CIRCULAR SOBRE POLÍTICA DE SEGURIDAD DE DATOS PERSONALES Y CONFIDENCIALES, Y SOBRE EL USO DE LOS RECURSOS Y SISTEMAS DE LA EMPRESA PARA TODOS LOS USUARIOS

El objeto de la presente circular es la difusión de las funciones y obligaciones del personal de LA EMPRESA, en materia de seguridad de datos personales, según se establece en el Reglamento (UE) 2016/679, de 27 de abril de 2016 y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, los datos Confidenciales pertenecientes a la EMPRESA, y la política de uso por parte del personal y colaboradores de los recursos y sistemas de la EMPRESA.

La normativa de seguridad plasmada en el Documento de Seguridad es de obligado cumplimiento para todo el personal (interno y externo) con acceso a los datos automatizados de carácter personal y a los sistemas de información. Este manual se encuentra a disposición de quién lo desee consultar, previa solicitud al Responsable de Seguridad (rnacher@satocan.com). No obstante, a continuación se presenta un resumen de los aspectos más relevantes:

• Con relación a los datos personales almacenados en sistemas no automatizados (papel) se observará las siguientes normas:

1. Mientras la documentación con datos de carácter personal no se encuentre archivada en los dispositivos habilitados para su almacenamiento, por estar en proceso de revisión o tramitación, ya sea previo o posterior a su archivo, la persona que se encuentre al cargo de la misma deberá custodiarla e impedir en todo momento que pueda ser accedida por personal no autorizado.
2. La generación de copias o la reproducción de los documentos únicamente podrá ser realizada bajo el control del personal autorizado en el Documento de Seguridad.
3. Deberá procederse a la destrucción de las copias o reproducciones desechadas de forma que se evite el acceso a la información contenida en las mismas o su recuperación posterior.
4. Siempre que se proceda al traslado físico de la documentación contenida en un fichero, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado.

• Con relación a las contraseñas se habrán de observar las siguientes normas:

1. Se evitarán nombres comunes, números de matrículas de vehículos, teléfonos, nombres de familiares, amigos, etc. y derivados del nombre de usuario como permutaciones o cambio de orden de las letras, transposiciones, repeticiones de un único carácter, etc.
2. No se accederá al sistema utilizando el identificador y la contraseña de otro usuario. Las responsabilidades de cualquier acceso realizado utilizando un identificador determinado, recaerán sobre el usuario al que hubiera sido asignado.

• Cualquier soporte informático recibido en la organización, deberá ser registrado, siguiendo el procedimiento establecido en el Documento de Seguridad. Una vez procesado, el soporte recibido deberá ser borrado completamente. En el caso de que por un motivo justificado se desee conservar el soporte recibido, deberá inventariarse, siguiendo las normas descritas en el Documento de Seguridad.

• La salida de soportes informáticos y ordenadores personales que contengan datos de carácter personal o datos confidenciales de la empresa fuera de la organización precisa de autorización. En el Documento de Seguridad se describen el procedimiento para obtenerla.

• Toda incidencia en materia de seguridad deberá comunicarse, siguiendo las instrucciones determinadas en el citado manual, al Responsable de Seguridad (rnacher@satocan.com).

• Todos los ficheros temporales que los usuarios mantengan en sus ordenadores personales deberán ser borrados, una vez haya finalizado la finalidad para la que fueron creados.

• Queda terminantemente prohibido la creación de nuevos ficheros que supongan el tratamiento de datos personales así como la cesión de los mismos sin previa autorización de la Dirección.

• No está permitido instalar de “motu propio” ningún producto informático en ordenadores y sistemas de información de la organización. Todas aquellas aplicaciones necesarias para el desempeño de su trabajo serán instaladas únicamente por personal del Departamento de Sistemas de Información o empresa prestataria de los servicios informáticos.

• Queda prohibido utilizar los recursos de los sistemas de la Empresa a los que tenga acceso para uso privado o para cualquier otra finalidad diferente de las estrictamente laborales, incluido el correo electrónico o los dispositivos facilitados por la Empresa. La Dirección de la Empresa actuará disciplinariamente para su corrección.

• En consecuencia, los empleados no podrán en ningún caso tener legítimas expectativas de privacidad respecto de comunicaciones o materiales personales que, en contravención de lo anterior, puedan almacenarse o enviarse a través de los sistemas de la empresa (bases de datos, gestor documental, correo electrónico, dispositivos, etc.). Toda documentación y comunicaciones que se encuentren en los sistemas de la EMPRESA se reputarán titularidad de ésta, estando legitimada a su acceso y control. 

A estos efectos, se pone en expreso conocimiento del empleado que la comprobación e inspección de la totalidad del sistema informático se realiza periódicamente por parte del personal del Departamento de Informática, abriendo y rastreando todo el sistema sin excepción. De este modo, podrán comprobarse eventuales incumplimientos de esta orden empresarial o de cualesquiera otras obligaciones de los empleados, lo que motivará la adopción de medidas disciplinarias por parte de la Dirección. En particular, la EMPRESA podrá comprobar el uso de los dispositivos puestos a disposición de los empleados y el correo electrónico profesional, cuando se sospeche que se ha producido un uso indebido de los mismos o existan indicios de incumplimiento de las obligaciones de los empleados o colaboradores.

Lo anterior se extiende al contenido de todos los documentos y comunicaciones almacenados en los sistemas de la empresa (Drive, bases de datos, correo electrónico, etc.), que son de propiedad de LA EMPRESA, y que podrán ser objeto de auditoría sobre su contenido, uso y alteraciones.

• Bajo ningún concepto puede revelarse a persona alguna ajena a LA EMPRESA información, a la que haya tenido acceso en el desempeño de sus funciones, sin la debida autorización. El empleado ha sido informado sobre los daños que puede causar desvelar o difundir información confidencial o datos personales titularidad de la EMPRESA, o de la que sea responsable o encargado del tratamiento la EMPRESA. 

• Queda terminantemente prohibido facilitar a persona alguna ajena a LA EMPRESA ningún soporte conteniendo datos, a los que haya tenido acceso en el desempeño de sus funciones, sin la debida autorización.

• Únicamente está permitido utilizar la información referida en el apartado anterior en la forma exigida por el desempeño de sus funciones en LA EMPRESA sin estar permitido disponer de ella de ninguna otra forma o para otra finalidad diferente.

• Queda terminantemente prohibido utilizar ninguna información que hubiese podido obtener por su condición de empleado o usuario de LA EMPRESA y que no sea necesario para el desempeño de sus funciones.

• Todos los compromisos anteriores deben mantenerse, incluso después de extinguida la relación laboral con LA EMPRESA.

Asimismo, se recuerda que el trabajador será responsable frente a LA EMPRESA y frente a terceros de cualquier daño que pudiera derivarse para unos u otros del incumplimiento de los compromisos anteriores y resarcirá a LA EMPRESA las indemnizaciones, sanciones o reclamaciones que ésta se vea obligada a satisfacer como consecuencia de dicho incumplimiento.