DOCUMENTO DE SEGURIDAD AQUAS & ENERGY CORPORATION S L U

Introducción
El Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de los
datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos, en adelante, RGPD) que entró en vigor en mayo de 2016 y es obligatorio desde mayo de 2018, así como la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos de carácter personal y garantía de los Derechos Digitales (en adelante, LOPDGDD) como las correspondientes normas nacionales de desarrollo, establecen el marco básico y obligatorio que todos los responsables y encargados de tratamiento están obligadas a cumplir cuando tratan datos personales.
Desde su entrada en vigor, el RGPD es una norma directamente aplicable en todos los estados miembros de la UE y, aunque no requiere de normas internas de trasposición, en España sí que ha sido necesaria una reforma de la normativa de protección de datos española para adecuar la misma al RGPD, es por ello que la LOPDGDD sustituye la LOPD 15/99 y desarrolla varios aspectos que el RGPD deja a los estados para su perfeccionamiento.
En España, los responsables y encargados de tratamiento deben tomar como norma de referencia el RGPD y la LOPDGDD. Si bien el RGPD contiene muchos conceptos, principios y mecanismos similares a los establecidos en la normativa anterior, se basa principalmente en tres ejes principales, que deben ser respetados y cumplidos por cada organización teniendo en cuenta sus propias circunstancias.
La mayor innovación del RGPD y las normas internas que lo desarrollan viene dada por tres elementos directamente aplicables en las obligaciones de las entidades:

razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan; o Limitación del plazo de conservación: es decir, mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales (podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos), sin perjuicio de la
aplicación de las medidas técnicas y organizativas apropiadas que impone el RGPD; o Integridad y Confidencialidad: tratados de tal manera que se garantice una seguridad adecuada de los datos personales (incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental), mediante la aplicación de medidas técnicas u organizativas apropiadas.
Esta normativa interna de protección de datos es dinámica, es decir, deberá revisarse y actualizarse siempre que se produzcan cambios relevantes en la organización y que puedan repercutir en el tratamiento de los datos personales, en el contenido de la información o sistemas de información de la entidad.
Este documento está pensado para ayudar a los responsables y a los encargados a adaptarse a las obligaciones del RGPD-LOPDGDD.
Entre la documentación que la entidad debe disponer se encuentra la siguiente:

  • Registro de actividades de tratamiento.
  • Análisis de riesgos.
  • Medidas de seguridad implantadas en función de los riesgos analizados.
  • Contratos con los encargados del tratamiento (con acceso a datos de forma directa o sin acceso a datos).
  • Cláusulas informativas, consentimientos, autorizaciones, etc.
  • Protocolos para las violaciones de seguridad.
  • Protocolos para el ejercicio de los derechos por parte de los afectados.
  • Protocolos con los usuarios de los sistemas de información (firma de los documentos de confidencialidad y entrega del manual de usuarios).
  • Evaluación de Impacto relativa a la protección de los datos, en caso de ser necesaria.
  • Documentación relativa a las transferencias internacionales de datos, así como las garantías apropiadas o excepciones en las que se trata dicha transferencia.
  • Designación de la figura del DPD (Delegado de Protección de Datos) si es necesaria.
  • Los correspondientes avisos para la página web corporativa.
    Definiciones
    Estas son algunas definiciones sobre los conceptos que establece el RGPD y la LOPDGDD:
    A efectos del RGPD (art. 4), se entenderá por:
    1) «Datos personales»: toda información sobre una persona física identificada o identificable* («el interesado»).
    *Para determinar si una persona es identificable deberá tenerse en cuenta, tal y como dice el Considerando 26 RGPD, datos objetivos tales como los costes y el tiempo necesarios para la identificación, teniendo en cuenta la tecnología disponible en el momento del tratamiento, así como los identificadores de la misma, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o

2) «Tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro,
organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;
3) «Elaboración de perfiles*»: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física.
*Según el Considerando 30, las personas físicas pueden ser asociadas a identificadores en línea facilitados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de los protocolos de
internet, identificadores de sesión en forma de «cookies» u otros identificadores, como etiquetas de identificación por radiofrecuencia. Esto puede dejar huellas que, en particular, al ser combinadas con
identificadores únicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles de las personas físicas e identificarlas.
4) «Fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;
5) «Responsable del tratamiento» o «Responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.
6) «Encargado del tratamiento» o «Encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
7) «Destinatario»: la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades públicas en los casos en que el RGPD establece.
8) «Tercero»: persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los
datos personales bajo la autoridad directa del responsable o del encargado.
9) «Empresa»: persona física o jurídica dedicada a una actividad económica, independientemente de su forma jurídica, incluidas las sociedades o asociaciones que desempeñen regularmente una actividad
económica;
10) «Consentimiento del interesado»: manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, mediante una declaración o una acción afirmativa, el tratamiento de datos
personales que le conciernen.
11) «Violación de la seguridad de los datos personales»: violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos.
12) «Datos genéticos»: datos personales relativos a características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona,
obtenidos en particular del análisis de una muestra biológica de tal persona.
13) «Datos biométricos»: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o
Documento de social de dicha persona confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.
14) «Autoridad de control»: la autoridad pública independiente establecida por un Estado miembro con arreglo a lo dispuesto en el artículo 51.
Es una autoridad pública independiente (según estipula dicho art. 51, y establece que su función principal es supervisar la aplicación del Reglamento, para proteger los derechos y las libertades fundamentales de las personas físicas y facilitar la libre circulación de datos personales en la Unión.
15) «Servicio de la sociedad de la información»: todo servicio prestado normalmente a cambio de una remuneración, a distancia, por vía electrónica y a petición individual de un destinatario de servicios
(definición conforme al art. 1, ap. 1, letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo.
16) Delegados de Protección de Datos (DPD): Figura obligatoria en el RGPD (articulo 37) cuyas funciones son informar y asesorar al responsable y al encargado de tratamiento y a los empleados que se ocupen del
tratamiento de las obligaciones que les incumben en virtud del RGPD y normativas de desarrollo; supervisar el cumplimiento de la normativa de protección de datos; ofrecer asesoramiento en la realización de las
evaluaciones de impacto (cuando sea obligatorio); y, cooperar y actuar como punto de contacto entre la empresa y la autoridad de control.
Tanto en el RGPD como en la LOPDGDD se establecen los casos en que es obligatoria designar un DPD que deberá notificarse a la Autoridad de Control.
Documentación entregada
La documentación entregada en materia de protección de datos variará dependiendo de las necesidades del cliente, de la casuística del negocio en cuestión, y evidentemente, de la consultora que lleva a cabo la implantación, pero en líneas generales, estos son los documentos que formarían parte de un proyecto tipo junto con la descripción de cada uno de ellos:

  • Documento de seguridad: Es el documento principal donde se describe el escenario de tratamiento que lleva a cabo el responsable. En caso de inspección por parte de la Autoridad
    de Control (en este caso AEPD) podría pedir dicho documento. Es obligatorio mantenerlo actualizado.
  • Registro de actividades de tratamiento (RAT): Este registro deberá contemplar el tratamiento que se lleva a cabo de los datos personales en la entidad. Sustituye al registro de los ficheros que se llevaba a cabo anteriormente. Tiene que contener unos campos mínimos y
    debe dar cobertura a todos los tratamientos que se están llevando a cabo. Estará siempre actualizado y a disposición de la Agencia Española de Protección de Datos.
  • Análisis de riesgos: Este documento, a diferencia de la auditoria que se llevaba a cabo anteriormente donde se revisaban los aspectos que establecía el reglamento pretende hacer una revisión exhaustiva de los riesgos a los que están expuestos los datos personales, valorar
    el impacto que pueden generar estos riesgos y aplicar una serie de medidas legales, técnicas y organizativas que permitan mitigarlos.
  • Derechos usuarios: Los derechos que amparan a los ciudadanos son el de acceso, rectificación, cancelación, oposición, limitación al tratamiento, portabilidad y derecho al olvido, en lo que a la protección de sus datos se refiera. Para dar cumplimiento al ejercicio por parte de los interesados de estos derechos se debe tener un protocolo a seguir del que damos las pautas en el documento correspondiente.
  • Violaciones de seguridad: Cualquier incidencia que se produzca en el tratamiento de los datos personales y que afecte a los derechos y libertades de las personas deberá
  • protocolarizarse según lo que establezca la normativa en función de la brecha de seguridad
  • que se haya producido. Se entrega el protocolo a seguir.
  • Cláusulas corporativas: Es el conjunto de cláusulas, textos y/o circulares que deberán incluirse en los distintos documentos que puedan contener o recoger datos personales, tales como formularios de recogida de datos, pie de facturas, pie de correo electrónico, pie de
    newsletter, recepción CV, páginas web, etc., para dar cumplimiento a la obligación del artículo 5 RGPD y 11 LOPDGDD de transparencia e información a los interesados a cerca de la protección que se brinda a sus datos personales y derechos que les amparan.
  • Contratos Encargados de Tratamiento: Son los contratos con los que se da cumplimiento a la obligación del artículo 28 RGPD y 33 LOPDGDD, con los que se marcan las directrices por las que se regirá la cesión de datos a los encargados de tratamiento y les vincula con los
    responsables de tratamiento correspondiente.
  • Compromiso Trabajadores: Es el documento con el que se pretende informar a todos los usuarios y trabajadores del tratamiento que se realiza de sus propios datos así como para obtener, de todos aquellos que acceden a datos personales de la entidad, la garantía y
    compromiso de confidencialidad respecto a los mismos. Se debe hacer firmar a todos los trabajadores.
  • Manual Usuarios: Es la normativa interna que todos los usuarios del sistema de información de la entidad están obligados a conocer, para un tratamiento acorde con el RGPD y la LOPDGDD y de este modo estar informados de las políticas de empresa sobre los equipos
    informáticos, documentación en soporte papel, y demás medidas, normas, controles y procedimientos que puedan afectar a las tecnologías de la información y comunicación de la empresa (TIC), en el desarrollo de sus funciones. Se dará una copia de este documento junto con el documento de información y compromiso de confidencialidad de los trabajadores.
  • Checklist: Cuestionario básico para chequear el cumplimiento de las medidas y procedimientos establecidos en la implantación de la normativa de protección de datos en la

RESPONSABLE DE TRATAMIENTO
Estos son los datos del responsable de tratamiento y los usuarios autorizados con y sin acceso a datos.
Sede principal
Nombre o Razón Social: AQUAS & ENERGY CORPORATION S L U
NIF: B35879527
Dirección:
C/ GALILEA Nº 23 , 35018 las palmas, (Las Palmas)
Responsable de seguridad
Persona encargada de la coordinación y aplicación de las medidas en materia de protección de datos.
Nombre y apellidos
ROSA MARIA SOSA GARCIA PERSONAL AUTORIZADO
Usuarios con acceso a datos

Los usuarios con acceso a datos deberán firmar el documento de información y compromiso de confidencialidad junto con la entrega de la normativa para usuarios del sistema de información. Esta relación
deberá mantenerse actualizada.
DNI Nombre y apellidos Departamento RAT ACCEDIDO
X1853733W
KARIM REBECCHI Técnico
X9049994T
LUIS ORLANDO ABREGO AYALA
Técnico
42065708L
Diego Ramón González Méndez
Técnico
42867982F
ROSA MARIA SOSA GARCIA
Administración empresa.

49796375H
Gustavo Alexis Sánchez Bernal
54825930W
Hans Dieter Hamer Bernal
ENCARGADOS DE TRATAMIENTO
Esta es la relación de terceros que prestan un servicio y que pueden tener acceso a datos. Se firmará con cada uno de ellos el correspondiente contrato como encargados de tratamiento.
ENCARGADO SERVICIOS PRESTADOS
TecniSystem and Networks, S.L.U.
AB ECO CONSULTORES LEGALES Y
TRIBUTARIOS, S.L.P.
Asesoramiento fiscal y contable
LAFICON TECNICA SL
Asesoramiento laboral
PREVIS GESTION RISGOS SLU
ESCENARIO DE TRATAMIENTO
Aplicaciones informáticas
Esta es la relación de aplicaciones que se utilizan en AQUAS & ENERGY CORPORATION S L U y que pueden gestionar datos de carácter personal.
Aplicación gestion
Finalidad gestion de cliente y averias
Autenticación
Acceso
Ficheros ofimáticos
Además de las aplicaciones de gestión mencionadas podría haber datos personales en ficheros ofimáticos que contienen datos personales relevantes autónomos o exportados de las aplicaciones y que nutren la
actividad de AQUAS & ENERGY CORPORATION S L U

Para este tipo de ficheros aplicaremos medidas de seguridad como una contraseña de acceso y estarán ubicados en el servidor de ficheros.
Equipos y dispositivos Esta es la relación de equipos y dispositivos que dispone AQUAS & ENERGY CORPORATION S L U que pueden contener datos de carácter personal:
Puestos de trabajo
Estaciones sobremesa 2
TPVs 0
Smartphones / tablets / portátiles
Estos dispositivos pueden contener datos de carácter personal exportados de las aplicaciones o en ficheros ofimáticos autónomos con el riesgo de que pueden salir de la empresa.
Será necesario aplicar políticas de protección para estos dispositivos como claves de acceso, encriptación de los discos duro, copias de seguridad y todas las medidas necesarias para prevenir una perdida de datos fortuita o accidental.
MARCA / MODELO mac
USUARIO El titular de la empresa
NUM SERIE – ID
Videovigilancia
En caso de tener instaladas cámaras de videovigilancia deberá tener en cuenta el colgar el cartel informativo en sus instalaciones.
¿Hay videocámaras? NO
Documento