| 15 d'octubre de 2009
Referent al compliment de la legislació vigent en matèria de dades personals, i si pretén emmagatzemar fitxers de dades personals utilitzant la nostra plataforma, li proporcionem la següent informació relacionada amb el servei que té contractat amb Occentus Network.
La Llei Orgànica de Protecció de Dades de caràcter personal (Llei Orgànica 15/1999, de 13 de desembre - LOPD) regula el tractament de dades de caràcter personal i té com objectiu "garantir i protegir, en el que concerneix al tractament de les dades personals, les llibertats públiques i els drets fonamentals de les persones físiques, i especialment del seu honor i intimitat personal i familiar".
Esmentarem exclusivament els punts en els quals pot necessitar informació de Occentus Network, però tinga en compte que la llei inclou diversos aspectes addicionals (drets, obligacions, amidades de seguretat, etc.) d'obligat compliment per al responsable dels fitxers de dades de caràcter personal. Per a més informació consulte en la pàgina web de l'Agència de Protecció de Dades.
També poden ser del seu interès els serveis legals que li oferim en col·laboració amb PRODAT, consultora capdavantera en Protecció de Dades a Espanya.
Contracte de tractament de dades
Si emmagatzema dades de caràcter personal en la nostra infraestructura, Occentus Network passaria a ser un dels encarregats del tractament, i la pròpia LOPD estableix que:
La realització de tractaments per compte de tercers haurà d'estar regulada en un contracte que haurà de constar per escrit o en alguna altra forma que permeta acreditar la seua celebració i contingut, establint-se expressament que l'encarregat del tractament únicament tractarà les dades conforme a les instruccions del responsable del tractament, que no els aplicarà o utilitzarà amb fi distinta al que figure en aquest contracte, ni els comunicarà, ni tan sols per a la seua conservació, a altres persones.
Aquest compromís de confidencialitat i bon ús de les dades ja es troba contemplat i garantit en les condicions generales de contractació establertes al contractar el servei amb Occentus Network.
Inscripció del fitxer en l'Agència de Protecció de Dades:
Tal com descriu la pròpia LOPD s'han de declarar els fitxers amb dades personals davant l'Agència de Protecció de Dades (APD).
Per a realitzar aquesta inscripció necessitarà emplenar les dades de l'apartat 4 (ENCARREGAT DE TRACTAMENT), tenint en compte que únicament consignaran en dita apartada les dades d'un dels encarregats del tractament i l'Agència de Protecció de Dades recomana que es faça constar la denominació de l'encarregat que realitze el tractament de dades que puga implicar una major durada en el temps o riscos majors segons el tipus la quantitat de dades tractades.
En el cas que Occentus Network siga l'encarregat de tractament principal haurà d'emplenar les següents dades:
Mesures de seguretat
El Reial decret 1720/2007, de 21 de desembre, pel qual s'aprova el Reglament de desenvolupament de la Llei Orgànica de 13 de desembre, de protecció de dades de caràcter personal, estableix que en funció del tipus de dades personals manejats s'haurien de complir certes mesures de seguretat.
Atès que Occentus Network proporciona únicament la infraestructura tècnica, i en els casos en els quals la inclou el servei l'administració de la mateixa, les mesures de seguretat proporcionades per Occentus Network es limiten a aquestes funcions, estant exclosos altres aspectes, fora de l'entorn i el servei prestat per Occentus Network, i que el responsable del fitxer té l'obligació de complir.
En funció d'aquells serveis que siguen contractats pel client segons es reflecteix en el contracte principal, Occentus Network es responsabilitza d'implantar les següents mesures de seguretat en els serveis d'allotjament exclusivament en els termes que a continuació es detallen:
- Funcions i obligacions del personal: El personal d'administració i operació de sistemes de Occentus Network ha rebut la formació necessària per a realitzar les labors de gestió en els sistemes implicats, disposa de les normes i procediments per a la realització de les mateixes i és conscient del compromís de Occentus Network quant a la confidencialitat i integritat de les dades del client. Aquestes funcions no inclouen les relatives a l'administració i gestió que, segons les condicions dels serveis contractats, haja de realitzar el Client.
- Registre d'incidències: Occentus Network comunicarà les incidències ocorregudes que puguen afectar a la informació del client, indicant el tipus d'incidència, el moment que s'ha produït, la persona que realitza la notificació, a qui se li comunica i els efectes que s'hagueren derivat de la mateixa.
- Identificació i autenticació: Occentus Network mantindrà una relació actualitzada d'usuaris amb accés autoritzat a l'administració i operació dels sistemes d'informació, existint un procediment d'assignació, distribució i emmagatzematge de contrasenyes d'accés que garanteix la seua confidencialitat i integritat, implantant mecanismes per a la identificació de forma inequívoca i personalitzada d'aquests usuaris. Així mateix, s'indicarà l'accés autoritzat per a cadascun dels usuaris, a més de la llista de personal amb autorització per a concedir, alterar o anul·lar l'accés autoritzat sobre dades i recursos relatius al servei prestat per Occentus Network. La gestió de contrasenyes no inclou aquelles proporcionades al Client per a l'accés al servei, el manteniment del qual i control serà responsabilitat del Client segons l'estipulat en les condicions del servei contractat, així com les relatives a aplicacions propietàries instal·lades pel client.
- Control d'accés: Els empleats de Occentus Network tindran accés autoritzat únicament als recursos necessaris per a l'acompliment de les seues funcions d'administració i operació. El Client tindrà la responsabilitat d'establir els mecanismes de control d'accés necessaris amb les eines destinades a tal fi en el servei contractat segons l'estipulat en les condicions del servei contractat, així com els relatius a aplicacions propietàries instal·lades pel client.
- Control d'accés físic: Les dependències on s'alberga la infraestructura que presta el servei estan equipades amb control d'accés i sistemes de monitoratge i control per a garantir que únicament accedeix a les mateixes el personal autoritzat.
- Gestió de suports: Occentus Network realitza la gestió i inventari dels suports lliurats pel client o resultants de la realització de còpies de respatler. Així mateix Occentus Network té implantades mesures per a la destrucció i deixalla de suports. L'eixida d'aquests suports fora dels locals de Occentus Network es realitza sempre que existisca autorització prèvia del client. El Client serà responsable de la informació que, obtinguda a través de la xarxa amb accés autoritzat, siga emmagatzemada en suports propis.
- Còpies de respatler i recuperació: Occentus Network realitzarà còpies de seguretat de la informació del Client segons el model de servei de Backup contractat. Si el servei de backup està inclòs en el servei les còpies de seguretat es realitzaran amb una periodicitat setmanal o menor, i es realitzen periòdicament verificacions d'aquestes còpies.
- Auditoria: Occentus Network proporcionarà les dades necessàries als clients per a la realització de auditorias per part del personal propi del Client o per un tercer, sempre que això no supose distorsions irrazonables en el desenvolupament per Occentus Network de la seua activitat ordinària i tals informacions o document tinguen relació amb els treballs o serveis encarregats i amb els fitxers dels quals anara titular el Client.
- Registre d'accessos: El control d'accés físic disposarà d'un registre que permetrà determinar l'usuari que va accedir en un determinat moment a les dependències. El Client tindrà la responsabilitat d'establir els mecanismes de registre d'accés necessaris, amb les eines destinades a tal fi en el servei contractat segons l'estipulat en les condicions acordades, així com els relatius a aplicacions propietàries instal·lades pel client.
Document de seguretat
La normativa estableix que el responsable del fitxer està obligat a la creació d'un document de seguretat amb la descripció del fitxer, funcions i obligacions del personal, estructura del fitxer, i altra sèrie de dades relatives al fitxer.
A l'hora de redactar el citat document de seguretat convé segui la guia proporcionada per l'Agència de protecció de dades.
Li oferim aquesta informació en col·laboració amb PRODAT, consultora capdavantera en Protecció de Dades a Espanya.
