medidas definidas en el documento de

seguridad. Para ello, deberá:

 

• Coordinar la puesta en marcha de las medidas de seguridad, colaborar con el

responsable del fichero en la difusión del documento de seguridad y cooperar con el

responsable del fichero controlando el cumplimiento de las mismas.

 

• Analizar las incidencias registradas, tomando las medidas oportunas en

colaboración con el responsable del fichero.

 

• Comprobará, al menos, de forma semestral, la existencia de copias de respaldo

que permitan la recuperación del Fichero, realizando una prueba de restaurado que

verifique la correcta definición de los procedimiento y proceso de recuperación, y

enviando evidencias de esta comprobación al responsable del fichero.

 

• A su vez, también con periodicidad al menos semestral, los administradores del

Fichero comunicarán el responsable del fichero cualquier cambio que se haya

realizado en los sistemas de información, como cambios en el hardware o software,

bases de datos, aplicaciones de acceso al fichero, etc., procediendo a la

actualización de dichos anexos.

 

• El responsable de seguridad verificará, al menos con una periodicidad trimestral,

la veracidad del inventario de soportes, así como el registro de entradas y salidas de

soportes y documentos.

 

• Tendrá el control directo de los mecanismos que permiten el registro de accesos,

sin que se deba permitir, en ningún caso, la desactivación de los mismos.

 

• Se encargará de revisar, con periodicidad al menos mensual, la información de

control registrada en el registro de accesos y elaborará un informe que entregará al

responsable del fichero y que será adjuntado al documento de seguridad.

 

• Al menos cada dos años se realizará una auditoría en los términos que se recogen

en el apartado 8.2 de este documento de seguridad.

 

 

• Los resultados de los controles periódicos, así como de las auditorías, serán

adjuntados al documento de seguridad.

 

 

          APÉNDICE I

  1. GESTIÓN DE INCIDENCIAS
  2. FECHA HORA
  3. TIPO DE INCIDENCIA
  4. DESCRIPCIÓN
  5. EFECTOS DERIVADOS
  6. PERSONA QUE COMUNICA LA INCIDENCIA
  7. PERSONA QUE RECIBE LA NOTIFICACIÓN
  8. ACUSE DE RECIBO
  9. FECHA HORA

 

          APÉNDICE II

  1. GESTIÓN DE SOLICITUDES ARCO
  2. FECHA HORA
  3. NOMBRE DEL SOLICITANTE
  4. APELLIDOS DEL SOLICITANTE
  5. NIF DEL SOLICITANTE
  6. DOMICILIO DEL SOLICITANTE
  7. DERECHO QUE DESEA EJERCER ACCESO [ ] RECTIFICACIÓN [ ] CANCELACIÓN [ ] OPOSICIÓN
  8. OBSERVACIONES
  9. FOTOCOPIA DEL NIF INCLUIDA
  10. OTROS DOCUMENTOS APORTADOS
  11. PERSONA QUE RECIBE LA SOLICITUD