DOCUMENTO DE SEGURIDAD

El presente documento se aplicará a los ficheros que contienen datos de carácter personal que se hallan bajo la responsabilidad de ESTUDIO 17 FOTOGRAFIA (MARÍA DEL CARMEN DASILVA CEBADERA), incluyendo los sistemas de información, soportes y equipos empleados para el tratamiento de datos de carácter personal, que deban ser protegidos de acuerdo a lo dispuesto en normativa vigente, las personas que intervienen en el tratamiento y los locales en los que se ubican.

En concreto, los ficheros sujetos a las medidas de seguridad establecidas en este documento, con indicación del nivel de seguridad correspondiente, son los siguientes:

FICHERO DATOS CLIENTES. NIVEL MEDIO.

FICHERO POTENCIALES CLIENTES. NIVEL MEDIO.

FICHERO PROVEEDORES. NIVEL MEDIO.

FICHERO EMPLEADOS. NIVEL MEDIO.

En el Anexo I se describen detalladamente cada uno de los ficheros o tratamientos, junto con los aspectos que les afecten de manera particular.

INFORMACIÓN DE INTERÉS GENERAL

Este documento ha sido diseñado para tratamientos de datos personales de bajo riesgo de donde se deduce que el mismo no podrá ser utilizado para tratamientos de datos personales que incluyan datos personales relativos al origen étnico o racial, ideología política religiosa o filosófica, filiación sindical, datos genéticos y biométricos, datos de salud, y datos de orientación sexual de las personas así como cualquier otro tratamiento de datos que entrañe alto riesgo para los derechos y libertades de las personas.

El artículo 5.1.f del Reglamento General de Protección de Datos (en adelante, RGPD) determina la necesidad de establecer garantías de seguridad adecuadas contra el tratamiento no autorizado o ilícito, contra la pérdida de los datos personales, la destrucción o el daño accidental. Esto implica el establecimiento de medidas técnicas y organizativas encaminadas a asegurar la integridad y confidencialidad de los datos personales y la posibilidad de demostrar, tal y como establece el artículo 5.2, que estas medidas se han llevado a la práctica (responsabilidad proactiva).

Además, deberá establecer mecanismos visibles, accesibles y sencillos para el ejercicio de derechos y tener definidos procedimientos internos para garantizar la atención efectiva de las solicitudes recibidas.

‌MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTÁNDARES ENCAMINADOS A GARANTIZAR LOS NIVELES

DE SEGURIDAD EXIGIDOS EN ESTE DOCUMENTO

IDENTIFICACIÓN Y AUTENTICACIÓN

Medidas y normas relativas a la identificación y autenticación del personal autorizado para acceder a los datos personales.

Para Ficheros Automatizados:

El acceso a los datos personales automatizados, se regularán mediante el uso de USUARIOS y CONTRASEÑAS, de esta manera nos aseguramos de que el acceso a datos se restrinja en función de los permisos establecidos a usuarios o grupo de Usuarios, de esta manera se consigue el acceso a los datos personales de forma inequívoca y personalizada, el tipo de acceso dado de cada usuario será facilitado por el responsable del fichero y el encargado del tratamiento la persona de establecerlo.

Para la asignación de contraseñas se establecerán los siguientes métodos:

La contraseña será única, secreta y será asignada por cada usuario.

La contraseña deberá cumplir unos requisitos de complejidad, requiriendo letras Mayúsculas, Minúsculas, Números y algún carácter especial.

La contraseña tendrá una caducidad de tres meses, cuando se llegue a su caducidad, el Sistema operativo le pedirá automáticamente el cambio de contraseña, no pudiendo volver a repetir la misma.

En caso de que el usuario introduce la contraseña 5 veces mal, el Sistema bloqueara este usuario hasta que se determine, la causa del bloqueo, en cuyo caso se procederá al desbloqueo.

La contraseña no se almacena en ningún almacén para evitar acceso a ellas, en caso de fallo o de olvido de la misma se procederá a la asignación de una contraseña genérica, por el responsable del tratamiento, que el usuario deberá cambiar al siguiente inicio de sesión en el Sistema.

AUTOMATIZADOS

NIVEL MEDIO En los ficheros de nivel medio y alto, se limitará la posibilidad

de intentar reiteradamente el acceso no autorizado al sistema de información.

CONTROL DE ACCESO

El personal sólo accederá a aquellos datos y recursos que precise para el desarrollo de sus funciones. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. Estos mecanismos son por el uso de permisos de acceso a las diferentes ubicaciones de datos, en los cuales únicamente tendrá acceso el usuario permitido, que será identificado por el uso de su usuario y contraseñas, privadas y diferentes para cada usuario, el cual deberá mantener en secreto, en caso de que la clave de usuario haya sido revelada por error, deberá comunicarlo al responsable del tratamiento para el cambio de la misma.

Exclusivamente DÑA. MARÍA DEL CARMEN DASILVA CEBADERA está autorizado para conceder, alterar o anular el acceso sobre los datos y los recursos, conforme a los criterios establecidos por el responsable del fichero.

Para solicitar un alta, modificación o baja de las autorizaciones de acceso de a los datos personales, se requerirá a responsable del fichero, DÑA. MARÍA DEL CARMEN DASILVA CEBADERA.

Los procedimientos de alta, modificación o baja de autorizaciones:

Envió de mail al responsable del fichero, estudio17foto@gmail.com

Análisis de la procedencia o no del alta, modificación o baja.

Respuesta del responsable con la aceptación o denegación.

En caso de aceptación, comunicación al responsable del tratamiento, Para la el alta, modificación o baja.

Cambio de permisos de acceso por parte del responsable del tratamiento.

GESTIÓN DE SOPORTES Y DOCUMENTOS

Los soportes que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y serán almacenados en UNA UBICACION ACONDICIONADA PARA ELLOS, lugar de acceso restringido al que solo tendrán acceso las personas con autorización.

Para establecer o denegar nuevos permisos de acceso a soportes y documentos, Habrá que comunicárselo al responsable del fichero, vía mail (estudio17foto@gmail.com ) o personalmente, el cual dará permiso para el alta de nuevo permiso o para la denegación de un permiso ya existente, será el encargado del tratamiento el encargado de hacer efectivo esta modificación.

Si por causas de fuerzas de fuerza mayor, una persona no autorizada debe acceder a un Soporte o documento, deberá contactar telefónicamente, previamente con cualquiera de las personas autorizadas, comunicar el acceso y el motivo del acceso.

Los siguientes soportes P E N D R I V E , D I S C O S D U R O S E X T R A I B L E S , D V D , CD s , D O C U M E N T O S E N P A P E L , P O R T A T I L D E T R A B A J O , P D A s ,

M O V I L E S que contengan datos sensibles de la empresa o faciliten el acceso en modo remoto a los mismos deberán ser autorizados por el responsable del fichero y la persona que vaya a recibir ese soporte deberá firmar el documento de confidencialidad.

Los soportes se almacenarán de acuerdo a las siguientes normas:

SE ETIQUETARÁN TODOS LOS SOPORTES INDICANDO UNA DESCRIPCION APROXIMADA DE LOS DATOS QUE CONTIENEN, SU FECHA DE CREACION Y UN NUMERO DE SERIE QUE L0S IDENTIFIQUE.

La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos en correos electrónicos, fuera de los locales bajo el control del responsable del tratamiento, deberá ser autorizada por el responsable del fichero o aquel en que se hubiera delegado de acuerdo al siguiente procedimiento, firmando un documento de confidencialidad.

Los soportes que vayan a ser desechados deberán ser previamente borrados mediante herramienta especializada y posterior formateo lento del dispositivo, en los ordenadores se recargara el Sistema operativo, en el caso de documentos en papel se destruirán con trituradora de papel de forma que no sea posible el acceso a la información contenida en ellos o su recuperación posterior.

AUTOMATIZADOS

NIVEL MEDIO: REGISTRO DE ENTRADA Y SALIDA DE SOPORTES

Las salidas y entradas de soportes correspondientes a los ficheros de nivel medio y alto serán registradas de acuerdo al siguiente procedimiento:

Se rellenará el impreso definido en el Anexo III.

El registro de entrada y salida de soportes se gestionará mediante el impreso ya sea en papel o en archivo electrónico. y en el que deberán constar los campos tal y como viene definido en el impreso del Anexo III.

CRITERIOS DE ARCHIVO

El archivo de los soportes o documentos se realizará de acuerdo con los criterios:

Los archivos se almacenarán mientras dure la relación comercial, cuando dicha relación termine los archivos serán destruidos tal y como hemos descrito anteriormente.

Solo se guardarán aquellos archivos una vez terminada la relación comercial cuando la ley lo exija.

ALMACENAMIENTO DE LA INFORMACIÓN

Los documentos con datos personales se guardarán en muebles, archivadores o habitaciones con llave, teniendo acceso a ellos exclusivamente las personas autorizadas.

CUSTODIA DE SOPORTES

En tanto los documentos con datos personales no se encuentren archivados en los dispositivos de almacenamiento indicados en el punto anterior, por estar en proceso de tramitación, las personas que se encuentren a su cargo deberán custodiarlos e impedir el acceso a personas no autorizadas.

ACCESO A DATOS A TRAVÉS DE REDES DE COMUNICACIONES

Se consta de una línea de internet.

RÉGIMEN DE TRABAJO FUERA DE LOS LOCALES DE LA UBICACIÓN DEL FICHERO

Los ficheros no salen fuera de su ubicación. En caso de que salieran fuera será documentada su salida y siempre de manera cifrada y en caso de que fuera en papel se hará de manera que sea difícil acceder a ellos.

FICHEROS TEMPORALES O COPIAS DE TRABAJO DE DOCUMENTOS

Los ficheros temporales o copias de documentos creados exclusivamente para trabajos temporales o auxiliares, deberán cumplir el nivel de seguridad que les corresponda con arreglo a los criterios expresados en el Reglamento de medidas de seguridad, y serán borrados o destruidos una vez que hayan dejado de ser necesarios para los fines que motivaron su creación.

NIVEL MEDIO: RESPONSABLE DE SEGURIDAD

Se designa como responsables de seguridad MARÍA DEL CARMEN DASILVA CEBADERA que con carácter general se encargará de coordinar y controlar las medidas definidas en este documento de seguridad. La designación es para todos los ficheros.

En ningún caso, la designación supone una exoneración de la responsabilidad que corresponde a MARÍA DEL CARMEN DASILVA CEBADERA como responsable del fichero de acuerdo con el RLOPD.

‌INFORMACIÓN Y OBLIGACIONES DEL PERSONAL

INFORMACIÓN AL PERSONAL

Para asegurar que todas las personas conocen las normas de seguridad que afectan al desarrollo de sus funciones, así como las consecuencias del incumplimiento de las mismas, serán informadas de acuerdo con el siguiente procedimiento: se les dará a leer el presente documento de seguridad que permanecerá accesible para su lectura por los usuarios autorizados a los que se informara adecuadamente cada vez que se emita una nueva versión, se facilitara a cada empleado/usuario un documento a firmar con las funciones y obligaciones que deberán cumplir con respecto a los datos de carácter personal.

FUNCIONES Y OBLIGACIONES DEL PERSONAL

Todo el personal que acceda a los datos de carácter personal está obligado a conocer y observar las medidas, normas, procedimientos, reglas y estándares que afecten a las funciones que desarrolla.

Constituye una obligación del personal notificar al responsable del fichero o de seguridad en su caso las incidencias de seguridad de las que tengan conocimiento respecto a los recursos protegidos, según los procedimientos establecidos en este Documento, y en concreto en el apartado de “Procedimientos de notificación, gestión y respuesta ante las incidencias.”

Todas las personas deberán guardar el debido secreto y confidencialidad sobre los datos personales que conozcan en el desarrollo de su trabajo.

Funciones y obligaciones del personal, según su categoría:

Responsable del Fichero, es el encargado jurídicamente de la seguridad del fichero y de las medidas establecidas en el presente documento, implantará las medidas de seguridad establecidas en él y adoptará las medidas necesarias para que el personal afectado por este documento conozca las normas que afecten al desarrollo de sus funciones. Designará al responsable de seguridad.

Determinar la estrategia y las políticas de seguridad de la información generales.

Designar a las personas encargadas de definir los procedimientos, medidas, normas, reglas y estándares de seguridad tendentes a garantizar la protección de los datos de carácter personal manejados por la organización, de su efectiva implantación, coordinación y control, y de su permanente actualización conforme a la evolución de la organización, de los riesgos y de las disposiciones legales y reglamentarias en esta materia, asignando los recursos humanos y materiales necesarios y velando por todo ello.

Velar por que se adopten las medidas necesarias para que el personal con acceso a datos de carácter personal o recursos conozca las normas de seguridad que afecten al desarrollo de sus funciones, así como las consecuencias en que pudiera incurrir en caso de incumplimiento.

Encargarse de que se someta a los ficheros o tratamientos, sistemas de información e instalaciones de tratamiento y almacenamiento de datos a una auditoría, interna o externa, que verifique el cumplimiento de las medidas de seguridad aplicables, al menos cada dos años o con carácter extraordinario en el caso de que se realicen modificaciones sustanciales en los sistemas de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas, así como de que se adopten las medidas correctoras y/o complementarias adecuadas como consecuencia de las conclusiones obtenidas en los informes de dichas auditorías.

Responsable de Seguridad del Fichero cuyas funciones serán las de coordinar y controlar las medidas definidas en el documento, sirviendo al mismo tiempo de enlace con el responsable del Fichero, sin que esto suponga en ningún caso una delegación de la responsabilidad que corresponde a este último, de acuerdo con el R.D. 994/1999 de 11 de junio. Sus obligaciones son:

Coordinar y controlar las medidas de seguridad establecidas en el documento de seguridad.

Verificar que los accesos a los sistemas de información a través de redes de comunicaciones garantizan un nivel de seguridad equivalente al correspondiente a los accesos en modo local.

Verificar que se aplican las medidas de seguridad oportunas sobre los ficheros temporales que contengan datos personales y que éstos se borran una vez terminada su utilización.

Comprobar, al menos trimestralmente, conjuntamente con el administrador del sistema, la validez de la lista de usuarios y las autorizaciones correspondientes.

Controlar la existencia y el cumplimiento de los procedimientos de control de acceso.

Habilitar y gestionar el registro de incidencias a disposición de todos los usuarios.

Habilitar y gestionar el registro de soportes para identificar, registrar y almacenar todos los soportes que contengan datos personales en los lugares habilitados para tal fin.

Gestionar ante el responsable del fichero las autorizaciones de salida de soportes que contengan datos de carácter personal.

Realizar las copias de respaldo y recuperación de los datos de carácter personal. Comprobar trimestralmente los procedimientos aplicados para realizar las copias de seguridad.

Administradores del Sistema, encargados de administrar o mantener el entorno operativo del Fichero.

Sus obligaciones son:

Colaborar con el responsable de seguridad en la implantación y puesta en marcha de las medidas de seguridad establecidas en el documento de seguridad.

Proponer y desarrollar estándares y procedimientos relacionados con la seguridad de los sistemas de información y los datos personales.

Gestionar los perfiles de usuarios de los sistemas informáticos y los accesos de cada uno a los sistemas de información.

Dar soporte a los usuarios en materia de seguridad. Implantar equipos, dispositivos y paquetes relacionados con la seguridad física y lógica de los sistemas informáticos.

Controlar y realizar el seguimiento de la seguridad física y lógica de los sistemas informáticos.

Usuarios del Fichero, o personal que usualmente utiliza el sistema informático de acceso al Fichero. Sus obligaciones son:

Sus obligaciones son:

Confirmar por escrito el conocimiento y el compromiso de cumplimiento de las normas y procedimientos establecidos en la política de seguridad.

Utilizar los datos personales a los que tenga acceso, en virtud de sus funciones, únicamente para el desempeño de la actividad laboral.

Guardar el secreto y la confidencialidad de toda la información a la que tenga acceso.

Cualquier trabajador que reciba un escrito, fotocopia remitida por correo, tele copia o cualquier otro procedimiento de notificación, en el que una persona física comunique su intención de ejercitar los derechos de acceso, rectificación o cancelación, deberá comunicarlo en el plazo de tiempo más breve posible, máximo de 24 horas, al responsable de seguridad o, en su defecto, al responsable del fichero.

Abstenerse de borrar, destruir, dañar, alterar o modificar cualquier información relacionada con datos personales contenidos en los sistemas de información sin la autorización expresa del responsable del fichero, salvo que le haya sido asignada dicha función.

Abstenerse de realizar copias, transmisiones, comunicaciones o cesiones de cualquier información relacionada con datos de carácter personal contenidos en los sistemas de información sin la autorización expresa del responsable del fichero, salvo que le haya sido asignada dicha función.

Los usuarios están obligados a informar sobre cualquier anomalía, error, imprecisión o fallo que detecten en los datos contenidos en los sistemas de información, comunicando rápidamente la incidencia correspondiente.

Los usuarios tienen prohibido el acceso a los sistemas de información desde fuera de los locales de la misma, sin la autorización expresa del responsable del fichero.

El personal que realice trabajos que no impliquen el tratamiento de datos personales tendrán limitado el acceso a estos datos, a los soportes que los contengan, o a los recursos del sistema de información.

Cuando se trate de personal ajeno, el contrato de prestación de servicios recogerá

expresamente la prohibición de acceder a los datos personales y la obligación de secreto respecto de aquellos datos que hubiera podido conocer durante la prestación del servicio.

CONSECUENCIAS DEL INCUMPLIMIENTO DEL DOCUMENTO DE SEGURIDAD

El incumplimiento de las obligaciones y medidas de seguridad establecidas en el presente documento por el personal afectado se sancionará abriendo un expediente interno al responsable del incumplimiento.

‌ATENCION DEL EJERCICIO DE DERECHOS

El responsable del tratamiento informará a todos los trabajadores acerca del procedimiento para atender los derechos de los interesados, definiendo de forma clara los mecanismos por los que pueden ejercerse los derechos (medios electrónicos, referencia al delegado de Protección de Datos si lo hubiera, dirección postal, etc.) y teniendo en cuenta lo siguiente:

Previa presentación de su documento nacional de identidad o pasaporte, los titulares de los datos personales (interesados) podrán ejercer sus derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento. El ejercicio de los derechos es gratuito.

El responsable del tratamiento deberá dar respuesta a los interesados sin dilación indebida y de forma concisa, transparente, inteligible, con un lenguaje claro y sencillo y conservar la prueba del cumplimiento del deber de responder a las solicitudes de ejercicio de derechos formuladas.

Si la solicitud se presenta por medios electrónicos, la información se facilitará por estos medios cuando sea posible, salvo que el interesado solicite que sea de otro modo.

Las solicitudes deben responderse en el plazo de 1 mes desde su recepción, pudiendo prorrogarse en otros dos meses teniendo en cuenta la complejidad o el número de solicitudes, pero en ese caso debe informarse al interesado de la prórroga en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación.

DERECHOS CLIENTES

DERECHO DE ACCESO: En el derecho de acceso se facilitará a los interesados copia de los datos personales de los que se disponga junto con la finalidad para la que han sido recogidos, la identidad de los destinatarios de los datos, los plazos de conservación previstos o el criterio utilizado para determinarlo, la existencia del derecho a solicitar la rectificación o supresión de datos personales así como la limitación o la oposición a su tratamiento, el derecho a presentar una reclamación ante la Agencia Española de Protección de Datos y si los datos no han sido obtenidos del interesado, cualquier información disponibles sobre su origen. El derecho a obtener copia de los datos no puede afectar negativamente a los derechos y libertades de otros interesados.

Documento Acceso: Anexo II-a

DERECHO DE RECTIFICACIÓN: En el derecho de rectificación se procederá a modificar los datos de los interesados que fueran inexactos o incompletos atendiendo a los fines del tratamiento. El interesado deberá indicar en la solicitud a qué datos se refiere y la corrección que haya de realizarse, aportando, cuando sea preciso, la documentación justificativa de la inexactitud o carácter incompleto de los datos objeto de tratamiento. Si los datos han sido comunicados por el responsable a otros responsables, deberá notificarles la rectificación de estos salvo que sea imposible o exija un esfuerzo desproporcionado, facilitando al interesado información acerca de dichos destinatarios, si así lo solicita.

Documento Rectificación: Anexo II-b

DERECHO DE SUPRESIÓN: En el derecho de supresión se eliminarán los datos de los interesados cuando estos manifiesten su negativa al tratamiento y no exista una base legal que lo impida, no sean necesarios en relación con los fines para los que fueron recogidos, retiren el consentimiento prestado y no haya otra base legal que legitime el tratamiento o éste sea ilícito. Si la supresión deriva del ejercicio del derecho de oposición del interesado al tratamiento de sus datos con fines de mercadotecnia, pueden conservarse los datos identificativos del interesado con el fin de impedir futuros tratamientos. Si los datos han sido comunicados por el responsable a otros responsables, deberá notificarles la supresión de estos salvo que sea imposible o exija un esfuerzo desproporcionado, facilitando al interesado información acerca de dichos destinatarios, si así lo solicita.

Documento Supresión: Anexo II-c

DERECHO DE OPOSICIÓN: En el derecho de oposición, cuando los interesados manifiesten su negativa al tratamiento de sus datos personales ante el responsable, este dejará de procesarlos siempre que no exista una obligación legal que lo impida. Cuando el tratamiento esté basado en una misión de interés público o en el interés legítimo del responsable, ante una solicitud de ejercicio del derecho de oposición, el responsable dejará de tratar los datos salvo que se acrediten motivos imperiosos que prevalezcan sobre los intereses, derechos y libertades del interesado o sean necesarios para la formulación, ejercicio o defensa de reclamaciones. Si el interesado se opone al tratamiento con fines de mercadotecnia directa, los datos personales dejarán de ser tratados para estos fines.

Documento Oposición Anexo II-d

DERECHO DE PORTABILIDAD: En el derecho de portabilidad, si el tratamiento se efectúa por medios automatizados y se basa en el consentimiento o se realiza en el marco de un contrato, los interesados pueden solicitar recibir copia de sus datos personales en un formato estructurado, de uso común y lectura mecánica. Asimismo, tienen derecho a solicitar que sean transmitidos directamente a un nuevo responsable, cuya identidad deberá ser comunicada, cuando sea técnicamente posible.

Documento Portabilidad: Anexo II-e

DERECHO DE LIMITACIÓN AL TRATAMIENTO: En el derecho de limitación del tratamiento, los interesados pueden solicitar la suspensión del tratamiento de sus datos para impugnar su exactitud mientras el responsable realiza las verificaciones necesarias o en el caso de que el tratamiento se realice en base al interés legítimo del responsable o en cumplimiento de una misión de interés público, mientras se verifica si estos motivos prevalecen sobre los intereses, derechos y libertades del interesado. El interesado también puede solicitar la conservación de los datos si considera que el tratamiento es ilícito y, en lugar de la supresión, solicita la limitación del tratamiento, o si aun no necesitándolos ya el responsable para los fines para los que fueron recabados, el interesado los necesita para la formulación, ejercicio o defensa de reclamaciones. La circunstancia de que el tratamiento de los datos del interesado esté limitado deberá constar claramente en los sistemas del responsable. Si los datos han sido comunicados por el responsable a otros responsables, deberá notificarles la limitación del tratamiento de estos salvo que sea imposible o exija un esfuerzo desproporcionado, facilitando al interesado información acerca de dichos destinatarios, si así lo solicita.

Documento Limitación: Anexo II-f

Si no se da curso a la solicitud del interesado, el responsable del tratamiento le informará, sin dilación y a más tardar transcurrido un mes desde la recepción de esta, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante la Agencia Española de Protección de Datos y de ejercitar acciones judiciales.

‌PROCEDIMIENTOS DE NOTIFICACIÓN, GESTIÓN Y RESPUESTA ANTE LAS INCIDENCIAS

Se considerarán como "incidencias de seguridad", entre otras, cualquier incumplimiento de la normativa desarrollada en este Documento de Seguridad, así como a cualquier anomalía que afecte o pueda afectar a la seguridad de los datos de carácter personal de ESTUDIO 17 FOTOGRAFIA (MARÍA DEL CARMEN DASILVA CEBADERA).

El procedimiento a seguir para la notificación de incidencias será VERBAL Y/O ESCRITA, DEBIENDO COMUNICARLA AL RESPONSABLE DE SEGURIDAD CUALQUIER ANOMALIA DETECTADA.

El registro de incidencias se gestionará mediante un formulario ya sea el documento en ordenador o en papel, este deberá constar, al menos, el tipo de incidencia, el momento en que se ha producido o en su caso detectado, la persona que realiza la notificación, a quién se comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.

AUTOMATIZADOS

NIVEL MEDIO: En el registro de incidencias se consignarán también los procedimientos de recuperación de datos que afecten a los ficheros de nivel medio y alto, del modo que se indica a continuación se realiza mediante gestión automatizada, se deberá prever la existencia de un código específico para recuperaciones de datos, en la información relativa al tipo de incidencia.

NIVEL MEDIO: Para ejecutar los procedimientos de recuperación de datos en los ficheros mencionados en el párrafo anterior, será necesaria la autorización del responsable del fichero.

En el Anexo III se incluirán los documentos de autorización del responsable del fichero relativos a la ejecución de procedimientos de recuperación de datos.

‌PROCEDIMIENTOS DE REVISION

REVISIÓN DEL DOCUMENTO DE SEGURIDAD

El responsable de seguridad es la única persona con capacidad para efectuar cambios en el presente documento, siendo su responsabilidad comunicárselo al resto de usuarios autorizados en caso necesario.

El documento deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información, en el contenido de la información incluida en los ficheros o como consecuencia de los controles periódicos realizados. En todo caso se entenderá como cambio relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas.

Asimismo, deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.

NIVEL MEDIO:

AUDITORÍA

Los cambios y actualizaciones en el informe de auditoría interna o externa que verifique el cumplimiento del Título VIII del RLOPD, referente a las medidas de seguridad, según lo indicado en sus artículos 96 y 110 respecto de ficheros automatizados y no automatizados respectivamente, y que debe realizarse al menos cada dos años.

Con carácter extraordinario se realizará cuando se lleven a cabo modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas, con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado.

El informe analizará la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificará las deficiencias y propondrá las medidas correctoras o complementarias necesarias.

Los informes de auditoría han de ser analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero para que adopte las medidas correctoras y quedará a disposición de la Agencia Española de Protección de Datos, o en su caso de las autoridades de control de las comunidades autónomas.

ANEXOS

‌ANEXO I a (BASE DE DATOS CLIENTES)

a) Responsable del tratamiento

Identidad: ESTUDIO 17 FOTOGRAFIA (MARÍA DEL CARMEN DASILVA CEBADERA) - NIF: 04214139X

Dirección postal: C/Hernán Cortés, 17, Velada (45612) Correo electrónico: estudio17foto@gmail.com

Teléfono: +34 654386510

b) Finalidad del

tratamiento

Gestión de la relación con los clientes.

c) Categorías de

interesados

Clientes: Personas con las que se mantiene una relación

comercial como clientes.

d) Categorías de datos

Los necesarios para el mantenimiento de la relación comercial. Facturar, enviar publicidad postal o por correo electrónico, servicio postventa y fidelización.

De identificación: nombre y apellidos, NIF, dirección postal, teléfonos, e-mail.

Características personales: estado civil, fecha y lugar de nacimiento, edad, sexo, nacionalidad.

Datos bancarios.

e) Categorías de destinatarios

Agencia Estatal de Administración Tributaria. Bancos y entidades financieras.

Laboratorios fotográficos para imprimir fotos

Gestoría.

f) Transferencias

internacionales

No está previsto realizar transferencias internacionales.

g) Plazo de supresión

Los previstos por la legislación fiscal respecto a la prescripción

de responsabilidades.

h) Medidas de

seguridad

Las reflejadas en el ANEXO MEDIDAS DE SEGURIDAD

‌ANEXO I b (DATOS POTENCIALES CLIENTES)

a) Responsable del tratamiento

Identidad: ESTUDIO 17 FOTOGRAFIA (MARÍA DEL CARMEN DASILVA CEBADERA) - NIF: 04214139X

Dirección postal: C/Hernán Cortés, 17, Velada (45612) Correo electrónico: estudio17foto@gmail.com

Teléfono: +34 654386510

b) Finalidad del

tratamiento

Gestión de la relación con los potenciales clientes.

c) Categorías de

interesados

Potenciales clientes: Personas con las que se busca mantener

una relación comercial como clientes.

d) Categorías de datos

Los necesarios para la promoción comercial de la empresa De identificación: nombre y apellidos y dirección postal, teléfonos, e-mail.

Datos académicos. Datos profesionales.

Características personales: estado civil, fecha y lugar de nacimiento, edad, sexo, nacionalidad, salud o afiliación sindical,

otros excluyendo datos de raza.

e) Categorías de

destinatarios

No se contempla.

f) Transferencias

internacionales

No está previsto realizar transferencias internacionales.

g) Plazo de supresión

Un año desde el primer contacto.

h) Medidas de

seguridad

Las reflejadas en el ANEXO MEDIDAS DE SEGURIDAD.

‌ANEXO I c (DATOS PROVEEDORES)

a) Responsable del tratamiento

Identidad: ESTUDIO 17 FOTOGRAFIA (MARÍA DEL CARMEN DASILVA CEBADERA) - NIF: 04214139X

Dirección postal: C/Hernán Cortés, 17, Velada (45612) Correo electrónico: estudio17foto@gmail.com

Teléfono: +34 654386510

b) Finalidad del

tratamiento

Gestión de la relación con los proveedores.

c) Categorías de

interesados

Proveedores: Personas con las que se mantiene una relación

comercial como proveedores de productos y/o servicios.

d) Categorías de datos

Los necesarios para el mantenimiento de la relación laboral De identificación: nombre, NIF, dirección postal, teléfonos, e-mail.

Datos bancarios.

e) Categorías de destinatarios

Agencia Estatal de Administración Tributaria. Bancos y entidades financieras.

Gestoría.

f) Transferencias

internacionales

No está previsto realizar transferencias internacionales.

g) Plazo de supresión

Los previstos por la legislación fiscal respecto a la prescripción

de responsabilidades.

h) Medidas de

seguridad

Las reflejadas en el ANEXO MEDIDAS DE SEGURIDAD.

‌ANEXO I d (DATOS EMPLEADOS)

a) Responsable del tratamiento

Identidad: ESTUDIO 17 FOTOGRAFIA (MARÍA DEL CARMEN DASILVA CEBADERA) - NIF: 04214139X

Dirección postal: C/Hernán Cortés, 17, Velada (45612) Correo electrónico: estudio17foto@gmail.com

Teléfono: +34 654386510

b) Finalidad del

tratamiento

Gestión de la relación laboral con los empleados

c) Categorías de

interesados

Empleados: Personas que trabajan para el responsable del

tratamiento

d) Categorías de datos

Gestionar la nómina

De identificación: nombre, apellidos, número de Seguridad Social, dirección postal, teléfonos, e-mail

Datos bancarios, para la domiciliación del pago de las nóminas Datos académicos.

Características personales: estado civil, fecha y lugar de

nacimiento, edad, sexo, nacionalidad, porcentaje minusvalía.

e) Categorías de destinatarios

Agencia Estatal de Administración Tributaria Instituto Nacional de la Seguridad Social

Bancos y entidades financieras

f) Transferencias

internacionales

No está previsto realizar transferencias internacionales

g) Plazo de supresión

Los previstos por la legislación fiscal y laboral respecto a la

prescripción de responsabilidades

h) Medidas de

seguridad

Las reflejadas en el ANEXO MEDIDAS DE SEGURIDAD

‌ANEXO II

Formularios de derechos:

‌ANEXO II-a – Formulario derecho de Acceso.

‌ANEXO II-b – Formulario derecho de rectificación.

‌ANEXO II c – Formulario derecho de supresión.

ANEXO II-d – Formulario derecho de oposición.

‌ANEXO II-e – Formulario portabilidad de datos.

‌ANEXO II-f – Formulario limitación del tratamiento.

‌ANEXO III

AUTORIZACIONES DE SALIDA O RECUPERACIÓN DE DATOS

Fecha entrada:

Fecha salida:

SOPORTE

Identificación y tipo de soporte

Contenido

Ficheros de donde proceden los datos

Fecha de creación

ORIGEN o DESTINO Y FINALIDAD

Finalidad

Origen o Destino

Remitente o Destinatario

FORMA DE ENVIO

Medio de envió

Remitente

Precauciones para el transporte

AUTORIZACION

Persona responsable de la entrega

Persona que autoriza

Cargo / Puesto

Observaciones

Firma:

‌ANEXO IV

REGISTRO DE INCIDENCIAS

Impreso de notificación de incidencias

Incidencia N. ª: | | (Este número será rellenado por el responsable de seguridad)

Fecha de notificación: / / / /

Tipo de incidencia:

Descripción detallada de la incidencia:

Fecha y hora en que se produjo la incidencia:

Persona(s) a quien(es) se comunica:

Efectos que puede producir: (En caso de no subsanación o incluso independientemente de ella)

Medidas correctoras:

Procedimientos realizados para la recuperación de datos: Datos restaurados:

Firma del responsable del fichero: Fdo.:

Persona que realiza la comunicación: Fdo.:

‌ANEXO V

ENCARGADOS DE TRATAMIENTO

Cuando el acceso de un tercero a los datos del Responsable del Fichero sea necesario para la prestación de un servicio a este último, no se considera que exista comunicación de datos. En este anexo se recogen los contratos que establecen expresamente que el encargado de tratamiento tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizara con fin distinto al que figure en dicho contrato, ni los comunicarán ni siquiera para su conservación a otras personas.

El contrato estipulará las medidas de seguridad a que se refiere el artículo 9 de la LOPD que el encargado del tratamiento está obligado a implementar.

NOMBRE

NIF/CIF

ACTIVIDAD

1986 ASESORES

B45569555

ASESORIA FISCAL Y LABORAL

‌ANEXO VI

FORMULARIO CONSENTIMIENTO DE TRATAMIENTO DE DATOS PERSONALES

SOLICITUD DATOS DE CARÁCTER PERSONAL

DATOS DE LA PERSONA SOLICITANTE

APELLIDOS Y NOMBRE

DOMICILIO

DNI, PASAPORTE O EQUIVALENTE

TELÉFONO:

CORREO ELECTRÓNICO:

CARGO O REPRESENTACIÓN EN FUNCIÓN DEL CUAL REALIZA LA SOLICITUD (cuando proceda)

En , a de 20

Firma

Al firmar este documento, la persona interesada acepta el siguiente Tratamiento de sus datos personales:

TRATAMIENTO DE LOS DATOS PERSONALES

Estimado Cliente:

con la presente nota ESTUDIO 17 FOTOGRAFIA (MARÍA DEL CARMEN DASILVA CEBADERA) desea informarle sobre el tratamiento de sus datos personales.

Finalidad (bases jurídicas del tratamiento)

Los datos personales que nos proporcione, así como los obtenidos durante la navegación en nuestros sitios serán utilizados para las siguientes finalidades:

Prestar el servicio de registro en el sitio y los servicios relativos, por requisitos previos a la estipulación de los contratos de venta, para su ejecución y para tutelar las posiciones de crédito derivadas de ellos (ejecución del contrato entre las partes).

Por exigencias de naturaleza operativa, de gestión, administrativa y contable, incluidas las comunicaciones por correo electrónico de facturas comerciales (para cumplir con las obligaciones establecidas por la ley y/o reglamentos, en particular en materia fiscal).

Consentir el acceso y la navegación a los sitios, elaborar estadísticas anónimas sobre su utilización, controlar el funcionamiento y comprobar posibles responsabilidades en caso de actos ilícitos (interés legítimo de ESTUDIO 17 FOTOGRAFIA (MARÍA DEL CARMEN DASILVA CEBADERA).

La entrega de datos para las finalidades contractuales de los puntos a) y b) es obligatorio (su ausencia, no permitirá seguir con el contrato de venta y la prestación de los correspondientes servicios).

Para la finalidad de marketing del punto c) se le solicitará su consentimiento, sin perjuicio del derecho de revocación en cualquier momento (sin perjudicar la legalidad del tratamiento anterior).

Comunicación de datos – Trasferencia de datos a externos

Los datos personales recabados podrán ser comunicados, según su competencia específica:

Las administraciones públicas para el desempeño de sus funciones institucionales.

Entidades bancarias.

Sujetos especializados en la gestión de sistemas de información y/o sistemas de pago.

Sujetos que proporcionen bienes y servicios ofrecidos por ESTUDIO 17 FOTOGRAFIA (MARÍA DEL CARMEN DASILVA CEBADERA).

Sujetos que realicen actividades de transporte o envío.

Sujetos que ESTUDIO 17 FOTOGRAFIA (MARÍA DEL CARMEN DASILVA CEBADERA) emplee para actividades promocionales, publicitarias, de marketing y comunicación.

Bufetes de abogados y consultoras.

Sujetos encargados de la contabilidad o de auditoría de la empresa y a autoridades públicas para el cumplimiento de la ley.

Los datos personales no serán, en ningún caso, objeto de difusión.

En la medida estrictamente necesaria para la ejecución de la relación contractual, sus datos personales pueden cederse a terceros, como por ejemplo proveedores de productos y/o servicios, ubicados tanto dentro de la Unión Europea como fuera de la misma. Cualquier transferencia fuera de la UE está regulada por contratos específicos diseñados para exigir que el destinatario cumpla con las garantías adecuadas requeridas por la legislación vigente.

Aspectos generales

El tratamiento de sus datos personales podrá consistir, además de en su recogida, en su registro, conservación, rectificación, comunicación y cancelación de forma automatizada o semiautomatizada y su conservación se hará en formato papel y/o soporte electrónico/ informático/óptico.

Todos los datos personales tratados por ESTUDIO 17 FOTOGRAFIA (MARÍA DEL CARMEN DASILVA CEBADERA) están protegidos por adecuadas medidas de seguridad, según está previsto en la legislación vigente y durante el tiempo estrictamente necesario para cumplir las finalidades mencionadas en el punto 1.

Para las finalidades descritas en los puntos a) y b), sus datos se conservarán durante el período previsto por la ley.

Para la finalidad descrita en el punto c) los datos serán conservados hasta la revocación del consentimiento o la interrupción de la relación contractual.

De acuerdo a lo previsto en el art.13 del RGPD (EU) 2016/679, le recordamos que usted tiene derecho a solicitar el acceso a sus datos personales, la rectificación, la cancelación de los mismos (cuando corresponda) o limitación de su tratamiento. También tiene derecho a revocar la autorización para tratar los datos para los que ha dado su consentimiento, así como el derecho a presentar una reclamación ante la Autoridad de Control para la protección de datos personales.

El Titular del tratamiento es ESTUDIO 17 FOTOGRAFIA (MARÍA DEL CARMEN DASILVA CEBADERA), con sede legal en Calle Hernán Cortés, 17, Velada (45612).

La ESTUDIO 17 FOTOGRAFIA (MARÍA DEL CARMEN DASILVA CEBADERA) se le asigna la tarea de proporcionar a todos los interesados la información adecuada para el tratamiento de datos personales. En particular, ESTUDIO 17 FOTOGRAFIA (MARÍA DEL CARMEN DASILVA CEBADERA) tiene la tarea de gestionar de forma coherente, conforme al consentimiento y garantizar el ejercicio de los derechos anteriormente mencionados.

La empresa ESTUDIO 17 FOTOGRAFIA (MARÍA DEL CARMEN DASILVA CEBADERA) está siempre accesible, para cualquier aclaración, en la dirección de correo electrónico: estudio17foto@gmail.com

‌ANEXO VIII.

CONTRATO PRESTACION SERVICIOS

Contrato para prestadores de servicio con acceso a los sistemas de información.

Objeto del encargo del tratamiento

Mediante las presentes cláusulas se habilita a NOMBRE DE LA EMPRESA, como encargado del tratamiento, para tratar por cuenta de ESTUDIO 17 FOTOGRAFIA (MARÍA DEL CARMEN DASILVA CEBADERA), en calidad de responsable del tratamiento, los datos de carácter personal necesarios para prestar el servicio que en adelante se especifican.

El tratamiento consistirá en SERVICIO DE ASESORIA LABORAL Y FISCAL.

Identificación de la información afectada

Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, la entidad ESTUDIO 17 FOTOGRAFIA (MARÍA DEL CARMEN DASILVA CEBADERA) como responsable del tratamiento, pone a disposición de la entidad NOBRE DE LA EMPRESA la información disponible en los equipos informáticos que dan soporte a los tratamientos de datos realizados por el responsable.

Duración

El presente acuerdo tiene una duración de TIEMPO, siendo renovado automáticamente salvo decisión en contra por alguna de las partes.

Una vez finalice el presente contrato, el encargado del tratamiento debe devolver al responsable los datos personales tratados y suprimir cualquier copia que mantenga en su poder. No obstante, podrá mantener bloqueados los datos por el tiempo mínimo necesario para atender posibles responsabilidades que pudieran derivarse de su relación con ESTUDIO 17 FOTOGRAFIA (MARÍA DEL CARMEN DASILVA CEBADERA), destruyéndose de forma segura y definitiva al finalizar dicho plazo.

Obligaciones del encargado del tratamiento

El encargado del tratamiento y todo su personal se obliga a:

Utilizar los datos personales a los que tenga acceso como consecuencia de la prestación del servicio sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.

Tratar los datos de acuerdo con las instrucciones documentadas del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones facilitadas infringe el Reglamento General de Protección de Datos o cualquier otra disposición en materia de protección de datos, el encargado informará inmediatamente al responsable.

No comunicar ni difundir los datos a terceros, salvo que cuente con la autorización expresa del responsable del tratamiento o en los supuestos legalmente admisibles. Si el encargado quiere subcontratar, total o parcialmente, los servicios objeto de este contrato, tiene que informar al responsable y solicitar su autorización previa.

Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice el contrato.

Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que el encargado deberá informarles convenientemente.

Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.

Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.

Notificación de violaciones de la seguridad de los datos:

El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida y a través de la dirección de correo electrónico que le indique el responsable, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. Asimismo, notificará cualquier fallo que haya sufrido en sus sistemas de tratamiento y gestión de la información y que pueda poner en peligro la seguridad de los datos personales tratados, su integridad o disponibilidad, así como cualquier posible vulneración de la confidencialidad como consecuencia de la puesta en conocimiento de terceros de los datos e informaciones accedidos durante la ejecución del contrato.

Se facilitará, como mínimo, la información siguiente:

Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.

Datos de la persona de contacto para obtener más información.

Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.

Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

Poner disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para permitir y contribuir a la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él.

Auxiliar al responsable de tratamiento a implantar las medidas de seguridad necesarias para:

Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.

Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y

organizativas implantadas para garantizar la seguridad del tratamiento.

Destino de los datos:

El encargado del tratamiento no conservará datos de carácter personal relativos a los tratamientos realizados salvo que sea estrictamente necesario para la prestación del servicio objeto del contrato y solo por el tiempo mínimo imprescindible.

Una vez finalizada la prestación del servicio objeto de contrato, el encargado del tratamiento suprimirá, devolverá al responsable o entregará, en su caso, a un nuevo encargado, según determine ESTUDIO 17 FOTOGRAFIA (MARÍA DEL CARMEN DASILVA CEBADERA), todos los

datos de carácter personal.

No procede la destrucción de los datos cuando exista una previsión legal que obligue a su conservación, en cuyo caso deben devolverse al responsable que garantizará su conservación, debidamente bloqueados, mientras tal obligación persista.

La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado. No obstante, el encargado puede conservar una copia de los datos, debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de los servicios prestados al responsable del tratamiento.

Obligaciones del responsable del tratamiento

Corresponde al responsable del tratamiento:

Facilitar al encargado el acceso a los equipos a fin de que pueda prestar el servicio contratado.

Velar, de forma previa y durante todo el tratamiento, por el cumplimiento de las disposiciones vigentes en material de protección de datos por parte del encargado del tratamiento.

Supervisar el tratamiento, incluida la posibilidad de solicitar información para verificar el cumplimiento de las obligaciones establecidas en el presente contrato.

En , a de de

Fdo: Fdo:

FIRMA RESPONSABLE DEL TRATAMIENTO FIRMA ENCARGADO DEL TRATAMIENTO

Cláusulas de confidencialidad para prestadores de servicio con acceso accidental a los datos.

Deber de confidencialidad

La prestación de servicio objeto de este contrato no incluye el tratamiento de datos de carácter personal.

No obstante, en el caso de que el personal de NOMBRE DE LA EMPRESA , de forma accidental o accesoria, fuera conocedor de información de datos de carácter personal relativa a las actividades de tratamiento de ESTUDIO 17 FOTOGRAFIA (MARÍA DEL CARMEN DASILVA CEBADERA), vendrán obligados a observar estrictamente el deber de secreto y confidencialidad, tanto durante el transcurso de la relación contractual como una vez extinguida esta,

siguiendo en todo momento las indicaciones del personal de ESTUDIO 17 FOTOGRAFIA (MARÍA DEL CARMEN DASILVA CEBADERA).

no pudiendo utilizar la información a la que hubieran podido tener acceso para ninguna finalidad distinta a la derivada de la prestación de servicio y,

no pudiendo divulgar, dar a conocer ni utilizar en beneficio propio o de terceros la información que hubieran podido conocer durante la prestación del servicio objeto de este contrato.

En , a de de

Fdo: Fdo:

FIRMA RESPONSABLE DEL TRATAMIENTO FIRMA ENCARGADO DEL TRATAMIENTO

‌ANEXO IX

Aviso legal para firma de correos electrónicos

AVISO LEGAL

En cumplimiento del Reglamento (UE) 2016/679, le informamos que sus datos forman parte de un fichero titularidad de ESTUDIO 17 FOTOGRAFIA (www.dfestudio17.com) con CIF: 04214139X Si no desea seguir recibiendo comunicaciones a través de esta vía o si desea ejercitar los derechos de información, acceso, rectificación, supresión, oposición, limitación del tratamiento o portabilidad de los datos, puede hacerlo enviando una solicitud por escrito a la siguiente dirección: ESTUDIO 17 FOTOGRAFIA (www.dfestudio17.com) , Calle Hernán Cortés, 17, 45612, Velada, junto con prueba válida en derecho, como fotocopia del DNI. Tanto la información contenida en este e-mail, como en los documentos adjuntos, es información confidencial y privilegiada para uso exclusivo de la persona o personas a las que va dirigido. No está permitido el acceso a este mensaje a cualquier persona distinta a los indicados. Si no es uno de los destinatarios, cualquier duplicación, reproducción, distribución, así como cualquier uso de la información contenida o cualquier otra acción u omisión tomada en relación con el mismo, está prohibida o puede ser ilegal.

‌ANEXO X.

MEDIDAS DE SEGURIDAD

Las medidas de seguridad mínimas que debería tener en cuenta son las siguientes:

MEDIDAS ORGANIZATIVAS

INFORMACIÓN QUE DEBERÁ SER CONOCIDA POR TODO EL PERSONAL CON ACCESO A DATOS PERSONALES

Todo el personal con acceso a los datos personales deberá tener conocimiento de sus obligaciones con relación a los tratamientos de datos personales y serán informados acerca de dichas obligaciones. La información mínima que será conocida por todo el personal será la siguiente:

DEBER DE CONFIDENCIALIDAD Y SECRETO

Se deberá evitar el acceso de personas no autorizadas a los datos personales. A tal fin se evitará dejar los datos personales expuestos a terceros (pantallas electrónicas desatendidas, documentos en papel en zonas de acceso público, soportes con datos personales, etc.). Esta consideración incluye las pantallas que se utilicen para la visualización de imágenes del sistema de videovigilancia. Cuando se ausente del puesto de trabajo, se procederá al bloqueo de la pantalla

o al cierre de la sesión.

Los documentos en papel y soportes electrónicos se almacenarán en lugar seguro (armarios o estancias de acceso restringido) durante las 24 horas del día.

No se desecharán documentos o soportes electrónicos (cd, pen drives, discos duros, etc.) con datos personales sin garantizar su destrucción efectiva

No se comunicarán datos personales o cualquier otra información de carácter personal a terceros, prestando especial atención a no divulgar datos personales protegidos durante las consultas telefónicas, correos electrónicos, etc.

El deber de secreto y confidencialidad persiste incluso cuando finalice la relación laboral del trabajador con la empresa.

VIOLACIONES DE SEGURIDAD DE DATOS DE CARÁCTER PERSONAL

Cuando se produzcan violaciones de seguridad de datos de carácter personal como, por ejemplo, el robo o acceso indebido a los datos personales se notificará a la Agencia Española de Protección de Datos en término de 72 horas acerca de dichas violaciones de seguridad, incluyendo toda la información necesaria para el esclarecimiento de los hechos que hubieran dado lugar al acceso indebido a los datos personales. La notificación se realizará por medios electrónicos a través de la sede electrónica de la Agencia Española de Protección de Datos en la dirección https://sedeagpd.gob.es/sede-electronica-web/.

MEDIDAS TÉCNICAS

IDENTIFICACIÓN

o Cuando el mismo ordenador o dispositivo se utilice para el tratamiento de datos personales y fines de uso personal se recomienda disponer de varios perfiles o usuarios distintos para cada una de las finalidades. Deben mantenerse separados los usos profesional y personal del ordenador.

Se recomienda disponer de perfiles con derechos de administración para la instalación y configuración del sistema y usuarios sin privilegios o derechos de administración para el acceso a los datos personales. Esta medida evitará que en caso de ataque de ciberseguridad puedan obtenerse privilegios de acceso o modificar el sistema operativo.

Se garantizará la existencia de contraseñas para el acceso a los datos personales almacenados en sistemas electrónicos. La contraseña tendrá al menos 8 caracteres, mezcla de números y letras.

Cuando a los datos personales accedan distintas personas, para cada persona con acceso a los datos personales, se dispondrá de un usuario y contraseña específicos (identificación inequívoca).

Se debe garantizar la confidencialidad de las contraseñas, evitando que queden expuestas a terceros. En ningún caso se compartirán las contraseñas ni se dejarán anotadas en lugar común y el acceso de personas distintas del usuario.

DEBER DE SALVAGUARDA

A continuación, se exponen las medidas técnicas mínimas para garantizar la salvaguarda de los datos personales:

ACTUALIZACIÓN DE ORDENADORES Y DISPOSITIVOS: Los dispositivos y

ordenadores utilizados para el almacenamiento y el tratamiento de los datos personales deberán mantenerse actualizados en la media posible.

MALWARE: En los ordenadores y dispositivos donde se realice el tratamiento automatizado de los datos personales se dispondrá de un sistema de antivirus que garantice en la medida posible el robo y destrucción de la información y datos personales. El sistema de antivirus deberá ser actualizado de forma periódica.

CORTAFUEGOS O FIREWALL: Para evitar accesos remotos indebidos a los datos personales se velará por garantizar la existencia de un firewall activado y correctamente configurado en aquellos ordenadores y dispositivos en los que se realice el almacenamiento y/o tratamiento de datos personales.

CIFRADO DE DATOS: Cuando se precise realizar la extracción de datos personales fuera del recinto donde se realiza su tratamiento, ya sea por medios físicos o por medios electrónicos, se deberá valorar la posibilidad de utilizar un método de encriptación para garantizar la confidencialidad de los datos personales en caso de acceso indebido a la información.

COPIA DE SEGURIDAD: Periódicamente se realizará una copia de seguridad en un segundo soporte distinto del que se utiliza para el trabajo diario. La copia se almacenará en lugar seguro, distinto de aquél en que esté ubicado el ordenador con los ficheros originales, con el fin de permitir la recuperación de los datos personales en caso de pérdida de la información.

Las medidas de seguridad serán revisadas de forma periódica, la revisión podrá realizarse por mecanismos automáticos (software o programas informáticos) o de forma manual.

‌ANEXO XII.

AVISO WEB

POLITICA DE PRIVACIDAD

En cumplimiento de lo establecido en la legislación vigente en materia de protección de datos de carácter personal, Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril del 2016 (RGPD) y de la Ley Orgánica 3/2018, de 5 de diciembre, le informamos que los datos recabados para cumplimentar los formularios de la presente página web serán tratados en un fichero responsabilidad de ESTUDIO 17 FOTOGRAFIA (MARÍA DEL CARMEN DASILVA CEBADERA) con la finalidad de poder gestionar su solicitud, así como para mantenerle informado de futuras noticias y novedades.

El ESTUDIO 17 FOTOGRAFIA se compromete a tratar de forma confidencial los datos de carácter personal facilitados y a no comunicar o ceder dicha informacion a terceros.

A su vez, y en virtud de lo establecido en la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Informacion y de Comercio electrónico de ESTUDIO 17 FOTOGRAFIA informa que podrá utilizar las direcciones de correo electrónico facilitadas, para remitirle informacion de interés relativa a la actividad de la empresa.

Asimismo, le informamos de la posibilidad que tiene de ejercer los derechos de acceso, rectificación, cancelación, limitación y oposición de sus datos de carácter personal mediante correo postal dirigido a ESTUDIO 17 FOTOGRAFIA Calle Hernán Cortés,17, 45612, Velada. También puede remitir correo electrónico adjuntando copia de su DNI a estudio17foto@gmail.com.

La base legal para el tratamiento de sus datos para el cumplimiento del servicio solicitado se realizará mediante la ejecución de un contrato e interés legítimo, y/o la aceptación expresa de la presente política de privacidad.

POLITICA DE COOKIES

¿Qué es una cookie?

Una cookie es un fichero de texto inofensivo que se almacena en su navegador cuando visita casi cualquier página web. La utilidad de la cookie es que la web sea capaz de recordar su visita cuando vuelva a navegar por esa página. Aunque mucha gente no lo sabe las cookies se llevan utilizando desde hace 20 años, cuando aparecieron los primeros navegadores para la World Wide Web.

¿Qué NO ES una cookie?

No es un virus, ni un troyano, ni un gusano, ni spam, ni spyware, ni abre ventanas pop-up.

¿Qué información almacena una cookie?

Las cookies no suelen almacenar información sensible sobre usted, como tarjetas de crédito o datos bancarios, fotografías, su DNI o información personal, etc. Los datos que guardan son de carácter técnico, preferencias personales, personalización de contenidos, etc.

El servidor web no le asocia a usted como persona si no a su navegador web. De hecho, si usted navega habitualmente con Internet Explorer y prueba a navegar por la misma web con Firefox o Chrome verá que la web no se da cuenta que es usted la misma persona porque en realidad está asociando al navegador, no a la persona.

¿Qué tipo de cookies existen?

Cookies técnicas: Son las más elementales y permiten, entre otras cosas, saber cuándo está navegando un humano o una aplicación automatizada, cuándo navega un usuario anónimo y uno registrado, tareas básicas para el funcionamiento de cualquier web dinámica.

Cookies de análisis: Recogen información sobre el tipo de navegación que está realizando, las secciones que más utiliza, productos consultados, franja horaria de uso, idioma, etc.

Cookies publicitarias: Muestran publicidad en función de su navegación, su país de procedencia, idioma, etc.

¿Qué son las cookies propias y las de terceros?

Las cookies propias son las generadas por la página que está visitando y las de terceros son las generadas por servicios o proveedores externos como Facebook, Twitter, Google, etc.

¿Qué ocurre si desactivo las cookies?

Para que entienda el alcance que puede tener desactivar las cookies le mostramos unos ejemplos:

No podrá compartir contenidos de esa web en Facebook, Twitter o cualquier otra red social.

El sitio web no podrá adaptar los contenidos a sus preferencias personales, como suele ocurrir en las tiendas online.

No podrá acceder al área personal de esa web, como por ejemplo Mi cuenta, o Mi perfil o Mis pedidos.

Tiendas online: Le será imposible realizar compras online, tendrán que ser telefónicas o visitando la tienda física si es que dispone de ella.

No será posible personalizar sus preferencias geográficas como franja horaria, divisa o idioma.

El sitio web no podrá realizar analíticas web sobre visitantes y tráfico en la web, lo que dificultará que la web sea competitiva.

No podrá escribir en el blog, no podrá subir fotos, publicar comentarios, valorar o puntuar contenidos. La web tampoco podrá saber si usted es un humano o una aplicación automatizada que publica spam.

No se podrá mostrar publicidad sectorizada, lo que reducirá los ingresos publicitarios de la web.

Todas las redes sociales usan cookies, si las desactiva no podrá utilizar ninguna red social.

¿Se pueden eliminar las cookies?

Sí. No sólo eliminar, también bloquear, de forma general o particular para un dominio específico.

Para eliminar las cookies de un sitio web debe ir a la configuración de su navegador y allí podrá buscar las asociadas al dominio en cuestión y proceder a su eliminación.

Cookies utilizadas en este sitio web

Siguiendo las directrices de la Agencia Española de Protección de Datos procedemos a detallar el uso de cookies que hace esta web con el fin de informarle con la máxima exactitud posible.

Este sitio web utiliza las siguientes cookies propias:

Cookies de sesión, para garantizar que los usuarios que escriban comentarios en el blog sean humanos y no aplicaciones automatizadas. De esta forma se combate el spam.

Este sitio web utiliza las siguientes cookies de terceros:

Google Analytics: Almacena cookies para poder elaborar estadísticas sobre el tráfico y volumen de visitas de esta web. Al utilizar este sitio web está consintiendo el tratamiento de información acerca de usted por Google. Por tanto, el ejercicio de cualquier derecho en este sentido deberá hacerlo comunicando directamente con Google.

Google Adwords: es la herramienta de Google que permite publicar anuncios en su buscador. Las cookies de Google AdWords nos permiten medir el éxito de nuestras campañas publicitarias, calculando el importe de las ventas generado por cada campaña.

Redes sociales: Cada red social utiliza sus propias cookies para que usted pueda pinchar en botones del tipo Me gusta o Compartir.

Desactivación o eliminación de cookies

En cualquier momento podrá ejercer su derecho de desactivación o eliminación de cookies de este sitio web. Estas acciones se realizan de forma diferente en función del navegador que esté usando. Tal y como se muestra a continuación:

Configuración de cookies para los navegadores más populares

A continuación, le indicamos cómo acceder a una cookie determinada del navegador Chrome. Nota: estos pasos pueden variar en función de la versión del navegador:

Vaya a Configuración o Preferencias mediante el menú Archivo o bien pinchando el icono de personalización que aparece arriba a la derecha.

Verá diferentes secciones, pinche la opción Mostrar opciones avanzadas.

Vaya a Privacidad, Configuración de contenido.

Seleccione Todas las cookies y los datos de sitios.

Aparecerá un listado con todas las cookies ordenadas por dominio. Para que le sea más fácil encontrar las cookies de un determinado dominio introduzca parcial o totalmente la dirección en el campo Buscar cookies.

Tras realizar este filtro aparecerán en pantalla una o varias líneas con las cookies de la web solicitada. Ahora sólo tiene que seleccionarla y pulsar la X para proceder a su eliminación.

Para acceder a la configuración de cookies del navegador Internet Explorer siga estos pasos (pueden variar en función de la versión del navegador):

Vaya a Herramientas, Opciones de Internet

Haga click en Privacidad.

Mueva el deslizador hasta ajustar el nivel de privacidad que desee.

Para acceder a la configuración de cookies del navegador Microsoft Edge siga estos pasos (pueden variar en función de la versión del navegador):

Vaya a Configuración, Cookies y datos almacenados

Haga click en Administra y elimina cookies y datos del sitio.

Ver todas las cookies y datos del sitio

Tras realizar este filtro aparecerán en pantalla una o varias líneas con las cookies de la web solicitada. Ahora sólo tiene que seleccionarla y pulsar el símbolo de la papelera para proceder a su eliminación.

Para acceder a la configuración de cookies del navegador Firefox siga estos pasos (pueden variar en función de la versión del navegador):

Vaya a Opciones o Preferencias según su sistema operativo.

Haga click en Privacidad.

En Historial elija Usar una configuración personalizada para el historial.

Ahora verá la opción Aceptar cookies, puede activarla o desactivarla según sus preferencias.

Para acceder a la configuración de cookies del navegador Safari para OSX siga estos pasos (pueden variar en función de la versión del navegador):

Vaya a Preferencias, luego Privacidad.

En este lugar verá la opción Bloquear cookies para que ajuste el tipo de bloqueo que desea realizar.

Para acceder a la configuración de cookies del navegador Safari para iOS siga estos pasos (pueden variar en función de la versión del navegador):

Vaya a Ajustes, luego Safari.

Vaya a Privacidad y Seguridad, verá la opción Bloquear cookies para que ajuste el tipo de bloqueo que desea realizar.

Para acceder a la configuración de cookies del navegador para dispositivos Android siga estos pasos (pueden variar en función de la versión del navegador):

Ejecute el navegador y pulse la tecla Menú, luego Ajustes.

Vaya a Seguridad y Privacidad, verá la opción Aceptar cookies para que active o desactive la casilla.

Para acceder a la configuración de cookies del navegador para dispositivos Windows Phone siga estos pasos (pueden variar en función de la versión del navegador):

Abra Internet Explorer, luego Más, luego Configuración

Ahora puede activar o desactivar la casilla Permitir cookies.

Notas adicionales

Ni esta web ni sus representantes legales se hacen responsables ni del contenido ni de la veracidad de las políticas de privacidad que puedan tener los terceros mencionados en esta política de cookies.

Los navegadores web son las herramientas encargadas de almacenar las cookies y desde este lugar debe efectuar su derecho a eliminación o desactivación de estas. Ni esta web ni sus representantes legales pueden garantizar la correcta o incorrecta manipulación de las cookies por parte de los mencionados navegadores.

En algunos casos es necesario instalar cookies para que el navegador no olvide su decisión de no aceptación de estas.

En el caso de las cookies de Google Analytics, esta empresa almacena las cookies en servidores ubicados en Estados Unidos y se compromete a no compartirla con terceros, excepto en los casos en los que sea necesario para el funcionamiento del sistema o cuando la ley obligue a tal efecto. Según Google no guarda su dirección IP. Google Inc. es una compañía adherida al Acuerdo de Puerto Seguro que garantiza que todos los datos transferidos serán tratados con un nivel de protección acorde a la normativa europea. Si desea información sobre el uso que Google da a las cookies le adjuntamos este otro enlace.

Para cualquier duda o consulta acerca de esta política de cookies no dude en comunicarse con nosotros a través de la sección de contacto.

AVISO LEGAL

En cumplimiento con el deber de información recogido en artículo 10 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y del Comercio Electrónico, a continuación, se reflejan los siguientes datos: el titular de www.dfestudio17.com es MARÍA DEL CARMEN DASILVA CEBADERA., con C.I.F: 04214139X y con domicilio

social en Calle Hernán Cortés,17, 45612, Velada. Correo electrónico de contacto: estudio17foto@gmail.com

CONDICIONES DE USO

ACCESO A LOS CONTENIDOS Y USO: www.dfestudio17.com proporciona acceso libre y gratuito a informaciones, servicios, programas y datos referidos a la actividad de la empresa.

El USUARIO asume la responsabilidad del uso del portal. Dicha responsabilidad se extiende al registro que fuese necesario para acceder a determinados servicios o contenidos. En dicho registro el USUARIO será responsable de aportar información veraz y lícita. Como consecuencia de este registro, al USUARIO se le puede proporcionar una contraseña de la que será responsable, comprometiéndose a hacer un uso diligente y confidencial de la misma.

El USUARIO se compromete a hacer un uso adecuado de los contenidos y servicios y, a no emplearlos para:

Incurrir en actividades ilícitas, ilegales o contrarias a la buena fe y al orden público;

Difundir contenidos o propaganda de carácter racista, xenófobo, pornográfico-ilegal, de apología del terrorismo o atentatorio contra los derechos humanos;

Provocar daños en los sistemas físicos y lógicos de ESTUDIO 17 FOTOGRAFIA, de sus proveedores o de terceras personas, introducir o difundir en la red virus informáticos o cualesquiera otros sistemas físicos o lógicos que sean susceptibles de provocar los daños anteriormente mencionados;

Intentar acceder y, en su caso, utilizar las cuentas de correo electrónico de otros usuarios y modificar o manipular sus mensajes.

ESTUDIO 17 FOTOGRAFIA. se reserva el derecho de retirar todos aquellos comentarios y aportaciones que vulneren el respeto a la dignidad de la persona, que sean discriminatorios, xenófobos, racistas, pornográficos, que atenten contra la juventud o la infancia, el orden o la seguridad pública o que, a su juicio, no resultaran adecuados para su publicación. En cualquier caso, ESTUDIO 17 FOTOGRAFIA. no será responsable de las opiniones vertidas por los usuarios a través de los foros, chats, u otras herramientas de participación.

PROPIEDAD INTELECTUAL E INDUSTRIAL: Se prohíbe la reproducción, la distribución y la comunicación pública, incluida su modalidad de puesta a disposición, de la totalidad o parte de los contenidos de esta página web, con fines comerciales, en cualquier soporte y por cualquier medio técnico, sin la autorización de ESTUDIO 17 FOTOGRAFIA.

El USUARIO podrá visualizar, imprimir, copiar, almacenar los elementos del portal siempre y cuando sea, única y exclusivamente, para su uso personal y privado.

EXCLUSIÓN DE GARANTÍAS Y RESPONSABILIDAD: ESTUDIO 17 FOTOGRAFIA no

se hace responsable, en ningún caso, de los daños y perjuicios de cualquier naturaleza que pudieran ocasionar, a título enunciativo: errores u omisiones en los contenidos, falta de disponibilidad del portal o la transmisión de virus o programas maliciosos o lesivos en los contenidos, a pesar de haber adoptado todas las medidas tecnológicas necesarias para evitarlo.

MODIFICACIONES: ESTUDIO 17 FOTOGRAFIA se reserva el derecho de efectuar sin previo aviso las modificaciones que considere oportunas en su portal, pudiendo cambiar, suprimir o añadir tanto los contenidos y servicios que se presten a través de la misma como la forma en la que éstos aparezcan presentados o localizados en su portal.

ENLACES: En el caso de que en www.dfestudio17.com se dispusiesen enlaces o hipervínculos hacía otros sitios de Internet, ESTUDIO 17 FOTOGRAFIA no ejercerá ningún tipo de control sobre dichos sitios y contenidos. En ningún caso ESTUDIO 17 FOTOGRAFIA. asumirá responsabilidad alguna por los contenidos de algún enlace perteneciente a un sitio web ajeno, ni garantizará la disponibilidad técnica, calidad, fiabilidad, exactitud, amplitud, veracidad, validez y constitucionalidad de cualquier material o información contenida en ninguno de dichos hipervínculos u otros sitios de Internet. Igualmente, la inclusión de estas conexiones externas no implicará ningún tipo de asociación, fusión o participación con las entidades conectadas.

DOCUMENTO DE SEGURIDAD

Fecha última actualización

01/03/2025

Documento de Seguridad elaborado por:

TEMEWEB S.L.

INDICE:

ÁMBITO DE APLICACIÓN DEL DOCUMENTO 3