POLÍTICA DE SEGURETAT del personal + Funcions I obligacions I+D

El Responsable del tractament es compromet a implantar una cultura de privacitat en l’organització, per la qual cosa necessita que les persones autoritzades a tractar dades personals estiguin informades del tractament de dades i se’n responsabilitzin.

S’exigeix a qualsevol persona autoritzada per tractar dades personals que llegeixi, comprengui, compleixi i faci complir aquesta Política de seguretat per protegir les dades que formen part del tractament que se li ha encomanat.

Aquesta Política de seguretat estableix les obligacions i procediments que ha de seguir el personal de l’organització, tant propi com extern, que tracta dades personals en el desenvolupament de la seva activitat i es basa en el que estableix el Reglament (UE) 2016/679, de 27 d’abril de 2016 (GDPR), i la Llei Orgànica 3/2018, de 5 de desembre (LOPDGDD).

En aquest sentit, per vetllar pel compliment d’aquesta Política, l’organització ha designat un Responsable de seguretat que estarà a disposició de tot el personal i s’encarregarà de coordinar, controlar, desenvolupar i verificar el compliment de les esmentades normatives.

Per proporcionar una millor comprensió de la protecció de dades, definim els principals conceptes bàsics:

Estructura del tractament:

• Dades personals: Informació relativa a una persona física per la qual pugui determinar-se’n la identitat.
• Tractament: Qualsevol operació realitzada sobre dades personals: obtenció, accés, intervenció, transmissió, conservació i supressió.
• Interessat: Persona física sotmesa al tractament de les seves dades personals.
• Fitxer: Conjunt estructurat de dades personals susceptibles de tractament per a una finalitat determinada.
• Responsable del tractament: Organització que determina les finalitats i els mitjans del tractament.
• Personal autoritzat: Persona autoritzada pel Responsable per efectuar un tractament de dades mitjançant un compromís de confidencialitat.

Categories de dades:

• Bàsiques: Dades que no corresponguin a categories Penals o Especials, per exemple: nom, adreça, e-mail, número de telèfon, edat, sexe, firma, imatge, aficions, patrimoni, dades bancàries, informació acadèmica, professional, social, financera, etc.
• Penals: Dades relatives a la comissió d’infraccions administratives o penals, o dades que puguin oferir una definició de característiques de personalitat, etc.
• Especials: Dades relatives a l’origen ètnic o racial, opinions polítiques, conviccions religioses o filosòfiques, afiliació sindical, dades genètiques o biomètriques que permetin la identificació unívoca d’una persona, dades relatives a la salut o a la vida i orientació sexuals.

Els principis fonamentals per efectuar un tractament de dades són:

• Licitud: lleialtat i transparència amb l’interessat.
• Limitació de les finalitats: tractades per a finalitats determinades.
• Minimització de les dades: només s’han d’obtenir les dades necessàries per assolir les finalitats.
• Exactitud: actualitzades.
• Limitació del termini de conservació: guardades no més temps del necessari per aconseguir les finalitats.
• Integritat i confidencialitat: aplicació de mesures de seguretat per a la protecció de dades en totes les fases del tractament.
• Responsabilitat proactiva: s’ha de poder demostrar el compliment de tots els principis de protecció de dades.

Consentiment per efectuar un tractament de dades

• Quan el tractament de dades personals es basi en el consentiment de l'interessat, haurem d'obtenir el consentiment explícit per tractar-los i guardar el document probatori que ho acrediti.
• Si s’obtenen les dades de tercers, cal assegurar-se que la comunicació sigui lícita i guardar el document probatori que ho acrediti.
• No cal obtenir el consentiment de l’interessat si el tractament es basa en una obligació legal (per exemple, per emetre una factura), en una relació contractual, o en un interès legítim, públic o vital.

Informació del tractament a l'interessat

Caldrà facilitar la següent informació:

• La identitat i les dades de contacte del Responsable del tractament
• Les finalitats del tractament.
• La base jurídica del tractament.
• El termini de conservació de les dades o els criteris que ho determinin.
• Els drets que té l’interessat.
• I en cas que n’hi hagi:
• Els destinataris o categories de destinataris de les dades.
• La transmissió de dades a països o organitzacions establerts fora de l’UE.
• I si les dades no s'han obtingut de l'interessat:
• Categoria de dades.
• Fonts de procedència.

Responsabilitat del tractament

El tractament de dades pot realitzar-se per part d’organitzacions externes sempre que hi hagi una autorització expressa del Responsable i s’hagi subscrit un contracte per efectuar aquest tractament de conformitat amb la legislació vigent. Per saber quines empreses o tercers estan autoritzats a la cessió de dades, adreceu-vos al Responsable de seguretat.

Les organitzacions externes poden ser:

• Encarregats del tractament: Organització que tracta dades personals per compte del Responsable.
• Destinataris de dades: Organització diferent de l’Encarregat, que rep una comunicació de dades personals del Responsable.

Mesures de seguretat

L’organització ha implementat mesures tècniques i organitzatives per garantir un nivell de seguretat adequat als riscos que pugui comportar el tractament com a conseqüència de la destrucció accidental o il·lícita de dades, la pèrdua, alteració o comunicació no autoritzada i l’accés a les dades quan són transmeses, conservades o objecte d’algun altre tipus de tractament.

El personal ha de vetllar per la seguretat de les dades tractades per l’organització i comunicar al Responsable qualsevol operació de tractament que pugui suposar un risc que afecti la protecció de dades o els interessos i llibertats dels interessats.

Qualsevol disseny d’una nova operació de tractament o actualització d’una operació existent ha de garantir, abans d’implantar-se, la protecció de dades personals i l’exercici dels drets dels interessats en totes les fases del tractament: obtenció, accés, intervenció, transmissió, conservació i supressió.

El personal ha d’actuar en tot moment d’acord amb les instruccions que es detallen a l’acord de confidencialitat subscrit amb l’organització i les que estableix aquesta Política de seguretat. Per aquest motiu, s’estableixen, a continuació, les mesures de protecció de dades que el personal es compromet a complir expressament:

Organització de la informació

S’han de classificar les dades de manera que es puguin exercir els drets dels interessats: accés, rectificació, supressió i portabilitat de les dades i limitació o oposició al tractament.

Conservació de les dades

S’han de conservar les dades al mobiliari i departament destinats a aquesta finalitat. Per a tractaments automatitzats, cal guardar els arxius als suports, carpetes o directori de xarxa que indiqui el Responsable de seguretat.

No és permès de conservar dades a l’escriptori físic o digital. Només se’n permet el tractament temporal a l’escriptori per efectuar les operacions que ho requereixin, sempre que es conservin al lloc adequat en finalitzar la jornada laboral.

Accés a la informació

S’han d’aplicar els mecanismes d’accés restringit a la informació que hagi implementat l’organització i protegir les claus d’accés de qualsevol divulgació o comunicació a altres persones.

Cada persona només està autoritzada a accedir als recursos que siguin necessaris per al desenvolupament i compliment de les seves funcions.

Cal restringir l’accés als equips informàtics mitjançant procediments que puguin identificar i autenticar la persona que hi accedeixi. Els noms d’usuari i les contrasenyes tenen consideració de dades personals intransferibles.

Processament de dades

Els suports documentals i informàtics han d’estar disposats de tal manera que no siguin accessibles a persones no autoritzades.

Si una persona abandona el seu lloc de treball temporalment, ha d’ocultar els documents i bloquejar l’ordinador, de manera que no sigui possible la visualització de la informació amb què està treballant.

Quan s’utilitzin impressores o fotocopiadores, després de la impressió de treballs amb informació de caràcter personal, cal recollir-los immediatament, o imprimir de forma bloquejada, i assegurar-se de no deixar documents impresos a la safata de sortida.

Transport de suports

El transport de suports que contingui dades personals només el pot dur a terme el personal autoritzat o empreses externes contractades per a aquesta finalitat pel Responsable del tractament.

Eliminació de documents

Qualsevol document físic o suport digital que s’hagi d’eliminar i que inclogui dades personals s’ha de destruir amb la destructora o l’ha de retirar una empresa homologada de destrucció de documents.

Còpia de seguretat i recuperació de dades

El personal ha d’emmagatzemar tota la informació tractada al directori de xarxa corresponent indicat pel Responsable de seguretat, la qual cosa permetrà que s’hi apliquin les mesures de seguretat existents i que es duguin a terme els procediments de còpies de seguretat aplicats per l’organització.

Protecció de dades

S’han d’aplicar les mesures de protecció de dades que estableix l’organització en relació amb la seguretat del tractament, com ara la pseudonimització o xifrat de dades o advertències d’intrusió com antivirus, antispam, etc.

Gestió d’incidències

Es considera una incidència qualsevol violació de la seguretat que tingui com a conseqüència la destrucció accidental o il·lícita, pèrdua, alteració, o l’accés o comunicació no autoritzats de dades personals.

El personal té l’obligació de notificar, sense demora injustificada, qualsevol incidència que descobreixi al Responsable de seguretat per tenir-ne coneixement i per a l'aplicació de mesures correctores per posar remei i mitigar els efectes que pugui haver ocasionat. La persona que notifica la incidència ha de documentar-la amb una descripció detallada i la data i hora en què s’ha produït o se n’ha tingut constància.

Ésser conscient d’una incidència per part del personal i no notificar-la es considera una falta contra la seguretat de les dades i pot suposar l’inici d’accions legals, així com la reclamació d’indemnitzacions, sancions i danys o perjudicis que el Responsable es vegi obligat a atendre com a conseqüència d’aquest incompliment.

Els USUARIS són totes les persones que exerceixen funcions sota l’autoritat del RESPONSABLE que intervenen en el tractament de qualsevol informació generada per l’organització relativa tant a dades personals com a altres tipus de dades. Aquests han d'actuar d’acord amb les instruccions que es preveuen en l'Acord de confidencialitat i secret professional, i també s’han de comprometre a complir les funcions i obligacions relacionades en aquest annex.

Resten expressament prohibides les següents activitats:

1. Enviar a l’exterior o revelar a tercers informació que no hagi estat declarada com a no confidencial pel RESPONSABLE, mitjançant qualsevol procediment o suport, ja sigui electrònic, digital, manual o documental, o a través de qualsevol altre mitjà de comunicació, inclosa la simple visualització o accés a aquesta.
2. L’ús de càmeres fotogràfiques, de vídeo, de so o qualsevol instrument que pugui emmagatzemar informació audiovisual, la qual no només referida a persones, sinó també de qualsevol lloc, suport o recurs del RESPONSABLE.
3. Divulgar directament o a través de terceres persones o empreses les dades, documents, metodologia, claus, anàlisis, programes i altres informacions a les quals tinguin accés durant la seva relació laboral o professional amb l’organització, ja sigui en suport material com electrònic. Aquesta prohibició continuarà vigent després de l’extinció del contracte laboral per temps indefinit.
4. Disposar, per utilitzar fora de la seva responsabilitat, de material o informació propietat del RESPONSABLE o del seu client en el qual es duguin a terme els serveis, tant en l’actualitat com en el futur.

En cas que, per motius directament relacionats amb el lloc de treball, l’USUARI acabi en possessió d’informació que no hagi estat declarada com a no confidencial per part del RESPONSABLE, en qualsevol tipus de suport, s’ha d’entendre que aquesta possessió és estrictament temporal, amb obligació de secret i sense que això li atorgui cap dret de possessió, o titularitat o còpia sobre la informació esmentada.

Així mateix, l’USUARI ha de retornar aquests materials al RESPONSABLE immediatament després de finalitzar les tasques que n’han originat l’ús temporal i, en qualsevol cas, en finalitzar la relació laboral o professional. L’ús continuat de la informació en qualsevol format o suport de diferent manera de la pactada i sense consentiment del RESPONSABLE, no ha de comportar, en cap cas, una modificació d’aquesta clàusula.

L’incompliment d’aquestes obligacions pot constituir un delicte de revelació de secrets, previst als articles 197 i 278 del Codi Penal i atorgarà dret al RESPONSABLE a procedir com cregui oportú en defensa dels seus interessos i a exigir a l’USUARI una indemnització econòmica.

El Sistema Informàtic, i els terminals utilitzats per cada USUARI són, generalment, propietat del RESPONSABLE o d’un client seu.

Resten expressament prohibides les següents activitats:

1. L’ús de programes informàtics sense la llicència corresponent, així com l’ús, reproducció, cessió, transformació o comunicació pública de qualsevol tipus d’obra o invenció protegida per la propietat intel·lectual o industrial. L’incompliment podrà ser causa de responsabilitat disciplinària, administrativa, civil i penal.
2. Destruir, alterar, inutilitzar o danyar de qualsevol altra manera les dades, programes o documents electrònics del RESPONSABLE o de tercers. Aquests actes poden constituir un delicte de danys, previst a l’article 264.2 del Codi Penal.
3. Introduir voluntàriament programes, virus, macros, applets, controls ActiveX o qualsevol altre dispositiu lògic o seqüència de caràcters que causin o siguin susceptibles de causar qualsevol tipus d’alteració en els Sistemes Informàtics del RESPONSABLE o de tercers. Sobre aquest tema, cal recordar que el propi sistema executa automàticament els programes antivirus i les actualitzacions per prevenir l’entrada al sistema de qualsevol element destinat a destruir o corrompre les dades informàtiques.
4. Introduir, descarregar d’Internet, reproduir, utilitzar o distribuir programes informàtics no autoritzats expressament pel RESPONSABLE. Aquesta prohibició inclou qualsevol altre tipus d’obra o material els drets de propietat intel·lectual o industrial dels quals pertanyin a tercers, en cas que no es disposi d’una autorització.
5. Instal·lar còpies il legals de qualsevol programa, inclosos els que estiguin estandarditzats.
6. Esborrar qualsevol programa instal·lat de manera legal.
7. Introduir contingut obscens, immorals o ofensiu i, en general, que manquin d’utilitat per als objectius del RESPONSABLE.
8. Xifrar informació sense estar-hi expressament autoritzat.

Els sistemes que inclouen IA que poden ser utilitzats per cada USUARI són, amb caràcter general, els que siguin propietat del RESPONSABLE o d'un client d'aquest, o hagin estat contractats pel RESPONSABLE o un client d'aquest, i el seu ús s'haurà de realitzar sempre de manera responsable, ètica i garantint el compliment d'allò que s'estableix en el Reglament (UE) 2016/679 (RGPD) i la Llei Orgànica 3/2018 (LOPDGDD).

Només s'utilitzaran els sistemes que inclouen IA anteriorment descrits per a finalitats estrictament relacionades amb les funcions pròpies del lloc de treball de cada USUARI.

Els USUARIS hauran d'informar el RESPONSABLE quan els sistemes que inclouen IA autoritzats que estiguin utilitzant tinguin un impacte directe en la feina desenvolupada o en els seus resultats, diferent de l'esperat.

L'entitat podrà establir mecanismes de control per verificar el compliment d'aquesta clàusula i garantir un ús responsable, sense perjudici de respectar els drets laborals i de privacitat reconeguts legalment.

Estan expressament prohibides les següents activitats:

1. L'ús de sistemes que inclouen IA que no siguin els autoritzats i/o proporcionats pel RESPONSABLE.
2. L'ús de sistemes que inclouen IA per a finalitats personals, il·lícites o contràries a les normes internes de l'entitat o per generar continguts enganyosos, discriminatoris o que atemptin contra els valors de l'entitat.
3. L'ús de sistemes que inclouen IA per copiar o modificar continguts protegits per drets d'autor.
4. Incloure en sistemes que inclouen IA informació confidencial sense autorització prèvia i expressa del RESPONSABLE.
5. Incloure en sistemes que inclouen IA informació personal (dades personals de clients, empleats, proveïdors o altres) sense autorització prèvia i expressa del RESPONSABLE.

Resten expressament prohibides les següents activitats:

1. Compartir o facilitar l’identificador d’usuari i la clau d’accés (contrasenya) proporcionats pel RESPONSABLE a una altra persona física o jurídica. Si l’USUARI sospita que una altra persona coneix les seves dades d’identificació i accés, ha de notificar aquesta incidència al Responsable de seguretat per activar els mecanismes de canvi de contrasenya. En cas d’incompliment d’aquesta obligació, l’USUARI serà l’únic responsable dels actes realitzats per la persona física o jurídica que utilitzi de manera no autoritzada la seva identificació.
2. Intentar distorsionar o falsejar els registres log del sistema.
3. Intentar augmentar o disminuir el nivell de privilegis d’un USUARI en el sistema.

Resten expressament prohibides les següents activitats:

1. Utilitzar les dades, la xarxa corporativa i/o la intranet del RESPONSABLE i/o de tercers per incórrer en activitats que puguin considerar-se il·lícites o il·legals, que infringeixin els drets de l’organització i/o de tercers o que puguin atemptar contra la moral o les normes d’etiqueta de les xarxes telemàtiques.
2. Intentar desxifrar les claus, sistemes o algoritmes de xifrat i qualsevol altre element de seguretat que intervingui en els processos telemàtics del RESPONSABLE.
3. Utilitzar el sistema per intentar accedir a àrees restringides dels sistemes informàtics del RESPONSABLE i/o de tercers.
4. Emmagatzemar dades de caràcter personal al disc dur de l’ordinador, mentre que s’hagin d’utilitzar per a aquesta finalitat les carpetes de la xarxa corporativa assignades pel RESPONSABLE.
5. Obstaculitzar voluntàriament l’accés dels altres USUARIS a la xarxa mitjançant el consum massiu dels recursos informàtics i telemàtics de l’organització, així com realitzar accions que danyin, interrompin o generin errors en aquests sistemes.

El RESPONSABLE es reserva el dret de monitorar i comprovar, de manera aleatòria i sense previ avís, qualsevol sessió d’accés a Internet iniciada per un USUARI.

Qualsevol arxiu introduït als Sistemes Informàtics des d’Internet, ha de complir els requisits establerts en aquestes normes i, en especial, en les que fan referència a la propietat intel·lectual i al control de virus.

Estan expressament prohibides les següents activitats:

1. Utilitzar els recursos telemàtics del RESPONSABLE i/o accedir a xarxes públiques com Internet, pàgines web (www), grups de notícies (Newsgroups) i altres fonts d’informació com FTP, etc. per a temes no relacionats directament amb l’activitat del RESPONSABLE o les funcions del lloc de treball de l’USUARI.
2. L’accés a debats en temps real (Xat/IRC), ja que facilita la instal·lació d’utilitats que permeten accessos no autoritzats al sistema.

Es considera correu electrònic tant l’intern com l’extern, dirigit o provinent d’altres xarxes privades o públiques, especialment Internet.

No es considerarà cap missatge de correu electrònic com a privat.

El RESPONSABLE es reserva el dret de revisar, sense previ avís, els missatges de correu electrònic dels USUARIS de la xarxa corporativa i els arxius log del Sistema Informàtic, amb la finalitat de comprovar el compliment d’aquestes normes i prevenir activitats que puguin afectar l’organització com a responsable civil subsidiari.

Qualsevol fitxer introduït als Sistemes Informàtics a través de missatges de correu electrònic, provinents de xarxes externes, ha de complir els requisits que s’estableixen en aquestes normes a més de les del client, en especial, les que fan referència a propietat intel·lectual i industrial i a control de virus.

Les adreces de correu electrònic dirigides a persones es consideren dades personals, per la qual cosa, en cas d’enviar correus a més d’un destinatari, si no és estrictament necessari que els altres vegin les adreces de correu de la resta, cal fer-ho com a còpia oculta «Cco».

Estan expressament prohibides les següents activitats:

1. Intentar llegir, esborrar, copiar o modificar els missatges de correu electrònic o arxius d’altres USUARIS. Aquesta activitat pot constituir un delicte d’intercepció de les telecomunicacions (revelació de secrets), previst a l'article 197 del Codi penal.
2. Enviar missatges de correu electrònic de manera massiva o amb finalitats comercials o publicitàries sense el consentiment del destinatari.
3. Enviar o reenviar missatges en cadena o de tipus piramidal.

Resten expressament prohibides les següents activitats:

1. Accedir a recursos que no siguin necessaris per al desenvolupament i compliment de la seva labor, així com consultar, copiar, reproduir, transmetre, editar, modificar o eliminar informació sense estar autoritzat per a aquestes funcions.
2. Utilitzar impressores o fotocopiadores sense recollir immediatament els documents impresos de la safata de sortida, per tal d’evitar que altres persones no autoritzades puguin accedir a la informació.
3. Destruir qualsevol document físic o suport digital que contingui dades personals sense utilitzar la destructora de paper o sense guardar-los degudament custodiats fins que siguin retirats per una empresa homologada de destrucció de documents.
4. No bloquejar la pantalla de l’ordinador en abandonar temporalment el lloc de treball, de manera que s’impedeixi que persones no autoritzades en vegin la informació.

L’USUARI està obligat a comunicar al RESPONSABLE, en el termini més curt possible, totes les incidències que es produeixin en l’organització, les quals s’entenen com a qualsevol anomalia que afecti o pugui afectar la seguretat de les dades personals o l’incompliment de les obligacions que es detallen en aquest document.

Aquesta comunicació ha d’incloure la identificació clara de la incidència i una descripció detallada; que ha de contenir, com a mínim: el moment –dia i hora– en què s’ha produït, la persona que n’ha tingut constància, les persones a les quals s’ha comunicat, els efectes produïts i les mesures correctores adoptades.