Las siguientes medidas de seguridad son de obligado cumplimiento para todo el personal y colaboradores de COLEGIO SAN IGNACIO en relación con el Reglamento (UE) 2016/679 (Reglamento general de protección de datos).
1. Régimen de autorización e instrucciones.
En relación a las obligaciones dadas por COLEGIO SAN IGNACIO y, en caso de existir, por el Delegado de Protección de Datos el trabajador/colaborador, este deberá:
· Seguir las instrucciones de COLEGIO SAN IGNACIO en relación al uso de los sistemas de información, medidas de seguridad de la información y tratamiento de los datos.
· Solicitar autorización cuando necesite utilizar los recursos de COLEGIO SAN IGNACIO tales como equipos informáticos, dispositivos móviles o portátiles, sistemas de información, sistemas de videovigilancia, correo corporativo, conexión a Internet, etc. distintos a los que le hayan sido proporcionados.
· Solicitar autorización para cualquier operación conforme a lo establecido en este documento, inclusive en lo relativo a la reconfiguración de los sistemas o dispositivos, la instalación de aplicaciones o APPS, la instalación de cuentas corporativas o de e-mail, la utilización de unidades de almacenamiento, la salida de documentos y dispositivos fuera de COLEGIO SAN IGNACIO, la utilización de servicios de almacenamiento en Internet y la utilización de dispositivos propiedad del trabajador/colaborador.
· Atender a sus requerimientos de información, facilitándole a la mayor brevedad posible cuanta información hubiera solicitado, relativa al tratamiento de los datos personales y el uso de los sistemas.
· Informarle con carácter previo sobre nuevos tratamientos que involucren datos personales que se vayan a realizar, y que afecten a cualquier información concerniente a personas físicas identificadas o identificables.
· Informarle con carácter previo sobre cambios organizativos o técnicos que puedan tener alguna consecuencia o suponer un riesgo para las personas cuyos datos sean objeto de tratamiento.
· Informarle sobre nuevos prestadores de servicios que vayan a acceder a los datos, o que puedan almacenarlos o que tengan un acceso físico al lugar donde están los datos.
· Informarle sobre brechas e incidentes de seguridad con los datos tan pronto como se tenga constancia de los mismos.
· Informarle sobre la recepción de solicitudes de ejercicio de derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento.
· Informarle sobre la transferencia internacional de datos fuera del Espacio Económico Europeo que prevea realizar.
2. Prohibición del uso particular de los recursos de COLEGIO SAN IGNACIO.
Todos los recursos de COLEGIO SAN IGNACIO incluyendo conexión a Internet, ordenadores y dispositivos móviles o portátiles, son para fines estrictamente de COLEGIO SAN IGNACIO y por tanto no se utilizarán para fines particulares.
COLEGIO SAN IGNACIO informa de que podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador/colaborador de sus obligaciones, guardando en su adopción y aplicación la consideración debida a su dignidad humana.
Entre los sistemas de control previstos se encuentra el registro y revisión de la navegación, alertas automáticas sobre el envío de mensajes con adjuntos y la revisión de los correos electrónicos sospechosos, así como el acceso a los mismos durante la ausencia del usuario en caso que sea necesario.
3. Incidentes con los datos personales.
Todo incidente de seguridad que pueda afectar a los documentos, dispositivos o recursos informáticos deberá comunicarse de forma inmediata, al COORDINADOR/DELEGADO DE PROTECCIÓN DE DATOS.
4. Ejercicio de derechos.
Cualquier solicitud de ejercicio de derechos por parte de un interesado en relación con el tratamiento de sus datos será trasladada inmediatamente al COORDINADOR/DELEGADO DE PROTECCIÓN DE DATOS.
5. Manejo de documentos de COLEGIO SAN IGNACIO.
En relación a cualquier documento o información en soporte papel, perteneciente a COLEGIO SAN IGNACIO, al que tenga acceso el trabajador/colaborador:
· El trabajador/colaborador custodiará los documentos para impedir su visualización o manipulación por otras personas.
· Los documentos se guardarán bajo llave.
· La generación de copias requerirá autorización.
· El desecho de los documentos requerirá su destrucción o triturado de forma que se impida recuperar la información a posteriori.
6. Contraseñas.
En relación a las contraseñas que en su caso se proporcionen al trabajador/colaborador, se renovarán al menos una vez al año, se evitarán contraseñas cortas o fáciles de adivinar, y se mantendrán completamente confidenciales, en ningún caso se comunicarán a terceras personas o se anotarán en lugares visibles.
7. Reconfiguración y/o instalación de aplicaciones o APPS.
En relación a los ordenadores y dispositivos fijos o portátiles, pertenecientes a COLEGIO SAN IGNACIO, la reconfiguración de los mismos, la instalación de aplicaciones o APPS, o la instalación de cuentas corporativas o cuentas de e-mail requerirá autorización.
8. Unidades de almacenamiento (memorias USBs, discos, tarjetas de memoria, etc).
Únicamente se podrán utilizar con autorización expresa.
9. Bloqueo de dispositivos portátiles / móviles.
Deberá activarse el sistema de bloqueo (ej código) o protección disponible en el dispositivo, de forma que se impida su utilización por personas no autorizadas.
10. Salida de documentos y dispositivos.
La salida de documentos y dispositivos informáticos fuera de los locales de COLEGIO SAN IGNACIO precisa de autorización expresa.
11. Ficheros temporales.
Todos los ficheros temporales deberán ser borrados, una vez haya finalizado la finalidad para la que fueron creados.
12. Servicios de almacenamiento en Internet.
Queda prohibido el uso de aplicaciones en la nube para compartir documentos o trabajar fuera del lugar de trabajo, que no estén previamente autorizadas por COLEGIO SAN IGNACIO. Esto afecta al uso de aplicaciones tales como: Dropbox, Wetransfer, Office 365, Google Drive o Gmail. A la hora de autorizarlos, COLEGIO SAN IGNACIO únicamente aceptará aquellos servicios prestados por entidades adheridas al acuerdo EEUU-Unión Europea Privacy Shield, a entidades que hayan suscrito cláusulas contractuales tipo, o a entidades que presten su servicio desde países con una legislación de protección de datos equiparable a la europea a juicio de las autoridades de protección de datos.
13. Utilización de ordenadores o dispositivos particulares para asuntos de COLEGIO SAN IGNACIO.
La utilización de ordenadores o dispositivos particulares (es decir, que no pertenecen a COLEGIO SAN IGNACIO) no se autoriza salvo autorización expresa. Cuando se autorice, al utilizar estos dispositivos, se tendrá en cuenta lo siguiente:
· Cuando el mismo ordenador o dispositivo se utilice por personas diferentes, deberán disponer de varios perfiles o usuarios distintos, debiendo mantenerse separados los usos para asuntos de COLEGIO SAN IGNACIO de otros usos del dispositivo.
· Se dispondrá de perfiles con derechos de administración para la instalación y configuración del sistema y usuarios sin privilegios o derechos de administración para el acceso a los datos personales de COLEGIO SAN IGNACIO. Esta medida evitará que en caso de ataque de ciberseguridad puedan obtenerse privilegios de acceso o modificar el sistema operativo.
· Se garantizará la existencia de contraseñas para el acceso a los datos personales de COLEGIO SAN IGNACIO. La contraseña tendrá al menos 8 caracteres, mezcla de números y letras, y se cambiará todos los años.
· Cada persona con acceso a los datos COLEGIO SAN IGNACIO dispondrá de un usuario y contraseña específicos.
· Se activará un sistema de bloqueo cuando el ordenador o dispositivo esté inactivo, siendo necesario reintroducir la contraseña o bien un código de desbloqueo o sistema equivalente disponible en el dispositivo.
· Se debe garantizar la confidencialidad de las contraseñas, evitando que queden expuestas a terceros. En ningún caso se compartirán las contraseñas ni se dejarán anotadas en lugar común y el acceso de personas distintas del usuario.
· Los dispositivos y ordenadores utilizados para el almacenamiento y el tratamiento de los datos personales deberán mantenerse actualizados en la media posible.
· Se seguirán las recomendaciones del fabricante del sistema operativo en relación a la utilización de sistemas antivirus.
· Si activará el cortafuegos del ordenador o dispositivo si éste está disponible.
· Cuando se precise realizar la extracción de datos personales fuera del ordenador o dispositivo, ya sea por medios físicos o por medios electrónicos, se deberá valorar la posibilidad de utilizar un método de encriptación para garantizar la confidencialidad de los datos personales en caso de acceso indebido a la información.
· Periódicamente se realizará una copia de seguridad en un dispositivo distinto del que se utiliza para el trabajo habitual. La copia se almacenará en lugar seguro, distinto de aquél en que esté ubicado el equipo con los ficheros originales, con el fin de permitir la recuperación de los datos personales en caso de pérdida de la información.
14. Todos los compromisos anteriores deben mantenerse, incluso después de extinguida la relación con COLEGIO SAN IGNACIO.
15. Normas y Protocolos.
Las normas y protocolos establecidos en el presente documento forman parte de las obligaciones laborales del trabajador, por lo que su incumplimiento podrá acarrear una sanción disciplinaria, incluyendo el despido, sin perjuicio de que dicha conducta pueda ser constitutiva de un delito (delito de revelación de secretos, delito de daños informáticos etc), cuya responsabilidad se dirimirá siguiendo los cauces judiciales correspondientes.
16. Voluntariado.
En el caso de voluntarios y trabajadores autónomos, estos accederán los datos en calidad de encargados del tratamiento de la entidad COLEGIO SAN IGNACIO, acceso que se realizará conforme lo establecido en el artículo 28 del Reglamento (UE) 2016/79 (Reglamento general de protección de datos). En este sentido:
· Tratarán los datos únicamente conforme las instrucciones proporcionadas por COLEGIO SAN IGNACIO.
· Prestarán sus servicios personalmente sin recurrir a terceros.
· Asistirán a COLEGIO SAN IGNACIO para cumplir sus obligaciones en materia de protección de datos, incluyendo poner a su disposición toda la información necesaria para acreditar el cumplimiento de la normativa de protección de datos y permitir y contribuir a la realización de auditorías e inspecciones de protección de datos.
· Si en su opinión las instrucciones recibidas infringen la normativa de protección de datos, lo comunicarán inmediatamente COLEGIO SAN IGNACIO.
17. Final.
Asimismo, el trabajador/colaborador podrá ser considerado responsable frente a COLEGIO SAN IGNACIO y frente a terceros de cualquier daño que pudiera derivarse para unos u otros del incumplimiento de las normas establecidas en este documento por lo que COLEGIO SAN IGNACIO se reserva el derecho de exigir el resarcimiento de las indemnizaciones, sanciones o reclamaciones que se viera obligada a satisfacer como consecuencia de dicho incumplimiento.